De dataansvarlige vurderer om pasientjournalloven § 9 kan benyttes som hjemmel for felles journal. Ved samarbeid om felles journal har alle virksomhetene en selvstendig plikt til å oppfylle kravene som er pålagt den dataansvarlige. Paragraf 9 krever innebærer normalt at det er felles dataansvar. Dette er ikke til hinder for at ansvaret for ulike oppgaver fordeles mellom de dataansvarlige.
I gitte situasjoner ved etablering av felles journal vil en kommune alene være dataansvarlig.
Om dataansvaret
All behandling av helse- og personopplysninger krever en dataansvarlig. Dataansvaret innebærer å bestemme formålet med behandlingen av helse- og personopplysningene og hvilke midler som skal brukes for dette. Den eller de avtalepartene som har den faktiske kontrollen med og ansvaret for behandlingen av helse- og personopplysninger, er dermed dataansvarlig(e).
Den dataansvarlige har plikt til å sørge for:
- Tilfredsstillende personvern og informasjonssikkerhet ved at kravene til konfidensialitet, integritet og tilgjengelighet blir ivaretatt,
- at taushetsplikten som påhviler helsepersonellet kan ivaretas innenfor samarbeidet om felles journal, og
- at pasientens eller brukerens rettigheter blir ivaretatt.
Som del av dette stilles det krav til den dataansvarlige å:
- sørge for at all behandling av helse- og personopplysninger har et gyldig behandlingsgrunnlag
- sørge for tilfredsstillende informasjonssikkerhet og etablere internkontroll
- gi pasienten/brukeren innsyn
- gi informasjon og veiledning til pasienten/brukeren
- sørge for rutiner for retting og sletting av helseopplysninger
Pasientjournalloven gir adgang til å ha et felles dataansvar.
Felles dataansvar oppstår der to eller flere virksomheter bestemmer seg for å opprette og føre én felles journal for all behandling av et bestemt sett av helse- og personopplysninger. Gjennom dette bestemmer de at formålet er å dokumentere helsehjelp i felles journal og at den felles journalen er virkemidlet for å få gjennomført dette. I en slik situasjon vil alle ha det samme ansvaret for hele behandlingen av helse- og personopplysningene i journalen.
Ved felles dataansvar har alle dataansvarlige en selvstendig plikt til å oppfylle pasientjournallovens krav. Dette betyr at dataansvaret ikke kan fordeles til en eller flere av avtalepartene, mens andre blir sittende uten ansvar. De praktiske oppgavene som er knyttet til dataansvaret kan imidlertid fordeles mellom avtalepartene.
Virksomhetene har erstatnings- og strafferettslig ansvar som følger av personopplysningsloven og pasientjournalloven. Det kan fremmes krav overfor hvilken som helst av de dataansvarlige virksomhetene. Partene kan ikke avtale seg bort fra dette ansvaret, men kan avtale hvordan krav og pålegg skal håndteres mellom partene.
Hver enkelt dataansvarlig må for eksempel vurdere om informasjonssikkerheten er tilfredsstillende i den valgte løsningen for felles journal, og må på eget grunnlag ta stilling til om den oppfyller lovens krav. Det anbefales at partene sammen benytter kolonnen for systemkrav i vedlegg 6.1 til Normen, for å kontrollere og dokumentere at løsningen for felles journal oppfyller Normens krav til informasjonssikkerhet, og at resultatet av gjennomgangen inngår som bilag til avtalen mellom partene (se pkt 4. Avtalens dokumenter i kapittel 3).
Om fordeling av oppgaver
Ved felles journal stiller pasientjournalloven § 9 Samarbeid mellom virksomheter om behandlingsrettede helseregistre (lovdata.no) krav til at forholdet mellom de dataansvarlige formaliseres i skriftlig avtale. Avtalemalene i denne veilederen skisserer ulike forslag til hvordan fordelingen av oppgaver kan reguleres mellom avtalepartene.
Det er viktig at det er klart både innad mellom avtalepartene og utad overfor pasientene mht. hvem som er dataansvarlige, og hvordan oppgavene knyttet til dataansvaret er fordelt.
De viktigste hensiktene med et klart definert ansvarsforhold er:
- Pasienten/brukeren har rettigheter iht. lovverket som skal ivaretas.
- Virksomhetens bevissthet om eget ansvar som dataansvarlig.
- Ansvaret er sanksjonert, og brudd på pliktene som dataansvarlig kan resultere i overtredelsesgebyr, tvangsmulkt, erstatning eller straff.
Virksomheter med felles dataansvar kan avtale praktiske ordninger mht. håndtering av f.eks. henvendelser fra pasienter for å gjøre det enklere for pasientene. Selv om én avtalepart er kontaktpunkt vil de øvrige avtalepartene likevel ha plikt til å oppfylle innsynsrett eller utføre retting og sletting, enten direkte eller via etablerte kanaler ut fra hvordan dette er regulert i avtalen.
Det kan avtales at én av avtalepartene håndterer oppgaver knyttet til informasjonssikkerhet på vegne av de andre. Ved slike tilfeller er det viktig at alle dataansvarlige avtaleparter får tilfredsstillende dokumentasjon. Dette innebærer at de må få så god informasjon at de selv kan vurdere om informasjonssikkerheten er tilfredsstillende for dem.
Virksomhet med tjenesteutsetting
En kommune kan fritt velge å tjenesteutsette sine kommunale tjenester til enten private eller offentlige tjenesteytere. I en slik situasjon kan det avtales å benytte en felles journal med grunnlag i pasientjournalloven § 9. Kommunen beholder da dataansvaret alene (bestemmer formålet og virkemidlene ensidig)
Databehandler
Benyttes det databehandler for drift av felles journal er det viktig å avklare ansvarsforholdet mellom de dataansvarlige og databehandler. Dette reguleres nærmere i en databehandleravtale. En databehandleravtale er en avtale mellom den dataansvarlige og databehandler (ekstern driftsenhet).
Se Bruk av databehandler (faktaark 10))- Bruk av databehandler (ekstern driftsenhet) som gir et eksempel til avtaletekst (www.normen.no).
