650 likes | 819 Vues
Aktuelle bestemmelser i lovgivningen med relevans for elektroniske pasientjournaler (EPJ) mv. Av Torbjørn Nystadnes, KITH NTNU 9. november 2005. Litt om KITH. Nasjonalt kompetansesenter for IT i helse- og sosialsektoren Visjon: "IT for helse og velferd"
E N D
Aktuelle bestemmelser i lovgivningen med relevans for elektroniske pasientjournaler (EPJ) mv Av Torbjørn Nystadnes, KITH NTNU 9. november 2005
Litt om KITH • Nasjonalt kompetansesenter for IT i helse- og sosialsektoren • Visjon: "IT for helse og velferd" • Oppdragsfinansiert aksjeselskap eid av Helse-departementet, Sosialdepartementet og KS • Etablert 1990, i dag ca 30 ansatte • Hovedkontor i Trondheim, distriktskontor i Oslo • Utarbeider standarder, veiledere, kodeverk mv. innenfor områdene • EPJ, PACS/RIS og andre behandlingsretta informasjonssystem • Felles informasjonsressurser • Informasjonssikkerhet • Informasjonsutveksling
Aktuelle lover og forskrifter • Pasientrettighetsloven • Helsepersonelloven • Pasientjournalforskriften • Helseregisterloven • Annen helselovegivning • Spesialisthelsetjenesteloven, Kommunehelsetjenesteloven, Psykisk helsevernloven m.fl. • Annen lovgivning • Personopplysningsloven m/forskrifter • Forvaltningsloven m/forskrifter • Elektronisk signaturloven m/forskrifter • Arkivloven m/forskrifter • Straffeloven
Utfordringer for helsevesenet • Antall bestemmelser er meget stort • Tolkningsrommet for enkelte bestemmelser, f.eks. om journalansvarlig, kan være betydelig • For enkelte forhold, f.eks. tilgang til helseopplysninger, må bestemmelser i flere lover ses i sammenheng • Det er ikke alltid like lett å avgjøre hvilken bestemmelse som kommer til anvendelse, ettersom dette kan være situasjonsbetinget • Akuttsituasjoner er en viktig del av helsepersonellets hverdag • Men de kan ikke planlegges… • …noe som gjør det vanskelig å styre tilgangen til helseopplysninger
Utfordringer for leverandørene • EPJ-systemene skal støtte opp om en riktig praktisering av bestemmelser i lov og i medhold av lov • Noen bestemmelser har eksplisitte konsekvenser for EPJ-systemene • Leverandørene kan ikke forventes å ha den kompetanse som er nødvendig for korrekt tolking av lovverket • Kundenes ønskeliste til ny funksjonalitet er lang • Noen ønsker kan være tvilsomme i forhold til gjeldende regelverk… • De fleste leverandører er små bedrifter, også etter norske forhold • Økonomien gir sjeldent rom for store nyinvesteringer i produktene • Leverandørene gir derfor kundenes ønsker høyest prioritet… • …og venter med å implementere bestemmelser i lov til dette kommer som eksplisitte krav fra kundene
Eksempel på utfordring • Den som yter helsehjelp, skal nedtegne relevante og nødvendige opplysninger om helsehjelpen (hpl §§ 39-40) • Helseinstitusjoner skal utpeke en journalansvarlig som skal bl.a. ta stilling til hvilke opplysninger som skal stå i journalen (hpl § 39) • Dette inkluderer retten til å "redigere" opplysninger som er signert • samt å beslutte retting og sletting etter hpl §§ 42-44 • Dette innebærer at det i EPJ-systemer må finnes funksjoner som gir journalansvarlig mulighet til å redigere, rette og slette • Men journalansvarlig skal vanligvis være en som selv deltar aktivt i behandlingen av pasienten og som selv fører journal… • … og som i en gitt situasjon kan ønske å skjule spor etter egen feilbehandling, f.eks. en feildosering av et legemiddel. (Eksempler finnes fra papirjournaler) • Det må sikres at det ikke blir foretatt ulovlig retting eller sletting
PasientrettighetslovenRett til informasjon • Pasienten skal ha den informasjon som er nødvendig for å få innsikt i sin helsetilstand og innholdet i helsehjelpen (§ 3-2) • Dersom pasienten samtykker til det eller forholdene tilsier det, skal pasientens nærmeste pårørende ha informasjon(§ 3-3) • Informasjonen skal være tilpasset mottakerens individuelle forutsetninger (§ 3-5) • Opplysning om den informasjon som er gitt, skal nedtegnes i pasientens journal (§ 3-5)
PasientrettighetslovenRett til innsyn i journal • Pasienten har rett til innsyn i egen journal (§ 5-1) • Innsyn kan nektes dersom: • Dette er påtrengende nødvendig for å hindre fare for liv eller alvorlig helseskade for pasienten selv • Innsyn er klart utilrådelig av hensyn til personer som står pasienten nær • En representant for pasientens vil i så fall kunne få innsyn • Dersom denne representanten er lege eller advokat kan det kun nektes innsyn dersom særlige grunner taler mot slikt innsyn
PasientrettighetslovenBruk av helseopplysninger • Bruk av helseopplysninger krever i utgangspunktet informert samtykke fra pasienten (§ 5-3) • …men kan likevel utleveres uten samtykke dersom tungtveiende grunner taler for det • Pasienten skal ha mulighet til å få rettet eller slettet feil eller belastende opplysninger i journalen (§ 5-2)
PasientrettighetslovenMer om samtykke • Samtykket kan være uttrykkelig eller stilltiende (§ 4-3) • Hovedregel: Alle over 16 år har rett til å samtykke til helsehjelp (§ 4-3) • Det er helsepersonell som må vurdere om en pasient har har samtykkekompetanse eller ikke • Foreldre samtykker for barn under 16 år
HelsepersonellovenDokumentasjonsplikten • Helsepersonell som yter helsehjelp plikter å føre journal (§ 39) • Unntak: Når en arbeider etter instruksjon/rettledning av annet helsepersonell • Helsepersonell inkluderer: (§ 3) • Helsepersonell med autorisasjon (27 grupper (§ 48)) eller lisens • Andre i helsetjenesten eller på apotek som yter helsehjelp • Elever og studenter i helsefaglig opplæring som yter helsehjelp • Helsehjelp: Handling med forebyggende, diagnostisk, behandlende, helsebevarende eller rehabiliterende mål, utført av helsepersonell (§ 3)
HelsepersonellovenJournalansvarlig • I helseinstitusjoner skal det utpekes en person som skal ha det overordnede ansvaret for den enkelte journal, og herunder ta stilling til hvilke opplysninger som skal stå i pasientjournalen (§ 39) • Av pasientjournalforskriften(§ 6) m/merknader framgår det bl.a. at journalansvarlig skal • sørge for at journal blir opprettet • ta stilling til hvilke opplysninger som skal stå i journalen • herunder foreta redigering av journalen • ta beslutninger vedrørende retting og sletting • vurdere spørsmål om utlevering av journalopplysninger • også til annet helsepersonell
Mer om journalansvarlig • Det er ikke gitt konkrete regler for hvem som kan være journalansvarlig, men det er opplagt at det kreves visse faglige kvalifikasjoner for å ivareta helsepersonellovens forsvarlighetskrav • Det kan være naturlig å kombinere rollen som journalansvarlig med andre lovbestemt roller, f.eks. pasientansvarlig lege • En journalansvarlig må i utgangspunktet ha tilgang til hele journalens innhold for å kunne utføre sine lovpålagte plikter
Mer om lovbestemte roller • Andre lovbestemte roller • Pasientansvarlig lege/psykolog (Spesialisthelsetjenesteloven § 3-7 m.fl.) • Behandlingsansvarlig lege (flere bestemmelser) • Informasjonsansvarlig (Helsepersonelloven § 39) • Fastlege (Kommunehelsetjenesteloven § 2-1a) • Faglig ansvarlig for vedtak i psykisk helsevern (Egen forskrift) • "Plankoordinator" (Forskrift om individuelle planer etter helselovgivningen § 5) • Listen er ikke komplett... • Denne typen roller går direkte på forholdet mellom det enkelte helsepersonell og den enkelte pasient og må ikke blandes sammen med helsepersonellets rolle i organisasjonsstrukturen • Det kan være nødvendig å håndtere enkelte slike roller spesielt i EPJ-systemer mv.
HelsepersonellovenJournalens innhold(§ 40) • Journalen skal • føres i samsvar med god yrkesskikk • inneholde relevante og nødvendige opplysninger om pasienten og helsehjelpen, samt de opplysninger som er nødvendige for å oppfylle meldeplikt eller opplysningsplikt fastsatt i lov eller i medhold av lov • være lett å forstå for annet kvalifisert helsepersonell. • Det skal framgå hvem som har ført opplysningene i journalen • Egentlig: hvem som har besluttet at opplysningene skal registreres • Bestemmelsen må ses i sammenheng med helseregisterloven § 6 hvor det heter: Dette kan gjøres ved hjelp av elektronisk signatur eller tilsvarende sikker dokumentasjon
PasientjournalforskriftenMer om journalens innhold • Pasientjournalforskriften inneholder detaljertekrav til journalens innhold(§ 8) • Listen over hva som skal inngå er lang og dekker det meste • I tillegg skal andre nødvendige og relevante opplysninger tas inn... • Arbeidsdokumenter mv. er å betrakte som en del av journalen inntil "nødvendig informasjon er nedtegnet på forsvarlig måte" • Det framgår klart av merknadene til denne bestemmelsen at pasientjournalen er et logisk begrep • Opplysninger som er "nødvendige og relevante" er en del av pasientjournalen uavhengig av hvilket system de inngår i • Opplysninger som ikke er "nødvendige og relevante skal slettes! • Pasientjournalen skal føres på norsk. Dansk og svensk kan benyttes i den grad dette er forsvarlig. Helsetilsynet kan gi tillatelse til å benytte andre språk(§ 7)
HelsepersonellovenTaushetsplikt - samtykke • Hovedregel: Helsepersonell har taushetsplikt når det gjelder helseopplysninger(§ 21) • Taushetsplikten er ikke til hinder for å gi helseopplysninger videre når den opplysningene gjelder (vanligvis pasienten) samtykker til dette(§ 22) • Samtykket må være informert men ikke nødvendigvis skriftlig • Indirekte og underforstått samtykke vil i enkelte tilfeller kunne være tilstrekkelig • Helsepersonell kan nekte å gi opplysninger selv om pasienten har gitt sitt samtykke
HelsepersonellovenUnntak fra taushetsplikten • Det er flere unntak fra taushetsplikten, bl.a: • Når opplysingene er anonymisert(§ 23) • Når tungtveiende private eller offentlige interesser gjør det rettmessig(§ 23) • Personell som bistår med elektronisk bearbeiding av opplysningene(§ 25) • Opplysninger om diagnose, eventuelle hjelpebehov, tjenestetilbud, inn/utskrivningsdato samt relevante administrative data til virksomhetens pasientadministrasjon(§ 26) • Tilgang ved service og vedlikehold av utstyr mv(§ 25)
HelsepersonellovenOpplysninger til samarbeidende personell(§ 25) • Helseopplysninger kan gis til samarbeidende personell når dette er nødvendig for å kunne gi forsvarlig helsehjelp med mindre pasienten motsetter seg dette • Samarbeidende personell kan også inkludere helsepersonell i andre virksomheter, f.eks. en radiolog på et annet sykehus som tolker et røntgenbilde • Pasienten skal så vidt mulig være informert og gis mulighet til å motsette seg utleveringen • I spesielle situasjoner kan opplysninger utleveres selv om pasienten motsetter seg dette
HelsepersonellovenOverføring, utlevering av og tilgang til journalopplysninger(§ 45) • Journalopplysninger kan utleveres til andre som yter helsehjelp når dette er nødvendig for å kunne gi forsvarlig helsehjelp med mindre pasienten motsetter seg dette • Det skal framgå av journalen hvem som gis tilgang til journalen • Kun journalopplysninger annet helsepersonell trenger for å gi pasienten forsvarlig helsehjelp tillates utlevert • I spesielle situasjoner kan opplysninger utleveres selv om pasienten motsetter seg dette • F.eks. ved tvangsinnleggelse av psykiatriske pasienter • Bestemmelsen dekker også elektronisk overføring
HelsepersonellovenRetting av journalopplysninger(§ 42) • Helsepersonell skal etter krav fra pasienten eller av eget tiltak rette feilaktige, mangelfulle eller utilbørlige opplysninger i journalen • Retting skal skje ved at journalen føres på nytt, eller ved at en datert rettelse tilføyes i journalen og ikke ved at opplysningene slettes • Begrunnelse for eventuelt avslag på krav om retting skal registreres i journalen • Merk: Ved retting skal de opprinnelige opplysningene fremdeles være tilgjengelige i journalen
HelsepersonellovenSletting av journalopplysninger(§ 43) • Sletting kan skje dersom dette er ubetenkelig ut fra allmenne hensyn, ikke er i strid med arkivloven og • opplysningene er feilaktige eller misvisende og føles belastende for den opplysningene gjelder • eller dersom opplysningene åpenbart ikke er nødvendige for å kunne gi pasienten helsehjelp • Slik sletting kan skje etter krav fra pasienten eller av eget tiltak • Begrunnelse for eventuelt avslag på krav om sletting skal registreres i journalen • Merk: Ved sletting skal de opprinnelige opplysningene ikke lengre være tilgjengelige og heller ikke kunne gjenskapes i virksomheten som har ført journalen
HelsepersonellovenElektronisk pasientjournal(§ 46) • Pasientjournalen kan føres elektronisk • Regler for elektronisk pasientjournal (EPJ) kan gis i forskrift • Dette er ikke gjort ennå, men bestemmelsene i pasientjournalforskriften er også relevante for EPJ • Det har i år vært så mye oppstyr rundt Sosial- og helsedirektoratets tolking av en del bestemmelser rundt tilgang til EPJ at departementet vurderer å sette ned et utvalg • Resultatet kan godt bli en EPJ-forskrift
Pasientjournalforskriften • Ut fra denne forskriften(§ 3)kan en utlede følgende definisjon av en elektronisk pasientjournal: En elektronisk ført samling eller sammenstilling av nedtegnede/registrerte opplysninger om en pasient i forbindelse med helsehjelp • Virksomhet hvor det ytes helsehjelp må opprette pasientjournalsystem(§ 4) • Et pasientsystem utgjør et behandlingsrettet helseregister etter definisjonen i helseregisterloven • Etter bestemmelsene i denne loven kan "virksomhet" her være en kommune, et helseforetak eller en privat virksomhet
PasientjournalforskriftenOrganisering av journal(§ 5) • Det skal normalt kun føres en journal for hver pasient innenfor en virksomhet, selv om pasienten mottar helsehjelp fra flere kategorier helsepersonell • Dette kan fravikes dersom virksomhetens enheter både faglig og organisatorisk klart fremstår som separate del-tjenester • Dersom journalen føres delvis elektronisk og delvis på papir, skal det fremgå av begge hvilke opplysninger de to delene inneholder • Forskjellige virksomheter kan ikke benytte felles pasientjournaler
PasientjournalforskriftenInnsyn i og utskrift av journal(§ 11) • Pasienten eller en representant for pasienten har rett til innsyn i journal • I visse situasjoner vil også pårørende ha rett til innsyn • Foreldre/foresatte til barn under 16 år, når pasienten åpenbart ikke kan ivareta sine interesser eller etter pasientens samtykke • Pasienter har rett til kopi av journalen dersom de ber om det. • Retten gjelder alt som omfattes av det logiske begrepet pasientjournal, dvs. også røntgenbilder, lydopptak etc • Ved bruk av elektronisk journal vil en papirutskrift av journalopplysningene normalt være tilstrekkelig
PasientjournalforskriftenOppbevaring(§ 14) • Pasientjournaler skal oppbevares slik at de ikke kommer til skade eller blir ødelagt, og at uvedkommende ikke får adgang til dem • Pasientjournaler i offentlig virksomhet kommer inn under arkivloven, bl.a. bestemmelsene om bevaring, kassasjon og avlevering til arkivdepot • Journalene skal oppbevares til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for dem • Hvis ikke journalopplysningene deretter skal bevares i henhold til arkivloven eller annen lovgivning, skal de slettes • Avlevering eller deponering bør ikke skje før det er gått minst 10 år etter siste innføring i journalen • En innstilling fra Helsearkivutvalget vedr. depotordning, nødvendige lovendringer mv. skal foreligge innen utgangen av mars 2005
PasientjournalforskriftenOverføring av journal(§ 15) • Ved skifte av fastlege kan pasienten kreve at journalen overføres til den nye fastlegen • Tilsvarende gjelder ved skifte av annet helsepersonell, f.eks. tannlege • Ved opphør av virksomhet kan virksomhetens ledelse bestemme at journalene skal overføres til annen virksomhet • Dersom journalene ikke overføres til ny virksomhet kan (skal) de overleveres til arkivdepot eller til fylkesmannen
PasientjournalforskriftenTilintetgjøring(§ 16) • Tilintetgjøring av journalopplysninger og utskifting av EDB-utstyr må gjennomføres slik at pasientopplysninger ikke kan komme uvedkommende i hende
Helseregisterloven • Formål(§ 1): • Gi helseforvaltningen og helsetjenesten kunnskap slik at helsehjelp kan gis på en forsvarlig og effektiv måte • Ivareta grunnleggende personvernhensyn • Gjelder for hel eller delvis elektronisk behandling av helseopplysninger(§ 3) • Helseregisterloven er en særlov i forhold til personopplysningsloven og bygger på EUs personverndirektiv (95/46/EC) • Bestemmelser i helseregisterloven går foran bestemmelser i personopplysningsloven • Men bestemmelser i helsepersonelloven går foran bestemmelser i helseregisterloven
HelseregisterlovenDefinisjoner (§ 2) • Helseopplysninger:taushetsbelagte opplysninger i hen-hold til helsepersonelloven § 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson • Behandling av helseopplysninger: enhver formålsbestemt bruk av helseopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter • Helseregister: registre, fortegnelser mv der helseopplysninger lagres systematisk slik at opplysninger om den enkelte person kan finnes igjen
HelseregisterlovenDefinisjoner (§ 2) • Behandlingsrettet helseregister: journal- og informasjons-system eller annet helseregister som har til formål å gi grunnlag for handlinger som har fore-byggende, diagnostisk, behandlende, helsebevarende eller rehabiliterende mål i forhold til den enkelte pasient og som utføres av helsepersonell, samt administrasjon av slike handlinger • Databehandlingsansvarlig: den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes, hvis ikke databehandlingsansvaret er særskilt angitt i loven eller i forskrift i medhold av loven • Databehandler: den som behandler helseopplysninger på vegne av den databehandlingsansvarlige
HelseregisterlovenKonsesjonsplikt (§ 5) • Det kreves konsesjon fra Datatilsynet (etter personopplysningslovens § 33) for behandling av helseopplysninger dersom behandlingen ikke følger av lov eller skjer med hjemmel i forskriftetter §§ 6 til 8 • Det kreves samtykke fra den registrerte dersom annet ikke er bestemt i lov • EPJ har hjemmel i helsepersonelloven og spesialist-helsetjenesteloven og krever ikke separat konsesjon • Men det er meldeplikt til Datatilsynet(§ 29)
HelseregisterlovenBehandlingsrettet helseregister (§ 6) • Behandlingsrettede helseregistre kan føres elektronisk. • Det skal fremgå av registeret hvem som har registrert opplysningene. Dette kan gjøres ved hjelp av elektronisk signatur eller tilsvarende sikker dokumentasjon. • EPJ og de fleste andre system i helsetjenesten som inneholder helseopplysninger utgjør behandlingsrettede helseregistre • Regionale helseforetak og helseforetak, kommune og annen offentlig eller privat virksomhet som tar i bruk behandlingsrettede helseregistre, er databehandlings-ansvarlig for opplysningene. • Foretaket og kommunen kan delegere databehandlingsansvaret.
HelseregisterlovenRegionale og lokale helseregistre (§ 7) • Kan opprettes gjennom forskrift • Så langt er det ikke utarbeidet slike forskrifter • Dersom registret skal inneholde personidentifiserbare opplysninger kreves det samtykke fra hver enkelt registrert person • Samtykke kreves ikke dersom opplysningene kun skal behandles pseudonymt eller avidentifisert • De registrerte har rett til innsyn(§ 22) • Retten gjelder i utgangspunktet også pseudonyme og avidentifiserte registre
HelseregisterlovenSentrale helseregistre (§ 8) • Sju helseregistre er opprettet direkte i denne bestemmelsen • Det foreligger forslag om å inkludere NPR • Dette er de eneste sentrale, regionale eller lokale helseregistre hvor det kan behandles personidentifiserbare opplysninger uten samtykke • Pseudonyme, avidentifiserte eller samtykkebaserte registre kan opprettes gjennom forskrift • Så langt er det utarbeidet forskrift for et pseudonymt og et avidentifisert register • Men flere er på beddingen • De registrerte har rett til innsyn(§ 22)
HelseregisterlovenBehandling av helseopplysninger (§ 11) • Enhver behandling av helseopplysninger skal ha et uttrykkelig angitt formål • Formålet skal være saklig begrunnet i den databehandlingsansvarliges virksomhet • Den databehandlingsansvarlige skal sørge for at helseopplysningene som behandles, er relevante og nødvendige for formålet
HelseregisterlovenSammenstilling av helseopplysninger (§ 12) • Helseopplysninger i journaler og andre behandlingsretta helseregistre om samme pasient, kan sammenstilles • Annen sammenstilling, med unntak av sammenstilling med folkeregisteropplysninger, krever konsesjon fra Datatilsynet eller hjemmel i lov/forskrift
HelseregisterlovenTilgang til helseopplysninger (§ 13) • Tilgang kan bare gis i den grad det er nødvendig for vedkommendes arbeid • Tilgang skal kun gis til databehandlingsansvarlig for helseregistret ("eieren"), de som etter avtale behandler helseopplysninger på vegne av "eieren", eller som arbeider under disses instruksjonsmyndighet • Helsepersonelloven er en spesiallov og de bestemmelser som der er gitt vedrørende tilgang til og utlevering av helseopplysninger går foran bestemmelsene i helseregisterloven • Se spesielt §§ 25 og 45
HelseregisterlovenSikring av helseopplysninger • Databehandlingsansvarlig skal sørge for tilfredsstillende informasjonssikkerhet ved behandling av helseopplysninger(§ 16) • Konfidensialitet, integritet, kvalitet og tilgjengelighet • Det skal etableres internkontrollsystem for å sikre at kravene overholdes(§ 17) • Datatilsynet skal gis detaljert melding om alle helseregistre, med informasjon om formål, innhold, kilde, utlevering, sikkerhetstiltak mm(§ 29) • Dette gjelder også elektroniske pasientjournaler
Kommunehelsetjenesteloven • Kommunehelsetjenesten skal utarbeide en individuell plan for pasienter med behov for langvarige og koordinerte tilbud. Kommune-helsetjenesten skal samarbeide med andre tjenesteytere om planen for å bidra til et helhetlig tilbud for pasientene.(§ 6-2a) • Planen skal inngå i pasientens journal(Pasientjournalforskriften § 8)
Spesialisthelsetjenesteloven • Helseforetaket skal utarbeide en individuell plan for pasienter med behov for langvarige og koordinerte tilbud. Helseforetaket skal samarbeide med andre tjenesteytere om planen for å bidra til et helhetlig tilbud for pasientene.(§ 2-5) • Planen skal inngå i pasientens journal(Pasientjournalforskriften § 8) • Pålegger eieren av helseinstitusjoner å gi pasienter den informasjon de etter lov om pasientrettigheter har krav på(§ 3-11) • Helseinstitusjonene skal sørge for at journal- og informasjonssystemene er forsvarlige(§ 3-2)
Psykisk helsevernloven • Inneholder en rekke bestemmelser om konkrete forhold/vedtak som skal nedtegnes • Alle vedtak om bruk av tvang, inkl. vedtak om undersøkelse/behandling uten pasientens samtykke • Vedtak om kontroll av post mv, vedtak om beslag • Det skal utarbeides en individuell plan for hver pasient som er underlagt psykisk helsevern(§ 4-1) • Ved frivillig psykisk helsevern dog kun etter pasientens samtykke
Forskrift omIndividuelle planeretter helselovgivningen og sosialtjenesteloven • Tjenestemottakere med behov for langvarige og koordinerte tilbud har rett til å få utarbeidet en individuell plan(§ 4) • Det er kommunens og helseforetakets ansvar å utarbeide planen(§ 6) • Arbeidet med å utarbeide planen må koordineres • Beskrivelsen av hva en individuell planen skal inneholde er svært konkret(§ 7)
Personopplysningsloven • Inneholder de grunnleggende bestemmelser for all behandling av personopplysninger • Personopplysningsloven gjelder som utfyllende bestemmelser i forhold til Helseregisterloven • Men de bestemmelser som er spesielt relevante i forhold til behandling av opplysninger i helseregistre, herunder også elektronisk pasientjournal, finnes i helseregisterloven
Personopplysningsforskriften • Er gitt med hjemmel i personopplysningsloven men deler av bestemmelsene er også viktige i forbindelse med helseregistre • Kapittel 2: Informasjonssikkerhet • Risikovurdering(§ 2-4) • Sikkerhetsrevisjon(§ 2-5) • Sikkerhetstiltak(§ 2-14) • Sikkerhet hos andre virksomheter(§ 2-5) • Personopplysninger kan kun overføres elektronisk til virksomheter som oppfyller kravene i forskriften • Kapittel 3. Internkontroll
Elektronisk signaturloven • Inneholder bl.a. bestemmelser vedrørende fremstilling av elektroniske signaturer og rettsvirkningen til elektroniske signaturer • Det er utarbeidet forskrifter til loven: • Forskrift om krav til utsteder av kvalifiserte sertifikater mv. • Har som formål å legge til rette for en sikker og effektiv bruk av elektroniske signaturer • I følge denne loven er en elektronisk signatur: • Data i elektronisk form som er knyttet til andre elektroniske data og som brukes som autentiseringsmetode(§ 3)
Elektronisk signaturlovenForskjellige typer elektroniske signaturer (§ 3) • Det opereres med to undergrupper av elektronisk signatur • Avansert elektronisk signatur: En elektronisk signatur som a) er entydig knyttet til undertegneren, b) kan identifisere undertegneren, c) er laget ved hjelp av midler som bare undertegneren har kontroll over, og d) er knyttet til andre elektroniske data på en slik måte at det kan oppdages om disse har blitt endret etter signering. • Kvalifisert elektronisk signatur: En avansert elektronisk signatur som er basert på et kvalifisert sertifikat og framstilt av et godkjent sikkert signaturframstillingssystem • I tillegg kan det finnes elektroniske signaturer som ikke er avanserte
Elektronisk signaturlovenRettsvirkning (§ 6) • Dersom det i lov, forskrift eller på annen måte er oppstilt krav om underskrift for å få en bestemt rettsvirkning og disposisjonen kan gjennomføres elektronisk, oppfyller en kvalifisert elektronisk signatur alltid et slikt krav. • En elektronisk signatur som ikke er kvalifisert, kan oppfylle et slikt krav. • Et problem er at det pr. i dag ikke finnes noe "godkjent sikkert signaturframstillingssystem" og dermed heller ingen kvalifiserte signaturer • Men det må kunne antas at en avansert elektronisk signatur som er basert på et kvalifisert sertifikat i de aller fleste tilfeller vil kunne godtas
ArkivlovenArkivansvaret • Alle offentlige (statlige fylkeskommunale og kommunale) organ plikter å ha arkiv(§ 6) • Arkiv: "Dokument som vert til som lekk i ei verksemd"(§ 2) • Dokument: "ei logisk avgrensa informasjonsmengd som er lagra på eit medium for seinare lesing, lyding, framsyning eller overføring "(§ 2) • Dokumentene skal være "ordna og innretta slik at dokumentane er tryggja som informasjonskjelder for samtid og ettertid"(§ 6)