Saksnummer: 13/01090 Dato for kontroll: 04.12.2013 Rapportdato: 22.05.2014 Endelig kontrollrapport Kontrollobjekt: Drammen Helsehus Sted: Drammen Utarbeidet av: Camilla Nervik Grete Alhaug Marius Engh Pellerud 1 Innledning Datatilsynet gjennomførte høsten og vinteren 2013 en serie stedlige kontroller for å undersøke helsesektorens oppfyllelse av forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap. I den forbindelse var Datatilsynet på kontroll hos Drammen Helsehus den 4.11.2013. Kontrollen ble gjort med hjemmel i lov om behandling av helseopplysninger av 18. mai 2001 nr. 24 (helseregisterloven) 31. Forskrift om virksomhetsovergripende pasientjournal i formaliserte arbeidsfellesskap (heretter omtalt som «forskriften») er hjemlet i helseregisterloven 6 b. Forskriften trådte i kraft i november 2012. Datatilsynet har ikke tidligere ført tilsyn med etterlevelsen av denne forskriften. Kontrollenes formål har vært å avklare om virksomhetenes organisering og journalføring er av en slik karakter at forskriften kommer til anvendelse og i hvilken grad forskriftens krav er oppfylt. Dersom organiseringen av virksomheten ikke faller inn under forskriftens virkeområde, har Datatilsynet kontrollert om det er gitt tilganger til pasientjournaler på tvers av virksomhetsgrenser og om de nødvendige avtaler for behandlingen av opplysninger har eksistert. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Kjersti Eide, leder Drammen Helsehus - Anniken Blichfeldt Muren, Drammen kommune - Håvard Haugsgjerd, Drammensregionen IKT - Morten Nilsen, Drammensregionen IKT - Kjetil Axelsen, Drammen kommune - John David Johannesen, lege - Morten Søyland, lege - Håkon M. Eriksen, Drammen kommune 2.2 Fra Datatilsynet: - Grete Alhaug, seniorrådgiver, juridisk avdeling - Marius Engh Pellerud, rådgiver, tilsyns- og sikkerhetsavdelingen 1 av 6
3 Generelt om Drammen Helsehus Drammen Helsehus er en korttidsinstitusjon som eies av Drammen kommune. Helsehuset har rundt 80 sengeplasser blant annet innen rehabilitering, lindrende behandling, utskrivningsklare og øyeblikkelig hjelp. Drammen Helsehus var tidlig ute med å etablere tjenester i rommet mellom primær- og spesialisthelsetjenesten. Drammen helsesenter henter inn legetjenester utenfra, både fra kommunen selv og fra Vestre Viken HF ved Buskerud sykehus. For det siste faktureres kommunen. 4 Reguleringen av tilgang til journalopplysninger på tvers av virksomheter 4.1 Utgangspunktet i helseregisterloven 13 Helseregisterloven 13 første ledd første punktum oppstiller som utgangspunkt et krav om at kun databehandlingsansvarlig, databehandler og personell som arbeider under deres instruksjonsmyndighet kan gis tilgang til helseopplysninger. Dette forhindrer at flere virksomheter kan ha felles journalsystem, og at det gis tilganger på tvers av virksomhetsgrenser. I tillegg kan det gis forskrifter som unntar virksomheter fra forbudet om tilgang på tvers, jf. 13, andre ledd. 4.2 Databehandlingsansvarlig og personell under dennes instruksjonsmyndighet Helseregisterloven 13 tillater at personell som er under den behandlingsansvarliges instruksjonsmyndighet kan gis tilgang til helseopplysninger. Dette omfatter både egne ansatte og annet personell som gjennom tilstrekkelig avtaleverk reelt sett er underlagt instruksjonsmyndigheten til den ansvarlige for behandlingen av helseopplysningene. For å sikre reell instruksjonsmyndighet mener Datatilsynet at slike avtaler må inngås direkte mellom den behandlingsansvarlige og personellet, tilsvarende som situasjonen ville være ved et ansettelsesforhold. 4.3 Databehandleravtaler Helseregisterloven 13 åpner også for at det gis tilgang til data for andre enn ansatte i virksomheten dersom disse anses som databehandlere. En databehandler kan ikke behandle helseopplysninger på annen måte enn det som er skriftlig avtalt med den databehandlingsansvarlige, jf. lovens 18. En gyldig databehandleravtale må omfatte alle behandlinger en databehandler kan gjøre i medhold av avtalen. Behandlinger som ikke følger av avtalen vil mangle rettslig grunnlag, og blant annet komme i konflikt mot forbudet i helseregisterloven 13. 4.4 Forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap virkeområde I helseregisterloven 6 b er det gitt hjemmel for å gi forskrift om virksomhetsovergripende behandlingsrettede registre i formaliserte arbeidsfellesskap. 2 av 6
Med hjemmel i forskriften kan det opprettes felles journalsystem på tvers av virksomheter under følgende forutsetninger: 1. Det eksisterer et formalisert arbeidsfellesskap. Dette er i loven definert som et samarbeid mellom to eller flere virksomheter som tydelige fremstår som en enhet. 2. Det felles journalsystemet erstatter andre virksomhetsinterne journaler i fellesskapet, jf. helseregisterloven 6 b, tredje ledd. 3. Det skal inngås en skriftlig avtale om felles journal. Avtalen skal være skriftlig, og tilfredsstille kravene til innhold som følger av forskriften 3. Avtalen skal inneholde virksomhetenes navn og adresse, en beskrivelse av oppgaver og tjenester det samarbeides om, navn og adresse på den databehandlingsansvarlige, navn og adresse på eventuelle databehandlere og en beskrivelse av hvor pasientjournalene skal overføres når arbeidsfellesskapet opphører. 4.5 Tilgangsstyring Uavhengig av hvilket avtaleverk som danner grunnlag for tilgangen, skal tilgang til opplysninger styres ut fra behov. Det skal kun gis tilgang til de opplysningene som er nødvendige for å kunne gjennomføre formålet, i dette tilfellet helsehjelp. Rammene for helsepersonells taushetsplikt uttrykker også dette prinsippet, og det følger av de alminnelige bestemmelsene i personvernlovgivningen. Det vises særlig til personopplysningsloven 13, personopplysningsforskriften 2-11 og 2-14, samt helseregisterloven 13. Forskriften krever at arbeidsfellesskapet kun skal gi tilganger til journalen etter tjenstlig behov og i samsvar med taushetsplikten, jf. 5. Virksomhetene skal i tillegg ha nødvendige informasjonssikkerhetstiltak etter helseregisterloven og personopplysningsforskriften. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger Drammen Helsehus journalsystem er Gerica. I tillegg benyttes DIPS til oppslag i helseopplysninger fra Drammen sykehus når pasienter legges inn på Helsehuset. Nærmere om systemene i avsnitt 5.2 og 5.3. 5.1 Databehandlingsansvaret Helseregisterloven retter seg mot den databehandlingsansvarlige som pliktsubjekt. Lovens 2 nr. 8 definerer den databehandlingsansvarlige som «den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes». I helseregisterloven 6 annet ledd går det frem at regionale helseforetak og helseforetak, kommune og annen offentlig eller privat virksomhet som tar i bruk behandlingsrettet helseregistre, er databehandlingsansvarlige for opplysningene. Samarbeidet mellom Drammen kommune og Vestre Viken HF er regulert av en hovedavtaleavtale om samarbeid mellom virksomhetene samt underavtaler. Her framgår det at Vestre Vikens rolle i samarbeidet er å levere legetjenester til Drammen kommune for å ivareta 3 av 6
kommunens ansvar. Selv om det ikke sies eksplisitt, peker dette sterkt i retning av at Drammen kommune har det hele og fulle databehandlingsansvar for behandlingen av personopplysninger ved Drammen helsesenter, jf. helseregisterloven 2 nummer 8. De tjenestene som leveres av helsehuset er en del av det ansvaret kommunene har til å tilby helse- og omsorgstjenester, jf. helse- og omsorgstjenesteloven 3-2. Datatilsynet har gjennom praksis lagt til grunn at det er nær sammenheng mellom databehandlingsansvaret og hvem som har det helsefaglige ansvaret ved helsehjelp. Datatilsynet konkluderer dermed med at Drammen kommune har databehandlingsansvaret for personopplysningene som behandles i Drammen helsehus. 5.2 Bruken av Gerica For journalføring i Drammen Helsehus benyttes journalsystemet Gerica. Gerica benyttes av hele Drammen kommune innenfor pleie og omsorg. Journalføringen i Drammen Helsehus skjer både av ansatte i kommunen og legene som er ansatte i Vestre Viken HF. Gerica driftes av driftsleverandøren Drammensregionen IKT (DIKT). Det er ikke etablert et egen journalsystem for Drammen Helsehus. Helsepersonellet i Drammen Helsehus er med unntak av legene fra Vestre Viken ansatt i Drammen kommune. Vanlig bruk av Gerica skjer av ansatte i kommunen. Denne behandlingen skjer dermed fullt og helt under kontrollen til kommunen som databehandlingsansvarlig, og innebærer ikke en tilgang på tvers av virksomheter. Legene som er ansatt i Vestre Viken HF er derimot ikke under kontroll av Drammen kommune og rammes i utgangspunktet av forbudet mot tilgang på tvers av virksomheter. Utgangspunktet om forbud mot tilgang på tvers av virksomheter kan fravikes dersom det er tillatt etter forskrift om virksomhetsovergripende pasientjournal i formaliserte arbeidsfellesskap. Databehandlere og ansatte under databehandlingsansvarliges instruksjonsmyndighet kan også gis tilgang. 5.2.1 Omfattes Helsehuset av forskriften? Datatilsynet har vurdert om helsehusets bruk av Gerica kan hjemles av forskriften. Forskriften hjemler tilgang på tvers kun til formaliserte arbeidsfellesskap. Det kreves av et slikt arbeidsfellesskap at alle deltakerne i fellesskapet i utgangpunktet har rollen som databehandlingsansvarlig (selv om fellesskapet etter avtale inngåelse kan velge utpeke en felles databehandlingsansvarlig, jf. forskriftens 4 første ledd). Drammen kommune er databehandlingsansvarlig for opplysningene i Gerica. Ettersom Vestre Viken HF ikke er databehandlingsansvarlig for noen opplysninger i Gerica har ikke helseforetaket anledning til å inngå i et formalisert arbeidsfellesskap etter denne forskriften. Forskrift om virksomhetsovergripende pasientjournal i formaliserte arbeidsfellesskap kommer dermed ikke til anvendelse. 4 av 6
5.2.2 Instruksjonsmyndighet gjennom avtaler For at tilgangen de ansatte i Vestre Viken HF gis til Drammen kommunes helseopplysninger ikke skal komme i strid med helsepersonelloven 13, må det foreligge avtaler som sikrer kommunen reell instruksjonsmyndighet over personellet. Avtalene må omfatte rammene for hvordan helseopplysninger skal behandles. Samarbeidet mellom Drammen kommune og Vestre Viken HF om kjøp av legetjenester er regulert i en egen avtale med vedlegg. Dette er imidlertid ikke en avtale som sikrer instruksjonsmyndighet fra den databehandlingsansvarlige ovenfor hver enkelt medarbeider med tilgang til opplysninger. 5.2.3 Databehandleravtale Relasjonen mellom Drammen kommune og Vestre Viken HF om Helsehuset anses ikke som en databehandlerrelasjon som kan reguleres gjennom en databehandleravtale. Datatilsynet finner det også tvilsomt at et helseforetak kan ha rollen som databehandler for en annen databehandlingsansvarlig når behandling av personopplysninger kun er en sekundæroppgave - der det å yte helsehjelp er det primære. 5.2.4 Konklusjon Personer som ikke er ansatt i Drammen kommune gis tilgang til opplysninger i Gerica. Dette innebærer en tilgang til helseopplysninger på tvers av virksomhetsgrenser. Dette er et avvik, jf. helseregisterloven 13 første ledd. 5.3 Bruken av DIPS På Helsehuset benyttes også DIPS. Dette er Vestre Viken HFs journalsystem og benyttes kun av legene som er ansatt i HFet. Tilgang til DIPS skjer ved at legene fra HFet logger seg på ved hjelp av HFets hjemmekontorløsning. Her henter de ut informasjon fra spesialisthelsetjenesten som er nødvendig for å gjennomføre behandlingen på Helsehuset. Tilgangen til DIPS benyttes fordi Helsehuset ikke alltid mottar epikrise for pasientene som oversendes og fordi epikrisene ikke inneholder alle opplysninger som er nødvendige for behandlingen. Vestre Viken HF er databehandlingsansvarlig for person- og helseopplysningene i DIPS, jf. helseregisterloven 2 nummer 8. 5.3.1 Hjemmel for utlevering For å vurdere om legenes tilgang til DIPS er i henhold til lovverket må vi vurdere om slik tilgang er en lovlig utlevering av helseopplysninger fra Vestre Viken HF til Drammen Helsehus. Selv om de som mottar opplysningene fra HFet er ansatte i HFet innebærer tilgangen en utlevering av opplysninger ettersom formålet med tilgangen er behandling av pasienter i Drammen Helsehus. En slik utlevering av helseopplysninger på tvers av virksomhetsgrenser er i utgangspunktet forbudt, jf. helseregisterloven 13. Når legene benytter sin hjemmekontortilgang til DIPS for å behandle pasienter ved Drammen sykehus stiller det seg naturligvis annerledes. 5 av 6
Bruken av DIPS utenfor det som er nødvendig for å gi helsehjelp innen Vestre Viken HF kan også innebære et brudd på helsepersonellets taushetsplikt, men Datatilsynet har ikke vurdert eller tatt stilling til dette. De unntakene fra helseregisterloven 13 som er drøftet i denne rapportens avsnitt 4 er vurdert også for denne tilgangen. Datatilsynets vurdering om forskrift om virksomhetsovergripende pasientjournal i denne rapportens avsnitt 5.2.1 gjelder for personopplysningene i DIPS, men med motsatt fortegn. Altså at Drammen kommune ikke er databehandlingsansvarlig for opplysninger i DIPS og dermed ikke kan inngå avtale om virksomhetsovergripende journal. Datatilsynets vurderinger om bruk av databehandleravtale i denne rapportens avsnitt 5.2.3 er helt tilsvarende for DIPS. Drammen Helsehus tilgang til DIPS kan altså ikke hjemles i en databehandleravtale. Datatilsynets vurderinger av den databehandlingsansvarliges instruksjonsmyndighet i denne rapportens avsnitt 5.2.2 vil derimot ikke være tilsvarende for bruken av DIPS. Dette fordi de personene som har tilgang til DIPS allerede er ansatt hos den databehandlingsansvarlige og dermed allerede underlagt den databehandlingsansvarliges instruksjonsmyndighet. Ettersom oppslagene i DIPS fra Helsehuset skjer på bakgrunn av behandling som Drammen Helsehus er ansvarlig for, må vi anse opplysningene som utlevert til virksomheten og utenfor den databehandlingsansvarliges kontroll. En slik tilgang kan dermed ikke skje med hjemmel i den databehandlingsansvarliges instruksjonsrett. En tilgang på tvers mellom databehandlingsansvarlige virksomheter er behandlet i den såkalte helseinformasjonssikkerhetsforskriftens 1 11 og 12. Denne forskriften åpner opp for tilgang på tvers av virksomhetsgrenser, men stiller også krav til slik tilgang. Spesielt fremhever Datatilsynet at det kun kan gis tilgang til strukturerte opplysninger og at det skal inngås avtale om tilgangene mellom virksomhetene som deler opplysningen. Datatilsynets syn er at Helsehusets tilgang til DIPS er i kjernen av hva helseinformasjonssikkerhetsforskriften er tenkt å regulere. Helseinformasjonssikkerhetsforskriften har imidlertid ikke trådt i kraft, og er derfor ikke et aktuelt hjemmelsgrunnlag for tilgangen til DIPS. 5.3.2 Konklusjon Drammen Helsehus tilgang til helseopplysninger i Vestre Viken HFs DIPS-system er et avvik, jf. helseregisterloven 13 første ledd første punktum. En slik tilgang kan ikke hjemles i forskrift om virksomhetsovergripende pasientjournal eller de andre hjemmelsgrunnlagene beskrevet i denne rapportens avsnitt 4. 1 Forskrift om informasjonssikkerhet ved elektronisk tilgang til helseopplysninger i behandlingsrettede helseregister, 24. juni 2011. 6 av 6