Personvernombudet Personvernombudet oppgaver og kompetanse
TEMA Personvernombudsordningen Råd og veiledning for ledelse og den enkelte, Grunnlag for oppslag i journal Utlevering Data til NPR Kreftregisteret GOPP (manglet hjemmel og var ikke utlevering) Sikkerhet ved selve utleveringen Behov for etablering av databaser tilrådning Styrende dokumenter
Personvernombud (PVO) Myndighet og rolle hjemlet i lov/forskrift Virksomheten ved navngitt PVO delegert myndighet fra Datatilsynet PVO kan være ansatt av virksomheten, utnevnes skriftlig av adm dir, men har også plikter mot Datatilsynet
PVOs roller og funksjoner Mottar og behandler meldinger om studier/databehandlinger som gjør bruk av person-/helseopplysninger Journal, kvalitetsregistre, forskning, opplæring, kamerovervåking, personalregistre, m.fl. Fører oversikt over alle databehandlinger Sikrer den enkeltes rettigheter Informasjon, medbestemmelse Sikrer at nødvendig hjemmel for hver databehandling, inkludert utlevering, finnes Setter krav til sikring av personopplysningene i samsvar med personopplysningslov og -forskrift Gir tilråding av databehandling i forskning/annen databehandling (i stedet for konsesjon fra Datatilsynet) Er kompetanse og kontaktledd ifm tilsyn og kontakt med DT
Bruk av personopplysninger krever Hjemlet i lov/forskrift, eksempler Journalføring Administrative funksjoner Rapportering til forskriftsregulerte registre, NAV, skatt mfl Personalregistre Samtykke Forskning Samfunnets interesser klart overstiger den enkeltes personvernulempe Forskning Dispensasjon fra taushetplikten, (innvilges av Hdir) Utlevering til andre er også bruk, eks Forskning, legemiddelutprøving, offentlige statistikker Forskriftsregulerte registre Spørsmål fra eier Publisering på Internett er også bruk
Sykehusets personvernansvar Å vite hvor personopplysninger er lagret, hva de skal brukes til (inkludert varighet og utlevering) at bruken har et hjemmelsgrunnlag Å sikre personopplysningenes konfidensialitet tilgjengelighet kvalitet integritet Å utøve intern-kontroll Opplæring Instrukser og rutiner Internrevisjoner Avvikshåndtering Sikre informasjon til de registrerte og og medbestemmelsesrett
Personens rettigheter Kan kreve informasjon om hva som er registrert og til hvilket formål Kan kreve innsyn i det som er registrert om seg selv, eks til egen journal, inkludert logg over oppslag til registrert informasjon i forskningsprosjekter og legemiddelutprøving til hva som er registrert om personen som ansatt Kan kreve retting av feil av sterkt belastende innhold i journal Kan kreve sletting av feil eller sterkt belastende innhold i journal av informasjon om seg selv i forskningsprosjekt (noen unntak) av feil ifm ansettelsesforhold Kan kreve sperring av journal Av hele eller deler av journaler Sperring mot oppslag fra spesifikke personer/yrker Sperring mot oppslag fra alle med unntak av navngitte personer/yrkesgrupper
Hvem har tilgang til opplysninger i journal? Helsepersonell, som ikke deltar i pasientens helsehjelp Helsepersonell Administrativt personell Studenter Resepsjonspersonell Sentralbordbetjening Forskriftsregulerte registre Presse Fødselsregister Kreftregisteret Reseptregisteret Dødsårsaksregisteret, m.fl NAV Offentligheten Kriminelle NPR Riksarkiv Den enkelte person -Føring og innsyn Forsikringsselskap Pårørende Opplæring Forskning Legemiddelutprøving Samtykke NPE Kontrollkommisjon Tilsynsmyndigheter Riksrevisjon Politi og domstol Naboer Familie
Ordinær tilgang reguleres som følger Individbasert tilgangsrett skal vurderes i forhold til den enkeltes behov i sin funksjon Sett av parametre som gir teknisk tilgang Avdeling(er) den enkelte har funksjon på Tid Funksjon (nivå 1-3) gir tilgang til ulike typer dokumenter Lese-rettighet, Skrive-rettighet og signeringsrettigheter Aktualiseringsrett Tekniske tilgang er langt videre enn hva behovet er, for å sikre tilgang når behovet er der Forutsetning at bruken begrenses i samsvar med faktisk behov den enkelte har, og gir et misbrukspotensiale som tilsynsmyndighet har identifisert og fokuserer på
Hvem kan gjøre oppslag i journalen? Må være under virksomhetens instruksjons-myndighet, hvilket omfatter ansatte, som alle har undertegnet taushetserklæring og sikkerhetsinstruks, er gitt opplæring og har individuelle tilganger til journal beskyttet med passord innleide som gjør en oppgave besluttet og avtalt med sykehusets ledelse, som har undertegnet taushetserklæring og sikkerhetsinstruks, er gitt opplæring og har individuelle tilganger til journal beskyttet med passord OG Må ha nødvendig hjemmelsgrunnlag for at oppslag kan gjøres
Hva gir gyldig hjemmelsgrunnlag? Det å yte selvstendig helsehjelp til aktuell pasient Dekker oppslag som enkelt kan sies å være i den aktuelle pasients interesse vedkommende ytes helsehjelp For studenter under sykehusets opplæring og som deltar i helsehjelpen Aktiv deltakelse i helsehjelpen Ved deltakelse i eksempelvis morgenmøter og visittrunder og tilsvarende hvor enkeltpersoners helsehjelp blir diskutert Helsehjelp ytes presumtivt samtykke
Hva gir gyldig hjemmelsgrunnlag? forts. Utnevnte personer med spesifikt ansvar for konkret journal eller pasient: Kvalitetssikring av innholdet i journalen journalansvarlig Ansvar i forhold til pasienten - pasientansvarlig Lovpålagt ansvar
Hva gir gyldig hjemmelsgrunnlag? forts. Kodeveiledning og tilsvarende pålagte administrative funksjoner For gitt ansvarsområde og ved faktisk arbeid, dvs innen divisjon/avdeling og diagnose-område Administrative lovpålagte oppgaver
Hva gir gyldig hjemmelsgrunnlag? forts. Intern kvalitetssikring av diagnostisering og behandling, som forutsetter: Formålet med oppslagene må være uttalt og gjenfinnbart Beslutning om behovet må gjøres av ledelse, dvs avdelingsleder eller annen person med uttalt medisinsk faglig ansvar for behandlingskjede som skal kvalitetssikres (eventuelt etablering av egne registre krever tilrådning fra Personvernombud) Intern kvalitetssikring helsepersonelloven paragraf 26
Hva gir gyldig hjemmelsgrunnlag? forts. Konkrete saker i kvalitetsråd/kvalitetsutvalg Konkret sak fra barnevern, sosialtjenesten, klagesaker, tilsynssaker, vedtak i psykiatrien Tilfeller hvor noen skal vitne (både for domsstol og fylkesnemda for sosiale saker) NPE-saker og klagesaker (ikke uttømmende) Konkrete saker - hjemlet
Hva gir gyldig hjemmelsgrunnlag? forts. Forskning Faglig opplæring Studentopplæring Hovedregel er samtykke fra den enkelte hvor oppslag skal gjøres Samtykke fra den enkelte
Hjemmel for databehandlinger Registrering ifm styring (DRG-fokus) Journal HPL 39 og HRL 3 (medisinsk diagnose og pasientbehandling) Pasientadministrasjon HPL 26, 2. ledd Kvalitetsregistre HPL 26, 1. Ledd Samtykke Utlevering Forskriftsregulerte registre (MFR, NPR, kreftregisteret, dødsårsaksregisteret, reseptregisteret) Samtykke GOPP ingen utlevering og RHF-ets krav ikke hjemmelsgrunnlag for Må være meldt PVO eller ha konsesjon
Styrende dokumenter PVO kan bistå utforming av styrende dokumenter for å sikre tilgang til informasjon og internkontroll
PVO - Råd og veiledning for ledelse og den enkelte Formål og hjemmel for Oppslag i journal Bruk av opplysninger Utlevering Rettigheter til de inkluderte Sikkerhetskrav ved Lagring Forsendelse Oversikt over personopplysninger Tilrådning av individuelle databehandlinger/databaser Medvirke til etablering av styrende dokumenter
Heidi Thorstensen IT-sikkerhetssjef og Personvernombud Konsern IT www.uus.no/personvern Oslo universitetssykehus, Ullevål Kirkeveien 166 Phone: +47 22117588 0407 Oslo Mobile: +47 48016349 Norway Fax: +47 22119644 www.uus.no/personvern