Samarbeid mellom virksomheter om felles journal

Like dokumenter
AVTALEEKSEMPEL FOR GRUPPEPRAKSIS Avtaleparter Databehandlingsansvarlig

Samarbeid mellom virksomheter om felles journal

Sikkerhetskrav for systemer

Endelig kontrollrapport

Sikkerhetskrav for systemer

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Endelig kontrollrapport

HVEM ER JEG OG HVOR «BOR» JEG?

Sikkerhetskrav for systemer

Endelig kontrollrapport

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato:

FORSLAG TIL FORSKRIFT OM VERKSEMDOVERGRIPANDE, BEHANDLINGSRETTA HELSEREGISTRE I FORMALISERTE ARBEIDSFELLESSKAP - HØYRING

BEST Helse Nordstrand pålegg om avslutning av urettmessig behandling av personopplysninger

Kontroll av Follo legevakt Vedtak om pålegg og endelig kontrollrapport

Lovvedtak 75. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( )

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

IS-7/2006. Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler

Styresak /3 Samarbeid om felles journal i Helse Nord - informasjon

Databehandleravtaler

Ot.prp. nr. 51 ( )

Formidling av pasientinformasjon ny lovgivning (i forbindelse med pasientbehandling) NSH

Ny pasientjournallov endringer og muligheter

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Bruk av databehandler (ekstern driftsenhet)

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Innsatsområder nasjonalt nivå i helsetjenesten Nasjonalt meldingsløft Kjernejournal Helsepolitiske mål E-resept Helseportal Helseregistre EPJ Velferds

Norm for informasjonssikkerhet Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Høringsnotat. Helse- og omsorgsdepartementet

LÆRINGS- og GJENNOMFØRINGSPLAN

Pasientjournaler i kommunehelsetjenesten unntatt fra alle regler? Rådgiver Janicken E. Olsen, IKA Troms. Kontaktseminar 2015 Tromsø

Lovlig journalbruk Oppslag i og bruk av Pasientjournalen

LÆRINGS- og GJENNOMFØRINGSPLAN

UiO ved Psykologisk institutt v/pål Kraft og Joakim Dyrnes. Rettslige rammer for drift av studentklinikk/samarbeid med Lovisenberg Diakonale Sykehus

Delavtale mellom Sørlandets sykehus HF og Lund kommune

LÆRINGS- og GJENNOMFØRINGSPLAN

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Overordnet vurdering av personvernspørsmål

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

EPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE. Informasjonssikkerhet Jan Gunnar Broch PMU 2018

Bruk av databehandler (ekstern driftsenhet)

Plikt- og rettssubjekter. Den som har krav på noe, den som har rett på noe. Den som er pålagt noe, den som har ansvaret for å se til at noe blir gjort

Nr. Vår ref Dato I - 2/ /

Personvernerklæring Stendi

Pasientjournalloven - endringer og muligheter

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

DRAMMEN KOMMUNE. Postmottak HOD

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Frist for innspill: 1. november Mottaker etter liste

Organisasjonsformer og databehandlingsansvar

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Høringsnotat: Enklere tilgang til helseopplysninger for kvalitetssikring av helsehjelp og egen læring

Videokonsultasjon - sjekkliste

Noen utvalgte faktaark og veiledere. Åpent kurs

Ny lov nye muligheter for deling av pasientopplysninger

Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

Vår referanse (bes oppgitt ved svar) /SVE 11/ /BSO

Veileder i personvern og informasjonssikkerhet for helse- og omsorgstjenester i kommuner

Norm for Informasjonssikkerhet i Helsesektoren. Tor Ottersen

Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger mellom virksomheter

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Normkonferansen 15. oktober Nytt i Normen

Avtale mellom xx kommune og Vestre Viken HF om IKT løsninger

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Hvis helseregisterloven 13 ikke fantes hva så?: Tilgang til journalopplysninger. trengs

Nytt i Normen Normkonferansen Aasta M. Hetland Jan Gunnar Broch Sekretariatet for Normen

Hvilken betydning har personvernforordningen på helseområdet

Tjenesteavtale nr. 9. mellom. Alta kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt

Veileder for behandling av personopplysninger og informasjonssikkerhet i idretten

Behandling av helse- og personopplysninger ved legekontoret

Fagkurs for kommuner Personvern og taushetsplikt (75 minutter)

Tjenesteavtale nr. 9. mellom. Berlevåg kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt

Forskrift om habilitering og rehabilitering, individuell plan og koordinator

Etablering av felles journal i Helse Midt-Norge

Tilgangskontroll i fugleperspektiv Tilgangskontroll i IT-systemer de fire A-er Administrasjon Autentisering Autorisasjon Audit (etterhåndskontroll) Av

Databehandleravtale etter personopplysningsloven

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Personvernforordningen og utfordringer i dagens helsetjeneste

KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL. Åpent kurs oktober 2018

Kunngjort 28. august 2017 kl PDF-versjon 30. august 2017

Kontroll av oppslagslogger i EPJ ved hjelp av mønstergjenkjenning

LCP i Visma Omsorg Profil ehelseuka Universitetet i Agder, 3. juni 2015

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Helse- og omsorgsdepartementet Kultur- og kirkedepartementet. Deres ref Vår ref Dato /EMK

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Medisinske kvalitetsregistre - hva betyr nytt lovverk Normkonferansen

Akkumulert risikovurdering oktober 2015

Overordnet avtale mellom Bergen kommune og Helse Bergen om samarbeid mellom spesialistpoliklinikken og kommunal legevakt på Bergen Helsehus

Veileder i personvern og informasjonssikkerhet ved tilgang til helseopplysninger mellom virksomheter

Ansvar og organisering

Høringsuttalelse - Forslag til ny kommunal helse- og omsorgslov

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Rettslig regulering av helseregistre

Transkript:

Samarbeid mellom virksomheter om felles journal En veileder med avtaleeksempler Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 2.1 www.normen.no

INNHOLD 1 INNLEDNING... 4 1.1 BAKGRUNN... 4 1.2 OM VEILEDEREN... 4 1.3 MÅLGRUPPE... 4 2 ETABLERING AV FELLES JOURNAL... 6 2.1 VILKÅR FOR ETABLERING AV FELLES JOURNAL... 6 2.2 OPPHØR AV AVTALEN... 7 2.3 ANSVAR, OPPGAVER OG ARBEIDSFORDELING... 8 2.3.1 Om databehandlingsansvar... 8 2.3.2 Om felles databehandlingsansvar... 8 2.3.3 Om fordeling av oppgaver... 9 2.3.4 Databehandler... 10 2.4 PRAKTISK ETABLERING AV FELLES JOURNAL... 10 2.4.1 Krav til informasjonssikkerhet og styringssystem for informasjonssikkerhet... 10 3 EKSEMPLER PÅ SAMARBEID OM FELLES JOURNAL MED AVTALEEKSEMPLER... 12 3.1 GRUPPEPRAKSIS... 12 3.2 PROFESJONSSAMARBEID... 15 3.3 KOMMUNE MED DELS KOMMUNAL OG DELS PRIVAT HJEMMETJENESTE... 18 3.4 KOMMUNE MED PRIVAT SYKEHJEM OG KOMMUNAL HJEMMETJENESTE... 21 3.5 LOKALMEDISINSK SENTER (HELSEHUS) OG INTERMEDIÆRT TILBUD... 24 3.6 SAMARBEID MELLOM HELSEFORETAK OG ANDRE VIRKSOMHETER OM FELLES JOURNAL 27 4 VEDLEGG... 34 4.1 ANBEFALTE DOKUMENTER IFM. INFORMASJONSSIKKERHET... 34 4.2 DEFINISJONER... 34 4.3 REFERANSER... 38 4.4 DELTAGERE I REFERANSEGRUPPEN... 38 Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 2 av 38

Endringshistorikk for og godkjenning av dokumentet Versjon Endringer Godkjent av styringsgruppen for Normen (dato) 1.0 Første utgave av veilederen 5. desember 2013 2.0 Endret pga ny lovgivning og fjernet forskrift om 12. februar 2015 formaliserte arbeidsfellesskap Tittel på veileder er endret iht til dette 2.1 Endret ordlyd for enkelte områder for å tydeliggjøre ny lovgivning og ansvar for databehandlingsansvarlig. Innarbeidet eksempel med avtalemal for samarbeid mellom helseforetak 3. mars 2016 Forord til versjon 2 av veilederen Denne veilederen bygger som det fremgår av endringshistorikken på den tidligere veilederen om felles journal i formaliserte arbeidsfellesskap. Forskriften som var utgangspunkt for første versjon av veilederen ble opphevet 1. januar 2015. Veilederen i revidert utgave omhandler nå samarbeid om felles journal med hjemmel i pasientjournalloven 9. Det er ikke tatt inn nye avtaleeksempler i kapittel 3 ved revidering av veilederen. Avtaleeksemplene retter seg hovedsakelig mot mindre virksomheter og/eller kommunal sektor. Forord til versjon 2.1 av veilederen Versjon 2.1 inneholder nytt kapittel 3.6 «Samarbeid mellom helseforetak og andre virksomheter om felles journal». Kapittelet inneholder eksempler og avtalemal. Ny versjon av veilederen som behandler individuell plan, opphør av avtale og nye maler til avtaler til kapittel 3.1 til 3.5 på bakgrunn av malen i nytt kapittel 3.6, vil bli tilgjengelig i løpet av 2016. Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 3 av 38

1 INNLEDNING 1.1 Bakgrunn Etter pasientjournalloven 9 jf. 8 er det nå åpnet for at to eller flere virksomheter kan samarbeide om felles journal. Bestemmelsen gjelder fagsystemer og andre journaler hvor helsepersonell som yter helsehjelp nedtegner eller registrerer opplysningene om pasientene i samsvar med dokumentasjonsplikten. Det er viktig å merke seg at en etablering av felles journal vil erstatte den virksomhetsinterne journalen. Samarbeidet om felles journal kan omfatte alle typer behandlingsrettede helseregistre. Det kan samarbeides om helhetlige systemer som utgjør hele pasientjournalen i virksomheten(e) eller om enkelte behandlingsrettede helseregister, som er en del av pasientjournalen i virksomheten(e). Virksomheter som tidligere har inngått avtale om å samarbeide om pasientjournal etter forskrift om etablering av virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap, kan fortsette dette i henhold til kravene i den nye lovbestemmelsen selv om forskrift om formalisert arbeidsfellesskap er opphevet. Formålet med å etablere en felles journal for virksomhetene er å fremme ytelse av effektive og forsvarlige helse- og omsorgstjenester. I praksis innebærer det at hver pasient har én journal innen samarbeidet om å yte helsehjelp, og at helsepersonellet tilknyttet fellesskapet fører opplysninger i denne journalen. Én felles journal vil gjøre det lettere å se de ulike tiltakene i sammenheng og vurdere helheten i pasientbehandlingen. Det vil kunne gi en bedre pasientsikkerhet at journalføringen skjer i samme journal. 1.2 Om veilederen Veilederen gir veiledning til etterlevelse av kravene i Normen ved etablering av felles journal. Veilederen gir hjelp til bl.a.: Definere ansvar og fastsette oppgaver Fastsette prinsipper for felles journal Foreslå avtaletekster for ulike typer samarbeid om felles journal Forutsetningen for denne veilederen er at samarbeidet mellom virksomhetene er etablert etter gjeldende lover. Merk derfor at veilederen ikke gir anvisning på hvordan virksomhetene inngår avtaler om samarbeidet, men veikårene for etablering av felles journal innenfor samarbeidskonstellasjonene. 1.3 Målgruppe Målgruppen er virksomheter som yter helsehjelp og som ønsker å inngå samarbeid om felles behandlingsrettet helseregister i henhold til pasientjournalloven 9. Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 4 av 38

Aktuelle aktører kan være privateide virksomheter så vel som offentlige virksomheter, fastleger og avtalespesialister. Det er ikke satt noen grense for hvor omfattende samarbeidet om å yte helsehjelp kan være. Bestemmelsen åpner for omfattende samarbeid med et stort antall virksomheter og pasienter. Aktuelle målgrupper er for eksempel: Virksomheter med samme gruppe helsepersonell (gruppepraksis) som allerede har en form for samarbeid, men ønsker å formaliserer dette og drifte felles journal Som eksempelet ovenfor, men virksomheter med ulike grupper helsepersonell (profesjonssamarbeid) som yter helsehjelp til pasienten Kommune med dels kommunal og dels privat hjemmetjeneste Privat drevet sykehjem og kommunal hjemmetjeneste Lokalmedisinsk senter (helsehus) og intermediært tilbud Samarbeid i spesialisthelsetjenesten (for eksempel mellom to eller flere helseforetak, eller mellom helseforetak og private aktører) Veilederen vil også være nyttig for leverandører av journalsystemer. Modellen nedenfor gir leseren hjelp til å identifisere hvilken eksempelmodell som er relevant for det aktuelle samarbeidet. Merk at kapittel 2.1 må leses uansett. Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 5 av 38

2 ETABLERING AV FELLES JOURNAL 2.1 Vilkår for etablering av felles journal For at virksomheter skal kunne inngå samarbeid om behandlingsrettede helseregistre oppstiller pasientjournalloven 9 som vilkår at det skal inngås en skriftlig avtale ved samarbeid om felles journal, og den setter også krav til innholdet i avtalen. Formålet med avtalen er å sikre klare ansvarsforhold. Avtalen skal være skriftlig og inneholde følgende: Nr. Krav etter lovbestemmelsen Forklaring 1. Hva samarbeidet omfatter Her beskrives hva som omfattes av samarbeidet. Samarbeidet kan være alle typer behandlingsrettede helseregistre, og loven oppstiller ingen grense for hvor omfattende samarbeidet kan være. 2. Hvordan pasientenes eller brukerens rettigheter skal ivaretas Hvilke behandlinger av helse- og personopplysninger det skal samarbeides om Ansvar for prosedyrer (f.eks. tilgangsstyring, hendelsesregistrering mv.) Etablering av rutiner for håndtering av henvendelser fra den registrerte 3. Hvordan helseopplysningene skal behandles og sikres, også ved endringer i eller opphør av samarbeidet, Med bakgrunn i formålet med felles journal (jf. kap. 2.1) kan alt helsepersonell, når det foreligger tjenstlig behov, føre i journalen. Pasientjournalen kan derfor være et resultat av flere virksomheters føringer I en felles journal vil normalt ikke de enkelte journalene være inndelt etter virksomhet i EPJ-systemet / fagsystemet Vær oppmerksom på at hendelsesregisteret også skal overføres som en del av journalen ved et opphør av samarbeidet. Vedrørende spørsmålet om hvor journalen skal overføres vises det til eksemplene i kap. 3. Det er naturlig at leverandør av EPJsystemet / fagsystemet konsulteres slik at systemets muligheter og begrensninger klargjøres Det er også nødvendig å avklare ansvarsforhold med tanke på oppbevaring av arkiver som er skapt etter opphør av Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 6 av 38

Nr. Krav etter lovbestemmelsen Forklaring avtalen 4. Databehandlingsansvar Hvis det er én databehandlingsansvarlig skal denne føres opp 1 Hvis det er flere databehandlingsansvarlige skal alle føres opp og det bør angis hvem som er representant 2 utad. Eksemplene i kap 3. inneholder nødvendige formuleringer for å ivareta pasientjournallovens og Normens bestemmelser. Den enkelte avtale må tilpasses behovene til det enkelte samarbeidet. Avtalene kan benyttes som et eget kapittel eller som vedlegg til en avtale som regulerer samarbeidet mellom virksomhetene. Eksemplene er tilgjengelig i formatene Microsoft Word og OpenDoc på www.normen.no. 2.2 Opphør av avtalen Opphør av avtale om bruk av felles journal skjer ved at en eller flere av partene sier opp avtalen. Eksempler på opphør kan være: Samarbeidet om ytelse av helsehjelp mellom partene opphører Tjenesteyter mister eller avslutter avtalen med kommunen eller et regionalt helseforetak En virksomhet skal opphøre En virksomhet skal gjøre overgang til en annen samarbeidskonstellasjon Pasientjournalloven 9 gir ikke nærmere føringer for hva partene skal gjøre ved opphør av samarbeidet om å yte helsehjelp, det er opp til partene å avtaleregulere dette nærmere. Bestemmelsene i pasientjournalforskriften 15 om opphør og overføring av pasientjournaler vil fortsatt gjelde. For ikke å skape usikkerhet ved opphørstidspunktet for de som eventuelt skal fortsette i samarbeidet, er det særlig viktig at det blir nedlagt et grundig arbeid med avtalens punkt om hvordan man håndterer endringer og opphør av samarbeidet, jf. kap. 2.1. Dette gjelder kun den del av avtalen som gjelder behandling av helse- og personopplysninger og ikke øvrige avtaleforhold som naturlig hører inn under samarbeidet mellom virksomhetene. 1 I tilfeller hvor kommunen ved tjenesteutsettelse velger å inngå samarbeid felles journal, er det kommunen som er databehandlingsansvarlig, ettersom det er kommunen som bestemmer formålet for behandling av helse- og personopplysninger ved tjenesten. 2 Kontaktperson utad for pasienter og myndigheter. Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 7 av 38

2.3 Ansvar, oppgaver og arbeidsfordeling Ved samarbeid om felles journal er alle virksomhetene databehandlingsansvarlige. Dette medfører at alle virksomhetene har en selvstendig plikt til å oppfylle kravene som er pålagt den databehandlingsansvarlige. Dette er ikke til hinder for at ansvaret for ulike oppgaver fordeles mellom de databehandlingsansvarlige. 2.3.1 Om databehandlingsansvar All behandling av helse- og personopplysninger krever en databehandlingsansvarlig. Databehandlingsansvaret innebærer å bestemme formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes for dette. Den eller de avtalepartene som har den faktiske kontrollen med og ansvaret for databehandlingen er dermed databehandlingsansvarlig(e). Den databehandlingsansvarlige har plikt til å sørge for: tilfredsstillende personvern og informasjonssikkerhet ved at kravene til konfidensialitet, integritet og tilgjengelighet blir ivaretatt at taushetsplikten som påhviler helsepersonellet kan ivaretas innenfor samarbeidet om felles journal at pasientens eller brukerens rettigheter blir ivaretatt Som del av dette stilles det krav til den databehandlingsansvarlige for å: sørge for at all behandling av helseopplysninger har et gyldig behandlingsgrunnlag sørge for tilfredsstillende informasjonssikkerhet og etablere internkontroll gi pasienten/brukeren innsyn gi informasjon og veiledning til pasienten/brukeren sørge for rutiner for retting og sletting av helseopplysninger oppfylle meldeplikt og konsesjonsplikt I utgangspunktet er hver av virksomhetene i samarbeidet databehandlingsansvarlig. Det er et krav at den databehandlingsansvarlige må ha partsevne det vil si kunne saksøkes for domstolene. Databehandlingsansvaret må derfor ligge på konkret angitte virksomheter i samarbeidet. 2.3.2 Om felles databehandlingsansvar Pasientjournalloven gir adgang til å ha et felles (også omtalt som «delt» databehandlingsansvar). Felles databehandlingsansvar oppstår der to eller flere virksomheter bestemmer seg for å opprette og føre én felles journal for all behandling av et bestemt sett av helseopplysninger. Gjennom dette bestemmer de at formålet er å dokumentere helsehjelp i felles journal og at den felles journalen er virkemidlet for å få gjennomført dette. I en slik situasjon vil alle ha det samme ansvaret for hele behandlingen av helseopplysningene i journalen. Bruker virksomhetene ett felles system for journalføring av opplysninger om samme pasient i for Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 8 av 38

eksempel et behandlingsforløp som går på tvers av virksomhetene, vil de som utgangspunkt ha felles databehandlingsansvar. Ved felles databehandlingsansvar har alle databehandlingsansvarlige en selvstendig plikt til å oppfylle pasientjournallovens krav. Dette betyr at databehandlingsansvaret ikke kan fordeles til en eller flere av avtalepartene mens andre blir sittende uten ansvar. De praktiske oppgavene som er knyttet til databehandlingsansvaret kan imidlertid fordeles mellom avtalepartene. Virksomhetene kan ikke avtale seg bort fra erstatnings- og strafferettslig ansvar som følger av personopplysningsloven og pasientjournalloven. Partene vil hefte solidarisk for slike krav, noe som innebærer at det kan fremmes krav overfor hvilken som helst av de databehandlingsansvarlige virksomhetene. Som eksempel på vurderinger som må gjøres av hver enkelt databehandlingsansvarlig ved felles journal nevnes bl.a.: Hver av de databehandlingsansvarlige avtalepartene har et selvstendig ansvar for å vurdere om f.eks. informasjonssikkerheten er tilfredsstillende i den valgte løsningen for felles journal, og må på eget grunnlag ta stilling til om de oppfyller lovens krav. 2.3.3 Om fordeling av oppgaver Ved felles journal stiller 9 krav til at forholdet mellom de databehandlingsansvarlige formaliseres i avtale. Avtalemalene i denne veilederen skisserer ulike forslag til hvordan fordelingen av oppgaver kan reguleres mellom avtalepartene. Det er viktig at det er klart både innad mellom avtalepartene og utad overfor pasientene mht. hvem som er databehandlingsansvarlige, og hvordan oppgavene knyttet til databehandlingsansvaret er fordelt. De viktigste hensiktene med et klart definert ansvarsforhold er: Pasienten/brukeren har rettigheter iht. lovverket som skal ivaretas Virksomhetens bevissthet om eget ansvar som databehandlingsansvarlig. Ansvaret er sanksjonert, og brudd på pliktene som databehandlingsansvarlig kan resultere i overtredelsesgebyr, tvangsmulkt, erstatning eller straff. Virksomheter med felles databehandlingsansvar kan avtale praktiske ordninger mht. håndtering av f.eks. henvendelser fra pasienter for å gjøre det enklere for pasientene. Selv om én avtalepart er kontaktpunkt vil de øvrige avtalepartene likevel ha plikt til å oppfylle innsynsrett eller utføre retting og sletting, enten direkte eller via etablerte kanaler ut fra hvordan dette er regulert i avtalen. Avtalen bør bl.a. omhandle følgende forhold: At databehandlingsansvaret innebærer at pasienter og brukere kan ta kontakt med den databehandlingsansvarlige avtaleparten for å få oppfylt sine rettigheter iht. pasientjournalloven og pasient- og brukerrettighetsloven. Fordeling av oppgaver mht. dette bør inngå i avtalen. Ved felles journal er alle databehandlingsansvarlige ansvarlige for informasjonssikkerheten i systemet. Det kan avtales at én av avtalepartene håndterer Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 9 av 38

oppgaver knyttet til informasjonssikkerhet på vegne av de andre. Der oppgaver knyttet til informasjonssikkerhet er fordelt til én av avtalepartene er det viktig at alle databehandlingsansvarlige avtaleparter får tilfredsstillende dokumentasjon. Dette innebærer at de må få så god informasjon at de selv kan vurdere om informasjonssikkerheten er tilfredsstillende for dem. Virksomhet med tjenesteutsetting En kommune kan fritt velge å tjenesteutsette sine kommunale tjenester til enten private eller offentlige tjenesteytere. I en slik situasjon kan det avtales å benytte en felles journal med hjemmel i pasientjournalloven 9. Kommunen beholder da databehandlingsansvaret alene (bestemmer formålet og virkemidlene ensidig). I dette tilfellet innebærer dette at tjenesteyteren blir underlagt instruksjonsmyndighet fra kommunen. Disse typetilfellene omfattes ikke av malen for avtale om felles journal i større virksomheter i punkt 3.6. Slike typetilfeller dekkes av punkt 3.3 og punkt 3.4. 2.3.4 Databehandler Benyttes det databehandler for drift av felles journal er det viktig å avklare ansvarsforholdet mellom de databehandlingsansvarlige og databehandler. Dette reguleres nærmere i en databehandleravtale. En databehandleravtale er en avtale mellom den databehandlingsansvarlige og databehandler (ekstern driftsenhet). Se Faktaark 10 - Bruk av databehandler (ekstern driftsenhet) som gir et eksempel til avtaletekst (www.normen.no). 2.4 Praktisk etablering av felles journal Etter pasientjournalloven 9 skal en felles journal erstatte den enkelte virksomhets interne journal. Virksomheten kan ikke operere med to pasientjournaler med samme formål. Det er ikke anledning til skyggejournaler 3 alt skal føres i én felles journal. Ved etablering av samarbeid om felles journal anbefales det at eksisterende journaler fra virksomhetene slås sammen til én felles journal. Det er også mulig å ta utgangspunkt i én av virksomhetenes eksisterende EPJ-system med eksisterende journal som basis for felles journal. Ved sammenslåing av eksisterende journaler anbefales det at det legges til rette for å kunne tilbakeføre journalene til den opprinnelige databehandlingsansvarlige ved behov, og dersom det er anledning til dette innenfor regelverket. 2.4.1 Krav til informasjonssikkerhet og styringssystem for informasjonssikkerhet Krav til informasjonssikkerhet følger avpasientjournallovens krav og Normens krav. 3 Med skyggejournal menes annen pasientjournal som helsepersonell opprettholder i virksomheten i tillegg til felles journal. Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 10 av 38

De fleste kravene er grundig dokumentert i eksisterende dokumenter (faktaark og veiledere) som er publisert på www.normen.no jf. kap. 4.1 nedenfor. I denne veilederen er ikke kravene til informasjonssikkerhet behandlet på nytt, men det vises til de nevnte dokumentene. Det er imidlertid viktig at det utarbeides og følges opp et felles styringssystem for informasjonssikkerhet (internkontroll) i forbindelse med etablering av felles journal. Om en felles journal har flere databehandlingsansvarlige bør det etableres felles prosedyre for tilgang i styringssystemet. Prinsippene for tilgangsstyring i felles journal er et av de viktigste virkemidlene for at taushetsplikten blir ivaretatt. All tilgang og bruk av felles journal skal hendelsesregistreres (se Faktaark 15 - Hendelsesregistrering og oppfølging). Hendelsesregistret skal oppbevares til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for dem. Hendelsesregisteret i felles journal skal blant annet gi den registrerte opplysninger om hvem som har hatt tilgang og hvor ofte tilgangen er benyttet. Den databehandlingsansvarlige skal jevnlig gjennomgå hendelsesregisteret med tanke på å oppdage urettmessig tilgang og brudd på taushetsplikten. Det skal utarbeides felles prosedyrer for gjennomgang av hendelsesregisteret. Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 11 av 38

3 EKSEMPLER PÅ SAMARBEID OM FELLES JOURNAL MED AVTALEEKSEMPLER Eksemplene 3.1 og 3.2 nedenfor fremstår som like, men dekker forskjellige målgrupper. 3.1 Gruppepraksis Eksemplet viser en gruppepraksis som fremstår som en enhet utad der det er etablert en felles journal, enkeltpersonforetakene har ikke lenger egen pasientjournal og alle enkeltpersonforetakene er databehandlingsansvarlige: Det er inngått avtale om felles journal mellom enkeltpersonforetakene. Med etablering av avtalen om felles pasientjournal oppfyller man kravet iht pasientjournalloven 9. Fire ulike enkeltpersonforetak fra samme gruppe helsepersonell (Lege 1 4) Helsepersonellet fører i en felles journal Eksempelsituasjonen gjør det enkelt for pasienten å få helsehjelp fra en annen behandler ved at denne behandleren kan få tilgang til pasientens journal. Når alle enkeltpersonforetakene er databehandlingsansvarlige må det innarbeides klare prosedyrer i styringssystemet for informasjonssikkerhet slik at alle benytter de samme prosedyrene, og avtalen må gjenspeile kompleksiteten i ansvarsforhold knyttet til en slik modell. Eksempelet nedenfor illustrerer at alle er databehandlingsansvarlige, men at ansvaret for ulike oppgaver kan ivaretas av flere av legene som deltar i samarbeidet (databehandlingsansvarlig). Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 12 av 38

Virksomhet Lege 1 Lege 2 Lege 3 Lege 4 AVTALEEKSEMPEL FOR GRUPPEPRAKSIS Avtaleparter Organisasjonsnummer xxx xxx xxx xxx Databehandlingsansvarlig Meldingsnummer fra Datatilsynet 4 Ved bruk av databehandler (ekstern driftsleverandør) Virksomhet Adresse Organisasjonsnummer Driftsleverandøren AS Driftsveien 9 Xxx Oversikt over hvilke oppgaver og tjenester som det skal samarbeides om Nr Oppgaver og tjenester Hva som er avtalt 1. Virksomhetene skal samarbeide om å yte følgende helsetjenester Eksempel: Allmennhelsetjeneste 2. Anskaffelse og drift av felles journal og IKTinfrastruktur (servere, arbeidsstasjoner, skrivere, sikkerhetsløsninger, mv.) 3. Etablering og oppfølging av styringssystem for informasjonssikkerhet (internkontroll) Eksempel: Det skal anskaffes nytt journalsystem Eksempel: Styringssystemet for informasjonssikkerhet skal være felles, som den enkelte databehandlingsansvarlige må integrere i egen virksomhet 4. Andre oppgaver Rutiner for henvendelser fra den registrerte Se kapittel 4.1 for eksempler på styringssystem for informasjonssikkerhet. Plassering av ansvar for oppgaver Nr Oppgave Ansvarlig 1. Anskaffe felles journal Lege 2 2. Inngå avtale og ivareta kontakt med leverandør av felles journal Lege 2 3. Anskaffe IKT-infrastruktur Lege 4 4. Daglig drift av IKT-infrastruktur og felles journal Lege 4 5. Inngå og følge opp avtale med databehandler Lege 1 6. Inngå og følge opp avtale med leverandør for teknisk bistand Lege 4 7. Etablere og følge opp internkontroll (styringssystem for informasjonssikkerhet) for felles Lege 1 journal 8. Gjennomføre daglig administrasjon og oppfølging av felles journal iht. styringssystemet Lege 1 for informasjonssikkerhet 9. Annet: Lege x Erstatningsansvar Samtlige virksomheter er erstatningsansvarlige etter den til enhver tid gjeldende helselovgivning med tilhørende forskrifter. Dette innebærer at virksomhetene i samarbeidet er solidarisk ansvarlige for skade som er oppstått som følge av at helseopplysninger er behandlet i strid med bestemmelser i helselovgivningen, og fullt ut står økonomisk ansvarlige for eventuelle feil. 4 Alle behandlinger skal meldes til Datatilsynet slik: Gå inn på nettstedet: http://hetti.datatilsynet.no/melding/ Fyll inn en melding per behandling i tabellen Om det er tvil om meldingen er sendt fra før kan eventuelt meldingsnummerert finnes i den søkbare databasen til Datatilsynet eller på kvitteringer fra Datatilsynet. Se http://hetti.datatilsynet.no/melding/report_search.pl Alle meldinger skal fornyes hver 3 år. Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 13 av 38

Endring eller Oppsigelse av avtalen Avtalen må beskrive hva som skal skje med registeret og behandlingen av opplysningene ved endring av samarbeidet. Dette skal også inkludere oppbevaring av arkiver som er skapt av virksomhetene gjennom samarbeidet. Oppsigelse av avtalen skal være skriftlig, stilles til de øvrige databehandlingsansvarlige og signeres av enkeltpersonforetakets daglige leder. Frist for oppsigelse er [6] måneder (her benyttes 6 måneder som et eksempel) regnet fra siste dato i måneden. Det skal utarbeides informasjon til pasienten ved opphør av samarbeidet. Opplysninger om hvor pasientjournalene skal overføres ved endring eller opphør av samarbeidet Nr Avklaringsområde Beskrivelse 1. Beskriv til hvilke(n) virksomhet(er) pasientjournalene og tilhørende hendelsesregistre skal overføres ved opphør av Eksempel 1: én deltager trer ut og en ny trer inn på samme plass (f.eks. ved salg av en av virksomhetene som inngår i samarbeidet) samarbeidet. journalene forblir i samarbeidet Overføringen kan gjøres for gitte eller alle pasientgrupper. Det er ikke nødvendig å spesifisere på individnivå hvilke pasientjournaler som skal overføres til hvilken virksomhet. ny deltager overtar journalene fra den som trer ut Eksempel 2: én deltager trer ut og tar med seg pasientene journalene følger den som trer ut de øvrige som har ført i de aktuelle journalene må fortsatt ha disse pga dokumentasjonsplikten (jf. helsepersonelloven 39) Eksempel 3: hele samarbeidet opphører (avvikling av samarbeidet) den enkelte tar med seg journaler for egne pasienter de øvrige som har ført i de aktuelle journalene må fortsatt ha disse pga dokumentasjonsplikten (jf. helsepersonelloven 39) Opphør av virksomhet følger de alminnelige regler for opphør (jf. pasientjournalforskriften 15). Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 14 av 38

3.2 Profesjonssamarbeid Eksemplet viser et profesjonssamarbeid der det er etablert en felles journal, enkeltpersonforetakene har ikke lenger egen pasientjournal, alle virksomhetene er databehandlingsansvarlige og én av virksomhetene representerer de databehandlingsansvarlige utad: Det er inngått avtale om felles journal mellom enkeltpersonforetakene. Avtalen løser behovet for hjemmel for behandling av helse- og personopplysninger Tre ulike enkeltpersonforetak som hver kommer fra forskjellige grupper helsepersonell Helsepersonellet fører i én felles journal I dette eksemplet er enkeltpersonforetakene fra ulike grupper helsepersonell. Dette kan medføre at det oppstår ulikheter ved behandling av helse- og personopplysninger, ut fra de ulike profesjonenes regelverk (særlover, forskrifter, normer, avtaleverk mv.). Dette vil kunne stille funksjonelle krav til en felles journal (f.eks. at tilgangsstyringen tar hensyn til de ulike profesjonenes tjenstlige behov). Hvilke følger dette får for avtalen om felles journal, i det aktuelle samarbeidet om å yte helsehjelp, må avklares konkret. Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 15 av 38

Hvilken virksomhet for felles journal som representerer de databehandlingsansvarlige utad må avtales. Ansvaret for ulike oppgaver kan ivaretas av den enkelte databehandlingsansvarlige. Virksomhet AVTALEEKSEMPEL FOR PROFESJONSSAMARBEID Avtaleparter Organisasjonsnummer Databehandlingsansvarlig Manuellterapeut xxx Ja Kiropraktor xxx Ja Fysioterapeut xxx Ja Virksomhet som representerer de databehandlingsansvarlige utad: Virksomhet Adresse Organisasjonsnummer Manuellterapeut Manuellveien 9 xxx Ved bruk av databehandler (ekstern driftsleverandør) Virksomhet Adresse Organisasjonsnummer Driftsleverandøren AS Driftsveien 9 xxx Oversikt over hvilke oppgaver og tjenester som det skal samarbeides om Meldingsnummer fra Datatilsynet Fotnote nr.4 Nr Oppgaver og tjenester Hva som er avtalt 1. Virksomhetene skal samarbeide om å yte Eksempel: følgende helsetjenester Smertebehandling "Pleie for alle" (3-4 profesjoner som gir et helhetlig behandlingstilbud) Klinikk med psykolog og psykiater 2. Anskaffelse og drift av felles journalsystem og IKT-infrastruktur (servere, arbeidsstasjoner, skrivere, sikkerhetsløsninger, mv.) Eksempel: Det skal anskaffes et nytt journalsystem 3. Etablering og oppfølging av styringssystem for informasjonssikkerhet (internkontroll) Eksempel: Det skal etableres et felles styringssystem for informasjonssikkerhet som skal gjelde for samarbeidet. Merknad: Det bør refereres til styringssystemet i avtalen. 4. Andre oppgaver: Rutiner for henvendelser fra den registrerte Se kapittel 4.1 for eksempler på styringssystem for informasjonssikkerhet. Plassering av ansvar for oppgaver Nr Oppgave Ansvarlig 1. Anskaffe felles journalsystem Manuellterapeut 2. Inngå avtale og ivareta kontakt med leverandør av felles journalsystem Manuellterapeut 3. Anskaffe IKT-infrastruktur Manuellterapeut 4. Daglig drift av IKT-infrastruktur og felles journalsystem Kiropraktor 5. Inngå og følge opp avtale med databehandler Manuellterapeut 6. Inngå og følge opp avtale med leverandør for teknisk bistand Kiropraktor 7. Etablere og følge opp internkontroll (styringssystem for informasjonssikkerhet) ifm. Fysioterapeut Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 16 av 38

felles journal 8. Gjennomføre daglige administrasjon og oppfølging av felles journalsystem iht. Fysioterapeut styringssystemet for informasjonssikkerhet 9. Annet: Fysioterapeut Erstatningsansvar Samtlige virksomheter er erstatningsansvarlige etter den til enhver tid gjeldende helselovgivning med tilhørende forskrifter. Dette innebærer at virksomhetene i samarbeidet er solidarisk ansvarlige for skade som er oppstått som følge av at helseopplysninger er behandlet i strid med bestemmelser i helselovgivningen, og fullt ut står økonomisk ansvarlige for eventuelle feil. Endring eller Oppsigelse av avtalen Avtalen må beskrive hva som skal skje med registeret og behandlingen av opplysningene ved endring av samarbeidet. Dette skal også inkludere oppbevaring av arkiver som er skapt av virksomhetene gjennom samarbeidet. Oppsigelsen skal være skriftig, stiles til de øvrige databehandlingsansvarlige og signeres av enkeltpersonforetakets daglige leder. Frist for oppsigelse er [6] måneder (her benyttes 6 måneder som et eksempel) regnet fra siste dato i måneden. Det skal utarbeides informasjon til pasienten ved opphør av samarbeidet om felles journal. Opplysninger om hvor pasientjournalene skal overføres ved endring eller opphør av samarbeidet Nr Avklaringsområde Beskrivelse 1. Beskriv til hvilke(n) virksomhet(er) Eksempel 1: pasientjournalene og tilhørende Ved opphør av samarbeidet skal: hendelsesregistre skal overføres ved endring eller opphør av samarbeidet. den som har ført journalen overta journalen kun den delen av journalen som er knyttet til profesjonen følge den enkelte behandler Overføringen kan gjøres for gitte eller alle pasientgrupper. Det er ikke nødvendig å spesifisere på individnivå hvilke pasientjournaler som skal overføres til hvilken virksomhet. de øvrige som har ført i de aktuelle journalene må fortsatt ha disse pga dokumentasjonsplikten (jf. helsepersonelloven 39) Opphør av virksomhet følger de alminnelige regler for opphør (jf. pasientjournalforskriften 15). Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 17 av 38

3.3 Kommune med dels kommunal og dels privat hjemmetjeneste Dette eksempelet viser en løsning som også kan kombineres med eksemplene i kapittel 3.4 og 3.5. Eksemplet viser samarbeid mellom kommunen og tjenesteytere: Det er inngått avtale om en felles journal mellom kommunen og tjenesteyterne. Avtalen oppfyller vilkåret i pasientjournalloven 9. Samarbeidsformen er organisert slik at kommunen bemanner hjemmetjenesten med eget helsepersonell på natten og har tjenesteutsatt deler av hjemmetjenesten på dagtid Pasienter/brukere som velger å få levert tjenester fra eksterne leverandører, må velge hvilken ekstern leverandør som skal levere tjenestene. Det kan være mange tjenesteytere som leverer tjenester på dagtid Helsepersonellet i kommunen og helsepersonell hos tjenesteyterne fører journal i kommunens fagsystem Kommunen er databehandlingsansvarlig for samarbeidet om en felles journal Kommunen er representant utad og tjenesteyterne er underlagt kommunens instruksjonsmyndighet ved felles journalføring Fordeler med løsningen: Gir ansatte i kommunen og hos tjenesteyter nødvendig tilgang til helse- og personopplysninger for å yte helsehjelp Gir kommunen god kontroll med leveransen av tjenesten den er ansvarlig for Gir kommunen enkel tilgang til helse- og personopplysninger for styrings- og rapporteringsformål, bl.a. for kvalitetskontroll og lovpålagt rapportering (for eksempel IPLOS) Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 18 av 38

Alle virksomhetene dokumenterer helsehjelpen i en felles journal og helsepersonellet handler koordinert og kjenner til hverandres helsehjelp Pasientjournalene forblir i kommunen ved opphør av avtale om felles journal Kommunens styringssystem for informasjonssikkerhet regulerer krav og prinsipper for informasjonssikkerhet og internkontroll For en kommune som har flere tjenesteytere bør det vurderes å inngå parallelle avtaler om felles journal med den enkelte tjenesteyter. Løsningen stiller store krav til tilgangsstyring slik at helsepersonell kun har tilgang iht tjenstlig behov. Tilgangen må kunne styres både for den enkelte virksomhet og rollen helsepersonellet har. Ved et umiddelbart opphør av et samarbeid (for eksempel pga. misligheter hos tjenesteyter) må kommunen ha prosedyrer som sikrer at helsepersonell fra tjenesteyter blir fratatt sine tilganger så raskt som mulig. AVTALEEKSEMPEL FOR KOMMUNE MED TJENESTEYTER Avtaleparter Virksomhet Adresse Organisasjonsnummer Databehandlingsansvarlig Kommunen Kommuneveien 1 xxxx Ja Ekstern leverandør A Leverandørveien 1 xxxx Ekstern leverandør B Leverandørveien 10 xxxx Ved bruk av databehandler (ekstern driftsleverandør) Virksomhet Adresse Organisasjonsnummer Driftsleverandøren AS Driftsveien 9 xxx Oversikt over hvilke oppgaver og tjenester som det skal samarbeides om Nr Avklaringsområde Hva som er avtalt 1. Virksomhetene skal samarbeide om å yte Eksempel: følgende helsetjenester Hjemmetjeneste til kommunens pasienter/brukere Plassering av ansvar for oppgaver Nr Oppgave Ansvarlig 1. Anskaffe felles journalsystem Kommunen 2. Inngå avtale med leverandør av journalsystem Kommunen 3. Kontaktperson med leverandør av journalsystem Kommunen 4. Anskaffe teknisk løsning (servere, arbeidsstasjoner, skrivere, osv) Kommunen 5. Drifte IKT-løsningen (journalsystem og teknisk løsning) Kommunen 6. Inngå avtale med databehandler Kommunen 7. Inngå avtale med teknisk leverandør for teknisk bistand Kommunen 8. Etablere teknisk informasjonssikkerhet iht kravene i Normen Kommunen 9. Oppdatere og lære opp samtlige i styringssystem for informasjonssikkerhet Kommunen 10. Annet: Kommunen Erstatningsansvar Samtlige virksomheter er erstatningsansvarlige etter den til enhver tid gjeldende helselovgivning med tilhørende forskrifter. Dette innebærer at virksomhetene i samarbeidet er solidarisk ansvarlige for skade som er oppstått som følge av at helseopplysninger er behandlet i strid med bestemmelser i helselovgivningen, og fullt ut står økonomisk ansvarlige for eventuelle feil. Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 19 av 38

Endring eller Oppsigelse av avtalen Når det inngås bilaterale avtaler vil opphør av én avtale ikke påvirke samarbeidets øvrige aktører. Samarbeid om felles journal kan følge kommersielle avtaler som har en gitt løpetid. Ved slike tilfeller vil det samarbeidet opphøre når den kommersielle avtalen opphører, og det er ikke nødvendig med egen oppsigelse av avtalen for samarbeidet. Oppsigelsen skal være skriftlig, stiles til den databehandlingsansvarlige og signeres av virksomhetens leder. Frist for oppsigelse er [6] måneder (her benyttes 6 måneder som et eksempel) regnet fra siste dato i måneden. Opplysninger om hvor pasientjournalene skal overføres ved opphør av samarbeidet om felles journal Nr Avklaringsområde Beskrivelse 1. Hvor skal pasientjournalene og tilhørende hendelsesregistre overføres ved opphør av samarbeidet Kommunen er alltid databehandlingsansvarlig og pasientjournaler og hendelsesregistre skal alltid forbli i kommunen. Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 20 av 38

3.4 Kommune med privat sykehjem og kommunal hjemmetjeneste Dette eksempelet viser en løsning som også kan kombineres med eksemplene i kapittel 3.3 og 3.5. Eksemplet viser samarbeid mellom kommunen og tjenesteyter som fremstår som en enhet utad: Det er inngått avtale om felles journal mellom kommunen og tjenesteyter. Avtalen hjemler behandling av helse- og personopplysninger Samarbeidsformen er organisert slik at kommunen bemanner hjemmetjenesten med eget helsepersonell og tjenesteyter driver sykehjemmet på oppdrag for kommunen Pasienten vil veksle mellom å motta helsetjenester fra kommunen og tjenesteyter med for eksempel en korttidsplass i 4 uker på sykehjemmet og deretter tilbake i egen bolig med bistand fra hjemmetjenesten Helsepersonellet i kommunen og helsepersonell hos tjenesteyter fører journal i kommunens fagsystem Kommunen er databehandlingsansvarlig for samarbeidet om felles journal Kommunen er representant utad og tjenesteyter er underlagt kommunens instruksjonsmyndighet ifm. felles journal Fordeler med løsningen: Gir ansatte i kommunen og hos tjenesteyter nødvendig tilgang til helse- og personopplysninger for å yte helsehjelp Gir kommunen god kontroll med leveransen av tjenesten Gir kommunen enkel tilgang til helse- og personopplysninger for styrings- og rapporteringsformål, bl.a. ifm. kvalitetskontroll og lovpålagt rapportering (for eksempel IPLOS) Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 21 av 38

Der pasienten mottar helsehjelp etter vedtak i kommunen, vil kommunen og tjenesteyter dokumentere helsehjelpen i én felles journal og helsepersonellet handler koordinert og kjenner til hverandres helsehjelp Pasientjournalene forblir i kommunen ved opphør av avtale om felles journal Kommunens styringssystem for informasjonssikkerhet regulerer krav og prinsipper for informasjonssikkerhet og internkontroll For en kommune som har flere tjenesteytere bør det vurderes å inngå bilaterale avtaler om felles journal med den enkelte tjenesteyter. Løsningen stiller store krav til tilgangsstyring slik at helsepersonell kun har tilgang iht. tjenstlig behov. Tilgangen må kunne styres både for den enkelte virksomhet, rollen helsepersonellet har og ved overføring av pasienten til/fra hjemmetjenesten og til/fra sykehjemmet Ved et umiddelbart opphør av et samarbeid (for eksempel pga. misligheter hos tjenesteyter) må kommunen ha prosedyrer som sikrer at helsepersonell fra tjenesteyter blir fratatt sine tilganger så raskt som mulig. AVTALEEKSEMPEL FOR KOMMUNE MED TJENESTEYTER Avtaleparter Virksomhet Adresse Organisasjons- Nummer Databehandlings- Ansvarlig Kommunen Kommuneveien 1 xxxx Ja Leverandør Leverandørveien 1 xxxx Ved bruk av databehandler (ekstern driftsleverandør) Virksomhet Adresse Organisasjonsnummer Driftsleverandøren AS Driftsveien 9 Xxx Oversikt over hvilke oppgaver og tjenester samarbeidet om felles journal omfatter Nr Avklaringsområde Hva som er avtalt 1. Virksomhetene skal samarbeide om å yte følgende helsetjenester Håndtering av henvendelser fra den registrerte Håndtere sikkerheten med tilgangsstyring mv. Eksempel: Hjemmetjeneste til kommunens pasienter/brukere Plassering av ansvar for oppgaver Nr Oppgave Ansvarlig 1. Anskaffe felles journalsystem Kommunen 2. Inngå avtale med leverandør av journalsystem Kommunen 3. Kontaktperson med leverandør av journalsystem Kommunen 4. Anskaffe teknisk løsning (servere, arbeidsstasjoner, skrivere, osv) Kommunen 5. Drifte IKT-løsningen (journalsystem og teknisk løsning) Kommunen 6. Inngå avtale med databehandler Kommunen 7. Inngå avtale med teknisk leverandør for teknisk bistand Kommunen 8. Etablere teknisk informasjonssikkerhet iht kravene i Normen Kommunen 9. Oppdatere og lære opp samtlige i styringssystem for informasjonssikkerhet Kommunen 10. Annet: Kommunen Erstatningsansvar Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 22 av 38

Samtlige virksomheter er erstatningsansvarlige etter den til enhver tid gjeldende helselovgivning med tilhørende forskrifter. Dette innebærer at virksomhetene i samarbeidet er solidarisk ansvarlige for skade som er oppstått som følge av at helseopplysninger er behandlet i strid med bestemmelser i helselovgivningen, og fullt ut står økonomisk ansvarlige for eventuelle feil. Oppsigelse av avtalen Avtalen må beskrive hva som skal skje med registeret og behandlingen av opplysningene ved endring av samarbeidet. Dette skal også inkludere oppbevaring av arkiver som er skapt av virksomhetene gjennom samarbeidet. Når det inngås bilaterale avtaler vil imidlertid opphør av én avtale ikke påvirke samarbeidet for øvrige aktører. Samarbeidet kan følge kommersielle avtaler som har en gitt løpetid. Ved slike tilfeller vil samarbeidet opphøre når den kommersielle avtalen opphører og det er ikke nødvendig med egen oppsigelse av avtalen for samarbeidet om felles journal. Oppsigelsen skal være skriftlig, stiles til den databehandlingsansvarlige og signeres av virksomhetens leder. Frist for oppsigelse er [6] måneder (her benyttes 6 måneder som et eksempel) regnet fra siste dato i måneden. Opplysninger om hvor pasientjournalene skal overføres ved endring eller opphør av samarbeidet Nr Avklaringsområde Beskrivelse 1. Hvor skal pasientjournalene og tilhørende hendelsesregistre overføres ved opphør av samarbeidet. Kommunen er alltid databehandlingsansvarlig og pasientjournaler og hendelsesregistre skal alltid forbli i kommunen. Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 23 av 38

3.5 Lokalmedisinsk senter (helsehus) og intermediært tilbud Dette eksempelet viser en løsning som også kan kombineres med eksemplene i kapittel 3.3 og 3.4. Eksemplet viser: Kommunen har opprettet et helsehus med et intermediært tilbud 5 for å yte et helhetlig helsetilbud Helsehuset er plassert ved det lokalmedisinske senteret i kommunen Helsepersonellet består av kommunens tilsatte og helsepersonell med enkeltpersonforetak som jobber gjennom sine egne enkeltpersonforetak. Når de er i helsehuset fører de felles journal Det er inngått avtale om felles journal mellom kommunen og enkeltpersonforetakene Kommunen er databehandlingsansvarlig for samarbeidet om en felles journal Alle er underlagt kommunens instruksjonsmyndighet ved behandling av helse- og personopplysninger i felles journal for helsehuset Fordelen med en slik løsning er at journalen for helsehuset føres samlet og ansvaret for informasjonssikkerhet og internkontroll er plassert i kommunen. Helsepersonell med egen virksomhet fører egen journal når de ikke jobber ved helsehuset. Det kan dermed oppstå tilfeller hvor pasienten ikke opplever å få et helhetlig tilbud ettersom journal føres to steder. Kommunen og helsepersonellet med enkeltpersonforetak må avtale hvordan dette skal løses. 5 Intermediært tilbud er en mellomting mellom en sengepost på et sykehus og en sengepost i et kommunalt sykehjem, men med høyere bemanning, økt mengde legetjenester, og andre helsefaglige tjenester. Helsetjenesten kan f.eks. være opptrening etter utskrivning fra sykehus Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 24 av 38

AVTALEEKSEMPEL FOR SAMARBEID OM FELLES JOURNAL VED LOKALMEDISINSK SENTER (HELSEHUS) OG INTERMEDIÆRT TILBUD Avtaleparter Virksomhet Adresse Organisasjons- Nummer Databehandlingsansvarlig Kommune Kommuneveien 1 xxxx Ja Manuellterapeut Terapeutgata 1 xxxx Lege Legegata 1 xxxx Tannlege Tanngata 1 xxxx Ved bruk av databehandler (ekstern driftsleverandør) Virksomhet Navn Adresse Organisasjonsnummer Driftsleverandøren AS Driftsveien 9 xxx Oversikt over hvilke oppgaver og tjenester som det skal samarbeides om Nr Avklaringsområde Hva som er avtalt 1. Virksomhetene skal samarbeide om å yte Eksempel: følgende helsetjenester Smertelindring Overvåkning av helsetilstand Trening før overføring til eget hjem Plassering av ansvar for oppgaver Nr Oppgave Ansvarlig 1. Anskaffe felles journalsystem Kommunen 2. Inngå avtale med leverandør av journalsystem Kommunen 3. Kontaktperson med leverandør av journalsystem Kommunen 4. Anskaffe teknisk løsning (servere, arbeidsstasjoner, skrivere, osv) Kommunen 5. Drifte IKT-løsningen (journalsystem og teknisk løsning) Kommunen 6. Inngå avtale med databehandler Kommunen 7. Inngå avtale med teknisk leverandør for teknisk bistand Kommunen 8. Etablere teknisk informasjonssikkerhet iht. kravene i Normen Kommunen 9. Oppdatere og lære opp samtlige i styringssystem for informasjonssikkerhet Kommunen 10. Annet: Kommunen Erstatningsansvar Samtlige virksomheter er erstatningsansvarlige etter den til enhver tid gjeldende helselovgivning med tilhørende forskrifter. Dette innebærer at virksomhetene i samarbeidet er solidarisk ansvarlige for skade som er oppstått som følge av at helseopplysninger er behandlet i strid med bestemmelser i helselovgivningen, og fullt ut står økonomisk ansvarlige for eventuelle feil. Oppsigelse av avtalen Avtalen må beskrive hva som skal skje med registeret og behandlingen av opplysningene ved endring av samarbeidet. Dette skal også inkludere oppbevaring av arkiver som er skapt av virksomhetene gjennom samarbeidet. Oppsigelsen skal være skriftlig, stiles til den databehandlingsansvarlige og signeres av virksomhetens daglige leder. Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 25 av 38

Frist for oppsigelse er [6] måneder (her benyttes 6 måneder som et eksempel) regnet fra siste dato i måneden. Opplysninger om hvor pasientjournalene skal overføres ved endring eller opphør av samarbeidet Nr Avklaringsområde Beskrivelse 1. Hvor skal pasientjournalene og tilhørende hendelsesregistre overføres ved opphør av samarbeidet. Kommunen er alltid databehandlingsansvarlig og pasientjournaler og hendelsesregistre skal alltid forbli i kommunen. Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 26 av 38

3.6 Samarbeid mellom helseforetak og andre virksomheter om felles journal Samarbeidsformer på helseforetaksnivå kan variere: To eller flere helseforetak Helseforetak og private aktører Et helseforetak og en eller flere kommuner Som et resultat av funksjonsdeling mellom helseforetak og private aktører vil felles journal bidra til en mer effektiv ytelse av helsehjelpen, bedre pasientsikkerhet og muligheten for å få tilgang til relevant og nødvendig informasjon om pasienten. Om avtale om funksjonsdeling opphører, faller grunnlaget for felles journal bort. Videre vil beslutning om felles elektronisk pasientjournal (EPJ) og fagsystem innenfor for eksempel en helseregion være grunnlag for å etablere felles journal. Ved slike samarbeidsformer vil den enkelte virksomhet være databehandlingsansvarlig. Avtaleparter Virksomhet 1 Virksomhet 2 Virksomhet 3 Virksomhet 4 AVTALEEKSEMPEL FELLES JOURNAL MELLOM STØRRE VIRKSOMHETER 1. Avtaleparter Organisasjonsnummer Databehandlingsansvarlig, jf. 9 d) 6 Ja Ja Ja Ja 6 Se punkt 6 nedenfor for behandling av databehandlingsansvarliges ansvar og fordeling av oppgaver knyttet til dette. Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 27 av 38

Ved bruk av databehandler (ekstern driftsleverandør) Virksomhet Adresse Organisasjonsnummer [RHF IKT enhet] [Driftsveien 9] [xxx] 2. Formål Formålet med denne avtalen er å regulere samarbeidet om behandlingsrettet helseregister, jf. pasientjournalloven 9, mellom avtaleparter som yter helsetjenester. Avtalen skal regulere forhold knyttet til at de samarbeidende avtalepartene oppretter én felles pasientjournal. Avtalen skal sikre klare ansvarsforhold mellom avtalepartene mht. sentrale forhold som hvem som er databehandlingsansvarlig, hvem som har ansvar for informasjonssikkerhet herunder tilgangsstyring, hvem som har ansvar for å sikre pasientrettigheter og på hvilken måte disse sikres herunder ha rutiner for hvordan henvendelser fra pasienter skal håndteres. Avtalen skal også regulere hvordan den felles journalen skal håndteres ved endringer i samarbeidet, eller dersom den felles journalen skal opphøre å eksistere. [Ev. ytterligere beskrivelse av formålet] 3. Bakgrunn og behov for samarbeidet - Nærmere angivelse av bakgrunnen for samarbeidet: [Beskrivelse av behov og virkeområde for felles journal Forarbeid som er gjort for å etablere felles journal, henvisning til relevante dokumenter o legges som bilag til avtalen, jf. punkt 4. Risikovurdering ved etablering av felles journal ] 4. Avtalens dokumenter [Angi hvilke dokumenter (med dato/versjonsnummer eller med angivelse av at det gjelder de til enhver tid gjeldende dokumentene, ev. lenker), ev. deler av dokumenter, som inngår i avtalen, som f.eks. risikovurdering, systembeskrivelse m.m.] Dokumenter som inngår i avtalen [eksempel] [Bilag 1 Forprosjektrapport for konsolidering pasientjournalsystemer Bilag 2 Beskrivelse av felles journalsystemløsning Bilag 3 Risikovurdering(er) Bilag 4 Beskrivelse av felles forvaltningsregime (inkl. ansvarskart og endringsstyring)( til enhver tid gjeldende) Bilag 5 Styringssystem for informasjonssikkerhet (internkontroll)( til enhver tid gjeldende) Bilag 6 Rutiner for henvendelser fra pasienter som er registrert i felles journalsystem Bilag 7 Rutiner for å gi pasienter informasjon om felles journal Bilag 8 Rutiner for tilfeller hvor man skal ta inn nye avtaleparter Bilag 9 Rutiner for ivaretakelse av pasient/brukers rettigheter jf. 9 b ( til enhver tid gjeldende) Bilag 10 Endringer ] 5. Databehandlingsansvar [Eksempel felles databehandlingsansvar likeverdige parter som f.eks. en gruppe HF som samarbeider om felles journal. Merk at eksempel med avtale mellom kommune og tjenesteyter (eller f.eks. mellom HF og avtalespesialist) fremgår av andre eksempler i veilederen.] Avtalepartene har felles databehandlingsansvar. Dette innebærer at alle avtaleparter har tilsvarende ansvar for de opplysningene i den felles journalen som er listet opp i punkt 6 i denne Avtalen. Hver av avtalepartene forvalter sine oppgaver under ansvaret i henhold til fordelingen i Avtalen., herunder Veileder med avtaleeksempler ved samarbeid om felles journal v2.1 side 28 av 38

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding