Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak

Like dokumenter
Kontroll av reseptformidleren endelig kontrollrapport

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Kontroll av Follo legevakt Vedtak om pålegg og endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Kontrollrapport. Kontrollobjekt: Telenor Objects AS Sted: Fornebu

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

BEST Helse Nordstrand pålegg om avslutning av urettmessig behandling av personopplysninger

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012

Omgjøring av vedtak om delvis avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Deres referanse Vår referanse Dato / /EOL

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres.

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Deres referanse Vår referanse Dato 15/ /JSK

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport Kreftregisteret / Janusbanken

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Vedrørende publisering av personopplysninger på nettstedet - Varsel om vedtak

Informasjonssikkerhet

Personvernerklæring Stendi

Deres ref Vår ref (bes oppgitt ved svar) Dato

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

5-7fiSDEPARTEMENT. 23 N11117nng. Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO. Avp/K0N-rfpc14: / ". Obk NR ARKIVK-UDE:

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Databehandleravtaler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Vår referanse (bes oppgitt ved svar)

Høring EPJ Standard del 2: Tilgangsstyring, redigering, retting og sletting

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Eks7. Pics. Adressater i henhold til liste. Helseforskningslovens virkeområde

PACS IT-sikkerhet i foretakene - ansvar og roller. Trondheim. Helse Nord-Trøndelag HF. Helge Gundersen. IKT-rådgiver / IT-sikkerhetsansvarlig

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Kontrollrapport. Kontrollobjekt: Bærum kommune Sted: Bærum

Personvern - sjekkliste for databehandleravtale

MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO.

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Endelig kontrollrapport

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Vår referanse (bes oppgitt ved svar)

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Endelig kontrollrapport

Hvis helseregisterloven 13 ikke fantes hva så?: Tilgang til journalopplysninger. trengs

Rapportering av avvik etter eksterne tilsyn til Helse Sør-Øst 2010 Vestre Viken HF versjon

Vedtak om pålegg - endelig kontrollrapport

Helsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10.

Ny lov nye muligheter for deling av pasientopplysninger

Kontroll hos SUSS - Senter for ungdomshelse samliv og seksualitet - Vedtak og endelig rapport

Foreløpig kontrollrapport

Høringsuttalelse - Forslag til endringer i sprøyteromsordningen

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

Endelig kontrollrapport

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

SYKEHUSET INNLANDET BRUMUNDDAL Postboks BRUMUNDDAL TILSYNSRAPPORT OG VARSEL OM PÅLEGG

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.

Juridisk regulering av helseregistre brukt til kvalitetssikring og forskningsformål

Lovfortolkning - Helsepersonelloven 29c - Opplysninger til bruk i læringsarbeid og kvalitetssikring

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

På vei mot digitale helsetjenester til befolkningen. Robert Nystuen Healthworld oktober

Sikkerhetskrav for systemer

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO

Deres referanse Vår referanse (bes oppgitt ved svar) Dato /MAL 09/ /CBR 10. mars 2009

Endelig Kontrollrapport

UNIVERSITETET I BERGEN Regional komité for medisinsk og helsefaglig forskningsetikk, Vest-Norge (REK Vest)

SAK NR INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET

Vedtak om overtredelsesgebyr som følge av ulovlig behandling av personopplysninger Oslo universitetssykehus HF ved Janusbanken

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Vår ref: Deres ref: Saksbehandler: Dato: 2012/ / / /HVE Sverre Uhlving

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/443-13/ /RCA 31. mars 2014

Tilsynssak - Helse Vest RHF - Curato Røntgen AS om kjøp av radiologitjenester med henvisning fra helseforetak

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

Transkript:

Vestre Viken HF c/o Sykehuset Buskerud 3004 Drammen Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01080-5/MEP 19. april 2013 Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak Den 10. januar 2013 gjennomførte Datatilsynet en kontroll av Vestre Viken Helseforetak på Drammen sykehus, jf vedlagte kontrollrapport. Kontrollen skjedde med hjemmel i lov om behandling av helseopplysninger av 18. mai 2001 nr. 24 (helseregisterloven) 31. Temaet for kontrollen var virksomhetens bruk av databehandlere i utlandet og overføring av helse- og personopplysninger til utlandet. Foreløpig kontrollrapport De funn som ble gjort under tilsynet er nærmere beskrevet i vedlagte kontrollrapport. Eventuelle feil eller mangler i de faktiske forhold som fremkommer i rapporten bes tatt opp med Datatilsynet i forbindelse med virksomhetens eventuelle tilsvar til varselet, jf siste avsnitt i dette brev. Det gjøres i den forbindelse oppmerksom på at rapporten rten skal gjenspeile de faktiske forhold på kontrolltidspunktet. Med mindre virksomheten har kommentarer til foreløpig kontrollrapporten blir denne å anse som endelig. Avslutning av sak Datatilsynet har ikke funnet at virksomheten overføring helse- og personopplysninger til utlandet. Vi har derfor ikke påvist avvik fra gjeldende regelverk. Med den bakgrunn avslutter Datatilsynet saken. Eventuelle merknader til saken eller foreløpig kontrollrapport bes sendt Datatilsynet innen tre uker etter at varslet er mottatt. Med vennlig hilsen Helge Veum avdelingsdirektør Vedlegg: Foreløpig kontrollrapport Marius Engh Pellerud rådgiver Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 0034 OSLO Hjemmeside: www.datatilsynet.no

Saksnummer: 12/01080 Dato for kontroll: 10.01.2013 Rapportdato: 18.04.2013 Foreløpig kontrollrapport Kontrollobjekt: Vestre Viken Helseforetak Sted: Drammen Sykehus Utarbeidet av: Ragnhild Castberg Marius Engh Pellerud 1 Innledning Datatilsynet gjennomførte kontroll hos Vestre Viken Helseforetak 10. januar 2013. Kontrollen ble gjennomført med hjemmel i helseregisterlovens 31 og personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med bruk av databehandlere i utlandet. Kontrollen fant sted ved Drammen sykehus, Wergelandsgate 10, Drammen. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Narve Furnes, klinikkdirektør - Henriette Henriksen, sikkerhetsansvarlig og personvernombud - Robert Nystuen, avdelingssjef og IKT-ansvarlig - Hilde S. Moen, kvalitetssjef - Halfdan Moss, fagdirektør 2.2 Fra Datatilsynet: - Ragnhild Castberg, seniorrådgiver - Marius Engh Pellerud, rådgiver 3 Generelt Vestre Viken Helseforetak ble etablert 1. juli 2009. Helseforetaket består av fire somatiske og to psykiatriske sykehus. Foretaket har ansvar for 460 000 mennesker i 26 kommuner og har 9 400 ansatte. Virksomheten er organisert geografisk etter de fire sykehusene (Bærum, Drammen, Kongsberg og Ringerike) og funksjonelt i fire overgripende klinikkfunksjoner (prehospitale tjenester, psykisk helse og rus, medisinsk diagnostikk og intern service). Virksomhetens IKT-funksjoner styres og koordineres fra Senter for ehelse som er underlagt Klinikk for intern service. I Senter for ehelse ligger også rollen som informasjonssikkerhetsansvarlig. 1 av 4

4 Virksomhetens bruk av databehandlere i utlandet Datatilsynet behandlet i 2012 to saker som omhandler norske helseforetaks bruk av databehandlere som behandler personopplysninger i utlandet. I etterkant av disse sakene har Datatilsynet ønsket å følge opp helseforetakenes praksis knyttet til behandling av helse- og personopplysninger i utlandet. Tilsynet var derfor spesielt rettet mot overføring av personopplysninger til databehandlere i og utenfor EU. Datatilsynet fikk i forkant av kontrollen oversendt en oversikt over virksomhetens bruk av utenlandske databehandlere og behandling av person- og helseopplysninger i utlandet. Oversikten inneholder imidlertid alle utenlandske leverandører av systemer som benyttes av virksomheten til å behandle helse- og personopplysninger, men er ikke en selvstendig oversikt over databehandlere. Spesielt interessant i denne sammenheng er de systemer og tjenester der leverandøren har tilgang til personopplysninger der leverandøren er basert i eller har filialer utenfor EU. En gjennomgang av oversikten i forkant av kontrollen viser at dette er tilfelle for tre systemer innen røntgen: Siemens RIS/PACS, Carestream RIS og Carestream PACS. Det framgår av oversikten at disse systemene har funksjoner for systemoppfølging i flere land i EU, samt Australia og USA. Under kontrollen ble derfor disse systemene viet spesiell oppmerksomhet. Ut over røntgensystemer fokuserte Datatilsynet på virksomhetens bruk av pacemakere og distribusjon av data fra pacemakere som er operert inn i pasienter. Dette fordi en av de nevnte sakene i 2012 handlet om omføring av helseopplysninger fra pasienters pacemakere til leverandøren av pacemakeren. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Rettslig grunnlag Grunnvilkår for overføring av personopplysninger til utlandet er regulert av personopplysningsloven 29. Personopplysninger kan kun utleveres til stater som sikrer forsvarlig behandling av personopplysningene, jf. 1. ledd. Alle land som har tiltrådt personopplysningsdirektivet (Direktiv 95/46/EF) oppfyller kravene i denne bestemmelsen. Dette omfatter alle EU-land. I tillegg kan personopplysninger overføres til stater som ikke oppfyller kravet i 29, 1. ledd dersom ett av unntakene i personopplysningsloven 30, 1. ledd er oppfylt eller om Datatilsynet har gitt dispensasjon fra disse kravene, jf. 2. ledd. I tillegg er bestemmelsen om forbud mot etablering av virksomhetsovergripende registre relevant, jf. helseregisterloven 6 og 13. 5.2 Røntgen På røntgenområdet benytter Vestre Viken Helseforetak Siemens RIS/ PACS og Carestream RIS/ PACS (fra Kodak). Røntgensystem er typisk todelt. Den ene delen står for behandlingen av bildene som røntgenmaskinen produserer. Dette kalles PACS. PACS sender bildet videre til det som kalles Radiology Information System (RIS). Det er kun i RIS bildet knyttes til 2 av 4

konkrete personer. Her ligger også koblingen til pasientens ytterligere journalinformasjon. Helsepersonell vil hente ut informasjon fra RIS via pasientens journal. Selve røntgenmaskinen har kun et begrenset kortidsminne for lagring av røntgenbilder. Her lagres imidlertid kun ett bilde av gangen, kun over kort tid og bildene er ikke identifisert. Identifisering skjer først ved overføring til RIS. Vestre Viken drifter selv både RIS og PACS for både Carestream- og Siemensløsningen. For RIS og PACS fins det ikke muligheter for leverandører til å fjernstyre systemene. Det fins dermed ingen mulighet for at leverandørene kan få innsyn i virksomhetens person- og helseopplysninger. Derimot er det mulighet for at leverandørene kan gis fjerntilgang til selve røntgenmaskinene ved behov for feiltilgang. Her er det imidlertid ikke lagret personopplysninger. 5.3 Pacemaker Vestre Viken Helseforetak benytter fire leverandører av pacemakere: Medtronic, Orchestra Sorin, St. Judes og Guidence. Før en pacemaker settes i drift blir den programmert og testet. Ved innleggelse av ny pacemaker journalføres serienummer og type pacemaker i pasientens journal. En gang i året oversender Vestre Viken en rapport over innlagte pacemakere til et nasjonalt register. Ullevål sykehus har ansvaret for dette registeret i dag. Pasienter med pacemaker er til kontroll ved sitt sykehus jevnlig. Pacemaker leses av og programmeres ved hjelp av en pacemakerprogrammerer. Ved kontroll skriver dette programmet ut en rapport som legges i pasientens journal. Vestre Viken benytter ikke pacemakere som kommuniserer online med verken sykehus eller leverandør. Implanterbare hjertestartere legges inn og kontrolleres på samme måte. Her fins det imidlertid løsninger som gjør det mulig for pasienten å lese av implantatet hjemme og overføre informasjon via GPRS til server i utlandet. Pasientens lege kan da logge seg inn og kontrollere resultatet. En slik løsning har vært vurdert av Vestre Viken HF, men er ikke tatt i bruk. 5.4 Databehandleravtaler Den databehandlingsansvarliges skal etablere databehandleravtaler som redegjør for hvordan databehandler kan behandle helseopplysninger, jf. helseregisterloven 18. Datatilsynet etterspurte i etterkant av kontrollen avtaler mellom Vestre Viken HF og Medtronic og St. Judes. Dette for å bekrefte at Medtronic og St. Judes kun er å regne som leverandører av produkter og ikke behandler personopplysninger som Vestre Viken HF er databehandlingansvarlig for. Datatilsynet fikk oversendt innkjøpsavtalene med leverandørene, men konkrete produktbeskrivelser mangler. Etterfølgende dialog med Vestre Viken HF viser at slike beskrivelser av produkt og leveranser mangler. Ut fra informasjonen gitt ved stedlig kontroll framstår det som om Vestre Viken HF ikke foretar behandlinger av helse- og personopplysninger i utlandet. Dette er likevel vanskelig å verifisere, da Medtronics og St. Judes leveranser ikke tydelig er avtalefestet. Datatilsynet vil ikke fatte avvik knyttet til fraværet av slike avtaler, men vil påpeke at den Vestre Viken har 3 av 4

plikt til å ha kontroll med hva sine leverandører leverer av produkter og tjenester. Dette er en del av de planlagte og systematiske tiltak en databehandlingsansvarlig må gjennomføre for å oppfylle kravene i helseregister- og personopplysningsloven, jf. helseregisterloven 17, 1. og 2. ledd. 4 av 4

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding