instruktørkurs for kommuner ansvar og avtaler (45 min)
DESCRIPTION
Instruktørkurs for kommuner Ansvar og avtaler (45 min). Innhold. Definere sentrale begrep Ansvar - ordfører og rådmann Ansvar ved delegering av oppgaver Ansvar og avtaler ved tjenesteutsetting Ansvar og avtaler når kommunen er databehandler Øvrige avtaler. 1. Databehandlingsansvarlig. - PowerPoint PPT PresentationTRANSCRIPT
www.normen.no| 1
Instruktørkurs for kommuner
Ansvar og avtaler (45 min)
www.normen.no| 2
Innhold
1. Definere sentrale begrep
2. Ansvar - ordfører og rådmann
3. Ansvar ved delegering av oppgaver
4. Ansvar og avtaler ved tjenesteutsetting
5. Ansvar og avtaler når kommunen er databehandler
6. Øvrige avtaler
www.normen.no
Normen sier: ”Med databehandlingsansvarlig menes den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes”
• Formål- Pasientbehandling, yte fysioterapitjeneste, organisere barnevern, mv
• Behandling- Lagring, innsamling, sletting, utlevering, mv
• Hjelpemidler- Fagsystem, EPJ-system, mv
| 3
1. Databehandlingsansvarlig
www.normen.no
1. Databehandler
Normen sier: ”Med databehandler menes den som behandler helse- og personopplysninger på vegne av den databehandlingsansvarlige.”
•En databehandler er en ekstern person eller virksomhet utenfor den databehandlingsansvarliges virksomhet
| 4
www.normen.no| 5| 5
1. Tilgang
• Autorisert personell har direkte tilgang i journalsystemet
• Tilgang skal baseres på tjenstlig behov - for eksempel
• Yte helsehjelp• Administrere slik hjelp• m.m
www.normen.no
1. Utlevering
• Helseopplysninger utleveres elektronisk, skriftlig, muntlig…
• Forutsetter at det ikke er i strid med taushetsplikten
| 6
www.normen.no| 7
3. Ansvar – ordfører og rådmannOrdføreren har det formelle ansvaret, mens rådmannen har det daglige ansvaret for personvern og informasjonssikkerhet
Rådmannen skal påse at:• det er vedtatt sikkerhetsmål- og strategi• det er etablert en sikkerhetsorganisasjon • det er etablert et styringssystem for
informasjonssikkerhet• styringssystemet etterleves • den registrerte får sine rettigheter oppfylt
www.normen.no
4. Ansvar ved delegering av oppgaver
• Avhengig av kommunens organisering og størrelse
- Rådmann/Fylkesrådmann/Byrådsleder- Kommunalavdelinger / resultatenheter
• Delegere oppgaver til eksterne- Dette må gjøres i form av skriftlige avtaler
• Delegert eller ikke- Det juridiske ansvaret er hos databehandlingsansvarlig
| 8
www.normen.no
5. Ansvar og avtaler ved tjenesteutsetting
Ved tjenesteutsetting av helse- og omsorgstjenester til:
Private IKS Andre kommuner
• Databehandlingsansvaret følger av loven
• Tjenesteutsettingen skal reguleres av kontrakt – ”Kontrakt 1”
• Utlevering må avtalefestes i ”Kontrakt 1”
| 9
tjenesteyteren er databehandlingsansvarlig for opplysningene de behandler
www.normen.no
Utlevering må avtalefestets i ”Kontrakt 1” fordi:
• Når kommunen er databehandler, kan kommunen ikke hente / bruke data som finnes i IT-systemet (helseregisterloven § 13)
• Ved behov for data, f.eks. i forbindelse med IPLOS, må dette utleveres fra den databehandlingsansvarlige (tjenesteyteren)
• Forespørsel om utlevering rettes til databehandlingsansvarlig i samsvar med det som er avtalt i kontrakt 1.
• Hjemmel for utleveringen må oppgis (f.eks. IPLOS-forskriften)
| 10
5. Ansvar og avtaler ved tjenesteutsetting
www.normen.no| 11
Kommune A – samarbeids-kommune
Kommune C - vertskommune
for PPT for
A og B etter kommuneloven
Kommune B - samarbeids-kommune
Eksempel på bruk av vertskommune:• Vertskommunen er
databehandlingsansvarlig• Samarbeidskommunene har ikke
databehandlingsansvar• Kommune A og B sender barna til
vertskommunen som behandler sakene• Vertskommune C har
beslutningsmyndighet for tiltakene• De ansatte i vertskommunen behandler
sakene og har tilgang til saksinformasjon iht rolle og hvilke barn de har ansvar for
• Overføring av opplysninger, kun etter samtykke
• Utlevering av opplysninger ifm rapporteringsplikt, kun etter avtale (Kontrakt 1)
5. Ansvar og avtaler ved tjenesteutsetting
www.normen.no| 12
6. Ansvar og avtaler når kommunen er databehandlerHvis kommunen på en eller annen måte
drifter EPJ-systemet / fagsystemet for tjenesteyteren:
• Kommunen er databehandler. Databehandleravtale skal opprettes – ”Kontrakt 2”
• Kommunen har kun adgang til opplysningene på bakgrunn av rollen som databehandler
| 12
www.normen.no| 13
6. Ansvar og avtaler når kommunen er databehandler
Felles EPJ-system / fagsystem/ databasesystem - men ikke felles data
www.normen.no| 14
6. Ansvar og avtaler når kommunen er databehandler
Oppsummering – kommunen som databehandler:
Hvis den databehandlingsansvarlige tjenesteyteren fører opplysninger i et IT-system som kommunen drifter:
| 14
Da er kommunen databehandler
Det må inngås databehandleravtale (Kontrakt 2)
Om flere virksomheter har felles EPJ-system / fagsystem må opplysningene være logisk adskilte fra hverandre
www.normen.no
Oppsummering
• Kontrakt 1 - Tjenesteutsetting• Ved tjenesteutsetting av en tjeneste• Utlevering av helseopplysninger må avtales• Evt. andre ting ift informasjonssikkerheten (Normen)
• Kontrakt 2 - Databehandleravtale • Bestemte formkrav • Omfanget av avtalen må være tilpasset formålet• Eksempel - Se faktaark 10 ”Bruk av databehandler”• Eksempel - Se faktaark 42 ”Bruk av SMS”
| 15
www.normen.no
7. Øvrige avtaler• Tilknytningsavtalen med Norsk helsenett
• Se ”Veileder i informasjonssikkerhet ved tilknytning mellom kommuner,
fylkeskommuner og helsenettet” – kapittel 1.5• Blant annet:
- Forplikter Normen begge veier- Rett til sikkerhetsrevisjon- Kan ha innsyn i dokumentasjon
• Supportavtale med leverandør• Hele eller deler av Normen• Se ”Veileder for fjernaksess for vedlikehold og oppdateringer mellom leverandør
og helsevirksomhet” – kapittel 5
| 16