Endelig kontrollrapport



Like dokumenter
Endelig kontrollrapport

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Endelig kontrollrapport

Kontroll av Follo legevakt Vedtak om pålegg og endelig kontrollrapport

BEST Helse Nordstrand pålegg om avslutning av urettmessig behandling av personopplysninger

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Ot.prp. nr. 51 ( )

Formidling av pasientinformasjon ny lovgivning (i forbindelse med pasientbehandling) NSH

HVEM ER JEG OG HVOR «BOR» JEG?

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato:

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak

Tilgangskontroll i fugleperspektiv Tilgangskontroll i IT-systemer de fire A-er Administrasjon Autentisering Autorisasjon Audit (etterhåndskontroll) Av

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Kontroll av reseptformidleren endelig kontrollrapport

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Ny pasientjournallov endringer og muligheter

Informasjonssikkerhet

Ny lov nye muligheter for deling av pasientopplysninger

Kontrollrapport. Kontrollobjekt: Telenor Objects AS Sted: Fornebu

FORSLAG TIL FORSKRIFT OM VERKSEMDOVERGRIPANDE, BEHANDLINGSRETTA HELSEREGISTRE I FORMALISERTE ARBEIDSFELLESSKAP - HØYRING

Plikt- og rettssubjekter. Den som har krav på noe, den som har rett på noe. Den som er pålagt noe, den som har ansvaret for å se til at noe blir gjort

Pasientjournalloven - endringer og muligheter

Endelig kontrollrapport Kreftregisteret / Janusbanken

Juridisk regulering av helseregistre brukt til kvalitetssikring og forskningsformål

Elektronisk tilgang til pasientopplysninger i Norge, EU-land og på tvers av landegrenser

Vår referanse (bes oppgitt ved svar) /SVE 11/ /BSO

Rettslig regulering av helseregistre

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Innsatsområder nasjonalt nivå i helsetjenesten Nasjonalt meldingsløft Kjernejournal Helsepolitiske mål E-resept Helseportal Helseregistre EPJ Velferds

Lovvedtak 75. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( )

DRAMMEN KOMMUNE. Postmottak HOD

Det skal ikke være lett! Elektronisk sårjournal: Liten brikke i stort spill

IS-7/2006. Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler

Behov for oppdatering av EPJ standard som følge av regelverksendringer mv

Hvordan kan personvernet ivaretas i helsesektoren?

Endelig kontrollrapport

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/ / /CGN 9. april 2013

UiO ved Psykologisk institutt v/pål Kraft og Joakim Dyrnes. Rettslige rammer for drift av studentklinikk/samarbeid med Lovisenberg Diakonale Sykehus

Tilgang på tversdrøm eller virkelighet? Ellen K. Christiansen, juridisk rådgiver, Nasjonalt senter for telemedisin

Saksbehandler: Toril Løberg Arkiv: H01 &13 Arkivsaksnr.: 13/ Dato: HØRING - FORSLAG TIL FORSKRIFT OM NASJONAL KJERNEJOURNAL

SAK NR INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET

Betydningen av personvern i helsesektoren. Cecilie L. B. Rønnevik, seniorrådgiver Tromsø 16. juni 2009

Veiledende merknader til helseregisterloven 13 og helseinformasjonssikkerhetsforskriften

Det fremgår av høringsbrevet at: "Formålet med lovforslagene er å fjerne

Sikkerhetskrav for systemer

Høringsnotat: Enklere tilgang til helseopplysninger for kvalitetssikring av helsehjelp og egen læring

Hvis helseregisterloven 13 ikke fantes hva så?: Tilgang til journalopplysninger. trengs

Deres ref. Deres dato Vår ref. Vår dato /ASD /10ToNy

Helse- og omsorgsdepartementet Kultur- og kirkedepartementet. Deres ref Vår ref Dato /EMK

Sikkerhetskrav for systemer

Beslutta tilgang - Implisitte & Eksplisitte tiltak for journaloppslag

Sikkerhetskrav for systemer

Høringsnotat. Helse- og omsorgsdepartementet

Høringsuttalelse - Forslag til ny kommunal helse- og omsorgslov

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Personvern og tilgang i journal Internt & Eksternt. Helge Veum, senioringeniør HelsIT, Trondheim, 25. september 2008

Kontroll hos SUSS - Senter for ungdomshelse samliv og seksualitet - Vedtak og endelig rapport

Tilgang til pasientjournaler på tvers av virksomheter hvordan gjør man det?

Helse- og omsorgsdepartementet HØRINGSNOTAT

Personvernerklæring Stendi

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.

Det juridiske rammeverket for helseregistre

Lovlig journalbruk Oppslag i og bruk av Pasientjournalen

Samarbeid mellom virksomheter om felles journal

Behandling av helseinformasjon - på kryss og tvers Norsk Arkivråd, Trondheim,

Endelig kontrollrapport

HØRING Forslag til forskrift om tilgang til helseopplysninger mellom virksomheter

Helse- og omsorgsdepartementet. Postboks 8011 Dep OSLO

Saksframlegg. Sørlandet sykehus HF. Informasjonssikkerhet. 1. Styret tar informasjonen om informasjonssikkerhet i helseforetaket til orientering.

HelsIT 2013 Trondheim Kjellaug Enoksen, sykehjemsoverlege, Askøy kommune spes. indremedisin, infeksjonssykdommer og samfunnsmedisin.

Taushetsplikten! *! Anne Kjersti Befring!

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO.

Databehandleravtaler

Juridiske rammer for dokumentasjon av helsehjelp. «Erfaringer i et nøtteskall»

Byrådsak 505/08. Dato: 9. desember Byrådet

Foreløpig kontrollrapport. Kontrollobjekt: Kreftregisteret Sted: Fridtjof Nansens gate 19, Oslo

Bedre helse og sikkerhet med EPJ

Styret Helse Sør-Øst RHF 14. desember 2017

Kunngjort 28. august 2017 kl PDF-versjon 30. august 2017

TRUST-IKT: Først i Norge med felles pasientjournal Hva har vi gjort? Erling Høyem Leder prosjekt og rådgiving

Tjenesteavtale nr. 9. mellom. Alta kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Bærum kommune Sted: Bærum

Databehandleravtale etter personopplysningsloven

Erfaringer fra konsolidering til regionale EPJ-system

Lovfortolkning - Helsepersonelloven 29c - Opplysninger til bruk i læringsarbeid og kvalitetssikring

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Vår referanse: Deres referanse: Dato: 08/ / Saksbehandler: Anne Marie Dalen Øverhaug,

Endelig kontrollrapport

Medisinske kvalitetsregistre - hva betyr nytt lovverk Normkonferansen

Klara Borgen, Prosjektleder. Samtykkebasert kjernejournal En løsning for utlevering av informasjon?

Personvern og informasjonssikkerhet ved samhandling

HØRINGSNOTAT. Tilgang til behandlingsrettede helseregistre på tvers av virksomhetsgrenser

Transkript:

Saksnummer: 13/01090 Dato for kontroll: 04.12.2013 Rapportdato: 22.05.2014 Endelig kontrollrapport Kontrollobjekt: Drammen Helsehus Sted: Drammen Utarbeidet av: Camilla Nervik Grete Alhaug Marius Engh Pellerud 1 Innledning Datatilsynet gjennomførte høsten og vinteren 2013 en serie stedlige kontroller for å undersøke helsesektorens oppfyllelse av forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap. I den forbindelse var Datatilsynet på kontroll hos Drammen Helsehus den 4.11.2013. Kontrollen ble gjort med hjemmel i lov om behandling av helseopplysninger av 18. mai 2001 nr. 24 (helseregisterloven) 31. Forskrift om virksomhetsovergripende pasientjournal i formaliserte arbeidsfellesskap (heretter omtalt som «forskriften») er hjemlet i helseregisterloven 6 b. Forskriften trådte i kraft i november 2012. Datatilsynet har ikke tidligere ført tilsyn med etterlevelsen av denne forskriften. Kontrollenes formål har vært å avklare om virksomhetenes organisering og journalføring er av en slik karakter at forskriften kommer til anvendelse og i hvilken grad forskriftens krav er oppfylt. Dersom organiseringen av virksomheten ikke faller inn under forskriftens virkeområde, har Datatilsynet kontrollert om det er gitt tilganger til pasientjournaler på tvers av virksomhetsgrenser og om de nødvendige avtaler for behandlingen av opplysninger har eksistert. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Kjersti Eide, leder Drammen Helsehus - Anniken Blichfeldt Muren, Drammen kommune - Håvard Haugsgjerd, Drammensregionen IKT - Morten Nilsen, Drammensregionen IKT - Kjetil Axelsen, Drammen kommune - John David Johannesen, lege - Morten Søyland, lege - Håkon M. Eriksen, Drammen kommune 2.2 Fra Datatilsynet: - Grete Alhaug, seniorrådgiver, juridisk avdeling - Marius Engh Pellerud, rådgiver, tilsyns- og sikkerhetsavdelingen 1 av 6

3 Generelt om Drammen Helsehus Drammen Helsehus er en korttidsinstitusjon som eies av Drammen kommune. Helsehuset har rundt 80 sengeplasser blant annet innen rehabilitering, lindrende behandling, utskrivningsklare og øyeblikkelig hjelp. Drammen Helsehus var tidlig ute med å etablere tjenester i rommet mellom primær- og spesialisthelsetjenesten. Drammen helsesenter henter inn legetjenester utenfra, både fra kommunen selv og fra Vestre Viken HF ved Buskerud sykehus. For det siste faktureres kommunen. 4 Reguleringen av tilgang til journalopplysninger på tvers av virksomheter 4.1 Utgangspunktet i helseregisterloven 13 Helseregisterloven 13 første ledd første punktum oppstiller som utgangspunkt et krav om at kun databehandlingsansvarlig, databehandler og personell som arbeider under deres instruksjonsmyndighet kan gis tilgang til helseopplysninger. Dette forhindrer at flere virksomheter kan ha felles journalsystem, og at det gis tilganger på tvers av virksomhetsgrenser. I tillegg kan det gis forskrifter som unntar virksomheter fra forbudet om tilgang på tvers, jf. 13, andre ledd. 4.2 Databehandlingsansvarlig og personell under dennes instruksjonsmyndighet Helseregisterloven 13 tillater at personell som er under den behandlingsansvarliges instruksjonsmyndighet kan gis tilgang til helseopplysninger. Dette omfatter både egne ansatte og annet personell som gjennom tilstrekkelig avtaleverk reelt sett er underlagt instruksjonsmyndigheten til den ansvarlige for behandlingen av helseopplysningene. For å sikre reell instruksjonsmyndighet mener Datatilsynet at slike avtaler må inngås direkte mellom den behandlingsansvarlige og personellet, tilsvarende som situasjonen ville være ved et ansettelsesforhold. 4.3 Databehandleravtaler Helseregisterloven 13 åpner også for at det gis tilgang til data for andre enn ansatte i virksomheten dersom disse anses som databehandlere. En databehandler kan ikke behandle helseopplysninger på annen måte enn det som er skriftlig avtalt med den databehandlingsansvarlige, jf. lovens 18. En gyldig databehandleravtale må omfatte alle behandlinger en databehandler kan gjøre i medhold av avtalen. Behandlinger som ikke følger av avtalen vil mangle rettslig grunnlag, og blant annet komme i konflikt mot forbudet i helseregisterloven 13. 4.4 Forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap virkeområde I helseregisterloven 6 b er det gitt hjemmel for å gi forskrift om virksomhetsovergripende behandlingsrettede registre i formaliserte arbeidsfellesskap. 2 av 6

Med hjemmel i forskriften kan det opprettes felles journalsystem på tvers av virksomheter under følgende forutsetninger: 1. Det eksisterer et formalisert arbeidsfellesskap. Dette er i loven definert som et samarbeid mellom to eller flere virksomheter som tydelige fremstår som en enhet. 2. Det felles journalsystemet erstatter andre virksomhetsinterne journaler i fellesskapet, jf. helseregisterloven 6 b, tredje ledd. 3. Det skal inngås en skriftlig avtale om felles journal. Avtalen skal være skriftlig, og tilfredsstille kravene til innhold som følger av forskriften 3. Avtalen skal inneholde virksomhetenes navn og adresse, en beskrivelse av oppgaver og tjenester det samarbeides om, navn og adresse på den databehandlingsansvarlige, navn og adresse på eventuelle databehandlere og en beskrivelse av hvor pasientjournalene skal overføres når arbeidsfellesskapet opphører. 4.5 Tilgangsstyring Uavhengig av hvilket avtaleverk som danner grunnlag for tilgangen, skal tilgang til opplysninger styres ut fra behov. Det skal kun gis tilgang til de opplysningene som er nødvendige for å kunne gjennomføre formålet, i dette tilfellet helsehjelp. Rammene for helsepersonells taushetsplikt uttrykker også dette prinsippet, og det følger av de alminnelige bestemmelsene i personvernlovgivningen. Det vises særlig til personopplysningsloven 13, personopplysningsforskriften 2-11 og 2-14, samt helseregisterloven 13. Forskriften krever at arbeidsfellesskapet kun skal gi tilganger til journalen etter tjenstlig behov og i samsvar med taushetsplikten, jf. 5. Virksomhetene skal i tillegg ha nødvendige informasjonssikkerhetstiltak etter helseregisterloven og personopplysningsforskriften. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger Drammen Helsehus journalsystem er Gerica. I tillegg benyttes DIPS til oppslag i helseopplysninger fra Drammen sykehus når pasienter legges inn på Helsehuset. Nærmere om systemene i avsnitt 5.2 og 5.3. 5.1 Databehandlingsansvaret Helseregisterloven retter seg mot den databehandlingsansvarlige som pliktsubjekt. Lovens 2 nr. 8 definerer den databehandlingsansvarlige som «den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes». I helseregisterloven 6 annet ledd går det frem at regionale helseforetak og helseforetak, kommune og annen offentlig eller privat virksomhet som tar i bruk behandlingsrettet helseregistre, er databehandlingsansvarlige for opplysningene. Samarbeidet mellom Drammen kommune og Vestre Viken HF er regulert av en hovedavtaleavtale om samarbeid mellom virksomhetene samt underavtaler. Her framgår det at Vestre Vikens rolle i samarbeidet er å levere legetjenester til Drammen kommune for å ivareta 3 av 6

kommunens ansvar. Selv om det ikke sies eksplisitt, peker dette sterkt i retning av at Drammen kommune har det hele og fulle databehandlingsansvar for behandlingen av personopplysninger ved Drammen helsesenter, jf. helseregisterloven 2 nummer 8. De tjenestene som leveres av helsehuset er en del av det ansvaret kommunene har til å tilby helse- og omsorgstjenester, jf. helse- og omsorgstjenesteloven 3-2. Datatilsynet har gjennom praksis lagt til grunn at det er nær sammenheng mellom databehandlingsansvaret og hvem som har det helsefaglige ansvaret ved helsehjelp. Datatilsynet konkluderer dermed med at Drammen kommune har databehandlingsansvaret for personopplysningene som behandles i Drammen helsehus. 5.2 Bruken av Gerica For journalføring i Drammen Helsehus benyttes journalsystemet Gerica. Gerica benyttes av hele Drammen kommune innenfor pleie og omsorg. Journalføringen i Drammen Helsehus skjer både av ansatte i kommunen og legene som er ansatte i Vestre Viken HF. Gerica driftes av driftsleverandøren Drammensregionen IKT (DIKT). Det er ikke etablert et egen journalsystem for Drammen Helsehus. Helsepersonellet i Drammen Helsehus er med unntak av legene fra Vestre Viken ansatt i Drammen kommune. Vanlig bruk av Gerica skjer av ansatte i kommunen. Denne behandlingen skjer dermed fullt og helt under kontrollen til kommunen som databehandlingsansvarlig, og innebærer ikke en tilgang på tvers av virksomheter. Legene som er ansatt i Vestre Viken HF er derimot ikke under kontroll av Drammen kommune og rammes i utgangspunktet av forbudet mot tilgang på tvers av virksomheter. Utgangspunktet om forbud mot tilgang på tvers av virksomheter kan fravikes dersom det er tillatt etter forskrift om virksomhetsovergripende pasientjournal i formaliserte arbeidsfellesskap. Databehandlere og ansatte under databehandlingsansvarliges instruksjonsmyndighet kan også gis tilgang. 5.2.1 Omfattes Helsehuset av forskriften? Datatilsynet har vurdert om helsehusets bruk av Gerica kan hjemles av forskriften. Forskriften hjemler tilgang på tvers kun til formaliserte arbeidsfellesskap. Det kreves av et slikt arbeidsfellesskap at alle deltakerne i fellesskapet i utgangpunktet har rollen som databehandlingsansvarlig (selv om fellesskapet etter avtale inngåelse kan velge utpeke en felles databehandlingsansvarlig, jf. forskriftens 4 første ledd). Drammen kommune er databehandlingsansvarlig for opplysningene i Gerica. Ettersom Vestre Viken HF ikke er databehandlingsansvarlig for noen opplysninger i Gerica har ikke helseforetaket anledning til å inngå i et formalisert arbeidsfellesskap etter denne forskriften. Forskrift om virksomhetsovergripende pasientjournal i formaliserte arbeidsfellesskap kommer dermed ikke til anvendelse. 4 av 6

5.2.2 Instruksjonsmyndighet gjennom avtaler For at tilgangen de ansatte i Vestre Viken HF gis til Drammen kommunes helseopplysninger ikke skal komme i strid med helsepersonelloven 13, må det foreligge avtaler som sikrer kommunen reell instruksjonsmyndighet over personellet. Avtalene må omfatte rammene for hvordan helseopplysninger skal behandles. Samarbeidet mellom Drammen kommune og Vestre Viken HF om kjøp av legetjenester er regulert i en egen avtale med vedlegg. Dette er imidlertid ikke en avtale som sikrer instruksjonsmyndighet fra den databehandlingsansvarlige ovenfor hver enkelt medarbeider med tilgang til opplysninger. 5.2.3 Databehandleravtale Relasjonen mellom Drammen kommune og Vestre Viken HF om Helsehuset anses ikke som en databehandlerrelasjon som kan reguleres gjennom en databehandleravtale. Datatilsynet finner det også tvilsomt at et helseforetak kan ha rollen som databehandler for en annen databehandlingsansvarlig når behandling av personopplysninger kun er en sekundæroppgave - der det å yte helsehjelp er det primære. 5.2.4 Konklusjon Personer som ikke er ansatt i Drammen kommune gis tilgang til opplysninger i Gerica. Dette innebærer en tilgang til helseopplysninger på tvers av virksomhetsgrenser. Dette er et avvik, jf. helseregisterloven 13 første ledd. 5.3 Bruken av DIPS På Helsehuset benyttes også DIPS. Dette er Vestre Viken HFs journalsystem og benyttes kun av legene som er ansatt i HFet. Tilgang til DIPS skjer ved at legene fra HFet logger seg på ved hjelp av HFets hjemmekontorløsning. Her henter de ut informasjon fra spesialisthelsetjenesten som er nødvendig for å gjennomføre behandlingen på Helsehuset. Tilgangen til DIPS benyttes fordi Helsehuset ikke alltid mottar epikrise for pasientene som oversendes og fordi epikrisene ikke inneholder alle opplysninger som er nødvendige for behandlingen. Vestre Viken HF er databehandlingsansvarlig for person- og helseopplysningene i DIPS, jf. helseregisterloven 2 nummer 8. 5.3.1 Hjemmel for utlevering For å vurdere om legenes tilgang til DIPS er i henhold til lovverket må vi vurdere om slik tilgang er en lovlig utlevering av helseopplysninger fra Vestre Viken HF til Drammen Helsehus. Selv om de som mottar opplysningene fra HFet er ansatte i HFet innebærer tilgangen en utlevering av opplysninger ettersom formålet med tilgangen er behandling av pasienter i Drammen Helsehus. En slik utlevering av helseopplysninger på tvers av virksomhetsgrenser er i utgangspunktet forbudt, jf. helseregisterloven 13. Når legene benytter sin hjemmekontortilgang til DIPS for å behandle pasienter ved Drammen sykehus stiller det seg naturligvis annerledes. 5 av 6

Bruken av DIPS utenfor det som er nødvendig for å gi helsehjelp innen Vestre Viken HF kan også innebære et brudd på helsepersonellets taushetsplikt, men Datatilsynet har ikke vurdert eller tatt stilling til dette. De unntakene fra helseregisterloven 13 som er drøftet i denne rapportens avsnitt 4 er vurdert også for denne tilgangen. Datatilsynets vurdering om forskrift om virksomhetsovergripende pasientjournal i denne rapportens avsnitt 5.2.1 gjelder for personopplysningene i DIPS, men med motsatt fortegn. Altså at Drammen kommune ikke er databehandlingsansvarlig for opplysninger i DIPS og dermed ikke kan inngå avtale om virksomhetsovergripende journal. Datatilsynets vurderinger om bruk av databehandleravtale i denne rapportens avsnitt 5.2.3 er helt tilsvarende for DIPS. Drammen Helsehus tilgang til DIPS kan altså ikke hjemles i en databehandleravtale. Datatilsynets vurderinger av den databehandlingsansvarliges instruksjonsmyndighet i denne rapportens avsnitt 5.2.2 vil derimot ikke være tilsvarende for bruken av DIPS. Dette fordi de personene som har tilgang til DIPS allerede er ansatt hos den databehandlingsansvarlige og dermed allerede underlagt den databehandlingsansvarliges instruksjonsmyndighet. Ettersom oppslagene i DIPS fra Helsehuset skjer på bakgrunn av behandling som Drammen Helsehus er ansvarlig for, må vi anse opplysningene som utlevert til virksomheten og utenfor den databehandlingsansvarliges kontroll. En slik tilgang kan dermed ikke skje med hjemmel i den databehandlingsansvarliges instruksjonsrett. En tilgang på tvers mellom databehandlingsansvarlige virksomheter er behandlet i den såkalte helseinformasjonssikkerhetsforskriftens 1 11 og 12. Denne forskriften åpner opp for tilgang på tvers av virksomhetsgrenser, men stiller også krav til slik tilgang. Spesielt fremhever Datatilsynet at det kun kan gis tilgang til strukturerte opplysninger og at det skal inngås avtale om tilgangene mellom virksomhetene som deler opplysningen. Datatilsynets syn er at Helsehusets tilgang til DIPS er i kjernen av hva helseinformasjonssikkerhetsforskriften er tenkt å regulere. Helseinformasjonssikkerhetsforskriften har imidlertid ikke trådt i kraft, og er derfor ikke et aktuelt hjemmelsgrunnlag for tilgangen til DIPS. 5.3.2 Konklusjon Drammen Helsehus tilgang til helseopplysninger i Vestre Viken HFs DIPS-system er et avvik, jf. helseregisterloven 13 første ledd første punktum. En slik tilgang kan ikke hjemles i forskrift om virksomhetsovergripende pasientjournal eller de andre hjemmelsgrunnlagene beskrevet i denne rapportens avsnitt 4. 1 Forskrift om informasjonssikkerhet ved elektronisk tilgang til helseopplysninger i behandlingsrettede helseregister, 24. juni 2011. 6 av 6

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding