Det besluttet Helse- og omsorgsdepartementet 2. februar i år gjennom forskriftsendringer. Den nye samhandlingstjenesten pasientens prøvesvar, som er under utprøving, tas samtidig inn som et nytt element i kjernejournal. Både kjernejournal og e-resepter (reseptformidleren) er å anse som registre med helsefaglige formål.
Endringen i dataansvaret for kjernejournal og e-resept innebærer ingen endringer i eierskap til tekniske løsninger og infrastruktur. Norsk helsenett som nasjonal tjenesteleverandør er fortsatt ansvarlig for utvikling og forvaltningen av løsningene.
En myndighetsrolle
Overføringen av dataansvaret skjer i kjølvannet av endringene i den sentrale helseforvaltningen. Helsedirektoratet har fra 1. januar ansvar for alle myndighetsoppgaver innen digitalisering i helse- og omsorgssektoren. Dette gjelder også delegert myndighet til å fortolke helselovgivningen.
– Som myndighet skal Helsedirektoratet sørge for at helsefaglige behov er styrende for den nasjonale, digitale tjenesteutviklingen i helse- og omsorgssektoren. Dette kan for eksempel være gjennom rammebetingelser og strategisk utviklingsretning for de nasjonale løsningene, sier helsedirektør Bjørn Guldvog.
I sin beslutning har departementet lagt vekt på at Helsedirektoratet er et forvaltningsorgan underlagt offentlig styring og kontroll, og at direktoratet er en kompetent organisasjon med bred erfaring som dataansvarlig. Utdyping av de helsefaglige formålene er en naturlig oppgave for Helsedirektoratet, ifølge departementet.
Pasientens prøvesvar inn i kjernejournal
Pasientens prøvesvar vil gi helsepersonell og innbyggere tilgang til alle typer laboratorie- og radiologisvar, uavhengig av hvem som har bestilt undersøkelsen og hvor den er utført.
– Tilgang til relevante prøvesvar skal bidra til raskere diagnostisering og bedre kvalitet i helse- og omsorgstjenestene, sier Guldvog.
Det er bare helsepersonell med tjenstlig behov som kan få tilgang til nødvendige og relevante helseopplysninger fra kjernejournal. De kan se pasienters helseopplysninger uavhengig av om de jobber på sykehus, fastlegekontor, legevakt eller i kommunale pleie- og omsorgstjenester, men det er strenge krav til personvern.
Dataansvar og databehandler
Dataansvar innebærer at virksomheten er forpliktet til å etterleve krav fastsatt i EUs personvernforordning (GDPR). Den dataansvarlige har ansvaret for at det etableres organisatoriske og tekniske tiltak som er nødvendige for å etterleve regelverket og at personopplysninger behandles på en lovlig, rettferdig og gjennomsiktig måte. Det betyr blant annet at det må foreligge et gyldig behandlingsgrunnlag (for eksempel en lovhjemmel) og at personopplysningene behandles på en sikker måte. Den dataansvarlige plikter å sørge for at de registrerte får sikret sine rettigheter. I tillegg er det en rekke andre plikter den dataansvarlige må oppfylle.
Den dataansvarlige kan benytte en databehandler til å behandle opplysningene på sine vegne. Selv om oppgaver knyttet til behandlingen av opplysningene utføres av en databehandler, ligger ansvaret fast hos den dataansvarlige, som setter rammer for behandlingen.
Arbeidet med å inngå en databehandleravtale med Norsk helsenett, som skal være databehandler for begge løsningen pågår. Databehandleravtalen må på plass før endringene kan gjennomføres, og dataansvaret overføres. Da vil overføringen av dataansvaret skje ved at de vedtatte endringene i kjernejournalforskriften og reseptformidlerforskriften trer i kraft.