Ansvar for informasjonssikkerhet

I arbeidet med informasjonssikkerhet kan det både være viktig og vanskelig å plassere ansvaret. Lovverket på området er ikke laget med hensyn på tannlegenes mange organisasjonsformer. Her følger derfor en rask oversikt over ansvarsforhold, mer utførlig informasjon ligger på NTFs nettsider.

Lovverket definerer en databehandlingsansvarlig som ansvarlig for at den innsamlede pasientinformasjonen behandles på en forsvarlig måte. Informasjonssikkerhet innebærer at informasjonen er riktig, komplett, tilgjengelig for dem som trenger den og selvfølgelig ikke tilgjengelig for uvedkommende. At den databehandlingsansvarlige har dette ansvaret i følge lovverket betyr ikke at alle andre er fritatt for ansvar. Den enkelte tannlege, tannpleier eller tannhelsesekretær har et selvstendig ansvar for å følge de rutiner som er satt opp for praksisen. I tillegg har selvfølgelig alle behandlere et ansvar for journalføring i henhold til helsepersonelloven.

Databehandlingsansvaret er tillagt den virksomheten som er ansvarlig for tannbehandlingen. Det vil si at en tannlege som jobber alene med sitt enkeltmannsforetak selv er databehandlingsansvarlig. I et aksjeselskap med kun ansatte tannleger vil databehandlingsansvaret i siste instans ligge hos styrets leder, men vanligvis være delegert til daglig leder. Dette er de enkle variantene, men ikke de vanligste organisasjonsformene blant tannlegene.

Ofte er samarbeid mellom tannleger et samarbeid mellom forskjellige selvstendige næringsdrivende, eventuelt at hver enkelt tannlege har sitt eget aksjeselskap. Det er i prinsippet ingen forskjell for ansvarsfordelingen avhengig av om hver tannlege er selvstendig næringsdrivende eller et aksjeselskap – eller om det er en blanding av disse. Det viktige i ethvert klinikksamarbeid er at det utpekes en ansvarlig, men det er en prinsipiell forskjell på hvordan klinikksamarbeidet er organisert. Nøkkelen ligger i om samarbeidet er likeverdig.

Ikke likeverdige klinikksamarbeid er når en part eier lokaler, utstyr og gjerne retten til pasientinnkalling. De(n) andre tannlege(ne) kan enten være assistenttannleger eller innleide konsulenter. Her vil den parten som eier klinikken, enten dette er en tannlege eller et aksjeselskap, være databehandlingsansvarlig. Dette skyldes at de andre partene ikke kan ventes å ha innflytelse på utstyrsinnkjøp, rutiner og støttetjenester. Dette er eiers initiativ og ansvar. De innleide tannlegene er i denne situasjonen å anse som databehandlere og den dominerende parten må ha databehandleravtale med alle innleide tannleger.

Likeverdige klinikksamarbeid er når flere tannleger har like stor innflytelse på klinikksamarbeidet. Å ha felles pasientdatabase er i denne situasjonen ikke lovlig. NTF mener lovverket på dette punktet er urimelig, og myndighetene har også signalisert at det jobbbes med å endre lovverket på dette punktet. Disse samarbeidene vil da sannsynligvis hete formaliserte kontorfellesskap. Slik situasjonen er anbefaler ikke NTF tannleger som allerede har denne strukturen å endre den. Men vi mener det er nødvendig å plassere ansvaret. Derfor vil det være fornuftig å tegne en avtale mellom partene som konkretiserer hvem som har ansvaret. Et forslag til en slik avtale er lagt ut på NTFs nettsted. Selv om denne er lagt ut må det understrekes at NTF ikke kan gå god for at dette er tilstrekkelig etter de nye lovene, men det vil være vesentlig bedre enn ingen avtale.