Med tjenesteutsetting menes i Normen at en kommune overlater definerte helse- og omsorgstjenester til en ekstern virksomhet, eks. en privat aktør eller et interkommunalt selskap. Denne virksomheten blir da tjenesteyteren.
Et felles behandlingsrettet helseregister menes i Normen der to eller flere virksomheter samarbeider om pasientjournal og informasjonssystem eller annet register, fortegnelse eller lignende, der helseopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen, og som skal gi grunnlag for helsehjelp eller administrasjon av helsehjelp til enkeltpersoner, jf. pasientjournalloven § 2. bokstav d (lovdata.no).
a) Når kommunen inngår avtale med tjenesteyter om ytelse av helse- og omsorgstjenester, kan de inngå avtale om samarbeid om felles journal (felles behandlingsrettede helseregistre).
b) Det skal da inngås skriftlig avtale (tjenesteutsettingsavtale) mellom partene som skal som minimum inneholde:
- hva samarbeidet omfatter
- hvordan pasientenes/ brukernes rettigheter skal ivaretas
- hvordan helseopplysningene skal behandles og sikres, også ved endringer i eller opphør av samarbeidet
- hvem som er dataansvarlig. Se punkt d.
c) Tjenesteutsettingsavtalen bør beskrive hvilke helseopplysninger tjenesteyter skal motta (og hvilke helseopplysninger kommunen skal utlevere) i forbindelse med overtakelse av tjenesten, og hvordan denne informasjonen skal formidles.
d) Når en kommune tjenesteutsetter helse- og omsorgstjenester til en tjenesteyter, og partene inngår avtale om felles journal, må det reguleres i avtale hvem som er dataansvarlig.
En hver behandling av helseopplysninger skal knyttes til en dataansvarlig som er den som bestemmer formålet med behandlingen av opplysningene, og hvilke midler som skal benyttes. Det åpnes opp for flere konstruksjoner knyttet til avtale om felles journal:
- Kommunen og den private tjenesteyteren er i fellesskap dataansvarlig. De felles dataansvarlige skal på en tydelig og klar måte fastsette og dokumentere sitt respektive ansvar for å overholde forpliktelsene i personvernforordningen jf. Artikkel 26.
- Kommunen og den private tjenesteyteren er selvstendige dataansvarlige for sine respektive behandlinger av helseopplysninger i journalen. Det må i avtalen fremgå hvem som er ansvarlig for informasjonssikkerheten i systemet. For de andre pliktene i personvernforordningen skal også avtales hvem som har ansvaret. Kommunen kan ikke delegere bort sitt ansvar for ytelse av forsvarlig helse- og omsorgstjenester.
e) Det bør inngås i avtalen om det er kommunen selv eller tjenesteyteren som skal drifte journal-/fagsystemet, ettersom det er kommunen som bestemmer formålet med behandling av helse- og personopplysningene.
f) For mer informasjon, se Veileder med avtaleeksempler ved samarbeid om felles journal.
