Instruktørkurs for kommuner Ansvar og avtaler (45 min) Instruktørnotat: Klargjør følgende dokumenter på PC før foredraget. Si at dokumentene er på Normen.no: Word dokumentet (Hjelpedokument) ”Eksempler på behandlinger” Faktaark 10 Faktaark 42 Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veileder for fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet Instruktørkurs for kommuner Ansvar og avtaler (45 min)

Innhold Definere sentrale begrep Ansvar - ordfører og rådmann Ansvar ved delegering av oppgaver Ansvar og avtaler ved tjenesteutsetting Ansvar og avtaler når kommunen er databehandler Øvrige avtaler

1. Databehandlingsansvarlig Normen sier: ”Med databehandlingsansvarlig menes den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes” Formål Pasientbehandling, yte fysioterapitjeneste, organisere barnevern, mv Behandling Lagring, innsamling, sletting, utlevering, mv Hjelpemidler Fagsystem, EPJ-system, mv

1. Databehandler Normen sier: ”Med databehandler menes den som behandler helse- og personopplysninger på vegne av den databehandlingsansvarlige.” En databehandler er en ekstern person eller virksomhet utenfor den databehandlingsansvarliges virksomhet

Autorisert personell har direkte tilgang i journalsystemet Tilgang skal baseres på tjenstlig behov - for eksempel Yte helsehjelp Administrere slik hjelp m.m | 5

Helseopplysninger utleveres elektronisk, skriftlig, muntlig… 1. Utlevering Helseopplysninger utleveres elektronisk, skriftlig, muntlig… Forutsetter at det ikke er i strid med taushetsplikten

3. Ansvar – ordfører og rådmann Ordføreren har det formelle ansvaret, mens rådmannen har det daglige ansvaret for personvern og informasjonssikkerhet Rådmannen skal påse at: det er vedtatt sikkerhetsmål- og strategi det er etablert en sikkerhetsorganisasjon det er etablert et styringssystem for informasjonssikkerhet styringssystemet etterleves den registrerte får sine rettigheter oppfylt

4. Ansvar ved delegering av oppgaver Avhengig av kommunens organisering og størrelse Rådmann/Fylkesrådmann/Byrådsleder Kommunalavdelinger / resultatenheter Delegere oppgaver til eksterne Dette må gjøres i form av skriftlige avtaler Delegert eller ikke Det juridiske ansvaret er hos databehandlingsansvarlig

5. Ansvar og avtaler ved tjenesteutsetting Ved tjenesteutsetting av helse- og omsorgstjenester til: Private IKS Andre kommuner Databehandlingsansvaret følger av loven Tjenesteutsettingen skal reguleres av kontrakt – ”Kontrakt 1” Utlevering må avtalefestes i ”Kontrakt 1” tjenesteyteren er databehandlingsansvarlig for opplysningene de behandler

5. Ansvar og avtaler ved tjenesteutsetting Utlevering må avtalefestets i ”Kontrakt 1” fordi: Når kommunen er databehandler, kan kommunen ikke hente / bruke data som finnes i IT-systemet (helseregisterloven § 13) Ved behov for data, f.eks. i forbindelse med IPLOS, må dette utleveres fra den databehandlingsansvarlige (tjenesteyteren) Forespørsel om utlevering rettes til databehandlingsansvarlig i samsvar med det som er avtalt i kontrakt 1. Hjemmel for utleveringen må oppgis (f.eks. IPLOS-forskriften) | 10

5. Ansvar og avtaler ved tjenesteutsetting Eksempel på bruk av vertskommune: Vertskommunen er databehandlingsansvarlig Samarbeidskommunene har ikke databehandlingsansvar Kommune A og B sender barna til vertskommunen som behandler sakene Vertskommune C har beslutningsmyndighet for tiltakene De ansatte i vertskommunen behandler sakene og har tilgang til saksinformasjon iht rolle og hvilke barn de har ansvar for Overføring av opplysninger, kun etter samtykke Utlevering av opplysninger ifm rapporteringsplikt, kun etter avtale (Kontrakt 1) Kommune A – samarbeids- kommune Kommune B - samarbeids- kommune Kommune C - vertskommune for PPT for A og B etter kommuneloven 04.04.2017 Tema for presentasjonen

6. Ansvar og avtaler når kommunen er databehandler Hvis kommunen på en eller annen måte drifter EPJ-systemet / fagsystemet for tjenesteyteren: Kommunen er databehandler. Databehandleravtale skal opprettes – ”Kontrakt 2” Kommunen har kun adgang til opplysningene på bakgrunn av rollen som databehandler | 12

6. Ansvar og avtaler når kommunen er databehandler Felles EPJ-system / fagsystem/ databasesystem - men ikke felles data

6. Ansvar og avtaler når kommunen er databehandler Oppsummering – kommunen som databehandler: Hvis den databehandlingsansvarlige tjenesteyteren fører opplysninger i et IT-system som kommunen drifter: Da er kommunen databehandler Det må inngås databehandleravtale (Kontrakt 2) Om flere virksomheter har felles EPJ-system / fagsystem må opplysningene være logisk adskilte fra hverandre | 14

Oppsummering Kontrakt 1 - Tjenesteutsetting Ved tjenesteutsetting av en tjeneste Utlevering av helseopplysninger må avtales Evt. andre ting ift informasjonssikkerheten (Normen) Kontrakt 2 - Databehandleravtale Bestemte formkrav Omfanget av avtalen må være tilpasset formålet Eksempel - Se faktaark 10 ”Bruk av databehandler” Eksempel - Se faktaark 42 ”Bruk av SMS”

7. Øvrige avtaler Supportavtale med leverandør Tilknytningsavtalen med Norsk helsenett Se ”Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet” – kapittel 1.5 Blant annet: Forplikter Normen begge veier Rett til sikkerhetsrevisjon Kan ha innsyn i dokumentasjon Supportavtale med leverandør Hele eller deler av Normen Se ”Veileder for fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet” – kapittel 5