Vår referanse (bes oppgitt ved svar) 201104476-/SVE 11/01317-2/BSO



Like dokumenter
Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Endelig kontrollrapport

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Endelig kontrollrapport

Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato:

Ot.prp. nr. 51 ( )

Ny pasientjournallov endringer og muligheter

Formidling av pasientinformasjon ny lovgivning (i forbindelse med pasientbehandling) NSH

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26

Vår referanse (bes oppgitt ved svar)

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres.

Vår referanse (bes oppgitt ved svar)

Pasientjournalloven - endringer og muligheter

DRAMMEN KOMMUNE. Postmottak HOD

Eks7. Pics. Adressater i henhold til liste. Helseforskningslovens virkeområde

Kontroll av Follo legevakt Vedtak om pålegg og endelig kontrollrapport

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/ / /CGN 9. april 2013

Helse- og omsorgsdepartementet Kultur- og kirkedepartementet. Deres ref Vår ref Dato /EMK

HVEM ER JEG OG HVOR «BOR» JEG?

Endelig kontrollrapport

Helse- og omsorgsdepartementet. Postboks 8011 Dep OSLO

FORSLAG TIL FORSKRIFT OM VERKSEMDOVERGRIPANDE, BEHANDLINGSRETTA HELSEREGISTRE I FORMALISERTE ARBEIDSFELLESSKAP - HØYRING

Høringsnotat. Helse- og omsorgsdepartementet

5-7fiSDEPARTEMENT. 23 N11117nng. Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO. Avp/K0N-rfpc14: / ". Obk NR ARKIVK-UDE:

Kommentarer til bestemmelser og temaer i vernepliktsforskriften

Lovfortolkning - Helsepersonelloven 29c - Opplysninger til bruk i læringsarbeid og kvalitetssikring

Høringsuttalelse - Forslag til endringer i sprøyteromsordningen

MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO.

Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger mellom virksomheter

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

BEST Helse Nordstrand pålegg om avslutning av urettmessig behandling av personopplysninger

Det fremgår av høringsbrevet at: "Formålet med lovforslagene er å fjerne

Deres ref. Vår ref. Dato /ATG 10/ Vi viser til Helse- og omsorgsdepartementets (HOD) brev av om ovennente.

Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO

Behov for oppdatering av EPJ standard som følge av regelverksendringer mv

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

Vår referanse (bes oppgitt ved svar)

Høringsnotat: Enklere tilgang til helseopplysninger for kvalitetssikring av helsehjelp og egen læring

Ny lov nye muligheter for deling av pasientopplysninger

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Tilgangskontroll i fugleperspektiv Tilgangskontroll i IT-systemer de fire A-er Administrasjon Autentisering Autorisasjon Audit (etterhåndskontroll) Av

Plikt- og rettssubjekter. Den som har krav på noe, den som har rett på noe. Den som er pålagt noe, den som har ansvaret for å se til at noe blir gjort

Lagring av advarsler i personalmapper - Datatilsynets veiledning

Rettslig regulering av helseregistre

Vår referanse (bes oppgitt ved svar)

Høringsuttalelse - Forslag til ny kommunal helse- og omsorgslov

Lovvedtak 75. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( )

Byrådsak 505/08. Dato: 9. desember Byrådet

Helsepersonells taushetsplikt og plikten til å medvirke ved kontroll etter ligningsloven

Deres referanse Vår referanse Dato 19/ / /SLI

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Høringssvar: Forslag til forskrift om Norsk helsearkiv og Helsearkivregisteret

Hvordan kan personvernet ivaretas i helsesektoren?

Taushetsplikt. Taushetsrett, opplysningsplikt og meldeplikt. Seniorrådgiver Pål Børresen, Statens helsetilsyn. Nidaroskongressen 21.

Taushetsplikten! *! Anne Kjersti Befring!

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012

Det juridiske rammeverket for helseregistre

Fagkurs for kommuner Personvern og taushetsplikt (75 minutter)

Kontroll av reseptformidleren endelig kontrollrapport

Høring - Utvidelse av pasientskadelovens virkeområde til å omfatte barneboliger, kommunale rusinstitusjoner og aldershjem

Deres ref. Deres dato Vår ref. Vår dato /ASD /10ToNy

Spørsmål om rekkevidden av unntaket fra rapporteringsplikt for advokater

innhente taushetsbelagte helseopplysninger. Setningen burde derfor omformuleres.

Deres referanse Vår referanse Dato 17/ / /CDG

Høringsuttalelse vedrørende forslag til ny forskrift om tilgang til helseopplysninger mellom virksomheter

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

tilsynmedbarnevern, sosial-oghelsetjenestene VÅR REF: I OUR REF: 2013/820 3 PBØ

Nr. Vår ref Dato I - 2/ /

Pasientjournalloven og helseregisterloven

Medisinske kvalitetsregistre - hva betyr nytt lovverk Normkonferansen

12/ / /JSK 7.

Høring: NOU 2016:16 - Ny barnevernslov - Sikring av barnets rett til omsorg og beskyttelse

Høringssvar: Forslag til forskrift om IKT-standarder i helse- og omsorgssektoren

Høringsnotat. Forslag til forskrift om barns rett til å samtykke til deltakelse i medisinske og helsefaglige forskningsprosjekter

POLITIET KRIPOS HØRINGSUTTALELSE FORSLAG TIL KRAV OM POLITIATTEST FOR PERSONELL I DEN KOMMUNALE HELSE OG OMSORGSTJENESTEN

Forslag til ny lov om kommunale helse- og omsorgstjenester Datatilsynets høringsuttalelse

Sikkerhetskrav for systemer

Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 Oslo. Høringsuttalelse - forslag til ny lov om kommunale helse- og omsorgstjenester

lntegrerings- og mangfoldsdirektoratet

Personvernerklæring Stendi

Vedrørende høringsnotat om endringer i helsesektorens tilgang til folkeregisteropplysninger

UiO ved Psykologisk institutt v/pål Kraft og Joakim Dyrnes. Rettslige rammer for drift av studentklinikk/samarbeid med Lovisenberg Diakonale Sykehus

Deres ref. Deres dato Vår ref. Vår dato /KJJ /

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

FYLKESMANNEN I OSLO OG AKERSHUS Sosial- og familieavdelingen

Personvern og tilgang på tvers. Hva mener KITH?

16/ /

Anvendelse av helsepersonelloven for hjelpekorpset og ambulansetjeneste

Høring om forslag til endringer i spesialisthelsetjenesteloven og helse- og omsorgstjenesteloven oppnevning av kontaktperson m.m.

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.

Høring - Forslag til forskrift om informasjonssikkerhet, tilgangsstyring og tilgang til helseopplysninger i behandlingsrettede helseregistre

likestillings- og inkluderingsdepartementet

Formålet er forsvarlig behandling

-= Datatilsynet. 1 Innledning

Sikkerhetskrav for systemer

Høring av forslag til forskrift om informasjonssikkerhet, tilgangsstyring og tilgang til helseopplysninger i behandlingsrettede helseregistre

Vår referanse (bes oppgitt ved svar) /EGA 11/ /CGN

Transkript:

Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104476-/SVE 11/01317-2/BSO Dato 16. mars 2012 Datatilsynets høringsuttalelse - Utkast til forskrift om virksomhetsovergripende behandlingsrettede helseregistre i formaliserte arbeidsfellesskap Det vises til departementets høringsbrev av 16. desember 2012 om utkast til forskrift om virksomhetsovergripende behandlingsrettede helseregistre i formalisert arbeidsfellesskap (heretter forskriften). Innledende bemerkninger Høringsforslaget til forskrift er en oppfølging av Stortingets vedtak 19. juni 2009 om endringer i lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven) og lov 2. juli 1999 nr. 63 om helsepersonell m.v (helsepersonelloven). Forskriften legger til rette for at helsepersonell med formalisert arbeidsfellesskap kan etablere felles behandlingsrettede helseregistre når dette er nødvendig for å administrere eller yte helsehjelp. Et felles behandlingsrettet helseregister er et journalsystem for virksomhetene som inngår i det formaliserte arbeidsfellesskapet. I praksis innebærer dette at hver pasient bare har en journal innen arbeidsfellesskapet, og at helsepersonellet tilknyttet dette fellesskapet har anledning til å føre opplysninger inn i disse journalene. I høringsbrev av 20. oktober 2008 er felles behandlingsrettede helseregistre ved formalisert arbeidsfellesskap beskrevet. Der går det frem at man hadde samarbeid mellom fastleger og tannleger, samt samarbeid om legevaktsordning i tankene. 1 Det sentrale eksempelet i lovforarbeidene er fastleger på legekontor. 2 Datatilsynet er positive til at det i forskrift kan legges til rette for at helsepersonell i slike tilfeller kan ha felles behandlingsrettede helseregistre. Dette forutsetter naturligvis at de forutsetninger og rammer som lovgiver har satt for etablering av slike helseregistre blir implementert i forskriften. 1 Se høringsnotatets punkt 5.3 og 7.4. 2 Se for eksempel Innst.O. nr.110-2008-2009 punkt 5.1. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 0034 OSLO Hjemmeside: www.datatilsynet.no

Den interne tilgangsstyringen i helsetjenesten har allerede vært gjenstand for en rekke kontroller og kritikk fra både Helsetilsynet og Datatilsynet. Tilsynsmyndighetene har avdekket at de elektroniske pasientjournalene som benyttes i helsetjenesten i stor grad ikke er egnet til å gi den enkelte en tilgang som er tilfredsstillende begrenset til vedkommendes tjenestelige behov. 3 Det er også avdekket at virksomheter har dårlig kontroll med hvilke opplysninger den enkelte ansatte faktisk tilegner seg gjennom sin tilgang. Når den enkelte behandlingsinstitusjon ikke makter å sørge for at informasjonskontrollen internt støtter opp om den enkelte ansattes personlige plikt til å bevare taushet ovenfor sine kollegaer, representerer virksomhetens grenser en nødvendig ytre grense for informasjonsflyten. Felles journalsystem for to eller flere virksomheter forutsetter god styring og kontroll internt. Det er vanskeligere å føre kontroll med ansatte i andre virksomheter, enn det er å holde kontroll med egne ansatte. Det er derfor avgjørende for å sikre pasientene mot uberettiget innsyn at denne forskriften gir tydelige krav og rammer for når og hvordan det kan etableres felles behandlingsrettede helseregistre. Datatilsynet peker også på at det ikke er tilstrekkelig med en forskrift som gir overordnede krav. Det må i tillegg etableres systemer som faktisk kan støtte opp om de krav som følger av gjeldende rett. Datatilsynet mener det er viktig at pasienter har tillit til at det verken er en juridisk, teknisk eller faktisk mulighet for uvedkommende å tilegne seg informasjon de ikke skal ha. Datatilsynet vil i det følgende kommentere utkastet til forskrift om virksomhetsovergripende behandlingsrettede helseregistre. Datatilsynet vil ha fokus på om forskriften gir tydelige og klare rammer, og om lovgivers forutsetninger blir tilstrekkelig ivaretatt. Formålet med forskriften - 1 Det går frem av forskriftens 1 at formålet er å være å bidra til effektiv og forsvarlig helsehjelp, og administrasjon av slik hjelp. Bestemmelsen angir i all hovedsak det som er formålet med behandlingsrettede helseregistre. Datatilsynet mener formålsbestemmelsen bør justeres slik at den også får frem det som er formålet med å forskriftregulere felles behandlingsrettede helseregistre mellom to eller flere virksomheter. Datatilsynet foreslår at departementet ved justering av formålsbestemmelsen har et blikk på lovforarbeidenes beskrivelse av det helsefaglige behov for slike registre. 3 Se Datatilsynets rapport om sviktende tilgangsstyring i elektroniske pasientjournaler av april 2009. Funnene i rapporten er gjort ved en rekke helseforetak, også i primærhelsetjenesten der problemet med tilgangsstyring er like utbredt. 2

En justering av formålsbestemmelsen vil spesielt være viktig ved tolkning av bestemmelser i forskriften som regulerer når det kan etableres felles behandlingsrettede helseregistre. I tillegg vil en justering av formålsbestemmelsen kunne gi tolkningsbidrag til vurderingen av når andre samhandlingsalternativ som sending av elektroniske meldinger og tilgang til journal i en annen virksomhet er tilstrekkelige. Datatilsynet har omtalt dette nærmere i punktet nedenfor om behov for særskilte vilkår. Slik formålsbestemmelsen er utformet vil den ha liten eller ingen tolkningsverdi til bestemmelser som regulerer når det kan etableres felles behandlingsrettede helseregistre. Begrepet formalisert arbeidsfellesskap er ikke nærmere avgrenset - 3 Flere høringsinstanser pekte spesielt på behovet for at begrepet helsepersonell med formalisert arbeidsfellesskap trengte nærmer tydeliggjøring. 4 Virksomhetsovergripende behandlingsrettede helseregistre i formalisert arbeidsfellesskap ble ikke definert nærmere i Ot.prp. nr 51 (2008-2009). På side 56 ble det imidlertid oppstilt et krav om at arbeidsfellesskapet utad må fremstå som èn enhet. (Vår utheving) Det ble videre på side 56-57 gitt eksempler og momenter som er relevante i vurderingen av spørsmålet. 5 Til slutt ble det på side 57 uttalt at [e]n nærmere avgrensning av begrepet formalisert arbeidsfellesskap må reguleres nærmere i forskrift. (Vår utheving) Denne forutsetningen ble også fulgt opp i forbindelse med stortingsbehandlingen av lovforslaget om forskriftshjemmel i helseregisterloven 6b. 6 Til tross for den klare forutsetningen gjenspeiler definisjonen til forskriftens 3 nr 1 i all hovedsak kun det allerede nevnte kravet i lovforarbeidene. Definisjonen i forskriftens 3 nr 1 lyder: samarbeid mellom to eller flere virksomheter som tydelig fremstår som en enhet. Datatilsynet kan heller ikke se at bruken av begrepet tydelig medfører noen realitetsforskjell fra det allerede nedfelte kravet i lovforarbeidene. I merknadene til bestemmelsen gjentas for øvrig i hovedsak de momenter som allerede er nevnt i Ot.prp. nr 51 (2008-2009) punkt 9.4. Ut fra det allerede fastlagte kravet i lovforarbeidene, kan ikke Datatilsynet se at det foreligger noen nærmere avgresning av begrepet i forskriften, eller i merknadene til forskriften. Datatilsynet mener det er kritikkverdig at departementet på denne måten ikke har fulgt opp lovgivers forutsetning om at nærmere avgrensning av begrepet skulle følge av forskrift. Datatilsynet mener forutsetningen må følges opp i forskrift, og at departementet derfor må foreta en ny og nærmere vurdering av dette begrepet. I høringsnotat av 16. desember 2011 har departementet også nokså bredt angitt når det kan foreligge et formalisert arbeidsfellesskap. Det vises for eksempel til høringsnotatets punkt 2.5. Der har departementet kommet med følgende eksempler ulike samarbeidsformer som kan 4 Det vises til Ot.prp. nr 51 (2008-2009) punkt 9.3, og for eksempel høringsinstansene Nasjonalt senter for telemedisin, Norsk Psykologiforening, Kompetansesenter for IT i helse- og sosialsektoren AS (KITH), Statens helsetilsyn og Helsedirektoratet. 5 Det vises til Ot.prp. nr 51 (2008-2009) punkt 9.4. 6 Innst.O. nr.110-2008-2009. I punkt 5.2 hvor både komiteens flertall og mindretall trekker frem denne forutsetningen. 3

omfattes av forskriften: klassiske arbeidsfellesskap, gruppesamarbeid, kommunesamarbeid og tjenesteutsetting, og lokale- og distriktsmedisinske senter og lignende. Departementet har også påpekt at det foregår en kontinuerlig utvikling av samarbeidsformer i sektoren, og at også andre samarbeidsmodeller enn de som er nevnt kan ha behov for felles journalføring. Datatilsynet ser at departementet ønsker en forskrift som i stor grad er fleksibel med tanke på hvilke ulike samarbeidsformer som kan tenkes å komme inn under forskriften. Den nevnte forutsetning om en nærmere avgrensning av begrepet i forskrift setter imidlertid en klar grense for hvor fritt departementet står i når det gjelder begrepsavklaringen. Datatilsynet mener videre at behovet for å ha tydelige regler for behandlinger av sensitive personopplysninger i dette tilfellet må tillegges større vekt enn hensynet til fleksibilitet. Praktiske og pedagogiske hensyn tilsier dessuten at avgrensningen av begrepet må tydeliggjøres nærmere. Dette vil igjen gjøre det enklere for rettsanvenderen å vurdere hva som kan være et formalisert arbeidsfellesskap. Datatilsynet viser dessuten til at en forskrift i seg selv er mer fleksibel med tanke på endringer i takt med nye samarbeidsformer enn det en lov er. Datatilsynet mener definisjonen til begrepet formalisert arbeidsfellesskap i forskriftens 3 nr 1 fort vil komme til kort for vurderingen av hvilke ulike typer samarbeidsformer som kommer innenfor forskriften virkeområde. Det vil da først og fremst være lovforarbeidene som kan gi tolkningsbidrag til vurderingen. 7 Datatilsynet mener det er et paradoks når lovforarbeidene nettopp forutsetter at begrepet skulle avgrenses nærmere i forskrift. Datatilsynet kan i denne forbindelse nevne en klagesak tilsynet har hatt med Oslo kommunes etablering av felles helseregister som et eksempel. Saken ble endelig avgjort av Personvernnemnda i vedtak 2011-07. Saken dreide seg om hvorvidt Oslo kommune kunne gi private virksomheter tilgang til kommunens helseregistre. Dette var private virksomheter som Oslo kommune har inngått avtale med for å oppfylle sin plikt etter kommunehelsetjenesteloven 1-3. 8 På klagetidspunktet var det tale om totalt 19 private virksomheter hvorav 14 var ideelle organisasjoner og 5 kommersielle som hadde fått tilgang til kommunens helseregistre. Helse- og omsorgsdepartementet skrev i brev av 9. september 2011 til Personvernnemnda at de arbeidet under en forutsetning om at denne forskriften skal regulere den type situasjon som her var gjenstand for klage. Standpunktet er imidlertid ikke nærmere begrunnet. Det er derfor vanskelig å vurdere hvordan departementet kom frem til dette. Saken mot Oslo kommune var imidlertid kun ment som et eksempel på at forslaget til definisjonen av begrepet formalisert arbeidsfellesskap fort kommer til kort i vurderingen av hvilke ulike typer samarbeidsformer som kan komme inn under forskriften. Om departementet ønsker det, kan Datatilsynet gjerne komme med ytterliggere eksempler på uklare tilfeller. 7 Det fremgår som tidligere nevnt at merknadene til forskriftsbestemmelsen i hovedsak gjentar de momenter som allerede er nevnt i Ot.prp. nr 51 (2008-2009) punkt 9.4. 8 Nå helse- og omsorgstjenesteloven. 4

Datatilsynet kommer nedenfor med et forslag til et utgangspunkt for hvordan departementet kan foreta en nærmere avgrensing av begrepet. Behov for særskilte vilkår for etablering av formalisert arbeidsfellesskap Forskriftshjemmelen i helseregisterloven 6b, og lovforarbeidene har fastsatt rammer og vilkår for denne forskriften. Det følger for eksempel av lovforarbeidene at [d]en som det formaliserte arbeidsfellesskapet avtaler seg imellom skal være databehandlingsansvarlig, må ha partsevne og kunne saksøkes for domstolene. 9 (Vår utheving) Videre at vilkår for etablering av felles behandlingsrettede helseregistre må reguleres nærmere i forskriften. 10 Departementet har i høringsnotatet av 16. desember 2011 punkt 4.4 trukket frem at det er avgjørende at et samarbeid tilfredsstiller definisjonen av et formalisert arbeidsfellesskap i 3 nr 1. I tillegg foreslår departementet at det må inngå skriftlig avtale mellom partene for å avklare visse sentrale forhold i arbeidsfellesskapet. Det følger av forskriftens 4 hvilket innhold en slik avtale skal ha. Datatilsynet har vanskeligheter for å se at departementet har utformet nærmere vilkår for etablering av felles behandlingsrettede helseregistre i forskrift, utover det som allerede kan utledes av forskriftshjemmelen i helseregisterloven 6b og lovforarbeidene. Datatilsynet mener det bør oppstilles nærmere vilkår for etablering av slike registre, slik det er forutsatt i lovforarbeidene. Dette blir spesielt viktig når departementet har valgt en vag og ikke nærmere avgrenset definisjon av begrepet formalisert arbeidsfellesskap. Datatilsynet mener slike vilkår bør ses i sammenheng med formålsbestemmelsen til forskriften. Det kan for eksempel stilles vilkår om at det må foreligge et reelt helsefaglig behov til grunn for etablering av felles behandlingsrettet helseregister mellom to eller flere virksomheter. Det vises også her til at det helsefaglige behovet er bredt omtalt i høringsnotatet av 16. desember 2011, herunder i punkt 2.5. For Datatilsynet fremstår det som nokså naturlig at forskriften har en klar ytre grense mot de tilfeller hvor det ikke foreligger et helsefaglig behov for felles behandlingsrettet helseregister. Datatilsynet kan også vanskelig se at det foreligger noen sterke hensyn mot en slik ytre grense. Datatilsynet mener også forholdet til andre kommunikasjonsformer tilsier at forskriften bør ha særskilte vilkår for etablering av slike typer registre. Datatilsynet påpeker at forslaget til forskrift ikke er ment å ivareta alle behov for kommunikasjon av helseinformasjon mellom helsepersonell. Det må ses i sammenheng med andre mulige kommunikasjonsformer, herunder tilgang på tvers av virksomhetsgrenser og sending av elektroniske meldinger. Det vises også til arbeidet med nasjonal kjernejournal. 9 Innst.O. nr.110-2008-2009 punkt 5.2. 10 Ot.prp. nr 51 (2008-2009) punkt 9.4 og Innst.O. nr.110-2008-2009 punkt 5.2. 5

Dersom departementet ikke ønsker å tydeliggjøre begrepet formalisert arbeidsfellesskap i forskrift, mener Datatilsynet det blir desto viktigere at det fastsettes minimumsvilkår som tilsynet har vist et eksempel på ovenfor. Om databehandlingsansvar - 5 Det følger av forskriftens 5 at databehandlingsansvaret for behandling av helseopplysninger i et virksomhetsovergripende helseregister kan ligge hos en eller samtlige virksomheter som inngår i det formaliserte arbeidsfellesskapet. Datatilsynet påpeker at et delt databehandlingsansvar kan bli utfordrene for de berørte virksomheter. Det er et omfattende regelverk som skal ivaretas gjennom et delt databehandlingsansvar. Datatilsynet mener derfor departementet bør utrede delt databehandlingsansvar nærmere. Datatilsynet kan i denne forbindelse peke på enkelte forhold. Datatilsynet mener for det første at forskriften bør plassere databehandlingsansvar for visse samarbeidsrelasjoner. Tilsynet peker spesielt på at det ikke bør åpnes opp for delt databehandlingsansvar i samarbeidsrelasjoner hvor det foreligger et klart under- eller overordningsforhold mellom virksomhetene. Datatilsynet tenker her spesielt på at virksomheter som yter helsehjelp etter avtale med kommunen etter helse- og omsorgstjenesteloven 3-1 normalt står i et underordningsforhold til kommunen. Datatilsynet mener også forskriften bør inneholde nærmere regler med krav til avklaring om hvordan det delte databehandlingsansvaret skal fordeles og ivaretas. Datatilsynet mener en slik avklaring også må komme før det etablereres et felles behandlingsrettet helseregister. Det pekes her på at det uten et slikt krav vil kunne oppstå en rekke uenigheter og tvil mellom de samarbeidende virksomheter. Datatilsynet mener også det bør fastsettes krav i forskriften om at det utpekes en kontaktperson ved delt databehandlingsansvar. Denne kontaktpersonen må kunne representere samtlige databehandlingsansvarlige ovenfor myndigheter og andre som henvender seg til virksomhetene om behandling av helseopplysninger. Om informasjonssikkerhet - 6 Forskriftens 6 viser til at helseinformasjonssikkerhetsforskriften gjelder for virksomhetsovergripende helseregistre etter denne forskriften. Helseinformasjonssikkerhetsforskriften stiller særlige krav til informasjonssikkerhet ved elektronisk tilgang til helsehjelp i forbindelse med ytelse av helsehjelp, og den åpner for elektronisk tilgang på tvers av virksomhetsgrenser for behandlingsrettede helseregistre. Helseinformasjonssikkerhetsforskriften gjelder for alle behandlingsrettede helseregistre, og er som nevnt foreslått å gjelde for virksomhetsovergripende behandlingsrettede helseregistre i formalisert arbeidsfellesskap. Datatilsynet mener departementet burde utredet nærmere hvilke regler i helseinformasjonssikkerhetsforskriften som bør gjøre seg gjeldende for de ulike typer av 6

samarbeid denne forskriften tar sikte på å åpne opp for. Det er for eksempel stor forskjell mellom et enkelt legekontor og samarbeid mellom en kommune og et stort antall private virksomheter. Datatilsynet mener at slike forskjeller også burde vært reflektert i denne forskriften eller helseinformasjonssikkerhetsforskriften. Datatilsynet viser til punktet nedenfor om forslag til endring av forskrift, hvor dette er eksemplifisert. Særskilt merknad om forholdet til helseinformasjonssikkerhetsforskriften 5 Det er opplyst at forskriften ikke gjør endringer i reglene om taushetsplikt. Datatilsynet har i den forbindelse et spørsmål knyttet til helseinformasjonssikkerhetsforskriften 5 jf. helsepersonelloven 26 annet ledd. Det fremgår av helseinformasjonssikkerhetsforskriften 5 annet ledd at personell som administrerer helsehjelp, jf helsepersonelloven 26 andre ledd, kan gis autorisasjon for tilgang til helseopplysninger når dette er nødvendig for å administrere helsehjelpen til pasienten. Helsepersonelloven 26 annet ledd hjemler etablering av pasientadministrative system, og inneholder en uttømmende regulering av hvilke opplysninger som kan inngå i et slikt register. Slik Datatilsynet forstår bestemmelsen regulerer den kun etablering av pasientadministrative system innenfor en virksomhet. En naturlig forståelse av bestemmelsen tilsier at den kun gjelder innenfor en virksomhet, jf ordlyden vedkommende virksomhets pasientadministrasjon. Datatilsynet setter for det første spørsmålstegn ved om helsepersonelloven 26 annet ledd kan hjemle at felles administrativt system mellom to eller flere virksomheter. For det annet setter Datatilsynet spørsmålstegn ved om bestemmelsen gir hjemmel for at personell som administrerer helsehjelp kan gis tilgang til taushetsbelagte opplysninger i et felles behandlingsrettet helseregister. Forutsetning om uttrykkelig samtykke - 7 Det følger av forskriftens 7 første ledd første punktum at helseregisterloven 13 tredje ledd om uttrykkelig samtykke ikke gjelder for tilgang til helseopplysninger i det behandlingsrettede helseregisteret når dette er nødvendig for å ivareta arbeidsfellesskapets formål. Spørsmål om samtykke er også omtalt i høringsnotatet av 16. desember 2011 i punkt 4.3.2.4. Det er imidlertid uklart for Datatilsynet hvorfor departementet ikke har vurdert nærmere hvilke rammer lovforarbeidene har satt for samtykke i denne forskriften. Det vises for eksempel til følgende formulering i Innst. O. nr.110 (2008-2009) punkt 5.2: Flertallet påpeker at ved elektronisk tilgang til helseopplysninger mellom flere juridiske enheter vil samtykkekravet - som nå foreslås i helseregisterloven 13 gjelde. 7

Slik Datatilsynet leser forarbeidene og de nå vedtatte endringene helseregisterloven 13 tredje er det nokså klart at det foreligger en forutsetning om krav om uttrykkelig samtykke for elektronisk tilgang til helseopplysninger mellom de juridiske enheter i et formalisert arbeidsfellesskap. Datatilsynet mener derfor departementet må forholde seg til de forutsetninger som er satt i lovforarbeidene. Samtykkekravet må derfor justeres slik at det går frem at det kreves et uttrykkelig samtykke, sml helseregisterloven 13 tredje ledd. Om opphør av et formalisert arbeidsfellesskap 8 Opphør av et formalisert arbeidsfellesskap er regulert i forskriftens 8 jf 4 nr 3. Det er også foreslått endringer i journalforskriften 15. Det fremkommer av forskriftens 8 at fellesskapet opphører når en eller flere av deltakerne trekker seg fra samarbeidet. Paragraf 4 nr 3 fastslår at det skal avtales hvor helseregisteret skal overføres ved opphør av arbeidsfellesskapet. Endringen i journalforskriften går på at denne forskriften gjelder utfyllende for journalforskriftens 15 tredje ledd. Datatilsynet setter spørsmålstegn om avtaleinstituttet og de alminnelige regler i journalforskriften er tilstrekkelige for løse de spesielle problemene som kan oppstå ved opphør av et felles behandlingsrettet helseregister. Datatilsynet peker i denne forbindelse først og fremst på pasient- og personverninteresser. Forslag til endring av forskriften Datatilsynet har som nevnt ovenfor kommet til at departementet ikke har foretatt noen nærmere avgrensning av begrepet formalisert arbeidsfellesskap. Datatilsynet mener at en nærmere avgrensning av begrepet formalisert arbeidsfellesskap i forskrift kan gjøres ved å ta utgangspunkt i følgende nevnte kategorier av samarbeidsformer: klassiske arbeidsfellesskap, gruppesamarbeid, kommunesamarbeid og tjenesteutsetting, og lokale- og distriktsmedisinske senter og lignende. Departementet kan deretter utforme generelle vilkår som vil gjelde for samtlige samarbeidsformer. For de samarbeidsformer som ligger i kjernen av det som forskriften opprinnelig var ment å hjemle vil det kunne være tilstrekkelig å regulere disse gjennom de generelle reglene. Dette vil typisk være de tilfeller hvor arbeidsfellesskapet har felles lokaler som tannlege- eller legesamarbeid. Deretter kan forskriften ha egne kapitler med særlige bestemmelser om vilkår til arbeidsfellesskapet for de tilfeller som ligger helt i utkanten av rammen til forskriftshjemmelen i helseregisterloven 6b. Det kan også her klargjøres nærmere hvilke krav etter helseinformasjonssikkerhetsforskriften som spesielt vil gjelde, herunder regler om tilgang. 8

Et eksempel på et slikt tilfelle som vil kunne ligge i utkanten av forskriftshjemmelen i helseregisterloven 6b er kommuner som setter ut kommunale oppgaver til private virksomheter. Etter Datatilsynet vurdering vil slik tjenesteutsetting til private virksomheter i seg selv vanskelig kunne sies å innebære at det etableres et formalisert arbeidsfellesskap mellom samtlige offentlige og private virksomheter. 11 Når departementet mener slike tilfeller kan falle innenfor forskriften, mener Datatilsynet at det også burde vært utformet særskilte bestemmelser i forskriften om dette. Slik særskilte bestemmelser bør for det første stille vilkår om hva som skal til for slike samarbeidsformer kan anses å utgjøre formaliserte arbeidsfellesskap. I tillegg vil det være hensiktsmessig å utarbeide særskilte bestemmelser knyttet til regler om informasjonssikkerhet, herunder regler om tilgang Utover særskilte krav for at tjenesteutsetting kan anses å være et formalisert arbeidsfellesskap, kunne det for eksempel vært tatt utgangspunkt i krav om følgende: - Klar regulering av databehandlingsansvar under og etter tjenesteoppdraget - Klar regulering ved opphør av samarbeidet journalen beholdes av oppdragsgiver - Håndtering av bytte av oppdragstaker ansvar og tilgang for ny oppdragstaker (kan evt. gjøres i merknader) - At bestemmelsene i helseinformasjonssikkerhetsforskriftens 11 til 14 gjelder for tilgang som går utover det klare samarbeidet mellom tjenesteutsetter og oppdragstaker. Det vil si at tilgang mellom ulike oppdragstakere, som ikke kan sies å være involvert felles tjenesteyting, skal følge de alminnelige reglene om tilgang mellom virksomheter Et annet eksempel på en annen samarbeidsform er autonome samarbeidskonstellasjoner mellom ulike parter (som LMS, DMS, Legevakt etc.). Eksempel på et krav som kunne vært stilt her er: - At reglene i helseinformasjonssikkerhetsforskriftens 11 til 14 gjelder for tilgang som går utover samarbeidet innenfor den autonome enheten. Som eksempel vil tilgangen innen et lokalt medisinsk senter (LMS) kunne følge reglene om tilgang innefor en virksomhet, mens tilgang mellom LMS og de øvrige registrene til samarbeidspartene følger reglene om tilgang på tvers, som eksempel tilgang LMS-HF eller LMS-kommune Til slutt nevnes at dersom departementet ser at det i fremtiden vil være behov for nye kategorier samarbeidsformer, kan forskriften utformes slik at det tar høyde for dette. Som tidligere nevnt er en forskrift i seg selv er mer fleksibel med tanke på endringer i takt med nye samarbeidsformer enn det en lov er. 11 Datatilsynet kan for øvrig ikke se at denne typen samarbeidsform er nevnt i Innst.O. nr.110-2008-2009 punkt 5.2. 9

Datatilsynet utdyper gjerne denne høringsuttalelsen, for eksempel i et møte med departementet. Med vennlig hilsen Bjørn Erik Thon direktør Bård Soløy Ødegaard rådgiver Kopi: Fornyings- administrasjons- og kirkedepartementet, Postboks 8004 Dep, 0030 OSLO 10

11

12

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding