Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Kompetansesenter for IT i helse- og sosialsektoren  www.kith.no Aktuelle bestemmelser i lovgivningen med relevans for elektroniske pasientjournaler (EPJ)

Liknende presentasjoner


Presentasjon om: "Kompetansesenter for IT i helse- og sosialsektoren  www.kith.no Aktuelle bestemmelser i lovgivningen med relevans for elektroniske pasientjournaler (EPJ)"— Utskrift av presentasjonen:

1 Kompetansesenter for IT i helse- og sosialsektoren  Aktuelle bestemmelser i lovgivningen med relevans for elektroniske pasientjournaler (EPJ) mv Av Torbjørn Nystadnes, KITH NTNU 9. november 2005

2 Kompetansesenter for IT i helse- og sosialsektoren  Litt om KITH  Nasjonalt kompetansesenter for IT i helse- og sosialsektoren  Visjon: "IT for helse og velferd"  Oppdragsfinansiert aksjeselskap eid av Helse- departementet, Sosialdepartementet og KS  Etablert 1990, i dag ca 30 ansatte  Hovedkontor i Trondheim, distriktskontor i Oslo  Utarbeider standarder, veiledere, kodeverk mv. innenfor områdene  EPJ, PACS/RIS og andre behandlingsretta informasjonssystem  Felles informasjonsressurser  Informasjonssikkerhet  Informasjonsutveksling

3 Kompetansesenter for IT i helse- og sosialsektoren  Aktuelle lover og forskrifter  Pasientrettighetsloven  Helsepersonelloven  Pasientjournalforskriften  Helseregisterloven  Annen helselovegivning  Spesialisthelsetjenesteloven, Kommunehelsetjenesteloven, Psykisk helsevernloven m.fl.  Annen lovgivning  Personopplysningsloven m/forskrifter  Forvaltningsloven m/forskrifter  Elektronisk signaturloven m/forskrifter  Arkivloven m/forskrifter  Straffeloven

4 Kompetansesenter for IT i helse- og sosialsektoren  Utfordringer for helsevesenet  Antall bestemmelser er meget stort  Tolkningsrommet for enkelte bestemmelser, f.eks. om journalansvarlig, kan være betydelig  For enkelte forhold, f.eks. tilgang til helseopplysninger, må bestemmelser i flere lover ses i sammenheng  Det er ikke alltid like lett å avgjøre hvilken bestemmelse som kommer til anvendelse, ettersom dette kan være situasjonsbetinget  Akuttsituasjoner er en viktig del av helsepersonellets hverdag  Men de kan ikke planlegges…  …noe som gjør det vanskelig å styre tilgangen til helseopplysninger

5 Kompetansesenter for IT i helse- og sosialsektoren  Utfordringer for leverandørene  EPJ-systemene skal støtte opp om en riktig praktisering av bestemmelser i lov og i medhold av lov  Noen bestemmelser har eksplisitte konsekvenser for EPJ- systemene  Leverandørene kan ikke forventes å ha den kompetanse som er nødvendig for korrekt tolking av lovverket  Kundenes ønskeliste til ny funksjonalitet er lang  Noen ønsker kan være tvilsomme i forhold til gjeldende regelverk…  De fleste leverandører er små bedrifter, også etter norske forhold  Økonomien gir sjeldent rom for store nyinvesteringer i produktene  Leverandørene gir derfor kundenes ønsker høyest prioritet…  …og venter med å implementere bestemmelser i lov til dette kommer som eksplisitte krav fra kundene

6 Kompetansesenter for IT i helse- og sosialsektoren  Eksempel på utfordring  Den som yter helsehjelp, skal nedtegne relevante og nødvendige opplysninger om helsehjelpen (hpl §§ 39-40)  Helseinstitusjoner skal utpeke en journalansvarlig som skal bl.a. ta stilling til hvilke opplysninger som skal stå i journalen (hpl § 39)  Dette inkluderer retten til å "redigere" opplysninger som er signert  samt å beslutte retting og sletting etter hpl §§  Dette innebærer at det i EPJ-systemer må finnes funksjoner som gir journalansvarlig mulighet til å redigere, rette og slette  Men journalansvarlig skal vanligvis være en som selv deltar aktivt i behandlingen av pasienten og som selv fører journal…  … og som i en gitt situasjon kan ønske å skjule spor etter egen feilbehandling, f.eks. en feildosering av et legemiddel. (Eksempler finnes fra papirjournaler)  Det må sikres at det ikke blir foretatt ulovlig retting eller sletting

7 Kompetansesenter for IT i helse- og sosialsektoren  Pasientrettighetsloven Rett til informasjon  Pasienten skal ha den informasjon som er nødvendig for å få innsikt i sin helsetilstand og innholdet i helsehjelpen (§ 3-2)  Dersom pasienten samtykker til det eller forholdene tilsier det, skal pasientens nærmeste pårørende ha informasjon (§ 3-3)  Informasjonen skal være tilpasset mottakerens individuelle forutsetninger (§ 3-5)  Opplysning om den informasjon som er gitt, skal nedtegnes i pasientens journal (§ 3-5)

8 Kompetansesenter for IT i helse- og sosialsektoren  Pasientrettighetsloven Rett til innsyn i journal  Pasienten har rett til innsyn i egen journal (§ 5-1)  Innsyn kan nektes dersom:  Dette er påtrengende nødvendig for å hindre fare for liv eller alvorlig helseskade for pasienten selv  Innsyn er klart utilrådelig av hensyn til personer som står pasienten nær  En representant for pasientens vil i så fall kunne få innsyn  Dersom denne representanten er lege eller advokat kan det kun nektes innsyn dersom særlige grunner taler mot slikt innsyn

9 Kompetansesenter for IT i helse- og sosialsektoren  Pasientrettighetsloven Bruk av helseopplysninger  Bruk av helseopplysninger krever i utgangspunktet informert samtykke fra pasienten (§ 5-3)  …men kan likevel utleveres uten samtykke dersom tungtveiende grunner taler for det  Pasienten skal ha mulighet til å få rettet eller slettet feil eller belastende opplysninger i journalen (§ 5-2)

10 Kompetansesenter for IT i helse- og sosialsektoren  Pasientrettighetsloven Mer om samtykke  Samtykket kan være uttrykkelig eller stilltiende (§ 4-3)  Hovedregel: Alle over 16 år har rett til å samtykke til helsehjelp (§ 4-3)  Det er helsepersonell som må vurdere om en pasient har har samtykkekompetanse eller ikke  Foreldre samtykker for barn under 16 år

11 Kompetansesenter for IT i helse- og sosialsektoren  Helsepersonelloven Dokumentasjonsplikten  Helsepersonell som yter helsehjelp plikter å føre journal (§ 39)  Unntak: Når en arbeider etter instruksjon/rettledning av annet helsepersonell  Helsepersonell inkluderer: (§ 3)  Helsepersonell med autorisasjon (27 grupper (§ 48) ) eller lisens  Andre i helsetjenesten eller på apotek som yter helsehjelp  Elever og studenter i helsefaglig opplæring som yter helsehjelp  Helsehjelp: Handling med forebyggende, diagnostisk, behandlende, helsebevarende eller rehabiliterende mål, utført av helsepersonell (§ 3)

12 Kompetansesenter for IT i helse- og sosialsektoren  Helsepersonelloven Journalansvarlig  I helseinstitusjoner skal det utpekes en person som skal ha det overordnede ansvaret for den enkelte journal, og herunder ta stilling til hvilke opplysninger som skal stå i pasientjournalen (§ 39)  Av pasientjournalforskriften (§ 6) m/merknader framgår det bl.a. at journalansvarlig skal  sørge for at journal blir opprettet  ta stilling til hvilke opplysninger som skal stå i journalen  herunder foreta redigering av journalen  ta beslutninger vedrørende retting og sletting  vurdere spørsmål om utlevering av journalopplysninger  også til annet helsepersonell

13 Kompetansesenter for IT i helse- og sosialsektoren  Mer om journalansvarlig  Det er ikke gitt konkrete regler for hvem som kan være journalansvarlig, men det er opplagt at det kreves visse faglige kvalifikasjoner for å ivareta helsepersonellovens forsvarlighetskrav  Det kan være naturlig å kombinere rollen som journalansvarlig med andre lovbestemt roller, f.eks. pasientansvarlig lege  En journalansvarlig må i utgangspunktet ha tilgang til hele journalens innhold for å kunne utføre sine lovpålagte plikter

14 Kompetansesenter for IT i helse- og sosialsektoren  Mer om lovbestemte roller  Andre lovbestemte roller  Pasientansvarlig lege/psykolog (Spesialisthelsetjenesteloven § 3-7 m.fl.)  Behandlingsansvarlig lege (flere bestemmelser)  Informasjonsansvarlig (Helsepersonelloven § 39)  Fastlege (Kommunehelsetjenesteloven § 2-1a)  Faglig ansvarlig for vedtak i psykisk helsevern (Egen forskrift)  "Plankoordinator" (Forskrift om individuelle planer etter helselovgivningen § 5)  Listen er ikke komplett...  Denne typen roller går direkte på forholdet mellom det enkelte helsepersonell og den enkelte pasient og må ikke blandes sammen med helsepersonellets rolle i organisasjonsstrukturen  Det kan være nødvendig å håndtere enkelte slike roller spesielt i EPJ-systemer mv.

15 Kompetansesenter for IT i helse- og sosialsektoren  Helsepersonelloven Journalens innhold (§ 40)  Journalen skal  føres i samsvar med god yrkesskikk  inneholde relevante og nødvendige opplysninger om pasienten og helsehjelpen, samt de opplysninger som er nødvendige for å oppfylle meldeplikt eller opplysningsplikt fastsatt i lov eller i medhold av lov  være lett å forstå for annet kvalifisert helsepersonell.  Det skal framgå hvem som har ført opplysningene i journalen  Egentlig: hvem som har besluttet at opplysningene skal registreres  Bestemmelsen må ses i sammenheng med helseregisterloven § 6 hvor det heter: Dette kan gjøres ved hjelp av elektronisk signatur eller tilsvarende sikker dokumentasjon

16 Kompetansesenter for IT i helse- og sosialsektoren  Pasientjournalforskriften Mer om journalens innhold  Pasientjournalforskriften inneholder detaljerte krav til journalens innhold (§ 8)  Listen over hva som skal inngå er lang og dekker det meste  I tillegg skal andre nødvendige og relevante opplysninger tas inn...  Arbeidsdokumenter mv. er å betrakte som en del av journalen inntil "nødvendig informasjon er nedtegnet på forsvarlig måte"  Det framgår klart av merknadene til denne bestemmelsen at pasientjournalen er et logisk begrep  Opplysninger som er "nødvendige og relevante" er en del av pasientjournalen uavhengig av hvilket system de inngår i  Opplysninger som ikke er "nødvendige og relevante skal slettes!  Pasientjournalen skal føres på norsk. Dansk og svensk kan benyttes i den grad dette er forsvarlig. Helsetilsynet kan gi tillatelse til å benytte andre språk (§ 7)

17 Kompetansesenter for IT i helse- og sosialsektoren  Helsepersonelloven Taushetsplikt - samtykke  Hovedregel: Helsepersonell har taushetsplikt når det gjelder helseopplysninger (§ 21)  Taushetsplikten er ikke til hinder for å gi helseopplysninger videre når den opplysningene gjelder (vanligvis pasienten) samtykker til dette (§ 22)  Samtykket må være informert men ikke nødvendigvis skriftlig  Indirekte og underforstått samtykke vil i enkelte tilfeller kunne være tilstrekkelig  Helsepersonell kan nekte å gi opplysninger selv om pasienten har gitt sitt samtykke

18 Kompetansesenter for IT i helse- og sosialsektoren  Helsepersonelloven Unntak fra taushetsplikten  Det er flere unntak fra taushetsplikten, bl.a:  Når opplysingene er anonymisert (§ 23)  Når tungtveiende private eller offentlige interesser gjør det rettmessig (§ 23)  Personell som bistår med elektronisk bearbeiding av opplysningene (§ 25)  Opplysninger om diagnose, eventuelle hjelpebehov, tjenestetilbud, inn/utskrivningsdato samt relevante administrative data til virksomhetens pasientadministrasjon (§ 26)  Tilgang ved service og vedlikehold av utstyr mv (§ 25)

19 Kompetansesenter for IT i helse- og sosialsektoren  Helsepersonelloven Opplysninger til samarbeidende personell (§ 25)  Helseopplysninger kan gis til samarbeidende personell når dette er nødvendig for å kunne gi forsvarlig helsehjelp med mindre pasienten motsetter seg dette  Samarbeidende personell kan også inkludere helsepersonell i andre virksomheter, f.eks. en radiolog på et annet sykehus som tolker et røntgenbilde  Pasienten skal så vidt mulig være informert og gis mulighet til å motsette seg utleveringen  I spesielle situasjoner kan opplysninger utleveres selv om pasienten motsetter seg dette

20 Kompetansesenter for IT i helse- og sosialsektoren  Helsepersonelloven Overføring, utlevering av og tilgang til journalopplysninger (§ 45)  Journalopplysninger kan utleveres til andre som yter helsehjelp når dette er nødvendig for å kunne gi forsvarlig helsehjelp med mindre pasienten motsetter seg dette  Det skal framgå av journalen hvem som gis tilgang til journalen  Kun journalopplysninger annet helsepersonell trenger for å gi pasienten forsvarlig helsehjelp tillates utlevert  I spesielle situasjoner kan opplysninger utleveres selv om pasienten motsetter seg dette  F.eks. ved tvangsinnleggelse av psykiatriske pasienter  Bestemmelsen dekker også elektronisk overføring

21 Kompetansesenter for IT i helse- og sosialsektoren  Helsepersonelloven Retting av journalopplysninger (§ 42)  Helsepersonell skal etter krav fra pasienten eller av eget tiltak rette feilaktige, mangelfulle eller utilbørlige opplysninger i journalen  Retting skal skje ved at journalen føres på nytt, eller ved at en datert rettelse tilføyes i journalen og ikke ved at opplysningene slettes  Begrunnelse for eventuelt avslag på krav om retting skal registreres i journalen  Merk: Ved retting skal de opprinnelige opplysningene fremdeles være tilgjengelige i journalen

22 Kompetansesenter for IT i helse- og sosialsektoren  Helsepersonelloven Sletting av journalopplysninger (§ 43)  Sletting kan skje dersom dette er ubetenkelig ut fra allmenne hensyn, ikke er i strid med arkivloven og  opplysningene er feilaktige eller misvisende og føles belastende for den opplysningene gjelder  eller dersom opplysningene åpenbart ikke er nødvendige for å kunne gi pasienten helsehjelp  Slik sletting kan skje etter krav fra pasienten eller av eget tiltak  Begrunnelse for eventuelt avslag på krav om sletting skal registreres i journalen  Merk: Ved sletting skal de opprinnelige opplysningene ikke lengre være tilgjengelige og heller ikke kunne gjenskapes i virksomheten som har ført journalen

23 Kompetansesenter for IT i helse- og sosialsektoren  Helsepersonelloven Elektronisk pasientjournal (§ 46)  Pasientjournalen kan føres elektronisk  Regler for elektronisk pasientjournal (EPJ) kan gis i forskrift  Dette er ikke gjort ennå, men bestemmelsene i pasientjournalforskriften er også relevante for EPJ  Det har i år vært så mye oppstyr rundt Sosial- og helsedirektoratets tolking av en del bestemmelser rundt tilgang til EPJ at departementet vurderer å sette ned et utvalg  Resultatet kan godt bli en EPJ-forskrift

24 Kompetansesenter for IT i helse- og sosialsektoren  Pasientjournalforskriften  Ut fra denne forskriften (§ 3) kan en utlede følgende definisjon av en elektronisk pasientjournal: En elektronisk ført samling eller sammenstilling av nedtegnede/registrerte opplysninger om en pasient i forbindelse med helsehjelp  Virksomhet hvor det ytes helsehjelp må opprette pasientjournalsystem (§ 4)  Et pasientsystem utgjør et behandlingsrettet helseregister etter definisjonen i helseregisterloven  Etter bestemmelsene i denne loven kan "virksomhet" her være en kommune, et helseforetak eller en privat virksomhet

25 Kompetansesenter for IT i helse- og sosialsektoren  Pasientjournalforskriften Organisering av journal (§ 5)  Det skal normalt kun føres en journal for hver pasient innenfor en virksomhet, selv om pasienten mottar helsehjelp fra flere kategorier helsepersonell  Dette kan fravikes dersom virksomhetens enheter både faglig og organisatorisk klart fremstår som separate del- tjenester  Dersom journalen føres delvis elektronisk og delvis på papir, skal det fremgå av begge hvilke opplysninger de to delene inneholder  Forskjellige virksomheter kan ikke benytte felles pasientjournaler

26 Kompetansesenter for IT i helse- og sosialsektoren  Pasientjournalforskriften Innsyn i og utskrift av journal (§ 11)  Pasienten eller en representant for pasienten har rett til innsyn i journal  I visse situasjoner vil også pårørende ha rett til innsyn  Foreldre/foresatte til barn under 16 år, når pasienten åpenbart ikke kan ivareta sine interesser eller etter pasientens samtykke  Pasienter har rett til kopi av journalen dersom de ber om det.  Retten gjelder alt som omfattes av det logiske begrepet pasientjournal, dvs. også røntgenbilder, lydopptak etc  Ved bruk av elektronisk journal vil en papirutskrift av journalopplysningene normalt være tilstrekkelig

27 Kompetansesenter for IT i helse- og sosialsektoren  Pasientjournalforskriften Oppbevaring (§ 14)  Pasientjournaler skal oppbevares slik at de ikke kommer til skade eller blir ødelagt, og at uvedkommende ikke får adgang til dem  Pasientjournaler i offentlig virksomhet kommer inn under arkivloven, bl.a. bestemmelsene om bevaring, kassasjon og avlevering til arkivdepot  Journalene skal oppbevares til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for dem  Hvis ikke journalopplysningene deretter skal bevares i henhold til arkivloven eller annen lovgivning, skal de slettes  Avlevering eller deponering bør ikke skje før det er gått minst 10 år etter siste innføring i journalen  En innstilling fra Helsearkivutvalget vedr. depotordning, nødvendige lovendringer mv. skal foreligge innen utgangen av mars 2005

28 Kompetansesenter for IT i helse- og sosialsektoren  Pasientjournalforskriften Overføring av journal (§ 15)  Ved skifte av fastlege kan pasienten kreve at journalen overføres til den nye fastlegen  Tilsvarende gjelder ved skifte av annet helsepersonell, f.eks. tannlege  Ved opphør av virksomhet kan virksomhetens ledelse bestemme at journalene skal overføres til annen virksomhet  Dersom journalene ikke overføres til ny virksomhet kan (skal) de overleveres til arkivdepot eller til fylkesmannen

29 Kompetansesenter for IT i helse- og sosialsektoren  Pasientjournalforskriften Tilintetgjøring (§ 16)  Tilintetgjøring av journalopplysninger og utskifting av EDB-utstyr må gjennomføres slik at pasientopplysninger ikke kan komme uvedkommende i hende

30 Kompetansesenter for IT i helse- og sosialsektoren  Helseregisterloven  Formål (§ 1) :  Gi helseforvaltningen og helsetjenesten kunnskap slik at helsehjelp kan gis på en forsvarlig og effektiv måte  Ivareta grunnleggende personvernhensyn  Gjelder for hel eller delvis elektronisk behandling av helseopplysninger (§ 3)  Helseregisterloven er en særlov i forhold til personopplysningsloven og bygger på EUs personverndirektiv (95/46/EC)  Bestemmelser i helseregisterloven går foran bestemmelser i personopplysningsloven  Men bestemmelser i helsepersonelloven går foran bestemmelser i helseregisterloven

31 Kompetansesenter for IT i helse- og sosialsektoren  Helseregisterloven Definisjoner (§ 2)  Helseopplysninger: taushetsbelagte opplysninger i hen- hold til helsepersonelloven § 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson  Behandling av helseopplysninger: enhver formålsbestemt bruk av helseopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter  Helseregister: registre, fortegnelser mv der helseopplysninger lagres systematisk slik at opplysninger om den enkelte person kan finnes igjen

32 Kompetansesenter for IT i helse- og sosialsektoren  Helseregisterloven Definisjoner (§ 2)  Behandlingsrettet helseregister: journal- og informasjons- system eller annet helseregister som har til formål å gi grunnlag for handlinger som har fore-byggende, diagnostisk, behandlende, helsebevarende eller rehabiliterende mål i forhold til den enkelte pasient og som utføres av helsepersonell, samt administrasjon av slike handlinger  Databehandlingsansvarlig: den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes, hvis ikke databehandlingsansvaret er særskilt angitt i loven eller i forskrift i medhold av loven  Databehandler: den som behandler helseopplysninger på vegne av den databehandlingsansvarlige

33 Kompetansesenter for IT i helse- og sosialsektoren  Helseregisterloven Konsesjonsplikt (§ 5)  Det kreves konsesjon fra Datatilsynet (etter personopplysningslovens § 33) for behandling av helseopplysninger dersom behandlingen ikke følger av lov eller skjer med hjemmel i forskrift etter §§ 6 til 8  Det kreves samtykke fra den registrerte dersom annet ikke er bestemt i lov  EPJ har hjemmel i helsepersonelloven og spesialist- helsetjenesteloven og krever ikke separat konsesjon  Men det er meldeplikt til Datatilsynet (§ 29)

34 Kompetansesenter for IT i helse- og sosialsektoren  Helseregisterloven Behandlingsrettet helseregister (§ 6)  Behandlingsrettede helseregistre kan føres elektronisk.  Det skal fremgå av registeret hvem som har registrert opplysningene. Dette kan gjøres ved hjelp av elektronisk signatur eller tilsvarende sikker dokumentasjon.  EPJ og de fleste andre system i helsetjenesten som inneholder helseopplysninger utgjør behandlingsrettede helseregistre  Regionale helseforetak og helseforetak, kommune og annen offentlig eller privat virksomhet som tar i bruk behandlingsrettede helseregistre, er databehandlings- ansvarlig for opplysningene.  Foretaket og kommunen kan delegere databehandlingsansvaret.

35 Kompetansesenter for IT i helse- og sosialsektoren  Helseregisterloven Regionale og lokale helseregistre (§ 7)  Kan opprettes gjennom forskrift  Så langt er det ikke utarbeidet slike forskrifter  Dersom registret skal inneholde personidentifiserbare opplysninger kreves det samtykke fra hver enkelt registrert person  Samtykke kreves ikke dersom opplysningene kun skal behandles pseudonymt eller avidentifisert  De registrerte har rett til innsyn (§ 22)  Retten gjelder i utgangspunktet også pseudonyme og avidentifiserte registre

36 Kompetansesenter for IT i helse- og sosialsektoren  Helseregisterloven Sentrale helseregistre (§ 8)  Sju helseregistre er opprettet direkte i denne bestemmelsen  Det foreligger forslag om å inkludere NPR  Dette er de eneste sentrale, regionale eller lokale helseregistre hvor det kan behandles personidentifiserbare opplysninger uten samtykke  Pseudonyme, avidentifiserte eller samtykkebaserte registre kan opprettes gjennom forskrift  Så langt er det utarbeidet forskrift for et pseudonymt og et avidentifisert register  Men flere er på beddingen  De registrerte har rett til innsyn (§ 22)

37 Kompetansesenter for IT i helse- og sosialsektoren  Helseregisterloven Behandling av helseopplysninger (§ 11)  Enhver behandling av helseopplysninger skal ha et uttrykkelig angitt formål  Formålet skal være saklig begrunnet i den databehandlingsansvarliges virksomhet  Den databehandlingsansvarlige skal sørge for at helseopplysningene som behandles, er relevante og nødvendige for formålet

38 Kompetansesenter for IT i helse- og sosialsektoren  Helseregisterloven Sammenstilling av helseopplysninger (§ 12)  Helseopplysninger i journaler og andre behandlingsretta helseregistre om samme pasient, kan sammenstilles  Annen sammenstilling, med unntak av sammenstilling med folkeregisteropplysninger, krever konsesjon fra Datatilsynet eller hjemmel i lov/forskrift

39 Kompetansesenter for IT i helse- og sosialsektoren  Helseregisterloven Tilgang til helseopplysninger (§ 13)  Tilgang kan bare gis i den grad det er nødvendig for vedkommendes arbeid  Tilgang skal kun gis til databehandlingsansvarlig for helseregistret ("eieren"), de som etter avtale behandler helseopplysninger på vegne av "eieren", eller som arbeider under disses instruksjonsmyndighet  Helsepersonelloven er en spesiallov og de bestemmelser som der er gitt vedrørende tilgang til og utlevering av helseopplysninger går foran bestemmelsene i helseregisterloven  Se spesielt §§ 25 og 45

40 Kompetansesenter for IT i helse- og sosialsektoren  Helseregisterloven Sikring av helseopplysninger  Databehandlingsansvarlig skal sørge for tilfredsstillende informasjonssikkerhet ved behandling av helseopplysninger (§ 16)  Konfidensialitet, integritet, kvalitet og tilgjengelighet  Det skal etableres internkontrollsystem for å sikre at kravene overholdes (§ 17)  Datatilsynet skal gis detaljert melding om alle helseregistre, med informasjon om formål, innhold, kilde, utlevering, sikkerhetstiltak mm (§ 29)  Dette gjelder også elektroniske pasientjournaler

41 Kompetansesenter for IT i helse- og sosialsektoren  Kommunehelsetjenesteloven  Kommunehelsetjenesten skal utarbeide en individuell plan for pasienter med behov for langvarige og koordinerte tilbud. Kommune- helsetjenesten skal samarbeide med andre tjenesteytere om planen for å bidra til et helhetlig tilbud for pasientene. (§ 6-2a)  Planen skal inngå i pasientens journal (Pasientjournalforskriften § 8)

42 Kompetansesenter for IT i helse- og sosialsektoren  Spesialisthelsetjenesteloven  Helseforetaket skal utarbeide en individuell plan for pasienter med behov for langvarige og koordinerte tilbud. Helseforetaket skal samarbeide med andre tjenesteytere om planen for å bidra til et helhetlig tilbud for pasientene. (§ 2-5)  Planen skal inngå i pasientens journal (Pasientjournalforskriften § 8)  Pålegger eieren av helseinstitusjoner å gi pasienter den informasjon de etter lov om pasientrettigheter har krav på (§ 3-11)  Helseinstitusjonene skal sørge for at journal- og informasjonssystemene er forsvarlige (§ 3-2)

43 Kompetansesenter for IT i helse- og sosialsektoren  Psykisk helsevernloven  Inneholder en rekke bestemmelser om konkrete forhold/vedtak som skal nedtegnes  Alle vedtak om bruk av tvang, inkl. vedtak om undersøkelse/behandling uten pasientens samtykke  Vedtak om kontroll av post mv, vedtak om beslag  Det skal utarbeides en individuell plan for hver pasient som er underlagt psykisk helsevern (§ 4-1)  Ved frivillig psykisk helsevern dog kun etter pasientens samtykke

44 Kompetansesenter for IT i helse- og sosialsektoren  Forskrift om Individuelle planer etter helselovgivningen og sosialtjenesteloven  Tjenestemottakere med behov for langvarige og koordinerte tilbud har rett til å få utarbeidet en individuell plan (§ 4)  Det er kommunens og helseforetakets ansvar å utarbeide planen (§ 6)  Arbeidet med å utarbeide planen må koordineres  Beskrivelsen av hva en individuell planen skal inneholde er svært konkret (§ 7)

45 Kompetansesenter for IT i helse- og sosialsektoren  Personopplysningsloven  Inneholder de grunnleggende bestemmelser for all behandling av personopplysninger  Personopplysningsloven gjelder som utfyllende bestemmelser i forhold til Helseregisterloven  Men de bestemmelser som er spesielt relevante i forhold til behandling av opplysninger i helseregistre, herunder også elektronisk pasientjournal, finnes i helseregisterloven

46 Kompetansesenter for IT i helse- og sosialsektoren  Personopplysningsforskriften  Er gitt med hjemmel i personopplysningsloven men deler av bestemmelsene er også viktige i forbindelse med helseregistre  Kapittel 2: Informasjonssikkerhet  Risikovurdering (§ 2-4)  Sikkerhetsrevisjon (§ 2-5)  Sikkerhetstiltak (§ 2-14)  Sikkerhet hos andre virksomheter (§ 2-5)  Personopplysninger kan kun overføres elektronisk til virksomheter som oppfyller kravene i forskriften  Kapittel 3. Internkontroll

47 Kompetansesenter for IT i helse- og sosialsektoren  Elektronisk signaturloven  Inneholder bl.a. bestemmelser vedrørende fremstilling av elektroniske signaturer og rettsvirkningen til elektroniske signaturer  Det er utarbeidet forskrifter til loven:  Forskrift om krav til utsteder av kvalifiserte sertifikater mv.  Har som formål å legge til rette for en sikker og effektiv bruk av elektroniske signaturer  I følge denne loven er en elektronisk signatur:  Data i elektronisk form som er knyttet til andre elektroniske data og som brukes som autentiseringsmetode (§ 3)

48 Kompetansesenter for IT i helse- og sosialsektoren  Elektronisk signaturloven Forskjellige typer elektroniske signaturer (§ 3)  Det opereres med to undergrupper av elektronisk signatur  Avansert elektronisk signatur: En elektronisk signatur som a) er entydig knyttet til undertegneren, b) kan identifisere undertegneren, c) er laget ved hjelp av midler som bare undertegneren har kontroll over, og d) er knyttet til andre elektroniske data på en slik måte at det kan oppdages om disse har blitt endret etter signering.  Kvalifisert elektronisk signatur: En avansert elektronisk signatur som er basert på et kvalifisert sertifikat og framstilt av et godkjent sikkert signaturframstillingssystem  I tillegg kan det finnes elektroniske signaturer som ikke er avanserte

49 Kompetansesenter for IT i helse- og sosialsektoren  Elektronisk signaturloven Rettsvirkning (§ 6)  Dersom det i lov, forskrift eller på annen måte er oppstilt krav om underskrift for å få en bestemt rettsvirkning og disposisjonen kan gjennomføres elektronisk, oppfyller en kvalifisert elektronisk signatur alltid et slikt krav.  En elektronisk signatur som ikke er kvalifisert, kan oppfylle et slikt krav.  Et problem er at det pr. i dag ikke finnes noe "godkjent sikkert signaturframstillingssystem" og dermed heller ingen kvalifiserte signaturer  Men det må kunne antas at en avansert elektronisk signatur som er basert på et kvalifisert sertifikat i de aller fleste tilfeller vil kunne godtas

50 Kompetansesenter for IT i helse- og sosialsektoren  Arkivloven Arkivansvaret  Alle offentlige (statlige fylkeskommunale og kommunale) organ plikter å ha arkiv (§ 6)  Arkiv: "Dokument som vert til som lekk i ei verksemd" (§ 2)  Dokument: "ei logisk avgrensa informasjonsmengd som er lagra på eit medium for seinare lesing, lyding, framsyning eller overføring " (§ 2)  Dokumentene skal være "ordna og innretta slik at dokumentane er tryggja som informasjonskjelder for samtid og ettertid" (§ 6)

51 Kompetansesenter for IT i helse- og sosialsektoren  Arkivloven Kassasjon mm  Uten at det er hjemlet i arkivforskriften kan ikke arkivmateriale (§ 9)  Avhendes  Kasseres  Rettes på en slik måte at informasjon som har hatt betydning for saksforberedelse, vedtak, eller annet som bør kunne dokumenteres, går tapt èDet er ingen tvil om at pasientjournaler og all annen informasjon på offentlige sykehus faller inn under arkivloven

52 Kompetansesenter for IT i helse- og sosialsektoren  Arkivforskriften  Riksarkivaren kan fastsette særskilte regler for spesielle (grupper av) organ (§ 1-3)  Kan være relevant i forbindelse med EPJ?  Det skal finnes en ajourført oversikt (arkivplan) over hva arkivet omfatter og hvordan det er organisert (§ 2-2)  For databaser og annet elektronisk materiale skal det utarbeides dokumentasjon som gjør det mulig å benytte materialet også etter at ordinær bruk er avsluttet

53 Kompetansesenter for IT i helse- og sosialsektoren  Arkivforskriften Elektronisk arkiv (§§ 2-13, 2-14)  Dokumenter kan lagres elektronisk  Under forutsetning av at det benyttes fullgode system, rutiner, dokumentlagringsformat og lagringsmedium som er godkjent av Riksarkivaren  Pasientjournaler kan lagres elektronisk ...dersom retningslinjene Riksarkivaren gir blir fulgt  Det kreves i utgangspunktet ikke papirutskrift fra elektroniske informasjonssystem

54 Kompetansesenter for IT i helse- og sosialsektoren  Arkivforskriften Bevaring  Kun godkjente lagringsmedium tillates (§ 2-13)  Elektronisk informasjon må kopieres til nye lagringsmedium og/eller konverteres i den grad det er nødvendig for å bevare og ha tilgang til innholdet  Riksarkivaren kan fastsette at elektroniske system skal ha funksjoner for eksport på et format egnet for avlevering til arkivdepot (§ 2-14)

55 Kompetansesenter for IT i helse- og sosialsektoren  Arkivforskriften Kassasjon (§ 3-21)  Sletting av informasjon kan bare skje etter kassasjonsregler godkjent av Riksarkivaren  Alt arkivmateriale som ikke tillates kassert i.h.t godkjente kassasjonsregler skal avleveres til arkivdepot når det er uaktuelt  Vanligvis når det er år gammelt  Riksarkivaren kan fastsette at kopi av elektronisk materiale skal deponeres tidligere  For elektroniske postjournaler med tilhørende elektroniske arkivsystem skal arkivuttrekk deponeres straks en arkivperiode er avsluttet  Regelbestemt kassasjon skal foretas før avlevering  Det er ikke utarbeidet kassasjonsregler for pasientjournaler  Helsearkivutvalget arbeider med saken

56 Kompetansesenter for IT i helse- og sosialsektoren  Forvaltningsloven  Inneholder en rekke bestemmelser som også kommer til anvendelse innenfor helsevesenet, f.eks. ved  Behandling av klager  Behandling av søknad om pleie- og omsorgstjenester  Kommunikasjon med virksomheter innenfor det offentlige helsevesenet  Forskrift om elektronisk kommunikasjon med og i forvaltingen (eForvaltningsforskriften) er gitt med hjemmel i forvaltningsloven

57 Kompetansesenter for IT i helse- og sosialsektoren  eForvaltningsforskriften  Har som formål å legge til rette for sikker og effektiv bruk av elektronisk kommunikasjon med og i forvaltningen (§ 1)  Henvendelser til et forvaltningsorgan kan skje elektronisk (§ 3)  …dersom forvaltningsorganet har lagt til rette for det  En offentlig tilgjengelig e-postadresse er tilstrekkelig  Henvendelser kan gå direkte til saksbehandler dersom det er lagt til rette for dette

58 Kompetansesenter for IT i helse- og sosialsektoren  eForvaltningsforskriften Formkrav  Det kan stilles spesielle formkrav og/eller sikkerhetskrav (§ 3)  Det kan f.eks. kreves opplysninger som bekrefter avsenderens identitet og/eller fullmakter  Dersom det stilles formkrav og/eller sikkerhetskrav skal det også fastsettes hva som må benyttes for å tilfredstille kravene  Er det ikke stilt spesielle krav, kan vanlig åpen e-post benyttes  Dersom det er åpnet for at taushetsbelagte opplysninger kan kommuniseres, må virksomheten sørge for at sikkerheten ivaretas på en tilfredsstillende måte (§ 5)  Bruk av kryptering og elektronisk signatur

59 Kompetansesenter for IT i helse- og sosialsektoren  eForvaltningsforskriften Håndtering av henvendelse  Når en elektronisk henvendelsen er mottatt skal det hurtigst mulig sendes en bekreftelse til avsender på at henvendelsen er mottatt (§ 6)  Så fremt denne utløser saksbehandling  Forvaltningsorganet skal gi avsender beskjed dersom en henvendelse ikke fyller eventuelle formkrave eller dersom de ikke er det riktige organet til å behandle henvendelsen (§ 4)  Beskjeden skal inneholde informasjon om hva feilen består i og, om mulig, hva som må gjøres for å avhjelpe feilen

60 Kompetansesenter for IT i helse- og sosialsektoren  eForvaltningsforskriften Kommunikasjon av vedtak  Kommunikasjon av enkeltvedtak kan kun skje elektronisk dersom mottakeren uttrykkelig har godtatt dette (§ 8)  Det skal gis melding om at vedtak er fattet og hvordan mottakeren kan få tilgang til dette  Mottakeren gis en frist for å hente ut vedtaket  Dersom vedtaket ikke er hentet ut innen fristen, må vedtaket skrives ut på papir og oversendes på tradisjonell måte  Den metode som det her legges opp til for kommunikasjon av vedtak er en blanding av to teknikker  E-post benyttes for å meddele at et vedtak er fattet  En WEB-basert løsning benyttes for å gi mottakeren tilgang til selve vedtaket  Sikrer dokumentasjon av når vedtaket ble "lest"  …og papir benyttes dersom mottakeren ikke henter ut vedtaket

61 Kompetansesenter for IT i helse- og sosialsektoren  eForvaltningsforskriften Informasjonssikkerhet mv  Mål og strategi for informasjonssikkerhet i virksomheten skal være dokumentert (§ 13)  Anbefaler, men pålegger ikke, at det skal benyttes virksomhetssertifikat for elektronisk signatur (§ 14)  Sertifikat som er ment for bruk i tjenesten tillates ikke brukt til andre formål (§ 15)  Personlige sertifikat tillates ikke bruk i tjenesten med mindre de er utstett for slik bruk (§ 15)  Det stilles en rekke krav til beskyttelse av sertifikat, dekrypteringsnøkler mv (§ 20-23)

62 Kompetansesenter for IT i helse- og sosialsektoren  eForvaltningsforskriften Behandling av krypterte/signerte meldinger  Meldingene skal dekrypteres ved mottak (§ 24)  Ved mottak av meldinger som er underlagt krav om bruk av avansert elektronisk signatur skal påført signatur kontrolleres ved mottak (§ 25)  Dersom meldinger arkiveres med påført elektronisk signatur skal de opplysninger som er nødvendige for å verifisere signaturen arkiveres sammen med meldingen (§ 26)  Konverteres signerte meldinger til et annet format før arkivering skal dokumentasjon av verifisering av signaturen arkiveres sammen med meldingen (§ 26)

63 Kompetansesenter for IT i helse- og sosialsektoren  Straffeloven  Kan komme til anvendelse i akuttsituasjoner hvor det ikke er praktisk mulig å innhente nødvendig samtykke (Men vanligvis kan bestemmelser i pasientrettighetsloven eller helsepersonelloven benyttes)  Ingen kan straffes for Handling, som han har foretaget for at redde nogens Person eller Gods fra en paa anden Maade uafvendelig Fare, naar Omstændighederne berettigede ham til at anse denne som særdeles betydelig i Forhold til den Skade, som ved hans Handling kunde forvoldes (§ 47)

64 Kompetansesenter for IT i helse- og sosialsektoren  Informasjonskilder  Norsk lovgivning og annet regelverk:  Helsetilsynet - Regelverk   Sosial- og helsedirektoratet - Publikasjoner   Helse- og omsorgsdepartementet   Stortingets helse- og omsorgskomité   Lovdata - Gjeldende lover ordnet alfabetisk   EU-lovgivning mv: 


Laste ned ppt "Kompetansesenter for IT i helse- og sosialsektoren  www.kith.no Aktuelle bestemmelser i lovgivningen med relevans for elektroniske pasientjournaler (EPJ)"

Liknende presentasjoner


Annonser fra Google