BEST Helse Nordstrand Postboks 104 Bekkelagshøgda 1109 Oslo Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/01093-10/CGN 8. april 2014 BEST Helse Nordstrand pålegg om avslutning av urettmessig behandling av personopplysninger Datatilsynet viser til gjennomført kontroll ved BEST Helse Nordstrand den 12. desember 2013, og til korrespondansen i etterkant av kontrollen. I brev av 18. februar 2014 varslet Datatilsynet om at følgende vedtak ville bli fattet: 1. Deling av journal mellom de databehandlingsansvarlige virksomhetene må avsluttes eller skje etter kravene i forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap, jf. helseregisterloven 6b. Vi viser til kontrollrapportens avsnitt 5.2.2. 2. Behandlernes deling av helseopplysninger med ansatte i BEST Helse Nordstrand må avsluttes eller skje etter en avtale mellom behandlerne (eller deres representant i et formalisert arbeidsfellesskap) og hvert enkelt ansatt, jf. helseregisterloven 13. Vi viser til kontrollrapportens avsnitt 5.2.3. I brev av 7. mars 2014 redegjør BEST Helse Nordstrand for hvordan avvikene anses lukket. Datatilsynet har fått tilsendt avtalemaler som regulerer deling av journalopplysninger mellom de enkelte databehandlingsansvarlige i BEST Helse. Datatilsynet legger til grunn samarbeidet skal reguleres i samsvar med forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap, jf. helseregisterloven 6b. Forskriften stiller krav til hva en slik avtale må inneholde. Datatilsynet kan ikke se at den oversendte malen for avtale mellom de behandlingsansvarlige omfatter de momentene som forskriften krever, se særlig 3-5. Det varslede vedtak nr. 1 opprettholdes som følge av at avtalene er mangelfulle. Virksomheten har også oversendt reviderte maler for databehandleravtalene som regulerer deling av opplysninger mellom behandlerne og de ansatte i «fellestjenestene» ved BEST Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 www.datatilsynet.no 0034 OSLO
Helse. Avtalene er mer konkretiserte og skal sikre at de ansvarlige har reell instruksjonsmyndighet. Datatilsynet legger til grunn at disse avtalene også faktisk er inngått mellom de relevante partene, og anser dette avviket som lukket. I medhold av helseregisterloven 32, jf. personopplysningsloven 42 fattes følgende vedtak: 1. Deling av journal mellom de databehandlingsansvarlige virksomhetene må avsluttes eller skje etter kravene i forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap, jf. helseregisterloven 6b. Vi viser til kontrollrapportens avsnitt 5.2.2. Datatilsynet gir frist for gjennomføring av pålegget til 1. mai 2014. Virksomheten må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at pålegget er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på retten til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Helge Veum avdelingsdirektør Camilla Nervik seniorrådgiver 2
Saksnummer: 13/01093 Dato for kontroll: 12.12.2013 Rapportdato: 26.03.2014 Endelig kontrollrapport Kontrollobjekt: BEST Helse Nordstrand Sted: Nordstrand, Oslo Utarbeidet av: Camilla Nervik Marius Engh Pellerud Grete Alhaug 1 Innledning Datatilsynet gjennomførte høsten og vinteren 2013 en serie stedlige kontroller for å undersøke helsesektorens oppfyllelse av forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap. I den forbindelse gjennomførte Datatilsynet en kontroll av BEST Helse Nordstrand den 12.12.2013. Kontrollen fant sted ved virksomhetens faste forretningsadresse. Kontrollen ble gjort med hjemmel i lov om behandling av helseopplysninger av 18. mai 2001 nr. 24 (helseregisterloven) 31. Forskrift om virksomhetsovergripende pasientjournal i formaliserte arbeidsfellesskap (heretter omtalt som «forskriften») er gitt med hjemmel i helseregisterloven 6 b. Forskriften trådte i kraft i november 2012. Datatilsynet har ikke tidligere ført tilsyn med etterlevelsen av denne forskriften. Kontrollenes formål har vært å avklare om virksomhetenes organisering og journalføring er av en slik karakter at forskriften kommer til anvendelse og i hvilken grad forskriftens krav er oppfylt. Dersom organiseringen av virksomheten ikke faller inn under forskriftens virkeområde, har Datatilsynet kontrollert om det er gitt tilganger til pasientjournaler på tvers av virksomhetsgrenser og om nødvendige avtaler for behandlingen av opplysninger har eksistert. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Espen Rooth, daglig leder BEST Helse AS - Helene Bue, IT-ansvarlig - Birgitta Stabenfeldt, HR/Kvalitet - Ola Sand, medisinsk leder - Mathias Garm, Datarom EVRY - Marko Trzcinski, Datarom - EVRY - Yngvild Hougen Helliesen, psykolog - Åsle-Marit Ullern, gynekolog 1 av 7
2.2 Fra Datatilsynet: - Camilla Nervik, seniorrådgiver, juridisk avdeling - Grete Alhaug, seniorrådgiver, juridisk avdeling - Marius Engh Pellerud, rådgiver, tilsyns- og sikkerhetsavdelingen 3 Generelt om virksomheten BEST Helse Nordstrand BEST Helse Nordstrand er organisert etter en modell som tilsvarer samhandlingsreformen. Virksomheten er inndelt i fire områder: 1. Allmennmedisin med fastleger, legevakt og vaksinetilbud, 2. Helse og livsstil med blant annet tilbud om trening og bedriftshelsetjeneste. 3. Spesialistsenter med gynekolog, indremedisiner, fysikalskmedisiner, øyelege, røntgen, kirurgi og ernæring. 4. Rehabilitering med fysioterapeut, manuellterapeut, kiropraktor, psykolog og osteopat. Leger, behandlere og helsepersonell er samlokalisert i BEST Helses lokaler. Enkelte av partene har driftstilskudd fra kommunen og enkelte driver med tilskudd fra helseforetak. I tillegg er det noen av partene som driver ren privat virksomhet uten tilskudd. Hver av behandlerne og legene er selvstendige næringsdrivende som benytter fellestjenester som tilbys av BEST Helse Nordstrand AS. Dette er for eksempel administrasjon, resepsjonister og sekretærer. Nye leger/parter som inkluderes i BEST Helse tar med sine pasienter og eventuelt hjelpepersonell. Hjelpepersonellet blir ansatt hos BEST Helse Nordstrand, mens legene er å regne som selvstendige. Alle partene benytter BEST Helses utstyr, både medisinsk utstyr og IT-utstyr. Enkelte prosedyrer er standardisert i fellesskapet, for eksempel blodprøvetaking. 4 Reguleringen av tilgang til journalopplysninger på tvers av virksomheter 4.1 Utgangspunktet i helseregisterloven 13 Helseregisterloven 13 første ledd første punktum oppstiller som utgangspunkt et krav om at kun databehandlingsansvarlig, databehandler og personell som arbeider under disses instruksjonsmyndighet kan gis tilgang til helseopplysninger. Dette forhindrer at flere virksomheter kan ha felles journalsystem, og at det gis tilganger på tvers av virksomhetsgrenser. I tillegg kan det gis forskrifter som unntar virksomheter fra forbudet om tilgang på tvers, jf. 13, andre ledd. 4.2 Databehandlingsansvarlig og personell under dennes instruksjonsmyndighet Helseregisterloven 13 tillater at personell som er under den behandlingsansvarliges instruksjonsmyndighet kan gis tilgang til helseopplysninger. Dette omfatter både egne ansatte 2 av 7
og annet personell som gjennom tilstrekkelig avtaleverk reelt sett er underlagt instruksjonsmyndigheten til den ansvarlige for behandlingen av helseopplysningene. For å sikre reell instruksjonsmyndighet mener Datatilsynet at slike avtaler må inngås direkte mellom den behandlingsansvarlige og personellet, tilsvarende som situasjonen ville være ved et ansettelsesforhold. 4.3 Databehandleravtaler Helseregisterloven 13 åpner også for at det gis tilgang til data for andre enn ansatte i virksomheten dersom disse anses som databehandlere. En databehandler kan ikke behandle helseopplysninger på annen måte enn det som er skriftlig avtalt med den databehandlingsansvarlige, jf. lovens 18. En gyldig databehandleravtale må omfatte alle behandlinger en databehandler kan gjøre i medhold av avtalen. Behandlinger som ikke følger av avtalen vil mangle rettslig grunnlag, og blant annet komme i konflikt mot forbudet i helseregisterloven 13. 4.4 Forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap virkeområde I helseregisterloven 6 b er det gitt hjemmel for å gi forskrift om virksomhetsovergripende behandlingsrettede registre i formaliserte arbeidsfellesskap. Med hjemmel i forskriften kan det opprettes felles journalsystem på tvers av virksomheter under følgende forutsetninger: 1. Det eksisterer et formalisert arbeidsfellesskap. Dette er i loven definert som et samarbeid mellom to eller flere virksomheter som tydelige fremstår som en enhet. 2. Det felles journalsystemet erstatter andre virksomhetsinterne journaler i fellesskapet, jf. helseregisterloven 6 b, tredje ledd. 3. Det skal inngås en skriftlig avtale om felles journal. Avtalen skal være skriftlig, og tilfredsstille kravene til innhold som følger av forskriften 3. Avtalen skal inneholde virksomhetenes navn og adresse, en beskrivelse av oppgaver og tjenester det samarbeides om, navn og adresse på den databehandlingsansvarlige, navn og adresse på eventuelle databehandlere og en beskrivelse av hvor pasientjournalene skal overføres når arbeidsfellesskapet opphører. 4.5 Tilgangsstyring og informasjonssikkerhet Uavhengig av hvilket avtaleverk som danner grunnlag for tilgangen, skal tilgang til opplysninger styres ut fra behov. Det skal kun gis tilgang til de opplysningene som er nødvendige for å kunne gjennomføre formålet, i dette tilfellet helsehjelp. Rammene for helsepersonells taushetsplikt uttrykker også dette prinsippet, og det følger av de alminnelige bestemmelsene i personvernlovgivningen. Det vises særlig til personopplysningsloven 13, personopplysningsforskriften 2-11 og 2-14, samt helseregisterloven 13. 3 av 7
Forskriften krever at arbeidsfellesskapet kun skal gi tilganger til journalen etter tjenstlig behov og i samsvar med taushetsplikten, jf. 5. Virksomhetene skal i tillegg ha nødvendige informasjonssikkerhetstiltak etter helseregisterloven og personopplysningsforskriften. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Kort om behandling av helseopplysninger i BEST Helse Ved helsetjenesten i BEST Helse benyttes det to forskjellige fagsystemer: 1. WinMed2 benyttes av alle legene. BEST Helse opererer med tre forskjellige databaser basert på legenes funksjon. I WinMed2 har alle tilgang til alle journaler med mindre journalnotatet låses av legen. BEST Helse har derfor valgt å skille databasene basert på legenes funksjon i størst mulig grad for å ivareta pasientsikkerheten i størst mulig grad. BEST Helse er i en pågående prosess for å bytte journalsystem. Det opplyses at et bytte vil skje senest innen utløpet av februar 2014. 2. ProMed benyttes av behandlerne (terapeuter, osteopater, kiropraktor etc.) 3. Personellet som utfører fellestjenester i BEST Helse benytter de respektive systemene for å formidle pasientene til rett behandler. 5.2 Datatilsynets vurderinger 5.2.1 Plassering av databehandlingsansvar Helseregisterloven retter seg mot den databehandlingsansvarlige som pliktsubjekt. Lovens 2 nr. 8 definerer den databehandlingsansvarlige som «den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes». I helseregisterloven 6 annet ledd går det frem at regionale helseforetak og helseforetak, kommune og annen offentlig eller privat virksomhet som tar i bruk behandlingsrettet helseregistre, er databehandlingsansvarlige for opplysningene. Datatilsynet har gjennom praksis lagt til grunn at det er nær sammenheng mellom databehandlingsansvaret og hvem som har det helsefaglige ansvaret ved helsehjelp. I BEST Helse AS er de enkelte legene og behandlerne selvstendige og har det medisinskfaglige ansvaret for sine egne pasienter. BEST Helse stiller med enkelte hjelpemidler som laboratorier, støttepersonell, sentralbord og IT-system, og bruken av hjelpemidlene er basert på avtaler med de enkelte legene/behandlerne. Datatilsynet antar at legene/ behandlerne kan trekke seg fra samarbeidet med den følgen at de også tar med seg sine pasienter. 4 av 7
Tilsynet har vurdert hvorvidt BEST Helse AS kan anses som databehandlingsansvarlig istedenfor at ansvaret ligger hos hver enkelt av legene eller behandlerne. Det medisinskfaglige ansvaret påhviler de enkelte legene/behandlerne, og samarbeidet med BEST Helse AS er basert på avtaler. Legene/behandlerne kan trekke seg fra samarbeidet med den følgen at de også tar med seg sine pasienter. Datatilsynet anser at det er legene/behandlerne som har det helsefaglige ansvaret, og at de etter avtale benytter utstyr og personell fra BEST Helse AS. Datatilsynets vurdering er at databehandlingsansvaret ligger hos hver enkelt lege/behandler, jf. helseregisterloven 6 annet ledd. Det er derfor hvert enkelt lege som må sikre at det ikke gis tilgang til helseopplysninger i strid med forutsetningene i helseregisterloven 13. I formaliserte arbeidsfellesskap er det representanten for dette som har dette ansvaret. Bruken av «fellestjenestene» i BEST Helse må baseres på avtaler, og BEST Helse anses som databehandler og/eller som avtalepart som utfører oppgaver på vegne av de(n) ansvarlige. 5.2.2 Kan opprettelsen av felles pasientjournal mellom de behandlingsansvarlige reguleres av forskriften? Datatilsynet har vurdert om de forskjellige databehandlingsansvarlige i BEST Helse kan omfattes av virkeområdet til forskriften, og dermed inngå avtale om felles journalsystem på tvers av virksomhetene. Forskriften hjemler slik felles journal kun til formaliserte arbeidsfellesskap. Det kreves av et slikt arbeidsfellesskap at alle deltakerne i fellesskapet i utgangpunktet har rollen som databehandlingsansvarlig (selv om fellesskapet etter avtale inngåelse kan velge utpeke en felles databehandlingsansvarlig, jf. forskriftens 4 første ledd). Et krav for at forskriften skal kunne komme til anvendelse er også at fellesskapet skal framstå som en enhet for eksempel gjennom at det benyttes felles lokaler, et krav BEST Helse kan anses å oppfylle. Andre momenter av betydning er at det er etablert driftssamarbeid, at samarbeidet har felles midler og at det er opprettet et driftsstyre eller lignende. Det er imidlertid ikke et krav at det formelt er stiftet et selskap. Også samarbeid som gjelder administrasjon av ytelse av helsehjelp kan omfattes av forskriften og det er ikke et krav at samarbeidet kun skal omfatte like grupper av helsepersonell. I tillegg er det et krav i forskriften at slik felles journal vil fremme ytelse av effektive og forsvarlige helse- og omsorgstjenester til pasienter og brukere. Datatilsynets vurdering er at samarbeidet innen BEST Helse etter ordlyden kan dekkes av virkeområdet til forskriften, slik at det kan opprettes en felles journal for pasientene som benytter BEST Helse. 5 av 7
5.2.3 Kan samarbeidet reguleres på annen måte enn gjennom forskriften? Et formalisert arbeidsfellesskap kan kun omfatte virksomheter som har selvstendig behandlingsansvar etter helseregisterloven. Dette innebærer at øvrige parter i samarbeidet må inngå avtaler som gir de nødvendige grunnlagene for å kunne behandle opplysninger på vegne av hverandre. BEST Helse AS er etter Datatilsynets oppfatning ikke å regne som behandlingsansvarlig for tjenestene de leverer i samarbeidet. BEST Helse Nordstrand AS anses som databehandler for drift av for eksempel IT-systemene i samarbeidet, og for drift av felles utstyr som medfører behandling av personopplysninger. Personellet som er en del av «fellestjenestene» i samarbeidet er ansatt i BEST Helse Nordstrand AS. De enkelte behandlingsansvarlige må sikre at dette personellet er underlagt deres reelle instruksjonsmyndighet for at tilgang til deres pasientjournaler ikke skal stride med forbudet i helseregisterloven 13. Dette må gjøres gjennom individuelle avtaler mellom de enkelte partene, eller mellom eventuelle arbeidsfellesskap og de enkelte ansatte i «fellestjenestene». 5.2.4 Konklusjon Samarbeidet i BEST Helse kan delvis reguleres gjennom avtale om formalisert arbeidsfellesskap. Deler av virksomheten må reguleres gjennom databehandleravtaler. Manglende avtaler for behandling av journalopplysninger på tvers av virksomheter anses som avvik, jf. forskriften 3 nummer 5, jf. helseregisterloven 6b og helseregisterloven 18. 5.3 Tilgangsstyring Forskriften gir mulighet for opprettelsen av felles pasientjournaler i formaliserte arbeidsfellesskap. Tilgang til opplysningene i den felles pasientjournalen kan imidlertid bare gis til den som har tjenstlig behov og i samsvar med gjeldende bestemmelser om taushetsplikt, jf. forskriften 5 og rapportens punkt 4.5. Virksomhetenes arbeid med informasjonssikkerhet ble ikke generelt behandlet under kontrollen. Kun virksomhetenes rutiner for tilgangsstyring til felles journal var et tema på den stedlige kontrollen. Hos BEST Helse driftes tre installasjoner av WinMed: 1. WinMed Allmen: for de åtte fastlegene i senteret 2. WinMed Spesialist: for kardiolog, øyelege, gynekolog og barnelege 3. WinMed Andre: for fysikalsk medisiner, psykolog og ernæringsfysiolog Alle med tilgang til en installasjon har full tilgang til alle journalopplysninger i samme installasjon. Det innebærer f.eks. at øyelegen har full tilgang til gynekologens journaloppføringer og fysikalsk medisiner har tilsvarende tilgang til psykologens journal. 6 av 7
Det er utvilsomt at forskriften kan hjemle tilgang mellom allmennlegenes journalopplysninger. Datatilsynet oppfatter at det er forutsatt at legene skal kunne samarbeide om pasienter og vikariere for hverandre. Det at legene kan gis tilganger til hverandres journalopplysninger innebærer ikke at alle fastleger nødvendigvis skal ha full tilgang til alle legers journal hele tiden. Hvordan legene i BEST Helse-fellesskapet skal styre slike tilganger avhenger en nødvendighets- og taushetspliktsvurdering. Flere av tilgangene WinMed spesialist og WinMed andre åpner for er vanskelige å forstå som nødvendige ut fra et tjenstlig behov. Vi har lett for å se at noen tilganger mellom behandlere kan være nødvendig i konkrete tilfeller. F.eks. vil enkelte behandlinger kanskje kreve oppfølging både av gynekolog og barnelege eller både av ernæringsfysiolog og psykolog. Andre tilganger er det vanskelig å se for seg kan være nødvendig, f.eks. at en øyelege og en gynekolog har oppfølging knyttet til samme behandling. De behandlingsansvarlige må uansett etablere rutiner og tekniske løsninger som gjør at muligheten for deling av journalopplysninger kun skjer når det er nødvendig for behandlingen og i samsvar med taushetsplikten Konklusjon Manglende tilgangsstyring i journalløsningene i BEST Helse Nordstrand er et avvik, jf. helseregisterloven 13 og 16, jf. personopplysningsforskriften 2-11 og 2-14 5.4 Autentisering Det kom fram under den stedlige kontrollen at alle legesekretærene i BEST Helse Nordstrand logger på WinMed med ett felles brukernavn og passord. Grunnen til dette er at alle de ulike sekretærene jobber for alle behandlerne i fellesskapet. Helseregisterloven krever at tilgang til helseopplysninger kun kan gis til personer der tilgangen er nødvendig, jf. 13 første ledd. For å oppfylle dette kravet må personer autentiseres individuelt. En slik praksis umuliggjør også den registrertes rett til innsyn i logg om hvem som har hatt tilgang til helseopplysninger om ham eller henne, jf. helseregisterloven 13 sjette ledd. Behov for individuell autentisering følger også av sikkerhetsbestemmelsene i helseregisterloven 16og personopplysningsforskriften kapittel 2, blant annet krav om autorisering og logging etter forskriftens 2-8. Konklusjon Tilgjengeliggjøring av helseopplysninger uten å identifisere personen som gis tilgang er et avvik, jf. helseregisterloven 13, første og sjette ledd, samt lovens 16, jf. personopplysningsforskriftens 2-8. 7 av 7