Ledere og helsepersonell bør være kjent med den nye pasientjournalforskriften som trådte i kraft 01.07.19.
Den nye forskriften utfyller journalføringsplikten og legger til rette for en pasientjournal sentrert rundt pasientens behov for helsehjelp.
Forskrift om pasientjournal ble 1. juli 2019 erstattet av en ny pasientjournalforskrift. Den nye forskriften er i større grad tilpasset en digitalisert hverdag, pasientjournalloven fra 2014 og EUs personvernforordning.
Den nye forskriften skal imøtekomme en digitalisert hverdag og er videre «teknisk» tilpasset annet relevant regelverk. Det betyr at regler som følger av pasientjournalloven, helsepersonelloven og personvernforordningen (GDPR) supplerer og er ikke gjentatt i den nye forskriften.
Forskriften skal bygge opp under at pasientjournaler er elektronisk og at helsepersonell får rask og effektiv tilgang til nødvendige og oppdaterte pasientopplysninger, uavhengig av hvilken virksomhet som tidligere har behandlet pasienten, samtidig som personvernet ivaretas. Alle som yter helsehjelp har plikt til å føre journal. (Ref. helsepersonelloven §§39 og 49).
Nedenfor følger en oppsummering av forskriftens hovedinnhold:
• dataansvarlig (§ 3)
• krav til journalens innhold (§§ 4,5,6,7,8)
• krav til journalføringen (§ 10)
• rett til innsyn (§ 11)
• generelle systemkrav (§ 12)
• krav om tilgangsstyring (§ 13)
• krav til loggføring (§ 14)
• retting og sletting av journalopplysninger (§ 15)
• tilintetgjøring etter digitalisering (§ 16)
• behandling av journaler ved opphør av virksomhet (§ 17)
Dataansvarlig (§ 3)
Bestemmelsen fastsetter at enhver behandling av helseopplysninger må kunne knyttes til en dataansvarlig og skal forstås på samme måte som «behandlingsansvarlig» i personvernforordningen (ref. artikkel 4 nr. 7). Derfor kan ingen behandle helseopplysninger uten at det er klart hvem som er dataansvarlig for den aktuelle behandlingen.
Ansvaret for personvernet påligger etter personvernforordningen den behandlingsansvarlige (dataansvarlige) som er definert som: (ref.artikkel 4 nr.7) «en fysisk eller juridisk person, en offentlig myndighet, en institusjon, eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemstatens nasjonale rett,».
En sentral plikt for den dataansvarlige er bl.a å sørge for at all behandling av helseopplysninger er i tråd med lover, forskrifter og eventuelle godkjenninger og sørge for tilfredsstillende informasjonssikkerhet, bl.a innebygd personvern. Den dataansvarlig kan benytte andre, herunder private leverandører, til å behandle personopplysninger på sine vegne. Dette gjøres ved å inngå avtale med en databehandler. Databehandler er definert som (artikkel 4 nr. 8) «en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige».
En databehandler vil ikke behandle dataene på egne vegne og kan derfor for eksempel ikke bestemme formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes.
Plikten til å føre pasientjournal, plikten til å utveksle helseopplysninger og taushetsplikt er lovpålagte plikter for helsepersonell men innebærer ikke at det enkelte helsepersonell blir dataansvarlig etter personvernforordningen.
For å plassere dataansvaret for en bestemt behandling av helseopplysninger, må det tas stilling til hvilken virksomhet som bestemmer formålet med behandlingen, og hvilke midler som skal benyttes. Av personvernforordningen (ref.artikkel 26 nr. 1) fremgår det at to eller flere dataansvarlige kan være felles dataansvarlige: «Dersom to eller flere behandlingsansvarlige i fellesskap fastsetter formålene med og midlene for behandlingen, skal de være felles behandlingsansvarlige.»
Spørsmålet om helseforetak eller RHF vil være dataansvarlig alene eller om og i hvilken grad helseforetak og RHF vil ha et felles dataansvar, må avgjøres konkret med utgangspunkt i hvem som bestemmer eller har bestemt formål og midler.
Etter personvernforordningen er det avgjørende at roller og ansvar er klart definert og dokumentert, slik at det er klart for virksomheten hva den er dataansvarlig for og når den eventuelt er databehandler for en annen virksomhet.
Digitalisering av helsesektoren har skapt nye former for samhandling både innad i virksomheten og virksomheter imellom og mellom de organisatoriske nivåene i helseforetakmodellen. Helsetjenesten må samarbeide ved behandling av helseopplysninger og om valg av journalløsninger og andre fagsystemer. De formelle ansvarsformene som er gjennomgått ovenfor gjennom dataansvarlig, databehandler og felles dataansvar vil være påkrevde ansvarssubjekter i samhandlingsstrukturen.
Krav til journalens innhold (§§ 4,5,6,7,8)
Det fremgår av § 4 at pasientjournalen skal inneholde opplysninger som er relevante og nødvendige for å yte helsehjelp til den enkelte pasient, (ref. helsepersonelloven § 40). Journalen skal også inneholde opplysninger som er nødvendige for å oppfylle helsepersonellets meldeplikt eller opplysningsplikt fastsatt i lov eller i medhold av lov. En oversikt over hvilke opplysninger som kan være relevante og nødvendige er angitt i § 5 til § 8. Denne oversikten er ikke uttømmende.
Det fremgår av § 6 bokstav h at journalen skal inneholde en beskrivelse av de funn og vurderinger som ligger til grunn for kodet informasjon innrapportert til helseregister etter helseregisterloven § 10 og § 11. Dette er nødvendig for å etterprøve at opplysninger som innrapporteres til dagens helseregistre er tilstrekkelige og korrekte. Videre fremgår det nå tydelig (ref. § 8 andre ledd bokstav a) at ved bruk av tvang skal det faktiske og rettslige grunnlaget for tvangen inngå i journalen.
Krav til journalføringen (§ 10)
Det presiseres at pasientjournalen som hovedregel skal skrives på norsk. Nedtegning i journal skal skje uten ugrunnet opphold etter at helsehjelpen er gitt, i tillegg til at den skal dateres signeres av den som har gitt helsehjelpen. Dette er en videreføring av dagens krav.
Rett til innsyn (§ 11)
Innsyn og kopi skal være gratis men hvis den registrerte ber om flere kopier kan den dataansvarlige kreve et rimelig gebyr basert på administrasjonskostnadene,(ref.personvernforordningen kap.15 nr.3).
Generelle systemkrav (§ 12)
Journalføring og kommunikasjon av helseopplysninger mellom personell og virksomheter skal som hovedregel skje ved hjelp av elektroniske midler. Bestemmelsen i forskrift 1. juli 2015 nr. 853 om IKT-standarder i helse- og omsorgstjenesten § 3, som slår fast at pasientjournaler skal føres elektronisk, er derfor gjentatt i § 12.
Krav om tilgangsstyring (§ 13)
God sikkerhet er nødvendig for å sikre at helseopplysninger ikke kommer på avveie, ikke endres urettmessig og er tilgjengelige ved behov. Personvernforordningen (ref.artikkel 32 og 35) pålegger virksomhetene en plikt til å sikre helseopplysninger, basert på en konkret vurdering av risiko.
Risikoen ved behandling av helseopplysninger er avhengig av flere forhold. Dersom virksomhetens vurdering viser at risikoen blir større, for eksempel fordi det gis tilgang til opplysninger som er vanskeligere å kontrollere, kan det være nødvendig å innføre strengere krav til tilgangsstyring. Dette gjelder intern tilgang så vel som tilgang mellom virksomheter. Det at forskriften ikke skiller mellom intern tilgang og tilgang mellom virksomheter, betyr derfor ikke at det er unødvendig å stille andre krav ved tilgang mellom virksomheter, men at eventuelle tiltak som da vurderes skal baseres på en konkret risikovurdering.
Bestemmelsen fasetter bla at behandling av journalopplysninger skal baseres på bestemte tildelte tillatelser til å lese, registrere, redigere, rette, slette, sperre eller på annen måte behandle opplysninger i journalen (autorisasjon).
Journalopplysninger kan bare gjøres tilgjengelig for personell som gjennom autentisering kan bekrefte sin identitet på en sikker måte.
Den dataansvarlige skal ha oversikt over hvem som har tilgang til hvilke typer opplysninger og kunne kontrollere i ettertid hvem som har benyttet seg av tilgangen.
Krav til loggføring (§ 14)
Tilgjengeliggjøring av opplysninger skal dokumenteres automatisk hos virksomheten. Den registrerte har rett til innsyn i dokumentasjonen.
Dersom oversikten viser at noen urettmessig har hentet frem journalopplysninger, skal virksomheten opplysningene er hentet fra og den registrerte, varsles, jf. personvernforordningen (ref. artikkel 33 og 34.)
Retting og sletting av journalopplysninger (§ 15)
Etter at en journalnedtegnelse er signert, kan den bare endres etter reglene om retting og sletting i helsepersonelloven (ref. § 42, § 43 og § 44.) Det er ingen vesentlig endring her.
Tilintetgjøring etter digitalisering (§ 16)
Når journaldokumenter på analoge lagringsmidler er digitalisert på forsvarlig måte, (ref. forskrift om offentlege arkiv § 6 og riksarkivarens forskrift), kan fysiske originaldokumenter tilintetgjøres.
Behandling av journaler ved opphør av virksomhet (§ 17)
Hvis det ved overdragelse eller opphør av virksomhet ikke er aktuelt å overføre pasientjournalene til et bestemt helsepersonell eller til en bestemt virksomhet, og virksomheten ikke selv kan ta vare på dem, kan de avleveres til offentlig arkivdepot, deponeres i annen oppbevaringsinstitusjon, eller leveres til fylkesmannen. Journaler som leveres til fylkesmannen oppbevares i 10 år, og journalene kan deretter tilintetgjøres etter samråd med Riksarkivaren eller avleveres til offentlig arkivdepot.
_________________________________
Spørsmål i tilknytning til ovennevnte kan rettes til Juridisk avdeling i Adm.dir. stab.
Kontaktperson: juridisk direktør Randi Borgen
Oslo universitetssykehus - nyheter for ansatte 
Legg igjen en kommentar