Forskrift om tilgang til helseopplysninger mellom virksomheter

DatoFOR-2014-12-17-1757
DepartementHelse- og omsorgsdepartementet
PublisertI 2014 hefte 17
Ikrafttredelse01.01.2015
Sist endret
Endrer
Gjelder forNorge
HjemmelLOV-2014-06-20-42-§19, LOV-2014-06-20-42-§22, LOV-2014-06-20-42-§30
Kunngjort23.12.2014   kl. 14.30
KorttittelForskrift om tilgang til helseopplysninger

Hjemmel: Fastsatt av Helse- og omsorgsdepartementet 17. desember 2014 med hjemmel i lov 20. juni 2014 nr. 42 om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) § 19 tredje ledd, § 22 fjerde ledd og § 30 femte ledd.

§ 1.Forskriftens formål

Formålet med forskriften er å sikre at informasjonssikkerhet og personvern blir godt ivaretatt når det gis tilgang til helseopplysninger mellom virksomheter for å yte, administrere eller kvalitetssikre helsehjelp til den enkelte.

§ 2.Saklig virkeområde

Forskriften gjelder når tilgjengeliggjøring av helseopplysninger i behandlingsrettede helseregistre, jf. pasientjournalloven § 19, skjer ved tilgang mellom virksomheter.

Med tilgang menes at helsepersonell gis adgang til direkte elektronisk å hente frem helseopplysninger om pasienter.

Forskriften gjelder ikke tilgang til helseopplysninger mellom virksomheter som samarbeider om et felles behandlingsrettet helseregister etter pasientjournalloven § 9.

§ 3.Grunnvilkår for tilgang mellom virksomheter

Tilgang mellom virksomheter kan bare gis når kravene i pasientjournalloven er oppfylt.

I tillegg skal de databehandlingsansvarlige ha

a)inngått avtale i samsvar med § 4 og
b)rutiner, systemer og journalstruktur som gir tilfredsstillende informasjonssikkerhet, og tilgangsstyring som minst ivaretar kravene i § 5 til § 11.
§ 4.Krav til avtalens innhold

Avtalen om tilgang mellom virksomhetene skal minst angi

a)hva avtalen gjelder
b)hvilke behovs- og risikovurderinger som ligger til grunn for avtalen
c)hvilke behandlingsrettede helseregistre, deler av registre eller typer av opplysninger avtalen omfatter og
d)hvilke rutiner som er fastsatt og hvordan oppgavene er fordelt, for å ivareta kravene i denne forskriften.
§ 5.Informasjonssikkerhet

De databehandlingsansvarlige i begge virksomhetene skal vurdere risiko for pasientenes personvern som tilgang kan føre til. Vurderingene skal minst omfatte risiko for brudd på taushetsplikt og for svekket informasjonssikkerhet.

De databehandlingsansvarlige skal ha særlige rutiner for hvordan informasjonssikkerheten skal ivaretas ved tilgang mellom virksomhetene. Rutinene skal blant annet omfatte fysisk sikring, organisering, revisjon, avvikshåndtering og risikovurderinger.

Tilgangen skal ikke svekke informasjonssikkerheten ved behandling av helseopplysninger i noen av virksomhetene.

En virksomhet som gir annen virksomhet tilgang, skal påse at denne virksomheten ivaretar kravene til informasjonssikkerhet ved behandling av opplysninger etter forskriften.

§ 6.Krav til autorisasjonen for tilgang til helseopplysninger i annen virksomhet

Innenfor rammen av hva som er avtalt mellom virksomhetene etter § 4, skal helsepersonells autorisasjon for tilgang til helseopplysninger i annen virksomhet

a)beskrive rettigheter og plikter som følger av autorisasjonen
b)være i samsvar med helsepersonellovens regler om taushetsplikt, jf. blant annet helsepersonelloven § 25 og § 45
c)dokumenteres i virksomhetens autorisasjonsregister
d)tidsbegrenses og
e)alltid vurderes og eventuelt endres når det oppstår endringer i ansvarsområder eller ansettelsesforhold.
§ 7.Tilgangsstyring

Begge virksomhetene skal ha tekniske og organisatoriske løsninger som avgrenser tilgangen til helseopplysninger i samsvar med kravene i andre ledd.

Løsningene skal minst ivareta at

a)opplysninger ikke gjøres tilgjengelige dersom pasienten har motsatt seg eller motsetter seg det, jf. § 9
b)det kun gis tilgang til opplysninger som er relevante og nødvendige for å yte, administrere eller kvalitetssikre helsehjelp til pasienten
c)helsepersonellet er autorisert for slik tilgang og
d)helsepersonellet har autentisert seg ved bruk av sikker autentiseringsløsning.
§ 8.Informasjon til pasienten

De databehandlingsansvarlige skal sørge for at pasientene informeres om virksomhetens behandling av helseopplysninger etter denne forskriften.

Den databehandlingsansvarlige i virksomheter som åpner for at helsepersonell i andre virksomheter gis tilgang skal sørge for at pasientene informeres om blant annet

a)hvilke virksomheter som gis tilgang
b)hvilke opplysninger tilgangen omfatter og
c)at pasienten kan motsette seg at det gis tilgang, jf. § 9.

Den databehandlingsansvarlige i en virksomhet som henter frem opplysninger etter denne forskriften skal sørge for at pasienten informeres om dette.

Informasjonen etter denne bestemmelsen skal tilpasses pasientens forutsetninger og tilstand, og kan unnlates dersom det er klart utilrådelig.

§ 9.Sperring av helseopplysninger

Enhver kan kreve at tilgang til helseopplysninger om seg selv sperres for helsepersonell fra andre virksomheter enn der opplysningene er nedtegnet. Med sperring menes en teknisk løsning der hele eller deler av journalen gjøres utilgjengelige for helsepersonell. Opplysningene skal kunne sperres overfor både enkeltpersoner, grupper av helsepersonell og virksomheter.

Dersom tungtveiende grunner taler for det, kan sperrede opplysninger gjøres tilgjengelige for annet helsepersonell ved utlevering etter pasient- og brukerrettighetsloven § 5-3. Pasienten skal da informeres om at sperrede opplysninger utleveres, hvorfor de utleveres og til hvem.

§ 10.Dokumentasjon av tilgang

Bruk av tilgang til helseopplysninger mellom virksomheter for å yte, administrere eller kvalitetssikre helsehjelp til den enkelte skal dokumenteres automatisk hos virksomhetene. Dokumentasjonen skal minst inneholde informasjon om

a)person og organisatorisk tilhørighet til den som har hentet frem opplysningene
b)hvorfor opplysningene er hentet frem og
c)hvilke tidsperioder vedkommende har hentet frem opplysningene.

Pasienten har rett til innsyn i og utskrift av dokumentasjonen.

Forespørsler om innsyn og utskrift skal besvares uten ugrunnet opphold og senest 30 dager etter at henvendelsen kom inn. Det kan ikke tas vederlag for utskrifter med mindre særlige forhold tilsier det.

§ 11.Oppfølging og kontroll av tilgang

Avtalepartene skal følge opp og kontrollere tilganger. Kontroll av tilganger skal skje i samarbeid mellom avtalepartene.

Den databehandlingsansvarlige som har adgang til å autorisere helsepersonell for tilgang, skal løpende kontrollere

a)hvem i egen virksomhet som elektronisk har hentet frem helseopplysninger fra annen virksomhet
b)hvorfor dette er gjort og
c)tidsperioden opplysningene er hentet frem.

Dersom kontrollen viser at noen urettmessig har hentet frem helseopplysninger skal virksomheten opplysningene er hentet fra og pasienten opplysningene gjelder, varsles. Avviket skal håndteres i samsvar med personopplysningsforskriften § 2-6.

§ 12.Straff

Den som forsettlig eller grovt uaktsomt unnlater å følge bestemmelsene i forskriften § 3 første ledd, jf. § 4 til § 11, straffes med bøter eller fengsel inntil ett år eller begge deler.

§ 13.Ikrafttredelse

Forskriften trer i kraft 1. januar 2015.