version 1.5

Anslutningsavtal för e-frikortstjänst, inklusive personuppgiftsbiträdesavtal

version 1.5

Mellan Region Östergötland, organisationsnummer 232100-0040, (nedan kallad ”Regionen”) och Vårdgivarens (organisationens) namn:                      

Vårdgivarens (organisationens) HSA-id:                     

organisationsnummer:                           

(nedan kallad ”Vårdgivaren”) har träffats följande anslutningsavtal avseende anslutning till e- frikortstjänst (nedan kallad e-frikort).

e-frikort

e-frikort är en av Region Östergötland tillhandahållen e-tjänst för att vårdgivare ska kunna hantera patienters högkostnadsskydd och frikort. Tjänsten utgör en begränsad form av sammanhållen journalföring enligt patientdatalagens 6 kap. (SFS 2008:355) och innebär att de vårdgivare som deltar i systemet genom direktåtkomst, under vissa förutsättningar, kan tillgängliggöra uppgifter, respektive ta del av uppgifter som andra vårdgivare gjort tillgängliga, om patientens avgifter och status vad gäller högkostnadsnivå och frikort. Förutsättningarna är att tillgängliggörandet av uppgifter inte får ske innan information lämnats till patienten, vilken ska ges möjlighet att stå utanför tjänsten.

Detta avtal gäller för nyttjande av e-frikort för att utbyta information om patientens högkostnadsskydd och frikort. En förutsättning för att teckna detta avtal är att Vårdgivaren har ett vårdavtal med Region Östergötland eller verkar enligt lag (1993:1651) om läkarvårdsersättning eller lag (1993:1652) om ersättning för fysioterapi inom Region Östergötland.

Avtalstecknare

Avtalstecknare för detta avtal för Regionen: Xxxxxx Xxxxx, Regiondirektör

Vårdgivarens ansvar

Vårdgivaren förbinder sig att:

• Informera patienten om rätten att stå utanför tjänsten utifrån att e-frikort är ett erbjudande till patienten som patienten kan välja att avstå från att ingå i. Patientinformation finns på 1177 Vårdguiden: xxx.0000.xx.

• Registrera patientens avgifter och frikort i tjänsten i enlighet med av Regionen fastställd Avgiftshandbok och med patientens medgivande ta del av befintliga registrerade uppgifter i tjänsten som underlag för att fastställa patientavgiften.

• Använda sig av säker autentisering vid åtkomst till e-frikort och säkerställa att endast behörig personal ges åtkomst till tjänsten.

• I enlighet med lagar och författningar ansvara för informationskvaliteten i tillgängliggjord information innebärande bl.a. att vårdinformationen ska vara kvalitetssäkrad och lättillgänglig när den behövs.

• Snarast meddela Regionen om Vårdgivarens organisation eller vårdsystem upphör.

• Ansvara för egen nivå avseende tjänstenivå (SLA) för egna vårdsystems koppling till e-frikort.

• Vara behjälplig vid felsökning vid upplevd brist i e-frikort, även om det inte är klart vem som ansvarar för felet och/eller bristen.

• Ansvara för att hantera skyldigheter mot patienterna samt patienternas rättigheter enligt gällande lagar och förordningar.

Personuppgiftsbiträdesavtal och fullmakt

Detta avtal är tillika ett personuppgiftsbiträdesavtal enligt 30 – 31 §§ personuppgiftslagen (1998:204). Varje vårdgivare är enligt patientdatalagen personuppgiftsansvarig (PuA) för sin behandling av personuppgifter. Regionen är personuppgiftsbiträde (PuB) för de vårdgivare som är anslutna till tjänsten.

Regionens anlitande av leverantörer förutsätter en fullmakt från varje ansluten vårdgivare. Fullmakten medger att Regionen får uppdra åt leverantör att behandla personuppgifter för Vårdgivarens räkning. Detta avtal innebär fullmakt för Regionen som PuB att teckna personuppgiftsbiträdesavtal med driftleverantör för Vårdgivarens räkning.

Vårdgivarens ansvar som personuppgiftsansvarig

Vårdgivaren ska tillse att behandlingen sker i enlighet med personuppgiftslagen, patientdatalagen samt Datainspektionens från tid till annan tillämpliga regler och rekommendationer. Vårdgivaren ska utan dröjsmål informera Regionen/leverantör som är PuB genom avtal som Regionen tecknat med stöd av fullmakt, om förändringar i behandlingen vilka påverkar Regionens skyldigheter enligt detta avtal. Vårdgivaren ska även informera Regionen om tredje parts, däribland Datainspektionen och registrerades, beslut och åtgärder mot Vårdgivaren med anledning av behandlingen.

Regionens ansvar som personuppgiftsbiträde

Regionen ska följa gällande lagstiftning. Regionen ska vidare följa de direktiv som Vårdgivaren meddelar. Regionen ska även ge Vårdgivaren fysiskt tillträde respektive tillgång till uppgifter som innebär att Vårdgivaren kan fullgöra sitt personuppgiftsansvaransvar. Slutligen ska Regionen vidta de åtgärder som av Vårdgivaren eller Regionen bedöms lämpliga, i tekniskt och organisatoriskt hänseende, för att skydda personuppgifter mot obehörig åtkomst, förstörelse och ändring.

Regionen och den eller de personer som arbetar under dennes ledning får endast behandla personuppgifter i enlighet med de instruktioner som från tid till annan lämnas av Vårdgivaren. För det fall Regionen saknar instruktioner som Regionen bedömer är nödvändiga för att genomföra det uppdrag Regionen erhållit från Vårdgivaren, ska Regionen, utan dröjsmål, informera Vårdgivaren om detta och invänta de instruktioner som Vårdgivaren bedömer behövs.

För det fall att registrerad eller annan tredje man begär ut information från Regionen som rör behandling av personuppgifter ska Regionen hänvisa till Vårdgivaren. Om myndighet begär information från Regionen ska Regionen omedelbart informera Vårdgivaren.

Vårdgivarens kontrollansvar enligt 31 § personuppgiftslagen, såvitt avser Regionens uppfyllelse av detta avtal, förutsätter att kontrollen sker på Vårdgivarens bekostnad, kan ske genom anlitande av tredje man och att Regionen är skyldig att lämna Vårdgivaren den assistans som behövs.

Instruktioner

Regionen får behandla de personuppgifter som är nödvändiga för att fullgöra sitt uppdrag för Vårdgivaren inom ramen för e-tjänsten. Åtkomsten till Vårdgivarens personuppgifter ska begränsas till de medarbetare hos Regionen som behöver ha åtkomst till dem för att kunna utföra rent tekniska arbetsuppgifter.

Regionen får anlita en eller flera underleverantörer för att fullgöra sina åtaganden mot Vårdgivaren. Vid anlitande av underleverantör ska Regionen teckna ett skriftligt personuppgiftsbiträdesavtal med densamme. I personuppgiftsbiträdesavtalet ska Regionen infoga samma instruktioner och skyldigheter som följer av detta avtal. När sådant avtal har tecknats agerar underleverantören också i rollen som personuppgiftsbiträde åt Vårdgivaren och ska i samma utsträckning som Regionen iaktta de skyldigheter och instruktioner som följer av detta avtal.

Region Östergötlands ansvar

Regionen förbinder sig att:

• Förvalta tjänster i enlighet med anslutna vårdgivares instruktioner om styrning och kontroll samt att genom avtal säkerställa att även leverantören av e-frikort följer dessa instruktioner. Förvaltningen ska även omfatta bemanning och styrning av central förvaltning, underhåll och fortlöpande utveckling av systemet eller tjänsten samt fortlöpande anpassning av systemet så att nödvändiga regelverk kan hållas aktuella och utvecklade.

• Agera som beställare gentemot leverantören av e-frikort, innefattande bl. a. ett åtagande att ta ett samordningsansvar för e-frikort på beställarnivå och samordna samarbete och kommunikation med å ena sidan leverantören, å andra sidan anslutna vårdgivare.

• Tillhandahålla information om tjänstens status och driftsituation till vårdgivarna på anvisad plats (Vårdgivarwebben).

• Tillhandahålla information om vilka vårdgivare som ingår i tjänsten.

Sekretess

Regionen förbinder sig att följa patientdatalagen och personuppgiftslagen, samt att iaktta sekretess innebärande att patientinformation inte får röjas i strid med gällande lagstiftning. Denna förbindelse ska gälla såväl för den juridiska personen som för dess medarbetare och konsulter.

Ersättning

Regionen tillhandahåller e-frikortstjänsten och finansierar denna samt ombesörjer utskick till patienter. Vårdgivaren svarar själv för alla sina kostnader för att integrera övriga vårdsystem med e- frikort samt att införa och använda e-frikortstjänsterna i verksamheten.

Avtalstid

Detta anslutningsavtal träder ikraft när det har undertecknats av båda parter och gäller tillsvidare med tre (3) månaders ömsesidig uppsägningstid.

Avstängning av anslutning

Regionen har rätt att stänga av Vårdgivaren från e-frikort för det fall Vårdgivaren använder e-frikort på sätt som medför skada eller olägenhet för andra anslutna vårdgivare och/eller Regionen, eller annars bryter mot villkor i detta anslutningsavtal. Vårdgivaren har rätt att sluta tillgängliggöra information i e-frikort om Regionen eller annan ansluten vårdgivare inte fullgör sina förpliktelser enligt detta avtal och rättelse inte sker inom skälig tid efter skriftligt påpekande.

Detta avtal har undertecknats av:

Ort:   Datum:        

Namn: