Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Like dokumenter
Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

HVEM ER JEG OG HVOR «BOR» JEG?

Bruk av databehandler (ekstern driftsenhet)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag. Tor Ottersen

Ny lov nye muligheter for deling av pasientopplysninger

Endelig kontrollrapport

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Bruk av databehandler (ekstern driftsenhet)

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Fagkurs for kommuner Personvern og taushetsplikt (75 minutter)

Behandling av helse- og personopplysninger ved legekontoret

Lovvedtak 75. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( )

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Databehandleravtaler

Bilag 14 Databehandleravtale

Sikkerhetskrav for systemer

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Sikkerhetskrav for systemer

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Samarbeid mellom virksomheter om felles journal

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Samarbeid mellom virksomheter om felles journal

Sikkerhetskrav for systemer

Ny pasientjournallov endringer og muligheter

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Krav til informasjonssikkerhet

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Plikt- og rettssubjekter. Den som har krav på noe, den som har rett på noe. Den som er pålagt noe, den som har ansvaret for å se til at noe blir gjort

Ansvar og organisering

Lagring av forskningsdata i Tjeneste for Sensitive Data

Internkontroll og informasjonssikkerhet lover og standarder

Ot.prp. nr. 51 ( )

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Databehandleravtale. Denne avtalen er inngått mellom

Pasientjournalloven - endringer og muligheter

Kan du legge personopplysninger i skyen?

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Formidling av pasientinformasjon ny lovgivning (i forbindelse med pasientbehandling) NSH

Personvern - sjekkliste for databehandleravtale

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Videokonsultasjon - sjekkliste

Veileder i personvern og informasjonssikkerhet for helse- og omsorgstjenester i kommuner

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Styret Helse Sør-Øst RHF 14. desember 2017

Noen utvalgte faktaark og veiledere. Åpent kurs

Databehandleravtale for forskningsprosjekt mellom (org nr...) og Akershus universitetssykehus HF (org nr )

Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner

SAK NR INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET

Tjenesteavtale nr. 9. mellom. Alta kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt

Endelig kontrollrapport

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Tilgangskontroll i fugleperspektiv Tilgangskontroll i IT-systemer de fire A-er Administrasjon Autentisering Autorisasjon Audit (etterhåndskontroll) Av

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtale. mellom. Kvinnherad kommune (Databehandlingsansvarlig) 13 ('" Helse Fonna HF (Databehandler) ***

Juridisk regulering av helseregistre brukt til kvalitetssikring og forskningsformål

Kontroll av Follo legevakt Vedtak om pålegg og endelig kontrollrapport

Tilgang på tversdrøm eller virkelighet? Ellen K. Christiansen, juridisk rådgiver, Nasjonalt senter for telemedisin

Databehandleravtale etter personopplysningsloven

Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren

Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte :

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten

IS-7/2006. Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

BEST Helse Nordstrand pålegg om avslutning av urettmessig behandling av personopplysninger

Endelig kontrollrapport

Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Pasientjournalloven og helseregisterloven

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Personvern og informasjonssikkerhet for legekontorer

Transkript:

Fagkurs for kommuner Ansvar og avtaler (45 minutter) 1

Innhold 1. Definere sentrale begrep 2. Ansvar 3. Ansvar ved delegering av oppgaver 4. Ansvar og avtaler for databehandler 5. Avtale ved fjernaksess 6. Avtale om fellesjournal 7. Avtale ved tilgang mellom virksomheter 8. Eksempel på avtale type 2

1. Databehandlingsansvarlig Normen sier: Med databehandlingsansvarlig menes den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes Formål - Pasientbehandling, forsking, kvalitetssikring, saksbehandling Behandling - Lagring, innsamling, sletting, utlevering, mv Hjelpemidler - Fagsystem, EPJ-system, PACS, mv 3

1. Databehandler Normen sier: Med databehandler menes den som behandler helse- og personopplysninger på vegne av den databehandlingsansvarlige. En databehandler er en ekstern person eller virksomhet utenfor den databehandlingsansvarliges virksomhet For eksempel: Helseforetakenes driftsleverandør 4

1. Tilgang Autorisert personell har direkte tilgang i journalsystemet Tilgang skal baseres på tjenstlig behov - for eksempel Yte helsehjelp Administrere slik hjelp m.m 55

1. Utlevering Helseopplysninger utleveres elektronisk, skriftlig, muntlig Forutsetter at det ikke er i strid med taushetsplikten 6

2. Ansvar Ordfører har det formelle ansvaret for personvern og informasjonssikkerhet. Kommunen skal påse at: det er vedtatt sikkerhetsmål- og strategi det er etablert en sikkerhetsorganisasjon det er etablert et styringssystem for informasjonssikkerhet styringssystemet etterleves og blir revidert pasienten får sine rettigheter oppfylt 7

3. Ansvar ved delegering av oppgaver Avhengig av øvrig organisering Divisjoner Avdelinger / seksjoner Enkelt personer Delegere oppgaver til eksterne Dette må gjøres i form av skriftlige avtaler Delegert eller ikke Det juridiske ansvaret er hos databehandlingsansvarlig 8

4. Ansvar og avtaler for databehandler Når databehandler drifter EPJ-systemet / fagsystemet for Kommunene: Kommunen er databehandlingsansvarlig Leverandør er databehandler. Databehandleravtale skal opprettes: Bestemte formkrav Omfanget av avtalen må være tilpasset formålet Eksempel - Se faktaark 10 Bruk av databehandler Databehandler har kun adgang til opplysningene på bakgrunn av rollen som databehandler 9 9

4. Felles systemer Ett eksempel: Felles system- men ikke felles data, ikke fellesjournal Kommune A Kommune B Felles system Logisk adskilt database for kommune A Logisk adskilt database for kommune B 10

5. Avtale ved fjernaksess Ekstern tilgang fra leverandør til driftsleverandør via kommunikasjonslinje Avtalen skal regulere: Plikter (driftsleverandør og leverandør) og sanksjoner Revideres og oppdateres (for eksempel ved avvik, risikovurderinger og sikkerhetsrevisjoner) Eksempel på tekst: Veileder for fjernaksess mellom leverandør og virksomhet kap. 5.4 11

6. Avtale om fellesjournal Avtalen må inneholde hva samarbeidet omfatter hvordan pasientens eller brukerens rettigheter skal ivaretas, hvordan helseopplysningene skal behandles og sikres, også ved endringer i eller opphør av samarbeidet databehandlingsansvar 13.04.2015 sikkerhetsnormen@helsedir.no / 12

7. Avtale ved tilgang mellom virksomheter Avtalen om tilgang mellom virksomhetene skal minst angi hva avtalen gjelder hvilke behovs- og risikovurderinger som ligger til grunn for avtalen hvilke behandlingsrettede helseregistre, deler av registre eller typer av opplysninger avtalen omfatter og hvilke rutiner som er fastsatt og hvordan oppgavene er fordelt, for å ivareta kravene i denne forskriften 13.04.2015 sikkerhetsnormen@helsedir.no / 13

8. Eksempel på avtale typer Alltid en avtale i overensstemmelse med formål Eksempler: Driftsleverandører: Databehandler Lagring ved Cloud computing: Databehandler Fjernaksess for support: Fjernaksessavtale Tjenesteutsetting: Kjøpsavtale Norsk Helsenett: Tilknytningsavtalen 14