Heidi Thorstensen

Download Report

Transcript Heidi Thorstensen 

Nasjonale kvalitetsregistre
Hvilke tillatelser trengs?
Heidi Thorstensen
Personvernombud/IKT-sikkerhetssjef
Tema
•
•
•
•
Ulike typer kvalitetsregistre
Sentrale begreper
Formaliseringsbehov
Muligheter for bruk
Kvalitetsregister – kan omfatte
• Internt kvalitetsregister
– Dekker kun en juridisk enhets opplysninger
– Omfatter systematisering av allerede registrerte opplysninger fra
helsehjelp gitt
– Formål: intern kvalitetssikring av diagnostisering/behandling gitt i
det enkelte foretak
– Besluttes opprettet av leder
– Hjemlet i HPL § 26 og meldes til/tilrås av Personvernombud
• Mulige forskriftsregulerte kvalitetsregistre
– Forskrift legger forutsetninger og gir mulighetsrom
• Regionale/nasjonale kvalitetsregistre
– Dekker flere juridiske enheter
– Oftest både kvalitetssikring og forskning
Sentrale begrep
•
•
•
•
•
•
Behandling av personopplysninger
Formål
Databehandlingsansvarlig
Instruksjonsmyndighet
Databehandler
Databehandleravtale
Behandling av personopplysninger
• Enhver bruk av personopplysninger, som f.eks. innsamling,
registrering, sammenstilling, søking, lagring og utlevering eller en
kombinasjon av slike bruksmåter
Formål
• Uttalt bruk/behandling av registrerte personopplysninger. For
nasjonale kvalitetsregistre omfatter dette som oftest både
kvalitetssikring av behandling og forskning for å forbedre
behandlingen
Databehandlingsansvar
• Den som bestemmer formålet med behandlingen av
personopplysningene
• og hvilke hjelpemidler som skal brukes.
• Den som er juridisk og strafferettslig ansvarlig for at
– personopplysningene behandles i tråd med formålet som er gitt og
som må ha sitt behandlingsgrunnlaget.
– personopplysningene sikres i samsvar med lov og øvrige
forutsetninger
– rettighetene til den enkelte inkluderte sikres
– internkontroll
Instruksjonsmyndighet
• Styringsmyndighet av den enkelte person, dvs
– Krav til hva som skal og kan gjøres med personopplysningene og
tilhørende verktøy
– Stiller krav til sikkerhet, inkludert den enkeltes adferd og betingelser
ved bruk av opplysningene
• Databehandlingsansvarliges styringsmyndighet krever et formelt
forhold som
– ansettelse av den enkelte
– innleieavtale med individ (irrelevant om det medfører økonomisk
kompensasjon til den enkelte)
Databehandler
• den som behandler personopplysninger på vegne fra
behandlingsansvarlige
• skal behandle opplysningene i samsvar med rutiner og
forutsetninger den databehandlingsansvarlige har gitt
Databehandleravtale
• Avtale som regulerer hva databehandler skal gjøre på vegne av
databehandlingsansvarlig
• Omfatter
– Hvilke aktivitet databehandler skal gjøre på vegne av
databehandlingsansvarlig
– Hvilke bruk av personopplysninger databehandler skal gjøre på
vegne av databehandlingsansvarlig
– Sikkerhetskrav ved bruk og lagring av personopplysningene
Nasjonalt kvalitetsregister – hva er formålet?
• Formål, eks
–
–
–
–
Kvalitetssikring av behandling som går på tvers av flere foretak
Kvalitetssikring/benchmarking av behandlinger gitt av ulike foretak
Overvåke/kvalitetssikre ulike forekomster….
Forskning, som spesifiseres som en overordnet protokoll
• Formuleres i statutter eller vedtekter, sammen med styringsregler
av registeret, utleveringsregler med mer.
Databehandlingsansvarlig
Nasjonalt kvalitetsregister
Internt kvalitetsregister,
avleverende HF databehandlingsansvarlig
HF, avleverende
2-nivå
autentisering
HF, avleverer oppl. til
nasjonalt kvalitetsregister
HF, egne aktiviteter
HF, avleverende
uten egen database/register
Formalisering av nasjonalt kvalitetsregister
Forarbeid
• Informasjon/samtykke for de som inviteres til inkludering
• Formål, inkludert eventuelle koblinger med andre registre
Melding til personvernombud, alternativt Datatilsynet
• Register for bruk for flere formål, dekkes ikke av REKs mandat
• Kvalitetsregister dekkes ikke av REKs mandat
• De fleste nasjonale kvalitetsregistre vil kreve konsesjon
Hver eventuelle forskningsstudie innenfor registerets formål må
forelegges REK
Eventuelle egen bruk av opplysninger for avleverende foretak,
krever egen formalisering, ofte dekker § 26
Forutsetning for tilgang og bruk til egne
personopplysningene fra avgivende foretak
• Eget behandlingsgrunnlag, eks
– helsepersonellovens § 26
 besluttes av ledelse i foretaket
 dekkes av melding til personvernombud alternativt Datatilsynet
– egen konsesjon
• Data må være en egen kopi, og kan ikke være de samme data
som en annen databehandlingsansvarlig har for sitt
behandlingsgrunnlag
Oppsummert
• Nasjonalt kvalitetsregister
– Forutsetter normalt samtykke
– Krever normalt konsesjon fra Datatilsynet
– Eventuell også forskning innen registerets formål krever
godkjenning pr studie av REK
– En databehandlingsansvarlig, og formelt er det denne som
bestemmer formålet –samarbeid reguleres i statutter/vedtekter
• Eventuelle bruk av egne data for avgivende foretak
–
–
–
–
Egen formalisering og ansvar, ofte dekket av HPL § 26
Taushetsplikten må håndteres
Eget sett med data
Samlokalisert med nasjonalt krever databehandleravtale