v4-29.07.2015 Kulturdepartementet Postboks 8030 DEP 0030 OSLO Deres ref.: 16/1984 Vår ref.: 16/951-3 Saksbehandler: Maryke Silalahi Nuth Dato: 12.01.2017 Høringsuttalelse til ny forskrift om offentlige arkiv Innledning Direktoratet for e-helse viser til Kulturdepartementets høring på forslag til ny arkivforskrift, datert 18. oktober 2016. Direktoratet for e-helse gir hovedsakelig innspill til følgende: Definisjoner og begreper Bruk av skytjenester Direktoratet for e-helse etterlyser generelt flere definisjoner og begrepsavklaringer for å gjøre forskriften lettere å bruke i praksis. Direktoratet for e-helse støtter departementets forslag om å åpne for muligheten til å bruke skytjenester ved lagring av arkivmateriale, og påpeker noen ytterligere utfordringer knyttet til bruk av skytjenester. Innspill og kommentarer til enkeltbestemmelser Innspill til 1 Arkivansvaret i offentlege organ Arkivansvaret i 1 avgrenses «til verksemda». Flere offentlige tjenester ivaretas av private, i tillegg så vil samarbeid på tvers mellom offentlige organer kunne føre til at dokumenter som egentlig tilhører den enes portefølje, ender opp i en annens arkiv. Vi stiller spørsmål om ikke outsourcing av oppgaver bør adresseres i denne sammenheng. Dokumenter kan plasseres eller utarbeides i et felles nettverk som flere virksomheter har eierskap til (f. eks. samhandlingsrom). Direktoratet for e-helse stiller i denne sammenheng spørsmål om det bør defineres hvem som eier dokumentasjonen som utarbeides på tvers av virksomheter, og hvem som har arkivansvaret for dokumenter som utarbeides i felles prosjekter. Direktoratet for e-helse E-helse Avdeling juridisk Maryke Silalahi Nuth, tlf.: Postboks 6737 St. Olavs plass, 0130 OSLO Besøksadresse: Verkstedveien 1 Tlf.: 21 49 50 70 Org.nr.: 915 933 149 postmottak@ehelse.no www.ehelse.no
Innspill til 2 Definisjonar Begrep som bør defineres klarere Generelle betraktinger Det er to uklarheter som ikke klargjøres i forslag til ny arkivforskrift: Hva som er arkivverdige dokumenter, som må utledes fra lov og forskrift, og favner videre enn journalplikten. Begrepet "Verdi som dokumentasjon" og skjønnsvurderingen knyttet til begrepet, og manglende definering av saksbehandling. Arkivverdige dokumenter Vi mener at det bør klargjøres at det er forskjellige kriterier for hva som er journalpliktig og hva som er arkivverdig. I ordinære sak- og arkivsystemer finnes det ikke noe skille mellom det som arkiveres og det som journalføres, men arkivverdige dokumenter produseres i ulike fagsystemer. Videre er begrepene "og" og "verken-eller" benyttet ulikt når det er snakk om hvilke dokumenter som er journalpliktige og hvilke dokumenter som er arkivverdige. For at et dokument er journalpliktig etter 9 skal flere kriterier oppfylles («og»). I 2 i arkivloven defineres arkiv som "Dokument som vert til som lekk i ei verksemd", videre står det omtalt i ny 2 c i arkivforskriften hva som ikke er arkivverdige dokumenter: "Arkivavgrensing: å halde utanfor eller fjerne frå arkivet dokument som verken har inngått i saksbehandlinga til organet eller har verdi som dokumentasjon for organet" («verken-eller»). Dermed er det ikke lett å forstå hva som er arkivverdig ut i fra en negativ avgrensning mot hvilke dokumenter som ikke er det, altså arkiv som ikke er omfattet av arkivavgrensning. Departementet bør vurdere om dette kan klargjøres i 2. Verdi som dokumentasjon Det er arkivarer og saksbehandlere generelt, som får ansvaret for å vurdere dokumentenes verdi som dokumentasjon. Den skjønnsbaserte vurdering av hva som er "et dokument med verdi som dokumentasjon" er utfordrende. Begrepet tolkes strengt av noen, og mer pragmatisk av andre. Dette kunne med fordel konkretiseres og eksemplifiseres, eventuelt i en veileder. Direktoratet for e-helse ønsker også å påpeke at det ikke finnes noen entydig definisjon av begrepet "saksbehandling". Vi mener at en tydelig definisjon av saksbehandling kunne hørt hjemme i arkivforskriftens 2, da "gjenstand for saksbehandling" både kan definere dokumenter som arkivverdige og definerer dokumenter som journalpliktige. Innspill og kommentarer til forskriftsteksten Arkivbegrepet I 13 forekommer begrepet "saksarkiv og den tilhøyrande journalen ", men sakarkiv er ikke definert i 2. I helse- og omsorgstjenesten går det et klart skille mellom sakarkivet og pasientarkivet. Direktoratet for e-helse henviser til NOU 2006:5 Norsk helsearkiv siste stopp for pasientjournalene for en nærmere beskrivelse av hva som inngår i sakarkivet og hva som skal inngå i pasientarkivet. - 2 -
I forbindelse med ytelse av helsehjelp har helsepersonell behov for å utveksle opplysninger med helsepersonell i andre virksomheter hvor det ytes helsehjelp til samme pasient. Dette innebærer at det i pasientarkiv, på samme måte som i sakarkiv, både vil være inngående, utgående og interne dokumenter. Forskjellen mellom sakarkiv og arkiv som sådan innebærer at bestemmelser som gjelder saksdokumenter og sakarkiv ikke kan gjøres gjeldende for pasientarkiv. Dokumentbegrepet Begrepet «saksdokument» og «arkivdokument» benyttes i forskriften, og begrepene er benyttet om hverandre. I 12 brukes «arkivdokument» i bokstav a), b) og c), mens «saksdokument» benyttes i bokstav d), e) og f). Det ser ut til at man knytter begrepet saksdokument til dokumenter som skal journalføres i henhold til 9, og at arkivdokument brukes om arkivverdige dokumenter som sådan, som både finnes i sak- og arkivsystemer og i diverse fagsystemer. Hvis departementet legger ulik betydning i begrepene, så bør dette defineres i 2. Forskriften indikerer at "arkivdokument" er et videre begrep enn "saksdokument" slik at alle saksdokument er arkivdokument, men ikke alle arkivdokument er saksdokument. De bestemmelsene i forslaget hvor begrepet "saksdokument" benyttes, bør ikke kunne gjøres gjeldende for dokument i pasientarkiv. Manglende definisjon av begrepet "arkivdokument" er derfor problematisk når det gjelder dokumenter i pasientarkiv. Vi foreslår derfor at det i forskriften tas inn definisjoner av følgende begreper: arkivdokument saksdokument sakarkiv pasientarkiv Når det gjelder "arkivdokument" bør det tydeliggjøres at begrepet inkluderer saksdokument, dokument i pasientarkiv eller annet arkiv. Begrepet "pasientarkiv" bør også tydeliggjøres ved å inkludere dokument relatert til dokumentasjon eller administrasjon ved helsehjelp etter bestemmelsene i helsepersonelloven. Innspill til 9 Journalføring Det burde tydelig fremkomme i 9 "Journalføring" at denne bestemmelsen ikke omfatter alle organets arkivverdige dokumenter. Et annet problem med 9 er kriteriet at dokumenter må gå ut eller inn av organet for at de skal være journalpliktige, altså korrespondansedokumenter. Ofte er det slik at dokumenter hverken sendes eller mottas, men plasseres et sted som interessentene har felles elektronisk tilgang til (for eksempel samhandlingsrom). Det er her viktig å ta høyde for hva ny teknologi gjør med arbeidsprosesser, og hvordan dette bør håndteres regulatorisk i forskriften. - 3 -
Innspill til 13 Journalperiodar Som tidligere beskrevet benytter man begrepet "sakarkiv" i denne bestemmelsen, og her etterlyser vi en definisjon. Vi spør om det er nødvendig at periodisering bør følge kalenderår, da informasjon om valgt dato kan nedfelles i rutiner for internkontroll ( 3)? Innspill til 22 Lagring av digitalt arkivmateriale utanfor Noreg Generelt om bruk av skytjenester Direktoratet støtter forslaget om å åpne for muligheten til å bruke skytjenester ved lagring av arkivmateriale. Den teknologiske utviklingen peker i retning av økt bruk av skytjenester og slike tjenester kan være hensiktsmessige å ta i bruk av flere årsaker bl.a. av hensyn til kostnadseffektivitet, sikkerhet og brukervennlighet. For mange mindre offentlige aktører kan sikkerheten bedres ved bruk av skyleverandører, siden slike leverandører ofte vil ha kompetanse innenfor og et etablert system for å ivareta informasjonssikkerhet på en bedre måte enn mange små offentlig aktører har mulighet til. Det er imidlertid flere utfordringer knyttet til bruk av skytjenester. Forskriften 22 tillater lagring i utlandet så lenge pliktene i arkivloven og forskriften er regulert i skytjenesteavtale mellom det offentlige organet og «eigaren av arkivlageret». Avtaler med store internasjonale selskaper som tilbyr skytjenester kan bli kompliserte, og være vanskelig tilgjengelige. Det krever mye kompetanse å sette seg godt inn i slike avtaler, samt sørge for at alle lovkrav oppfylles. Dette kan særlig bli en utfordring for små offentlige aktører som på egen hånd må godkjenne leverandørene enkeltvis. Det bør vurderes etablert et nasjonalt kompetanseorgan, for eksempel hos Difi, for å veilede virksomhetene ved anskaffelse av skybaserte løsninger. Både «Digitaliseringsrundskrivet» og «Nasjonal strategi for bruk av skytjenester» legger føringer for økt bruk av skytjenester innen offentlig sektor. I forbindelse med ny arkivforskrift, ser Direktoratet for e-helse et behov for å utvikle veiledning for å gjøre det lettere for aktørene å oppfylle kravene etter norsk regelverk ved bruk av skytjenester. Veiledningen bør også omhandle bestemmelsene i personopplysningsloven om overføring av personopplysninger til utlandet, og hvilke momenter som må vurderes i en risikoanalyse før man tar i bruk skyleverandør fra utlandet. Forslag til avtalemaler og sjekklister kan også være gode verktøy i en slik sammenheng. Ved bruk av skytjenester kan det oppstå problemstillinger knyttet til avvikling, konkurs eller fusjonering av private skyleverandører. Det kan også reises problemstillinger knyttet til kopiering og overføring av data for redundans. Direktoratet for e-helse mener at det bør defineres hva som er masterdata og hva som er kopier, og hvilke krav som skal gjelde for slike situasjoner. Avtalen mellom partene bør dekke utfordringene som nevnes her. En av utfordringene som påpekes i høringsnotatet er lagring av arkivmateriale over lang tid. Direktoratet for e-helse mener at det kan være en utfordring er at eldre materiale som sjelden - 4 -
brukes, kan «glemmes» i en skyløsning som ikke lenger benyttes. Dette kan i verste fall bli slettet av skytjenesteleverandøren når avtalen opphører eller på et senere tidspunkt overskrives av andre data i skytjenesteleverandørs database. Det er derfor viktig at avtaler med skytjenesteleverandører tar høyde for at slike situasjoner ikke oppstår. Direktoratet for e-helse ser at det kan være behov for å veilede virksomhetene når det gjelder hvordan de skal forholde seg til kravene i forskriftens 7 «Krav til arkivlokale» og 8 «Spesialrom for arkiv». Dette vil gjelde både skytjenester i Norge og utlandet. Krav om at offentlige organer skal ha regler for hvem som skal ha tilgang til arkivlokalene kan for eksempel bli vanskelig å etterleve når en ekstern leverandør av skytjenester styrer tilgang til lokalene. Skytjenestelevarandøren kan også bruke en annen leverandørs lokaler for fysiske servere for eksempel i et datasenter i et annet land, eller ha sine servere plassert på flere lokasjoner. Dette gjør det enda vanskeligere for det offentlige organet å ha full kontroll på oversikt over og tilgang til arkivlokalene. Direktoratet for e-helse mener at bestemmelsene i 7-8 er detaljerte, og at fokuset bør være at arkivet skal lagres i et sikret rom som er risikovurdert i forhold til høy nok sikkerhet i forhold til informasjonen som er lagret der. Dette kan reguleres i avtalen med skyleverandøren. Skytjenester vil åpne muligheten for å bruke utenlandske leverandører fra tredjeland utenfor EU og EØS. Når en skytjeneste har lagringsplass i Norge men driftes av en leverandør fra tredje land, vil det måtte drøftes om dette reelt sett er overføring til utlandet. Dette vil også være en problemstilling ved bruk av underleverandører og i andre tilfeller der personer fra slike tredjeland skal ha tilgang til opplysningene som lagres i skyen selv om dataene lagres i Norge. Direktoratet for e-helse ser at det kan være behov for at Datatilsynet konsulteres i slike tilfeller. Bruk av tredjelandsleverandører og underleverandører bør uansett være en del av avtalen og avklares på forhånd. Innspill og kommentar til forskriftsteksten Direktoratet for e-helse har to kommentarer til ordlyden i forslag til 22 i forskriften: «Offentlege organ kan lagre digitalt arkivmateriale utanfor Noreg dersom pliktene i arkivlova med forskrifter er regulerte i avtala mellom organet og eigaren av arkivlageret. Organet skal behalde tilgang til, kontroll med og eigedomsrett til sitt eige arkivmateriale». «eigaren av arkivlageret» Uttrykket «eigaren av arkivlageret» kan språklig forstås som eier av det fysiske stedet hvor dataene lagres. Etter direktoratets mening er ikke denne ordlyden treffende for hvordan skytjenester ytes i praksis. Skytjenester kan leveres på mange måter og innebærer mange forskjellige tjenester. Skytjenesteleverandøren kan levere for eksempel programvare som tjeneste (Software as a Service osv.) og bruke en tredjeparts leverandør. Denne tredjepartsleverandøren kan ha en underleverandør for den aktuelle lagringen. Dette betyr at det kan fremstå som uklart hvem som faktisk eier det fysiske stedet hvor dataene lagres. «Eigaren av arkivlageret» kan derfor være en annen virksomhet enn den som det offentlige organet inngår avtale med. «Eigaren av arkivlageret» kan også forstås som at det gjelder den - 5 -
som eier materialet. Direktoratet for e-helse mener derfor at «eigaren av arkivlageret» burde endres til «tjenesteleverandøren». «behalde tilgang til, kontroll med og eigedomsrett til sitt eige arkivmateriale» Det bør forklares nærmere hva som ligger i «kontroll». I skytjenester er det ikke lenger mulig å peke på hvilken server eller disk arkivet er lagret på, men det offentlige organet bør likevel ha kontroll på hvor arkivet er fysisk lagret. Dette kan løses med en avtale mellom leverandøren og det offentlige organet om krav til oppbevaring for eksempel innenfor et bestemt område. Andre innspill og kommentarer Sett i forhold til arkiv, så er en annen utfordring med pasientjournaler at pasientjournalloven 9 åpner for at flere virksomheter kan samarbeid om behandlingsrettede helseregistre. Dette innebærer at flere virksomheter kan ha et felles pasientarkiv hvor ansatte (helsepersonell) i disse virksomhetene registrerer dokumenter om samme pasient. Videre innebærer dette at et og samme dokument, f.eks. en epikrise, kan være et utgående dokument sett fra en av virksomhetene, mens det er et inngående dokument sett fra en annen virksomhets perspektiv. Denne formen for felles arkiv er så vidt vi kan se, ikke godt dekket av det foreliggende forslaget til ny arkivforskrift. Det bør derfor vurderes å ta inn en egen bestemmelse om pasientarkiv i forskriften. I en slik bestemmelse kan det også være naturlig å angi at Norsk helsearkiv er arkivdepot for spesialisthelsetjenesten slik det også er angitt i spesialisthelsetjenesteloven 3-2a. Vennlig hilsen Roar Olsen e.f. divisjonsdirektør Siri Pernille Utkilen Avdelingsdirektør Dokumentet er godkjent elektronisk - 6 -