Ny forskrift om pasientjournal, gjort gjeldende 01.07.2019.
Forskriften, som er gjort gjeldende fra 01.07.2019, er i større grad tilpasset en digitalisert helsetjeneste, pasientjournalloven fra 2014 og EUs personvernforordning.
Formålet med den nye forskriften er å sikre gode og effektive pasientforløp, ivareta personvernet etter personvernforordningen og sikre kontroll av helsehjelpen i ettertid.
Den nye forskriften har tatt inn krav til elektronisk pasientjournal jf. «Forskrift om IKT standarder i helse og omsorgstjenesten». Bestemmelser om tilgangsstyring og loggføring av hvem som har gjort oppslag i journalen, jf. Pasientjournalloven, er blitt tydeligere. Krav til dataansvarlig jf. Pasientjournal-loven er og presisert og utdypet i den nye forskriften. Den dataansvarliges oppgaver er beskrevet nederst i artikkelen
Om elektronisk pasientjournal:
Elektronisk pasientjournal skal være utformet og organisert slik at helseopplysninger kan gjøres tilgjengelig for andre virksomheter når det er nødvendig for å yte eller kvalitetssikre helsehjelpen. I tillegg være tilrettelagt slik at krav fastsatt i pasientjournalloven §7 kan oppfylles. Dette omfatter bl.a. krav til taushetsplikt, krav til å hindre urettmessig tilegnelse av helseopplysninger, retten til innsyn osv.
Dersom det i enkelttilfeller ikke er mulig å føre elektronisk journal kan opplysningen registreres på annen måte inntil de kan registreres elektronisk. Når fysiske journaldokumenter er digitalisert kan originaldokumentene tilintetgjøres.
Samarbeid om felles journal:
Dersom virksomheter finner det formålstjenlig i forhold til dokumentasjonsplikt/ pasientbehandling å opprette en felles journal kan dette gjøres ved å inngå en skriftlig avtale slik det er beskrevet i pasientjournalloven §9.
Krav til tilgangsstyring og loggføring:
Virksomheten må tildele helsepersonellet tillatelser (autorisasjon) til å behandle opplysninger i journalen. Tillatelsene må beskrive både rettigheter og plikter, angi hvilke virksomheter den omfatter, være tidsbegrenset og vurderes på nytt ved endringer i ansettelsesforhold og ansvars-områder. Journalopplysninger skal bare gjøres tilgjengelig til personell som kan bekrefte sin identitet på en sikker måte. Tilgangen skal dokumenteres automatisk. Dokumentasjonen skal inneholde identitet og organisatorisk tilhørighet, gi informasjon om grunnlaget og tidsperioden for tilgjengeliggjøringen. Virksomheten ved dataansvarlig skal etterse at kravene overholdes.
Krav som gjelder ansvarsforhold:
Krav om journalansvarlig: I følge helsepersonelloven § 39 skal virksomheten utpeke en person som skal ha det overordnede ansvaret for den enkelte journal og herunder ta stilling til hvilke opplysninger som skal stå i pasientjournalen.
Krav om dataansvarlig: I tillegg må det opprettes en dataansvarlig som har overordnet ansvar for all databehandling av helseopplysninger i virksomheten. Ifølge forskriften og personvernreglementet skal den dataansvarlige sikre;
- at personopplysningene behandles i samsvar med personvernlovgivningen
- at tekniske og organisatoriske tiltak ivaretar sikkerheten herunder; tilgangsstyring jf.§ 13, loggføring jf. §14 og etterfølgende kontroll.
- at opplysninger gjøres tilgjengelig for andre virksomheter ved behov
- at innsyn, retting og sletting følger reglene i helsepersonelloven §§ 41- 44.
- at det etableres internkontrolltiltak som påviser/ dokumenterer at databehandlingen utføres i samsvar med krav i personvernforordningen artikkel 30
- at internkontrolldokumentasjonen er tilgjengelig for ansatte og for tilsynsmyndighetene.
Virksomheten må etablere nødvendige rutiner og styrende dokumentasjon for å sikre at regelverkskravet etterleves. I tillegg sørge for nødvendig kompetanse til å ivareta oppgaven.
Den dataansvarlige kan, ifølge personvernforordningen, benytte andre, herunder private leverandører til å behandle personopplysninger på sine vegne. Virksomheten har like fullt overordnet ansvar for at den som utfører oppgaven etterlever regelverkets krav.