Morgunblaðið - 23.01.2000, Blaðsíða 12
12 SUNNUDAGUR 23. JANÚAR 2000
GAGNAGRUNNUR A HEILBRIGÐISSVIÐI
MORGUNBLAÐIÐ
skráðar í samræmi við uppbyggingu rafrænnar
sjúkraskrár. Kóðaðar, og aðrar tölulegar upp-
lýsingar sem skilgreindar eru í VIÐAUKA B
„Flutningur upplýsinga í gagnagrunn" er
heimilt að flytja úr rafrænum sjúkraskrám til
rekstrarleyfishafa um dulkóðunarstofu tölvun-
efndar.
Óheimilt er að flytja í gagnagrunn á heil-
brigðissviði upplýsingar úr afmörkuðum kerf-
um sem gerð hafa verið fyrir vísindarannsóknir
nema um það sé gert samkomulag við upphafs-
menn og eigendur slíkra kerfa og flutningurinn
sé í samræmi við öryggisskilmála tölvunefndar.
Jafnframt er óheimilt að flytja í gagnagrunn-
inn upplýsingar úr afmörkuðum kerfum sem
sett eru upp í tilraunaskyni eða þróunarskyni
nema fyrir liggi um það sérstakt samkomulag.
Ekki er heimilt að flytja aðrar upplýsingar í
gagnagrunninn en fram koma í VIÐAUKA B,
„Flutningur upplýsinga í gagnagrunn", án sér-
stakrar heimildar tölvunefndar, eins og nánar
er fyrir mælt í VIÐAUKA B.
Heilbrigðisstofnanir og sjálfstætt starfandi
heilbrigðisstarfsmenn skulu ef öryggi gagna og
persónuvemdar em í hættu þegar gera tölvu-
nefnd og starfrækslunefnd viðvart.
5.gr.
Hlutverk starfrækslunefndar.
Starfrækslunefnd hefur umsjón með gerð
samninga rekstrarleyfishafa við heilbrigðis-
stofnanir annars vegar og sjálfstætt starfandi
heilbrigðisstarfsmenn hins vegar þannig að
nauðsynlegs samræmis sé gætt. Starfrækslu-
nefnd gætir hagsmuna heilbrigðisyfirvalda,
heilbrigðisstofnana, sjálfstætt starfandi heil-
brigðisstarfsmanna og vísindamanna við gerð
samninganna.
I samningum aðila skv. grein 5.1. skal m.a.
samið um endurgjald sem rekstrarleyfishafa
ber að standa skil á skv. 2. mgr. 6. gr. laga nr.
139/1998, svo og önnur þau efnisatriði sem
fram koma í viðaukanum „Helstu form- og efn-
isatriði samninga" sem fylgir rekstrarleyfmu
sem VIÐAUKIC.
Rekstrarleyfishafa er skylt að upplýsa starf-
rækslunefnd um stöðu samningaviðræðna
hverju sinni. Staðfesting nefndarinnar á samn-
ingi rekstrarleyfishafa og einstakra heilbrigð-
isstofnana eða sjálfstætt starfandi heilbrigðis-
starfsmanna er skilyrði þess að samningur
öðlist gildi. Niðurstaða nefndarinnar skal til-
kynnt samningsaðilum innan tveggja vikna frá
því að samningur berst nefndinni til staðfest-
ingar.
Rekstrarleyfishafa er skylt að láta starf-
rækslunefnd í té allar þær upplýsingar er varð-
að geta störf og starfsskyldur nefndarinnar.
Rekstrarleyfishafi skal tryggja að starf-
rækslunefnd hafi ætíð aðgang að upplýsingum
um allar rannsóknir og íyrirspumir eða tegun-
dir fyrirspuma sem honum berast til úrvinnslu
og upplýsingar um rannsóknaraðila og fyrir-
spyrjendur.
Rekstrarleyfishafi skal afhenda starfrækslu-
nefnd til varðveislu afrit af gagnagrunni. Full-
trúi nefndarinnar skal vera viðstaddur afrita-
töku. Afritataka skal miðast við að starf-
rækslunefnd geti tekið við starfrækslu
gagnagrunnsins ef rekstrarleyfishafi hættir
rekstri hans af einhverjum ástæðum. Nefnd-
inni skal afhentur búnaður, eða aðgangur að
búnaði, til að prófa hvort afrit séu fullnægjandi.
Afrit skulu flutt af starfsmanni starfrækslu-
nefndar og geymd í eldtraustu og vöktuðu hús-
næði í umsjón nefndarinnar eða í bankahólfi.
Starfrækslunefnd skal framkvæma prófun á
afritatöku með reglulegu millibili.
Rekstrarleyfishafi skal áður en vinnsla í
gagnagrunni hefst leggja fyrir starfrækslu-
nefnd til samþykkis ítarlega lýsingu á ferli af-
ritatöku þar sem m.a. komi fram:
-Almenn lýsing á ferli afritatöku.
-Hvernig afritataka fer fram.
-Hvert er inntak og úttak afritatöku.
-Lýsing á því hvers konar afritunarmiðill er
notaður (hvaða stýrikerfi,
hugbúnaður og vélbúnaður) og hvort og þá
hvemig hann en endurnotaður og hver ending-
artími afritunarmiðilsins er.
-Af hveiju afritið er tekið, þ.e. hugbúnaði og
gagnagrunni.
-Hvenær afritataka fer fram samkvæmt af-
ritatökuáætlun, þ.e. hve oft er tekið heildara-
frit og hve oft hlutaafrit og hve langt aftur í
timann afrit em geymd.
-Hver framkvæmir afritatöku.
-Hvort villur hafa komið fram.
-Hvernig afritum er eytt.
-Hvaða afrit em til og dagsetning þeirra.
-Fyrirkomulag prófunar á því hvort afrita-
taka hafi tekist.
-Að beitt sé samstæðustjórnun (configurat-
ion control).
Þegar starfrækslunefnd hefur samþykkt
lýsingu rekstrarleyfishafa á ferli afritatöku
skal nefndin senda hana til tölvunefndar sem
setur fram öryggiskröfur og skilmála sem
byggja skal á við afritatöku, flutning afrita og
vörslu þeirra.
6. gr.
Hlutverk tölvunefndar.
Rekstrarleyfishafa ber að uppfylla gildandi
tækni-, öryggis- og skipulagsskilmála tölvu-
nefndar á hveijum tíma við gerð og starf-
rækslu gagnagrunnsins í samræmi við skilmála
sem fram koma í fylgiskjalinu VIÐAUKIG.
Tölvunefnd getur endurmetið tækni-, örygg-
is- og skipulagsskilmála sem rekstrarleyfishafa
ber að uppfylla í Ijósi nýrrar tækni, reynslu eða
breyttra aðstæðna og sett rekstrarleyfishafa
skilyrði um fyrir hvaða tíma uppfylla skuli hin-
ar nýju kröfur.
Rekstrarleyfishafa er óheimilt að gera
breytingar á tækni-, öryggis- eða skipulagmál-
um, þ.m.t. breytingu á hugbúnaði eða vélbún-
aði, nema samkvæmt reglum sem ákveðnar eru
aftölvunefnd.
Telji tölvunefnd öryggi gagna vera í hættu
getur hún bannað frekari vinnslu í gagna-
grunninum þar til öryggi gagna hefur verið
staðreynt af henni.
Á vegum tölvimefndar skal rekin dulkóðun-
arstofa sem annast ein flutning allra upplýs-
inga í gagnagrunn á heObrigðissviði. Dulkóð-
unarstofa tölvunefndar skal taka við
dulkóðuðum heilsufarsupplýsingum frá heil-
brigðisstofnunum og sjáífstætt starfandi heil-
brigðisstarfsmönnum sem samið hafa við
rekstrarleyfishafa.
Rekstrarleyfishafi skal móta verklag og
vinnuferli sem uppfylla skilyrði tölvunefndar
tU að tryggja persónuvemd við samtengingu
upplýsinga úr gagnagrunni á heilbrigðissviði,
gagnagrunni með ættfræðiupplýsingum og
gagnagrunni með erfðafræðilegum upplýsing-
um. Tölvunefnd bindur samþykki sitt á verk-
lagi og vinnuferli rekstrarleyfishafa þeim skil-
yrðum sem hún telur á hverjum tíma þörf á til
að tryggja persónuvemd og öryggi gagna í
gagnagrunni á heilbrigðissviði. Skilyrði fyrir
samþykki tölvunefndar á verklagi og vinnuferli
rekstrarleyfishafa er m.a. að niðurstöður séu
ópersónugreinanlegar.
Komi í ljós að niðurstöður, sem fengnar era
með samtengingu upplýsinga, séu persónu-
greinanlegar getur tölvunefnd fyrirskipað eyð-
ingu þeirra í heild eða að hluta og afturkallað
samþykki sitt. Á meðan mál er til rannsóknar
getur tölvunefnd bannað frekari samtengingu
upplýsinga á grandvelli samþykkis síns og tek-
ið niðurstöðumar í sínar vörslur. Fari rekstr-
arleyfishafí ekki að skilmálum tölvunefndar um
samtengingu upplýsinga getur tölvunefnd aft-
urkallað samþykki sitt samkvæmt grein 6.6.
Til að tryggja öryggi persónuupplýsinga
getur tölvunefnd sett reglur-sem fylgt skal við
söfnun, skráningu og úrvinnslu heilsufarsupp-
lýsinga í sjúkraskrárkerfi til undirbúnings
flutningi þeirra tfl dulkóðunarstofu tölvunefnd-
ar. Þeir starfsmenn heilbrigðisstofnana og
sjálfstætt starfandi heUbrigðisstarfsmanna
sem hafa beinan starfa af því að flytja heU-
brigðisupplýsingar í gagnagrann á heUbrigðis-
sviði skulu ekki koma að starfrækslu gagna-
grannsins hjá rekstrarleyfishafa. Heilbrigðis-
stofnanir og sjálfstætt starfandi heilbrigðis-
starfsmenn bera ábyrgð á sendingu
heUsufarsupplýsinga til dulkóðunarstofu tölvu-
nefndar.
Tölvunefnd hefur eftirlit með gerð og starf-
rækslu gagnagranns á heilbrigðissviði að því er
varðar skráningu og meðferð persónuupplýs-
inga og öryggi gagna í gagnagranni á heil-
brigðissviði. Tölvunefnd hefur eftirlit með því
að þeim skilmálum sem hún setur sé fylgt.
Tölvunefnd getur kannað tækni-, öryggis- og
skipulagsmál gagnagranns á heilbrigðissviði
hvenær sem þurfa þykir. Tölvunefnd getur
framkvæmt hverja þá prófun, úttekt eða eftir-
litsaðgerð sem hún telur rétt að framkvæma og
krafist nauðsynlegrar aðstoðar starfsfólks
rekstrarleyfishafa við þær aðgerðir.
Tölvunefnd getur krafið rekstrarleyfishafa
og þá er á hans vegum starfa allra þeirra upp-
lýsinga sem nefndinni era nauðsynlegar til
þess að rækja hlutverk sitt, þ.m.t upplýsingar
til ákvörðunar um það hvort tiltekin starfsemi
falli undir ákvæði reglugerðar og laga um
gagnagrann á heilbrigðissviði. Tölvunefnd get-
ur einnig kvatt starfsmenn rekstrarleyfishafa
og þá sem starfa á hans vegum á sinn fund til að
veita munnlegar upplýsingar og skýringar.
Tölvunefnd skal vegna eftirlitsstarfa sinna
hafa frjálsan aðgang að húsnæði þar sem
gagnagrannur á heilbrigðissviði er varðveittur
og vinnsla fer fram. Tölvunefnd getur með sér-
stakri samþykkt falið tilgreindum starfsmönn-
um sínum og ráðgjöfum að sjá um ákveðna
þætti þeirra starfa sem tölvunefnd er falið sam-
kvæmt lögum nr. 139/1998, um gagnagrann á
heilbrigðissviði, og reglugerð sem sett er á
grandvelli þeirra.
7. gr.
Skilyrði fyrir vinnslu og meðferð upplýs-
inga.
Skráning og úrvinnsla heilsufarsupplýsinga
til flutnings í gagnagrann á heilbrigðissviði
skal framkvæmd eða henni stjórnað af starfs-
mönnum með starfsréttindi á sviði heilbrigðis-
þjónustu, svo að tryggja megi áreiðanlega
skráningu og að trúnaðar sé gætt. í „Skrá yfir
heilbrigðisstéttir", sem rekstrarleyfinu fylgir
sem VIÐAUKI F er listi yfir starfsstéttir með
starfsréttindi á sviði heilbrigðisþjónustu.
Heilbrigðis- og tryggingamálaráðuneyti og
landlæknir skulu ætíð eiga aðgang að tölfræði-
legum upplýsingum úr gagnagranninum. Upp-
lýsingamar skulu vera í aðgengilegu formi og
uppfylla kröfulýsingar heilbrigðisyfirvalda
eins og þær era á hveijum tíma. Upplýsingam-
ar skulu þannig úr garði gerðar að þær nýtist
beint til gerðar heilbrigðisskýrslna, áætlana,
stefnumótunar og verkefna ráðuneytisins og
landlæknisembættisins. Upplýsingar skulu
látnar framangreindum aðilum í té án endur-
gjalds. Aðgengi framangreindra aðila er háð
heimild og eftirliti tölvunefndar.
Rekstrarleyfishafi skal uppfylla skilyrði og
kröfur sem fram koma í viðaukanum „Stöð-
ulýsing á heilbrigðisupplýsingum" sem rekstr-
arleyfinu fylgir sem VIÐAUKI D og allar síð-
ari breytingar á henni, hvort sem er í stað eða
til viðbótar framangreindri „Stöðulýsingu á
heilbrigðisupplýsingum". Að öðra leyti skulu
aðilar hafa samráð um breytingar vegna sér-
stakra þarfa og óska á einstökum sviðum og
þróunar og nýmæla sem fram kunna að koma á
gildistíma rekstrarleyfisins.
Upplýsingar skulu unnar þannig til flutnings
í gagnagrann á heilbrigðissviði að þær uppfylli
þarfir viðkomandi stofnunar eða sjálfstætt
starfandi heilbrigðisstarfsmanna fyrir sam-
ræmt upplýsingakerfi, þarfir sérgreina og
þarfir heilbrigðisyfirvalda og með þeim hætti
að þær nýtist við vísindarannsóknir.
Framkvæmdastj ómir heilbrigðisstofnana
skulu hafa forystu um samráð við viðkomandi
sérgreinafélög, yfirlækni stofnunar, forstöðu-
lækna sviða og hjúkranarstjómendur til að
tryggt sé að upplýsingar nýtist sem best við
stjómun og rannsóknir. Jafnframt skal m.a.
haft samráð við framangreinda aðila um hvaða
upplýsingar séu unnar úr sjúkraskrám og
hvort einhverjar upplýsingar séu þess eðlis að
ekki sé rétt að flytja þær í miðlægan gagna-
grann.
Rekstrarleyfishafi skal uppfylla skilyrði og
kröfur sem fram koma í viðaukanum „Álmenn
kröfulýsing11 sem rekstrarleyfmu fylgir sem
VIÐAUKIA og allar síðari breytingar á henni,
hvort sem er í stað eða til viðbótar framan-
greindri „Almennri kröfulýsingu". Rekstrar-
leyfishafi skal jafnframt uppfylla viðmiðanir
sem fram koma í viðaukanum „Flutningur upp-
lýsinga í gagnagrunn" sem rekstrarleyfinu
fylgir sem VIÐAUKIB. Að öðra leyti skulu að-
ilar hafa samráð um viðbætur eða breytingar
vegna sértæks hluta rafrænnar sjúkraskrár,
sérstakra þarfa og óska á einstökum sviðum og
þróunar og nýmæla sem fram kunna að koma á
gildistíma rekstrarleyfis.
Við meðferð skráa, annarra gagna og upp-
lýsinga skal fylgt þeim skilyrðum sem tölvu-
nefnd metur nauðsynleg hveiju sinni. Persónu-
auðkenni skulu dulkóðuð fyrir flutning í
gagnagranninn þannig að tryggt sé að starfs-
menn rekstrarleyfishafa vinni einungis með
ópersónugreinanlegar upplýsingar. Starfs-
menn viðkomandi heilbrigðisstofnunar eða
sjálfstætt starfandi heilbrigðisstarfsmenn
skulu búa upplýsingar til flutnings í gagna-
grann á heilbrigðissviði. Heilsufarsupplýsing-
ar skal flytja í dulkóðuðu formi til að tryggja
öryggi þeirra. Persónuauðkenni skulu dulkóð-
uð í eina átt, þ.e. með dulkóðun sem ekki er
hægt að rekja til baka með greiningarlykli. Um
aðgang að upplýsingum í sjúkraskrám fer að
öðra leyti samkvæmt lögum um réttindi sjúkl-
inga, lögum um heilbrigðisþjónustu og lögum
um skráningu og meðferð persónuupplýsinga.
Upplýsingar sem skráðar eru eða aflað er
með úrvinnslu í gagnagranni á heilbrigðissviði
má nýta til þess að þróa nýjar eða bættar að-
ferðir við heilsueflingu, forspá, greiningu og
meðferð sjúkdóma, til að leita hagkvæmustu
leiða í rekstri heilbrigðiskerfa og í þágu
skýrslugerðar á heilbrigðissviði. Rekstrarleyf-
ishafa er heimil vinnsla í gagnagranni á heil-
brigðissviði úr þeim heilsufarsupplýsingum úr
sjúkraskrám sem þar era skráðar enda sé þess
gætt við úrvinnslu og samtengingu upplýsinga
að ekki sé unnt að tengja þær persónugreinan-
legum einstaklingum.
Rekstrarleyfishafa er óheimilt að veita bein-
an aðgang að gagnagranninum.
Áður en vinnsla í gagnagranni hefst skal
rekstrarleyfishafi gera starfrækslunefnd grein
fyrir því hvaða aðilar á hans vegum starfa við
gagnagranninn, rekstur hans og þróun hug-
búnaðar og hveijir hafa aðgang að fyrirspum-
arlagi. Jafnframt skal skilgreina hlutverk
þeirra og ábyrgð svo sem aðgangsheimildir
þeirra. Rekstrarleyfishafa ber að tilkynna
starfrækslunefnd ef fyrirhugað er að fela nýj-
um aðilum ábyrgð samkvæmt ákvæði þessu og
tryggja að í hvívetna sé farið að öryggisskil-
málum tölvunefndar.
Óheimilt er að veita upplýsingar um ein-
staklinga úr gagnagranni á heilbrigðissviði.
Eingöngu skulu veittar tölfræðilegar upplýs-
ingar um hópa einstaklinga.
8.gr.
Hugverkaréttindi.
í 8. og 9. gr. rekstrarleyfis þessa merkja
hugtökin „hugbúnaður“ og „hugverkaréttindi“,
eins og hugverkaréttindi era skilgreind í
rekstrarleyfi þessu, hugbúnað og hugverka-
réttindi sem nauðsynleg era eftir að rekstrar-
leyfi fellur úr gildi, til gerðar, starfrækslu og
viðhalds gagnagranns á heilbrigðissviði í þágu
heilbrigðisyfirvalda, heilbrigðisstofnana og
sjálfstætt starfandi heUbrigðisstarfsmanna, þ.
á m. vegna vísindarannsókna, sbr. 6., 9. og 1.
mgr. 10. gr. laga nr. 139/1998. Til hugbúnaðar
og hugverkaréttinda samkvæmt 8. og 9. gr.
telst sá hugbúnaður og þau réttindi sem nýtt
era í þágu framangreindra aðila á gildistíma
rekstrarleyfis. TU hugbúnaðar og hugverka-
réttinda samkvæmt 8. og 9. gr. rekstrarleyfis
þessa telst ekki sá hugbúnaður og þau réttindi
sem á gildistíma rekstrarleyfis þessa era ein-
göngu nýtt í þágu rekstrarleyfishafa sjálfs eða í
viðskiptalegum tilgangi samkvæmt samning-
um við þriðja aðila.
8. gr. rekstrarleyfis þessa tekur til allra
samninga sem rekstrarleyfishafi gerir í þeim
tilgangi að afla hugverkaréttinda, sbr. gr. 2.1 k)
og 8.1. Meðal annars, en ekki eingöngu, tekur
greinin til verksamninga rekstrarleyfishafa við
verksala um gerð gagnagrunns eða sérsmíði
hugbúnaðar og um aðlögun á lausnum með sér-
stöku tUliti tU gagnagrannsins, hvers kyns
samninga um öflun nytjaleyfa/afnotaréttar,
þróun hugbúnaðar eða hugbúnaðarlausna og
hvers kyns samninga um kaup eða afnotarétt
af íhlutum í hugbúnað. Einnig tekur 8. grein til
samninga rekstrarleyfishafa við starfsmenn
sína og til samninga við skráningaraðila er
rekstrarleyfishafi gerir vegna yfirfærslu upp-
lýsinga í gagnagranninn.
Rekstrarleyfishafa ber þegar rekstrarleyfið
fellur úr gildi samkvæmt ákvæðum leyfisins að
tryggja að rekstrarleyfisveitandi, eða sá sem
hann kann að fela starfrækslu gagnagrannsins,
fái án tímatakmarkana, sem miðast við gildist-
íma rekstrarleyfisins, öll þau afnot af hug-
verkaréttindum sem honum era nauðsynleg við
gerð og starfrækslu gagnagrunnsins. Er hér
átt við sérhvern þann aðila sem rekstrarleyfis-
veitandi ákveður einhliða að fela starfrækslu
gagnagrannsins við lok rekstrarleyfistímans
hvort sem um ræðir einstakling eða lögaðila,
félag eða stofnun.
Rekstrarleyfishafi skal tryggja að nýting af
hans hálfu á hugverkaréttindum vegna starf-
rækslu gagnagrannsins sé ekki bundin tíma-
mörkum sem miðast við gildistíma rekstrar-
leyfisins. Þegar ekki er um bein eignarréttindi
að ræða skal tryggt að afnotaréttur eða sam-
bærileg réttindi séu ekki bundin slíkum tíma- |
mörkum og skal rekstrarleyfisveitandi eða sá
sem hann kann að fela starfrækslu gagna-
grannsins eiga möguleika á endumýjun slíkra
samninga að minnsta kosti til jafns við rekstr-
arleyfishafa að því marki sem nauðsynlegt er
til nýtingar réttindanna.
Rekstrarieyfishafi skal gæta þess og ber
fulla ábyrgð á að hugbúnaður sem hann notar
við gerð og starfrækslu gagnagrannsins brjóti
ekki gegn réttindum þriðja manns. Hið sama
gildir um gagnagranninn og önnur hugverka-
réttindi.
Eignist rekstrarleyfishafi höfundaréttindi
yfir hugbúnaði, hvort sem er með samningum
við þriðja aðila eða með hönnun hugbúnaðar á
eigin vegum, skal hann tryggja að við lok
rekstrarleyfisins sé hann í stakk búinn til að af-
henda rekstrarleyfisveitanda öll gögn er nauð-
synleg era til að rekstrarleyfisveitandi eða sá
sem hann kann að fela starfrækslu gagna-
grunnsins geti haldið áfram þróun hugbúnað-
arins og haldið honum við. Einungis er heimilt
að nota þau gögn sem hér um ræðir í þeim til-
gangi að þróa hugbúnað til starfrækslu gagna-
granns á heilbrigðissviði. Skal rekstrarleyfis-
hafi m.a. tryggja að hann eignist höfundar-
réttindi yfir hugbúnaðinum jafnóðum og þau
verða til hjá viðsemjanda og að rekstrarleyfis-
veitandi eða þeim sem hann kann að fela starf-
rækslu gagnagrannsins, sé heimilt að fá afhent
framangreind gögn þrátt fyrir að þau kunni að
vera í vörslum annars en rekstrarleyfishafa,
verði bú viðsemjandans tekið til gjaldþrota-
skipta eða verði hann af einhverjum ástæðum
ekki í stakk búinn til að standa við samninginn.
Jafnframt skal rekstrarleyfishafi tryggja að
honum sé heimilt að framselja réttindin yfir
hugbúnaðinum til rekstrarleyfisveitanda eða
síðari rekstrarleyfishafa.
Verði rekstrarleyfishafi með samningum
handhafi leyfisréttar, afnotaréttar eða sam-
bærilegs réttar til að nota hugbúnað skal hann
tryggja að við lok rekstrarleyfistíma verði
rekstrarleyfishafi í stakk búinn til að afhenda
eða framselja rekstrarleyfisveitanda þann
fjölda notendaleyfa samkvæmt leyfis- og þjón-
ustusamningum, sem nauðsynleg era tO að ►
£