Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Www.normen.no | 1 Instruktørkurs for kommuner Ansvar og avtaler (45 min)

Liknende presentasjoner


Presentasjon om: "Www.normen.no | 1 Instruktørkurs for kommuner Ansvar og avtaler (45 min)"— Utskrift av presentasjonen:

1 | 1 Instruktørkurs for kommuner Ansvar og avtaler (45 min)

2 | 2 Innhold 1. Definere sentrale begrep 2. Ansvar - ordfører og rådmann 3. Ansvar ved delegering av oppgaver 4. Ansvar og avtaler ved tjenesteutsetting 5. Ansvar og avtaler når kommunen er databehandler 6. Øvrige avtaler

3 Normen sier: ”Med databehandlingsansvarlig menes den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes” Formål - Pasientbehandling, yte fysioterapitjeneste, organisere barnevern, mv Behandling - Lagring, innsamling, sletting, utlevering, mv Hjelpemidler - Fagsystem, EPJ-system, mv | 3 1. Databehandlingsansvarlig

4 1. Databehandler Normen sier: ”Med databehandler menes den som behandler helse- og personopplysninger på vegne av den databehandlingsansvarlige.” En databehandler er en ekstern person eller virksomhet utenfor den databehandlingsansvarliges virksomhet | 4

5 | 5 1. Tilgang Autorisert personell har direkte tilgang i journalsystemet Tilgang skal baseres på tjenstlig behov - for eksempel Yte helsehjelp Administrere slik hjelp m.m

6 1. Utlevering Helseopplysninger utleveres elektronisk, skriftlig, muntlig… Forutsetter at det ikke er i strid med taushetsplikten | 6

7 | 7 3. Ansvar – ordfører og rådmann Ordføreren har det formelle ansvaret, mens rådmannen har det daglige ansvaret for personvern og informasjonssikkerhet Rådmannen skal påse at: det er vedtatt sikkerhetsmål- og strategi det er etablert en sikkerhetsorganisasjon det er etablert et styringssystem for informasjonssikkerhet styringssystemet etterleves den registrerte får sine rettigheter oppfylt

8 4. Ansvar ved delegering av oppgaver Avhengig av kommunens organisering og størrelse - Rådmann/Fylkesrådmann/Byrådsleder - Kommunalavdelinger / resultatenheter Delegere oppgaver til eksterne - Dette må gjøres i form av skriftlige avtaler Delegert eller ikke - Det juridiske ansvaret er hos databehandlingsansvarlig | 8

9 5. Ansvar og avtaler ved tjenesteutsetting Ved tjenesteutsetting av helse- og omsorgstjenester til:  Private  IKS  Andre kommuner Databehandlingsansvaret følger av loven Tjenesteutsettingen skal reguleres av kontrakt – ”Kontrakt 1” Utlevering må avtalefestes i ”Kontrakt 1” | 9 tjenesteyteren er databehandlingsansvarlig for opplysningene de behandler

10 Utlevering må avtalefestets i ”Kontrakt 1” fordi: Når kommunen er databehandler, kan kommunen ikke hente / bruke data som finnes i IT-systemet (helseregisterloven § 13) Ved behov for data, f.eks. i forbindelse med IPLOS, må dette utleveres fra den databehandlingsansvarlige (tjenesteyteren) Forespørsel om utlevering rettes til databehandlingsansvarlig i samsvar med det som er avtalt i kontrakt 1. Hjemmel for utleveringen må oppgis (f.eks. IPLOS-forskriften) | Ansvar og avtaler ved tjenesteutsetting

11 | 11 Kommune A – samarbeids- kommune Kommune C - vertskommune for PPT for A og B etter kommuneloven Kommune B - samarbeids- kommune Eksempel på bruk av vertskommune: Vertskommunen er databehandlingsansvarlig Samarbeidskommunene har ikke databehandlingsansvar Kommune A og B sender barna til vertskommunen som behandler sakene Vertskommune C har beslutningsmyndighet for tiltakene De ansatte i vertskommunen behandler sakene og har tilgang til saksinformasjon iht rolle og hvilke barn de har ansvar for Overføring av opplysninger, kun etter samtykke Utlevering av opplysninger ifm rapporteringsplikt, kun etter avtale (Kontrakt 1) 5. Ansvar og avtaler ved tjenesteutsetting

12 | Ansvar og avtaler når kommunen er databehandler Hvis kommunen på en eller annen måte drifter EPJ-systemet / fagsystemet for tjenesteyteren: Kommunen er databehandler. Databehandleravtale skal opprettes – ”Kontrakt 2” Kommunen har kun adgang til opplysningene på bakgrunn av rollen som databehandler | 12

13 | Ansvar og avtaler når kommunen er databehandler Felles EPJ-system / fagsystem/ databasesystem - men ikke felles data

14 | Ansvar og avtaler når kommunen er databehandler Oppsummering – kommunen som databehandler: Hvis den databehandlingsansvarlige tjenesteyteren fører opplysninger i et IT-system som kommunen drifter: | 14 Da er kommunen databehandler Det må inngås databehandleravtale (Kontrakt 2) Om flere virksomheter har felles EPJ-system / fagsystem må opplysningene være logisk adskilte fra hverandre

15 Oppsummering Kontrakt 1 - Tjenesteutsetting Ved tjenesteutsetting av en tjeneste Utlevering av helseopplysninger må avtales Evt. andre ting ift informasjonssikkerheten (Normen) Kontrakt 2 - Databehandleravtale Bestemte formkrav Omfanget av avtalen må være tilpasset formålet Eksempel - Se faktaark 10 ”Bruk av databehandler” Eksempel - Se faktaark 42 ”Bruk av SMS” | 15

16 7. Øvrige avtaler Tilknytningsavtalen med Norsk helsenett Se ” Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet ” – kapittel 1.5 Blant annet: -Forplikter Normen begge veier -Rett til sikkerhetsrevisjon -Kan ha innsyn i dokumentasjon Supportavtale med leverandør Hele eller deler av Normen Se ”Veileder for fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet” – kapittel 5 | 16


Laste ned ppt "Www.normen.no | 1 Instruktørkurs for kommuner Ansvar og avtaler (45 min)"

Liknende presentasjoner


Annonser fra Google