Organisasjonsformer og databehandlingsansvar

Like dokumenter
Endelig kontrollrapport

AVTALEEKSEMPEL FOR GRUPPEPRAKSIS Avtaleparter Databehandlingsansvarlig

Endelig kontrollrapport

Styret Helse Sør-Øst RHF 14. desember 2017

BEST Helse Nordstrand pålegg om avslutning av urettmessig behandling av personopplysninger

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Endelig kontrollrapport

Rapport informasjonssikkerhet Helgelandssykehuset 2015

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Kontroll av Follo legevakt Vedtak om pålegg og endelig kontrollrapport

Normens krav og anbefalinger fra kravspek til innføringsprosjekt. 31. oktober 2018

Formidling av pasientinformasjon ny lovgivning (i forbindelse med pasientbehandling) NSH

Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.

Samarbeid mellom virksomheter om felles journal

Varsel om vedtak fra Datatilsynet - Overtredelsesgebyr

Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato:

FORSLAG TIL FORSKRIFT OM VERKSEMDOVERGRIPANDE, BEHANDLINGSRETTA HELSEREGISTRE I FORMALISERTE ARBEIDSFELLESSKAP - HØYRING

Norm for informasjonssikkerhet Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Nytt i Normen Normkonferansen Aasta M. Hetland Jan Gunnar Broch Sekretariatet for Normen

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Ot.prp. nr. 51 ( )

Lovlig journalbruk Oppslag i og bruk av Pasientjournalen

Ny pasientjournallov endringer og muligheter

HVEM ER JEG OG HVOR «BOR» JEG?

TRUST-IKT: Først i Norge med felles pasientjournal Hva har vi gjort? Erling Høyem Leder prosjekt og rådgiving

Høringsnotat: Enklere tilgang til helseopplysninger for kvalitetssikring av helsehjelp og egen læring

Personvern og informasjonssikkerhet ved samhandling

Kommunens Internkontroll

Styresak /3 Samarbeid om felles journal i Helse Nord - informasjon

Personvern og tilgang i journal Internt & Eksternt. Helge Veum, senioringeniør HelsIT, Trondheim, 25. september 2008

STYRESAK. DATO: SAKSBEHANDLER: Brad Folsom SAKEN GJELDER: Informasjonssikkerhet i Helse Stavanger HF ARKIVSAK: 18/2 STYRESAK: 52/18

Hvordan kan personvernet ivaretas i helsesektoren?

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Informasjonssikkerhet, personvern og tilgangsstyring

SAK NR INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET

Tjenesteavtale nr. 9. mellom. Alta kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Informasjon interesseorganisasjoner

Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Normkonferansen 15. oktober Nytt i Normen

FORPROSJEKTRAPPORT. Pasientinformasjon

Noen utvalgte faktaark og veiledere. Åpent kurs

Bedre helse og sikkerhet med EPJ

Lovlig journalbruk Oppslag i og bruk av pasientjournalen

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

Databehandleravtale for NLF-medlemmer

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Diabetesforbundet. Personvernerklæring

Endelig kontrollrapport

Informasjonssikkerhet

Styresak /4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for Dokument 3:2 ( ), informasjon

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

Dataanlegget på legekontoret lover, regler og Normen. Torstein Sakshaug Nidaroskongressen 2015

Hvis helseregisterloven 13 ikke fantes hva så?: Tilgang til journalopplysninger. trengs

Personvern - sjekkliste for databehandleravtale

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Elektronisk tilgang til pasientopplysninger i Norge, EU-land og på tvers av landegrenser

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten

Erfaringer fra konsolidering til regionale EPJ-system

POWEL DATABEHANDLERAVTALE

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

DISKUSJONSNOTAT- ORGANISERING AV ADVOKATVIRKSOMHET

Utviklingstrekk i tannhelsetjenesten

Tilgangskontroll i fugleperspektiv Tilgangskontroll i IT-systemer de fire A-er Administrasjon Autentisering Autorisasjon Audit (etterhåndskontroll) Av

Hva betyr det for din virksomhet?

Vår referanse (bes oppgitt ved svar) /SVE 11/ /BSO

Databehandleravtaler. Tommy Tranvik Unit

EPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE. Informasjonssikkerhet Jan Gunnar Broch PMU 2018

Styresak Orienteringssak - Informasjonssikkerhet

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Tjenesteavtale nr. 9. mellom. Berlevåg kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Pasientjournalloven - endringer og muligheter

Etablering av felles journal i Helse Midt-Norge

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Vi vil i dette notatet gi en oppsummering av de rettslige spørsmålene som har betydning for valget av organiseringsform i NDLA.

Foreldres tilgang til barns journal

Databehandleravtaler

Saksframlegg. Sørlandet sykehus HF. Informasjonssikkerhet. 1. Styret tar informasjonen om informasjonssikkerhet i helseforetaket til orientering.

Frisklivssentralen Verdal kommune. Oppstart 01. januar 2012

Sammendrag - Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie

Når har vi plikt til å hjelpe?

Lovgivningens krav til sikkerhet ved outsourcing - offshoring

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

Behandling av helse- og personopplysninger ved legekontoret

Studenters tilgang til elektronisk pasientjournal

Frist for innspill: 1. november Mottaker etter liste

Eierskapsmelding for. Frøya kommune Selskapsformer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Transkript:

Organisasjonsformer og databehandlingsansvar Innledning Hva dokumentet omhandler Dokumentet baserer seg på et utvalg av organisasjonsformer hvor disse er forsøkt delt inn i noen få grupper. Gruppene er basert på at disse har tilsvarende interne forhold når det gjelder informasjonsbehandling og -sikkerhet. Det er ikke å vente at alle tenkelige organisasjonsformer er belyst. Det settes fokus på tre ting i dokumentet: Hvem som skal melde til Datatilsynet Hvem som er databehandlingsansvarlig Om, og eventuelt hvilket, avtaleverk som er nødvendig Noen begrepsforklaringer i dokumentet: Klinikk: Fysisk lokalisasjon hvor det er en naturlig inndeling som gjør at det oppfattes som en enhet. Gjerne en tannlegepraksis som markedsføres under et felles navn Dokumentet går lenger enn lovverket når det gjelder bruk av felles databaser og infrastruktur for samlokaliserte virksomheter når dette oppfattes som formalisert praksisfellesskap en klinikk. Dette gjøres fordi lovverket på dette punktet er i endring, og at formaliserte praksisfellesskap dermed vil bli lovlig i løpet av kort tid. Dette er for tannlegeforeningen en selvfølgelig utvikling av lovverket for å tilpasse dette til en fornuftig virkelighet og det anses derfor som naturlig å ta høyde for dette i rådgivningen på dette punktet. Målet med veiledningen nå er å anbefale en håndtering som er akseptabel i dagens situasjon og godt innenfor det nye lovverket. Forholdet til hjelpepersonell andre rutiner Dokumentet tar i utgangspunktet kun høyde for samarbeidet mellom tannleger. Tannpleiere stiller i helt tilsvarende situasjon og der vil anbefalingene overføres direkte. Når det gjelder tannhelsesekretærer eller annet hjelpepersonell er disse ikke tatt med i dette dokumentet. Forholdet til disse vil inkluderes i arbeidet med informasjonssikkerhet. Det er sett som mest sannsynlig at disse gruppene er ansatt. Organisasjonsform og kompleksitet vil også ha betydning for arbeidet med informasjonssikkerhet. Dette omtales heller ikke i dette dokumentet. Spesielt når det gjelder avtaleverket må det påpekes at når det her står "ingen avtaler nødvendig" henviser dette kun til samarbeidet mellom tannleger, ikke forholdet til eksterne samarbeidspartnere, nettverksleverandører o.l. Inndeling etter praksisformer 1. Selvstendige tannleger i solopraksis Fremdeles den vanligste formen for privat praksis. Tannlegen driver sin virksomhet alene. Den absolutt enkleste konstruksjonen. Tannlegen er både databehandlingsansvarlig og meldepliktig. Det behøves ingen avtaler internt, det er heller ingen å inngå avtaler med. 1

Databehandlingsansvarlig: Tannlegen Avtaleverk: Ingen interne avtaler nødvendig. 2. Selvstendige tannleger eller andre juridiske enheter med ansatte tannleger Enten en enkelt tannlege som driver klinikken og har andre tannleger eller tannpleiere ansatt, eller at det er opprettet et AS hvor tannlegene er ansatt. For AS spiller det ingen rolle om det er tannleger eller andre som eier aksjene, eller om man eier lite eller mye. Det vil være AS'et som er ansvarlig for informasjonssikkerheten. I den grad tannleger blir personlig stilt til ansvar vil det være som styremedlemmer, daglig leder eller lignende. Unntaket er at man selvfølgelig kan holdes personlig ansvarlig som autorisert helsepersonell i den grad man bryter lovverket i forbindelse med dette. Den enkleste samarbeidsløsningen. Så lenge det er et selskap som står for driften er dette selskapet databehandlingsansvarlig og skal melde til Datatilsynet. Man trenger heller ikke noe avtaleverk utover ansettelsen. Dette er uavhengig av om selskapet er et AS, ANS eller personlig eiet av en selvstendig næringsdrivende. Det er den juridiske enheten som er ansvarlig. Det vil for et AS si AS'et ved styret, eventuelt delegert til daglig leder. For en selvstendig næringsdrivende er denne personen personlig ansvarlig. Databehandlingsansvarlig: Den juridiske enheten Meldepliktig: Den juridiske enheten Avtaleverk: Ingen interne avtaler nødvendig. 3. Asymmetrisk samarbeid mellom selvstendige parter En annen vanlig organisasjonsform, som inkluderer både de tradisjonelle leietannlegemodellene og de nyere kontraktørmodellene. Kjennetegnet for disse samarbeidsformene er at det er en sterk part som i hovedsak eier og har betydelig innflytelse på driften av klinikken. Denne parten vil også i all hovedsak ha avgjørende myndighet i forhold til investeringer, rutiner osv. Dermed vil den sterke parten være hovedansvarlig. Igjen vil selvfølgelig den svakere parten være personlig ansvarlig i den grad lovverket stiller personlig ansvar. I denne gruppen plasseres leietannleger og kontraktører. Grunnen til at de kalles assymetriske er at det i disse tilfellene regnes at det er enten en tannlege eller et AS som eier klinikken med utstyr og pasientarkiv, og at den enkelte tannlege utfører et arbeid i praksisen uten å ha vesentlig kontroll over praksisens organisering, drift eller sikkerhetsarbeid innen IKT. Databehandlingsansvarlig: Eier av klinikken (uavhengig av om denne er tannlege, driftsselskap e.l.) Meldepliktig: Eier av klinikken Avtaleverk: Eier av klinikken skal inngå databehandleravtale med leietannlegene/kontraktørene. 2

4. Symmetrisk samarbeid mellom selvstendige parter Den mest uoversiktlige samarbeidsformen. Her er det vanskeligere å uten videre plassere ansvaret for informasjonssikkerheten. Derfor er denne også problematisk i forhold til lovverket. Kjennetegnet for samarbeidsformen er at tannleger med lik, eller tilnærmet lik, innsats og ansvar i klinikken, samarbeider under samme tak og navn. Utad opptrer man som en klinikk, under ett navn. Tannlegene har også i en del tilfeller samme pasientarkiv og tilgang til hverandres pasienter ved akutte behov. Innad er man forskjellige selvstendige virksomheter, og det praktiske og økonomiske er regulert av avtaler. Da bør man også regulere ansvaret for informasjonssikkerheten i en slik avtale. Dette er per i dag ikke lovlig, men ser ut til å bli lovlig i nær fremtid. NTF sier derfor ikke at man bør organisere seg slik, men dersom man allerede er organisert på denne måten bør man tegne en avtale inntil lovverket på området er klart. A: Separate baser og separat IT-infrastruktur (hver sin PC/server) Her vil hver enkelt tannlege/juridisk enhet være å betrakte som en selvstendig enhet og må ha sin egen databehandlingsansvarlig, melding til datatilsynet og system for informasjonssikkerhet. Databehandlingsansvarlig: Tannlegen Avtaleverk: Ingen B:. Separate baser, men felles IT-infrastruktur Her må man bli enige om hvem som har ansvaret for drift av IT-infrastruktur. Dette kan enten være en av tannlegene (vanligst), eller man kan sette tjenesten bort til en ekstern leverandør. Den enkelte tannlegen er da fremdeles databehandlingsansvarlig og den som tar ansvaret for drift av ITinfrastruktur er databehandler. Her må det inngås en databehandleravtale. Å ha ansvaret for IT-drift vil inkludere å ha ansvaret for systemet sikkerhet, bl.a. back-up, fysisk sikring, driftsstabilitet osv. Det betyr at man kan ikke uten videre peke på en IT-leverandør som har levert maskinvaren som databehandler. Ofte vil det være naturlig at en av tannlegene har dette ansvaret. Et annet alternativ er selvfølgelig å benytte seg av en helt ekstern drift av hele systemet og at man lokalt kun har klientmaskiner. Modellen har fordelen at databasene er adskilt og at man dermed juridisk sett er tryggere, men ulempen er at man ikke har tilgang til hverandres pasienter ved behov for akuttbehandling. Man kan ikke uten videre gi hverandre tilgang til alle databaser. Det ville kreve et ekstra sett med databehandleravtaler og er i utgangspunktet i gråsonen for hva som er lovlig. Det anbefales ikke å gjøre slike løsninger Databehandlingsansvarlig: Tannlegen Avtaleverk: Databehandleravtale med den som drifter IT-infrakstruktur 3

C: Felles baser og felles IT-infrastruktur Felles base for flere forskjellige virksomheter er ikke tillatt. Like fullt er dette en vanlig organisasjonsform både blant allmenpraktiserende tannleger og leger. Som en følge av dette har myndighetene igangsatt et betydelig arbeid for å både gjøre denne organiseringen lovlig, samtidig som informasjonssikkerheten ivaretas. I det vakumet som derfor finnes nå velger tannlegeforeningen å anbefale de som selv velger å opprettholde en slik løsning følgende råd. Det må understrekes at denne ikke er i tråd med dagens lovverk. Denne metoden vil likevel i vesenetlig grad bedre informasjonssikkerheten, og det er grunn til å tro at de tannlegene som gjør dette arbeidet vil unngå reaksjoner fra tilsynsmyndighetene inntil nytt lovverk foreligger. Det anbefales at man utpeker en av tannlegene som ansvarlig for IT-drift. Dette gjøres ved å tegne en felles avtale om IT-drift, heretter kalt Avtale om klinikkfellesskap. Avtalen skal undertegnes av alle involverte og peker ut en av de involverte som databehandlingsansvarlig. Den utpekte databehandlingsansvarlige har det overordnede ansvaret for at alle lovkrav oppfylles, gjerne ved å følge Veileder for personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten. Dette inkluderer både ansvaret for pasientinformasjon, tilgangsstyring, back-up osv. Et viktig aspekt i forhold til lovverket er å plassere ansvaret slik at man unngår uklarheter. Likevel er det påkrevd at alle involverte parter deltar i arbeidet med informasjonssikkerhet, gjerne ved at alle innblandede tannleger undertegner avtalen som solidarisk ansvarlige. En forutsetning for en slik avtale er god tilgangsstyring i pasientbasen. Det vil si at tilgangen en tannlege har til de andres tannlegenes pasienter begrenses. Det er ikke tillatt å åpne for at tannlegene har tilgang til hverandres pasienter når man har denne organisasjonsformen. Dagens systemer begrenser til en viss grad denne muligheten. Videre er det hensiktsmessig at tannlegene har tilgang til hverandres pasienter for akuttbehandling. Skulle man på dette grunnlaget, mot foreningens råd, velge å åpne for at flere eller alle tannleger skal ha tilgang til større deler av pasientarkivet bør man følge følgende råd: Det skal finnes rutiner for hvordan og når en tannlege skal ta seg tilgang til pasienter både egne og andres. F.eks.: Man skal kun gå inn i en pasients journal i forbindelse med at det skal gis behandling. Kun ansvarlig behandler eller den behandler denne eller pasienten gir tillatelse skal gå inn i en pasients journal. Annen behandlers tilgang til journal skal kun skje ved faglige behov. Andre behandlere kan gå inn på en pasientjournal uten ytterligere tillatelse kun når det foreligger et akutt behov og ansvarlig behandler ikke kan nås. Loggfunksjon må slås på. (Den skal jo være på uansett). Loggen skal rutinemessig kontrolleres for brudd på rutiner eller regler. Dersom blålysfunksjon er lagt inn i journalsystemet skal dette tas i bruk. Databehandlingsansvarlig: Den utpekte ansvarlige. Meldepliktig: Den utpekte ansvarlige eller det kan meldes inn en database med delt ansvar. Avtaleverk: Avtale om klinikkfellesskap. 4

Oversiktstabell Organisasjonsform Hvem har meldeplikt? Hvem er databehandlingsansva rlig? AS, ANS Selskapet Selskapet v/ledelse. Som regel delegert til daglig leder Selvstendig med ansatte tannleger Den selvstendig næringsdrivende eieren Den selvstendig næringsdrivende eieren Hvilken avtale behøver man? Ingen Ingen Eier leier Eier av databasen Eier av databasen Databehandleravtale Eier kontraktør Eier av databasen Eier av databasen Databehandleravtale solopraksis gruppepraksis separat IT gruppepraksis felles infrastruktur separate baser gruppepraksis felles infrastruktur og IT Tannlegen Tannlegen Ingen Den enkelte tannlege Den enkelte tannlege Ingen Den enkelte tannlege Den enkelte tannlege Databehandleravtale Utpekt ansvarlig (Nestor) Utpekt ansvarlig (Nestor) Avtale om klinikkfellesskap 5

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding