Databehandleravtale

Databehandleravtale

Databehandleravtale mellom Kvalitetslaboratorium for psykoterapi, OUS (org nr. 993 467 049)

og                                           [Sett inn behandlingsenhet og foretak]

1 Kontraktens parter

Kontrakten inngås mellom

Dataansvarlig (den som sender fra seg data for skåring):

_____________________                                [Terapeut, Behandlingsenhet, Helseforetak]

og Databehandler (den som mottar data for skåring):

Kvalitetslaboratorium for psykoterapi (tidligere navn: MBT Kvalitetslaboratorium) ved Oslo Universitetssykehus (OUS). Prosedyrene knyttet til Kvalitetslaboratorium for psykoterapi sin regulære kvalitetssikringsvirksomhet er behandlet av personvernombudet ved OUS (saksnummer: 2013/4282).

2 Hensikt med og virkeområde for avtalen

Hensikt: Avtalen skal regulere rettigheter og plikter etter Lov av 20. juni 2014 nr. 43 om helseregistre og behandling av helseopplysninger (helseregisterloven), Lov av 15. juni 2018 nr. 38 (personopplysningsloven), og EU forordning 2016/679/EC av 27.april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (General Data Protection Regulation) (heretter omtalt som "personvernforordningen").

Helseopplysninger: I denne avtalen utgjør helse- og personopplysninger kun lyd- og billedopptak av terapisesjoner som skal sendes Kvalitetslaboratorium for psykoterapi, OUS for skåring. Det avgis ingen andre person- eller helseopplysninger knyttet til pasienten. Det lagres ikke helseopplysninger i et helseregister.

Virkeområde: Avtalen regulerer Kvalitetslaboratorium for psykoterapi, OUS sin bruk og sikring av helse- og personopplysninger som er tilgjengeliggjort av Dataansvarlig. Det skal fremgå klart og godkjennes av dataansvarlig lokalt dersom Kvalitetslaboratorium for psykoterapi vil overlate helse- og personopplysninger til andre for oppbevaring, bearbeiding eller annen bruk.

3 Partenes ansvarsområde under helseregisterloven og personopplysningsloven med forskrifter

Dataansvarlige (definert i GDPR art. 4 nr. 7): Ansvaret er definert i henhold til personopplysningsloven. Den Dataansvarlige har ansvar for å påse at krav, herunder krav til sikkerhet, som stilles i helseregisterloven og personopplysningsloven er oppfylt.

Det innebærer blant annet også at Dataansvarlig har ansvaret for å påse at kravene er oppfylt i forbindelse med oppbevaring og bruk av helse- og personopplysninger ved Kvalitetslaboratorium for psykoterapi, OUS jf. personopplysningsloven og personvernforordningen.

Databehandler: Kvalitetslaboratorium for psykoterapi (tidligere navn: MBT Kvalitetslaboratorium) ved Oslo Universitetssykehus (OUS) er å anse som databehandler etter personopplysningsloven.

Kvalitetslaboratorium for psykoterapi kan kun behandle helse- og personopplysninger tilgjengeliggjort av Dataansvarlig i henhold til denne avtale.

Helse- og personopplysninger skal holdes atskilt fra andre opplysninger og tjenester. Eventuell annen bruk av helse- og personopplysninger skal avtales skriftlig med Dataansvarlig.

4 Beskrivelse av formålet med bruken av databehandler Kvalitetslaboratorium for psykoterapi, OUS har til formål å yte en kvalitetssikringstjeneste og retter seg mot terapeuter ved behandlingsenheter som gir

spesialisert behandling for pasienter med alvorlig personlighetsforstyrrelse. Tjenesten

har kompetanse på kvalitetsvurdering ved psykoterapi og bruk av fastlagte evalueringssystemer. Tjenesten skårer og gir tilbakemelding på terapeuters metodeetterlevelse og kompetanse i henhold til manualer og skåringssystemer for mentaliseringsbasert terapi (MBT).

Terapeuter sender inn video-opptak av psykoterapi i henhold til vår prosedyre for bruk av Kvalitetslaboratorium for psykoterapi. Opptak skal observeres av personell tilknyttet Kvalitetslaboratorium for psykoterapi, og danner grunnlaget for tallskårer og/eller en klinisk tilbakemelding som Kvalitetslaboratorium for psykoterapi skriver og returnerer til dataansvarlig. Innsendte lyd- og billedopptak returneres avsender når skåring er fullført.

Lagring av tallskåringer for evaluering av virksomheten ved Kvalitetslaboratorium for psykoterapi eller til forskningsformål krever særskilt samtykke fra terapeuter.

5 Data som skal overføres

Dataansvarlig sender fra seg lyd- og billedopptak av psykoterapitimer lagret på krypterte minnepinner. Opptaket merkes med avsenders navn (terapeut), dato, behandlingsenhet og helseforetak. Minnepinner kan sendes per post til Kvalitetslaboratorium for psykoterapi eller leveres ved direkte oppmøte på Kvalitetslaboratorium for psykoterapi, OUS. Ved fullført skåring returneres minnepinner per post til Dataansvarlig. Ved en unntaksavtale med Dataansvarlige om sletting av video-opptak istedenfor returnering skal Kvalitetslaboratorium for psykoterapi, OUS forsvarlig destruere opptak som omfattes av avtalen. Sletting skal gjennomføres slik at opplysningene ikke kan gjenfinnes.

6 Krav til informasjonssikkerhet

Begge parter skal til enhver tid tilfredsstille krav til personopplysningsloven samt personvernforordningen. Kvalitetslaboratorium for psykoterapi, OUS er ansvarlig for å sikre at all behandling av helse- og personopplysninger som er omfattet av denne avtalen utføres i samsvar med gjeldende avtale. Som en del av dette skal Kvalitetslaboratorium for psykoterapi legge fram risikovurderinger av egen sikkerhet. Det forutsettes at Kvalitetslaboratorium for psykoterapi har definert sikkerhetsmål, - organisering og ansvar i samsvar med personopplysningsloven og at dette følges opp med nødvendig internkontrollsystem.

Sikkerhetsbrudd eller mistanke om sikkerhetsbrudd, skal umiddelbart rapporteres til Personvernombudet ved OUS og innsenders foretak.

Kvalitetslaboratorium for psykoterapi, OUS skal ha klare rutiner for logging av feil og avvik i systemer som brukes til å behandle helseopplysninger, og som er omfattet av denne avtalen. Dersom det avdekkes slike feil eller avvik, skal Kvalitetslaboratorium for psykoterapi så snart som mulig varsle Dataansvarlig om dette. Kvalitetslaboratorium for psykoterapi skal i et slikt tilfelle straks igangsette tiltak for å minimere mulig skade for Dataansvarlig. Kvalitetslaboratorium for psykoterapi skal ha klare rutiner for oppfølging av ansatte som urettmessig tilegner seg helseopplysninger, jf. helseregisterloven § 18.

Dataansvarlig kan til enhver tid kreve dokumentasjon hos Kvalitetslaboratorium for psykoterapi, OUS for å forsikre seg om at Kvalitetslaboratoriet overholder alle relevante krav i helseregisterloven og personopplysningsloven vedrørende informasjonssikkerhet. Dataansvarlig kan kreve tilgang til Kvalitetslaboratorium for psykoterapi sine årsrapporter, prosedyrer og rutiner.

6.1 Krav til teknisk sikkerhet

Det stilles følgende krav til teknisk sikkerhet:

• Kun autoriserte medarbeidere skal ha tilgang til helse- og personopplysninger som er omfattet av denne avtalen.

• Helse- og personopplysninger skal sikres mot uaktsom utlevering. Tekniske tiltak skal være på plass for å forhindre at helse- og personopplysninger kan flyttes ut av sikker sone eller fra godkjent lagringssted.

• Sikkerhet skal ivaretas ved fjerndrift av Databehandlers systemer. Alt utstyr som brukes ved fjerndrift skal være eid av Databehandler. Det skal benyttes kryptert

VPN-forbindelse med sperring mot samtidig tilgang til internett. Utstyr som benyttes i forbindelse med fjerntilgang skal ikke brukes av venner, familie eller andre uautoriserte personer.

• 2-nivå autentisering skal benyttes dersom tilgang til Databehandlers systemer skjer via usikre nettverk.

• Kommunikasjon skal sikres med kryptering dersom den går over usikre nettverk.

6.2 Krav til tilgangskontroll

Kvalitetslaboratorium for psykoterapi, OUS skal ha rutiner for tilgangsautorisasjon og - styring som sikrer at bare medarbeidere med et reelt behov for tilgang til systemet og helseopplysningene, har tilgang. Tilgangsnivå skal være i henhold til reelt behov knyttet til tilrettelegging eller gjennomføring av skåringsoppgaven.

6.3 Krav til fysisk sikkerhet

Kvalitetslaboratorium for psykoterapi, OUS mottar minnepinner fra Dataansvarlig. I påvente av skåring, lagres minnepinnene i et låsbart metallskap på et avlåst kontor. Daglig leder for Kvalitetslaboratorium for psykoterapi og autoriserte medarbeidere har tilgang til kontor og arkivskap med minnepinner.

6.4 Krav om rett til innsyn, inspeksjon og testing

Dataansvarlig skal ha rett til innsyn i og verifikasjon av hvordan løsningen er sikret.

Kvalitetslaboratorium for psykoterapi, OUS aksepterer at innsyn kan gjennomføres av Dataansvarlig eller den tredjepart Dataansvarlig måtte velge til gjennomføring. Retten til innsyn gjelder alle tekniske, organisatoriske og administrative forhold som er relevante for sikkerheten i tjenesten som leveres Dataansvarlig.

Kvalitetslaboratorium for psykoterapi, OUS forplikter seg til å utlevere eller på annen måte sørge for mulighet for innsyn i sikkerhetsmessig dokumentasjon relevant for Dataansvarlig.

Kvalitetslaboratorium for psykoterapi, OUS plikter uten ugrunnet opphold å korrigere avvik og redegjøre for tiltakene.

7 Taushetsplikt

Taushetsplikten gjelder partenes medarbeidere som bidrar i gjennomføringen av avtalen. Alle medarbeidere skal ha undertegnet taushetserklæring. Ansatte som har tilgang til helse- og personopplysninger skal være pålagt taushetsplikt etter helseregisterloven § 17.

Partene plikter å ta de forholdsregler som er nødvendig for å sikre at materiale eller opplysninger ikke blir gjort kjent for andre i strid med dette punktet.

8 Varighet og oppsigelse

Avtalen trer i kraft på det tidspunkt signert versjon sendes til Kvalitetslaboratorium for psykoterapi fra den Dataansvarlige sammen med opptaket som skal vurderes. Denne er spesifisert for hver terapeut. De terapeuter som har signert avtalen kan bruke tjenesten og trenger bare sende en rekvisisjon sammen med opptak. Avtalen opphører hvis Dataansvarlige sier opp avtalen, avtalen endres eller etter 5 år.

9 Ved opphør

Ved opphør av denne avtalen plikter Kvalitetslaboratorium for psykoterapi, OUS å tilbakelevere eller slette alle video-opptak som er mottatt på vegne av den Dataansvarlige og som omfattes av denne avtalen, med mindre annet er avtalt med Dataansvarlig.

Ved avtale med Dataansvarlige om sletting av video-opptak skal Kvalitetslaboratorium for psykoterapi, OUS slette eller forsvarlig destruere alle data som omfattes av avtalen.

10 Mislighold

Mislighold foreligger dersom en av partene ikke oppfyller sine plikter etter denne avtalen og dette ikke skyldes forhold som den andre parten har ansvaret for eller risikoen for.

Dersom en av partene ønsker å påberope seg mislighold, skal dette meddeles den andre parten skriftlig uten ugrunnet opphold.

11 Sanksjoner ved mislighold

Kvalitetslaboratorium for psykoterapi, OUS kan ikke under noen omstendighet sperre Dataansvarliges tilgang til helse- og personopplysninger som er innsendt. Avtalen kan sies opp umiddelbart ved brudd på avtalen.

12 Kontaktpersoner

Følgende kontaktpersoner er oppnevnt i forbindelse med denne avtalen:

• hos Dataansvarlig:

                 epost      telefon       

• hos Databehandleren:

• Daglig leder Kvalitetslaboratorium for psykoterapi,

Nasjonal Kompetansetjeneste for Personlighetspsykiatri

v/ Seksjon for Personlighetspsykiatri, Avdeling for Nasjonale og Regionale Funksjoner, Klinikk for Psykisk helse og avhengighet, OUS

• Epost: xxxxxx@xxx-xx.xx, tlf: 00000000

13 Rettsvalg og verneting

Partenes rettigheter og plikter etter denne avtalen bestemmes i sin helhet av norsk rett. Eventuelle tvister som springer ut av denne avtalen skal behandles ved de ordinære domstoler. Oslo tingrett vedtas som verneting.

14 Undertegning

Ved første gangs bruk av Kvalitetslaboratorium for psykoterapi sine tjenester inngås denne avtalen. Denne signeres av en med myndighet til dette hos den Dataansvarlige, samt enhetsleder og terapeuten(e) ved enheten som ønsker bistand fra Kvalitetslaboratorium for psykoterapi. Det nederste feltet blir stående åpent til signatur fra nivå–3 leder ved OUS, eller den han/hun bemyndiger.

Signert avtale sendes i retur til Kvalitetslaboratorium for psykoterapi sammen med video-opptak i henhold til ”Prosedyre for bruk av Kvalitetslaboratorium for

psykoterapi”.

Neste gang den Dataansvarlige ønsker bistand fra Kvalitetslaboratorium for psykoterapi, sendes kun rekvisisjon til OUS sammen med opptaket.

Databehandleravtale mellom Databehandler: Kvalitetslaboratorium for psykoterapi , OUS (org nr. 993 467 049) og Dataansvarlig:

[Sett inn behandlingsenhet og foretak]

Signaturer:

For Dataansvarlig:                                Dato     

                                     epost                  Navn og stilling (blokkbokstaver)

Enhetsleder:                                        Dato     

                                     epost                  Navn, Enhet (blokkbokstaver)

Terapeut 1:                                         Dato

                                     epost                  Navn, Stilling (blokkbokstaver)

Terapeut 2:                                         Dato

                                     epost                  Navn, Stilling (blokkbokstaver)

Terapeut 3:                                         Dato

                                     epost                  Navn, Stilling (blokkbokstaver)

Terapeut 4:                                         Dato

                                     epost                  Navn, Stilling (blokkbokstaver

Terapeut 5:                                         Dato

                                     epost                  Navn, Stilling (blokkbokstaver

For Databehandler:

                                     epost                  Nivå 3-leder, eller den han/hun bemyndiger