140 likes | 271 Views
Nasjonale kvalitetsregistre. Hvilke tillatelser trengs? Heidi Thorstensen Personvernombud/IKT-sikkerhetssjef. Tema. Ulike typer kvalitetsregistre Sentrale begreper Formaliseringsbehov Muligheter for bruk. Kvalitetsregister – kan omfatte. Internt kvalitetsregister
E N D
Nasjonale kvalitetsregistre Hvilke tillatelser trengs? Heidi Thorstensen Personvernombud/IKT-sikkerhetssjef
Tema • Ulike typer kvalitetsregistre • Sentrale begreper • Formaliseringsbehov • Muligheter for bruk
Kvalitetsregister – kan omfatte • Internt kvalitetsregister • Dekker kun en juridisk enhets opplysninger • Omfatter systematisering av allerede registrerte opplysninger fra helsehjelp gitt • Formål: intern kvalitetssikring av diagnostisering/behandling gitt i det enkelte foretak • Besluttes opprettet av leder • Hjemlet i HPL § 26 og meldes til/tilrås av Personvernombud • Mulige forskriftsregulerte kvalitetsregistre • Forskrift legger forutsetninger og gir mulighetsrom • Regionale/nasjonale kvalitetsregistre • Dekker flere juridiske enheter • Oftest både kvalitetssikring og forskning
Sentrale begrep • Behandling av personopplysninger • Formål • Databehandlingsansvarlig • Instruksjonsmyndighet • Databehandler • Databehandleravtale
Behandling av personopplysninger • Enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, søking, lagring og utlevering eller en kombinasjon av slike bruksmåter Formål • Uttalt bruk/behandling av registrerte personopplysninger. For nasjonale kvalitetsregistre omfatter dette som oftest både kvalitetssikring av behandling og forskning for å forbedre behandlingen
Databehandlingsansvar • Den som bestemmer formålet med behandlingen av personopplysningene • og hvilke hjelpemidler som skal brukes. • Den som er juridisk og strafferettslig ansvarlig for at • personopplysningene behandles i tråd med formålet som er gitt og som må ha sitt behandlingsgrunnlaget. • personopplysningene sikres i samsvar med lov og øvrige forutsetninger • rettighetene til den enkelte inkluderte sikres • internkontroll
Instruksjonsmyndighet • Styringsmyndighet av den enkelte person, dvs • Krav til hva som skal og kan gjøres med personopplysningene og tilhørende verktøy • Stiller krav til sikkerhet, inkludert den enkeltes adferd og betingelser ved bruk av opplysningene • Databehandlingsansvarliges styringsmyndighet krever et formelt forhold som • ansettelse av den enkelte • innleieavtale med individ (irrelevant om det medfører økonomisk kompensasjon til den enkelte)
Databehandler • den som behandler personopplysninger på vegne fra behandlingsansvarlige • skal behandle opplysningene i samsvar med rutiner og forutsetninger den databehandlingsansvarlige har gitt
Databehandleravtale • Avtale som regulerer hva databehandler skal gjøre på vegne av databehandlingsansvarlig • Omfatter • Hvilke aktivitet databehandler skal gjøre på vegne av databehandlingsansvarlig • Hvilke bruk av personopplysninger databehandler skal gjøre på vegne av databehandlingsansvarlig • Sikkerhetskrav ved bruk og lagring av personopplysningene
Nasjonalt kvalitetsregister – hva er formålet? • Formål, eks • Kvalitetssikring av behandling som går på tvers av flere foretak • Kvalitetssikring/benchmarking av behandlinger gitt av ulike foretak • Overvåke/kvalitetssikre ulike forekomster…. • Forskning, som spesifiseres som en overordnet protokoll • Formuleres i statutter eller vedtekter, sammen med styringsregler av registeret, utleveringsregler med mer.
Databehandlingsansvarlig Nasjonalt kvalitetsregister Internt kvalitetsregister, avleverende HF data- behandlingsansvarlig HF, avleverende 2-nivå autentisering HF, avleverer oppl. til nasjonalt kvalitetsregister HF, egne aktiviteter uten egen database/register HF, avleverende
Formalisering av nasjonalt kvalitetsregister Forarbeid • Informasjon/samtykke for de som inviteres til inkludering • Formål, inkludert eventuelle koblinger med andre registre Melding til personvernombud, alternativt Datatilsynet • Register for bruk for flere formål, dekkes ikke av REKs mandat • Kvalitetsregister dekkes ikke av REKs mandat • De fleste nasjonale kvalitetsregistre vil kreve konsesjon Hver eventuelle forskningsstudie innenfor registerets formål må forelegges REK Eventuelle egen bruk av opplysninger for avleverende foretak, krever egen formalisering, ofte dekker § 26
Forutsetning for tilgang og bruk til egne personopplysningene fra avgivende foretak • Eget behandlingsgrunnlag, eks • helsepersonellovens § 26 • besluttes av ledelse i foretaket • dekkes av melding til personvernombud alternativt Datatilsynet • egen konsesjon • Data må være en egen kopi, og kan ikke være de samme data som en annen databehandlingsansvarlig har for sitt behandlingsgrunnlag
Oppsummert • Nasjonalt kvalitetsregister • Forutsetter normalt samtykke • Krever normalt konsesjon fra Datatilsynet • Eventuell også forskning innen registerets formål krever godkjenning pr studie av REK • En databehandlingsansvarlig, og formelt er det denne som bestemmer formålet –samarbeid reguleres i statutter/vedtekter • Eventuelle bruk av egne data for avgivende foretak • Egen formalisering og ansvar, ofte dekket av HPL § 26 • Taushetsplikten må håndteres • Eget sett med data • Samlokalisert med nasjonalt krever databehandleravtale