Hopp til hovedinnhold

Direktoratet for e-helse blir en del av Helsedirektoratet

Fra 01.01.2024 er vi en del av Helsedirektoratet. Frem til juni vil vi jobbe med å overføre innholdet på denne siden til helsedirektoratet.no. Les mer om sammenslåingen her.

Tjenesteutsetting av kommunale helse- og omsorgstjenester (faktaark 46)

Formålet med faktaarket er å gi veiledning om personvern og informasjonssikkerhet til kommuner som planlegger å tjenesteutsette helse- og omsorgstjenester.

Om faktaarket

Formålet med faktaarket er å gi veiledning om personvern og informasjonssikkerhet til kommuner som planlegger å tjenesteutsette helse- og omsorgstjenester.

Kommunen har ansvaret for at personer som oppholder seg i kommunen tilbys nødvendige og forsvarlige helse- og omsorgstjenester. Dette ansvaret omfatter alle pasient- og brukergrupper. Ansvaret innebærer en plikt til å planlegge, gjennomføre, evaluere og korrigere virksomheten, slik at tjenestens omfang og innhold er i samsvar med gjeldende lov-/forskriftskrav.

Kommunens helse- og omsorgstjeneste omfatter offentlig organiserte helse- og omsorgstjenester som ikke hører under stat eller fylkeskommune, og kan ytes av kommunen selv eller ved avtale med andre offentlige eller private tjenesteytere.

Planlegges og gjennomføres i forbindelse med tjenesteutsetting av kommunale helse- og omsorgstjenester til andre, f.eks. 

  • til en privat tjenesteyter helt eller delvis, f.eks. et sykehjem (både ideelle og kommersielle aktører er omfattet), 
  • til et interkommunalt selskap
  • til en annen kommune (vertskommunesamarbeid) 

Dette faktaarket er spesielt relevant for

  • Leverandør
  • IKT-ansvarlig
  • Prosjektleder
  • Sikkerhetsleder / sikkerhetskoordinator
  • Virksomhetens leder/ledelse
  • Databehandler
  • Personvernombud

Krav i Normen 

Faktaarket gjelder følgende kapittel i Normen

Relevante lov og forskriftsbestemmelser, standarder og andre rammeverk

Personvernforordningen

Pasientjournalloven

 

Tjenesteutsetting av kommunale helse- og omsorgstjenester

1. Dataansvar

Kommunen vil som oftest være dataansvarlig for behandlinger av helse- og personopplysninger i forbindelse med kommunens egen ytelse av helse- og omsorgstjenester. For plassering av dataansvar når kommunen tjenesteutsetter ytelse av helse- og omsorgstjenester, se punkt 2 og 3 nedenfor. For plassering av dataansvar ved bruk av vertskommune, se punkt 4 nedenfor. Plassering av dataansvar kan også fastsettes i lov, forskrift eller ved enkeltvedtak fra Helse- og omsorgsdepartementet.  

2. Dataansvaret ved tjenesteutsetting [1]  og avtale om felles journal[2]

a) Når kommunen inngår avtale med tjenesteyter om ytelse av helse- og omsorgstjenester, kan de inngå avtale om samarbeid om felles journal (felles behandlingsrettede helseregistre). 
b) Det skal da inngås skriftlig avtale (tjenesteutsettingsavtale) mellom partene som skal som minimum inneholde:  

  1. hva samarbeidet omfatter
  2. hvordan pasientenes/ brukernes rettigheter skal ivaretas 
  3. hvordan helseopplysningene skal behandles og sikres, også ved endringer i eller opphør av samarbeidet
  4. hvem som er dataansvarlig. Se punkt d. 

c) Tjenesteutsettingsavtalen bør beskrive hvilke helseopplysninger tjenesteyter skal motta (og hvilke helseopplysninger kommunen skal utlevere) i forbindelse med overtakelse av tjenesten, og hvordan denne informasjonen skal formidles.
d) Når en kommune tjenesteutsetter helse- og omsorgstjenester til en tjenesteyter, og partene inngår avtale om felles journal må det reguleres i avtale hvem som er dataansvarlig. Enhver behandling av helseopplysninger skal knyttes til en dataansvarlig som er den som bestemmer formålet med behandlingen av opplysningene, og hvilke midler som skal benyttes. Det åpnes opp for flere konstruksjoner knyttet til avtale om felles journal: 

  1. Kommunen og den private tjenesteyteren er i fellesskap dataansvarlig. De felles dataansvarlige skal på en tydelig og klar måte fastsette og dokumentere sitt respektive ansvar for å overholde forpliktelsene i personvernforordningen jf. Artikkel 26. 
  2. Kommunen og den private tjenesteyteren er selvstendige dataansvarlige for sine respektive behandlinger av helseopplysninger i journalen. Det må i avtalen fremgå hvem som er ansvarlig for informasjonssikkerheten i systemet. For de andre pliktene i personvernforordningen skal også avtales hvem som har ansvaret. Kommunen kan ikke delegere bort sitt ansvar for ytelse av forsvarlig helse- og omsorgstjenester.

e)Det bør inngås i avtalen om det er kommunen selv eller tjenesteyteren som skal drifte journal-/fagsystemet, ettersom det er kommunen som bestemmer formålet med behandling av helse- og personopplysningene.  
f) For mer informasjon, se veileder om samarbeid mellom virksomheter om felles journal kap 2. 

3. Dataansvaret ved tjenesteutsetting uten avtale om samarbeid om felles journal 

a) Når en kommune tjenesteutsetter helse- og omsorgstjenester til en tjenesteyter, er det denne tjenesteyteren som blir dataansvarlig for de helse- og personopplysningene som tjenesteyteren behandler i deres pasientjournal.  

  1. Kommunen vil ha sitt selvstendige dataansvar for å sørge for at behandlinger av helse- og personopplysninger er i henhold til kravene i helselovgivningen og personvernforordningen. 
  2. Kommunen vil alltid ha ansvaret for at ytelsen av helse- og omsorgstjenester skjer forsvarlig.  

b) For tjenesteyteren innebærer dette at det er tjenesteyteren i sin behandling av helse- og personopplysninger som må sørge for å ivareta de registrertes personvern (krav om innsyn, informasjon, retting og sletting av opplysninger mv.), lovverkets krav til informasjonssikkerhet, internkontroll, avvikshåndtering og øvrige krav i personvernforordningen.
c) For de registrerte (pasienter, bruker, tjenestemottakere) innebærer dette at de må forholde seg til tjenesteyteren, og ikke kommunen, ved krav om innsyn, informasjon, retting og sletting av opplysninger som behandles i tjenesteyterens behandlingsrettede helseregistre. 
d) Hvis kommunen ikke inngår avtale om samarbeid om felles journal med virksomheten, vil ikke kommunen kunne sikre seg råderett gjennom en annen type avtale med tjenesteyter.

  1. Ønsker kommunen å få utlevert helse- og personopplysninger fra tjenesteyters journalsystemer må dette skje iht. bestemmelsene om utlevering av helseopplysninger ifm helsehjelp etter bestemmelsene i helsepersonelloven §§ 25 og 45. Dette må baseres på en konkret vurdering i det enkelte tilfellet

Kommunen bør merke seg at bestemmelsen medfører at pasienten har rett til å motsette seg overføring eller kreve overføring av sin journal til annet bestemt helsepersonell eller virksomhet

4. Dataansvar ved bruk av vertskommune

a) Når en kommune overfører ansvaret for en lovpålagt helse- og omsorgstjeneste til en vertskommune, er ikke dette tjenesteutsetting. Vertskommunen har i slike tilfeller overtatt ansvaret for tjenesten og yter tjenesten til innbyggere som er bosatt i kommunene som deltar i vertskommune/samarbeidskommune-modellen. Dette inkluderer dataansvaret.
b) Kommunale oppgaveselskap og vertskommunesamarbeid skal opprette en skriftlig samarbeidsavtale mellom alle deltakerkommuner. Avtalen skal inkludere:

  1. Obligatoriske punkter gitt i kommuneloven § 19-4 og § 20-4 
  2. en avklaring av dataansvaret for de tjenestene som omfattes av oppgavefellesskapet eller vetskommunesamarbeidet. 

Hvis en kommune gjennom et vertskommunesamarbeid for eksempel leverer legevaktstjenester til nabokommunen, må samarbeidsavtalen si noe om hvilket dataansavar vertskommunen har for journalopplysningene til innbyggerne som kommer fra nabokommunen. Det mest nærliggende er at vertskommunen har dataansvar for journalopplysninger for samtlige pasienter ved legevakten. 
 

[1] Med tjenesteutsetting menes i Normen at en kommune overlater definerte helse- og omsorgstjenester til en ekstern virksomhet, eks. en privat aktør eller et interkommunalt selskap. Denne virksomheten blir da tjenesteyteren

[2] Et felles behandlingsrettet helseregister menes i Normen der to eller flere virksomheter samarbeider om pasientjournal og informasjonssystem eller annet register, fortegnelse eller lignende, der helseopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen, og som skal gi grunnlag for helsehjelp eller administrasjon av helsehjelp til enkeltpersoner, jf. pasientjournalloven § 2 d).

 

Sist oppdatert: 03. mai 2023