I. KAFLI
Almenn ákvæði.
1. gr.
Markmið.
Markmið þessarar reglugerðar er að stuðla að öruggri skráningu, miðlun og varðveislu upplýsinga í sjúkraskrám og kveða nánar á um réttindi sjúklinga við færslu sjúkraskráa.
2. gr.
Gildissvið.
Reglugerð þessi gildir um sjúkraskrár, hvort sem þær eru haldnar á rafrænu formi eða á pappírsformi, sem færðar eru þegar meðferð er veitt hér á landi.
3. gr.
Orðskýringar.
Í reglugerð þessari hafa eftirfarandi orð svofellda merkingu:
Skilgreiningar annarra hugtaka skv. 3. gr. laga um sjúkraskrár gilda einnig samkvæmt reglugerð þessari.
4. gr.
Yfirumsjón með rafrænni sjúkraskrá.
Embætti landlæknis hefur yfirumsjón með rafrænni sjúkraskrá á landsvísu. Í því felst að embættið er samhæfingaraðili rafrænnar sjúkraskrár og annast meðal annars uppbyggingu, þróun og umsýslu hennar svo og samræmingu, innleiðingu og eftirlit með öryggi hennar, þ.m.t. samtengingum sjúkraskráa og rafrænum samskiptum.
II. KAFLI
Skyldur ábyrgðaraðila og umsjónaraðila sjúkraskráa.
5. gr.
Skráning í heilbrigðisþjónustu.
Heilbrigðisstarfsmenn skulu færa sjúkraskrá um allt er varðar meðferð sjúklings eða ráðgjöf til hans. Skráning skal vera hnitmiðuð og kóðuð þar sem því er við komið. Upplýsingar skulu skráðar jafnóðum og eigi síðar en 24 klukkustundum eftir að þeirra var aflað. Skráning skal fylgja fyrirmælum í lögum um sjúkraskrár, fyrirmælum landlæknis um öryggi og gæði sjúkraskráa sem og fyrirmælum landlæknis um lágmarksskráningu.
Ábyrgðaraðili sjúkraskráa skal sjá til þess að fyrirmæli landlæknis um lágmarksskráningu séu aðgengileg þar til bærum aðilum hvar og hvenær sem þeirra er þörf.
Æskilegt er að sjúkraskrárupplýsingar séu skráðar í rafrænt sjúkraskrárkerfi.
6. gr.
Öryggiskerfi sjúkraskrár.
Ábyrgðaraðili sjúkraskráa hverrar stofnunar og starfsstofu heilbrigðisstarfsmanna skal sjá til þess að þar sé rekið öryggiskerfi sem tryggir vernd sjúkraskrárupplýsinga sem að lágmarki uppfylli fyrirmæli landlæknis um öryggi og gæði sjúkraskráa. Innleiðing upplýsingaöryggis felst meðal annars í skilgreiningu á öryggiskröfum, viðeigandi öryggisráðstöfunum, rekstraröryggisþáttum og gerð upplýsingaöryggisstefnu, áhættumats og verklagsreglna.
Ábyrgðaraðili sjúkraskráa skal láta embætti landlæknis í té upplýsingar um öryggiskerfi, þ.m.t. upplýsingaöryggisstefnu, niðurstöður áhættumats, lýsingu á öryggisráðstöfunum og skýrslur um innra eftirlit, hvenær sem embætti landlæknis óskar eftir slíkum upplýsingum.
7. gr.
Aðgangsstýring.
Starfsmenn í heilbrigðisþjónustu skulu hafa aðgang að sjúkraskrárupplýsingum sem nauðsyn ber til vegna starfa þeirra. Landlæknir gefur út fyrirmæli um öryggi og gæði sjúkraskráa þar sem tilgreindar eru aðgangsreglur og aðgangsheimildir sem byggjast meðal annars á starfsgrein og stöðu. Þau fyrirmæli skulu sett að fenginni umsögn Persónuverndar og skulu þau samrýmast reglum Persónuverndar um upplýsingaöryggi. Ábyrgðaraðili sjúkraskráa ber ábyrgð á að unnið sé eftir þessum fyrirmælum. Ávallt skal tryggt að allir starfsmenn í heilbrigðisþjónustu undirriti trúnaðaryfirlýsingu.
Allur aðgangur starfsmanna að sjúkraskrárupplýsingum skal skráður sem og breytingar sem gerðar eru á aðgangi einstakra notenda.
Umsjónaraðili sjúkraskráa á hverri stofnun ber ábyrgð á að fylgst sé reglulega með því að aðgangur sé í samræmi við reglur og til staðar skulu vera sérstakar verklagsreglur er lýsa því eftirliti.
Þegar um sameiginlegt sjúkraskrárkerfi er að ræða skv. 20. gr. laga um sjúkraskrár er það á ábyrgð umsjónaraðila sjúkraskráa að tryggja að reglulega sé fylgst með að aðgangur sé í samræmi við reglur.
8. gr.
Öryggi við samtengingu rafrænna sjúkraskrárkerfa.
Við samtengingu rafrænna sjúkraskrárkerfa skv. 18. gr. laga um sjúkraskrár skulu allar stofnanir sem tengja á saman uppfylla kröfur 6. gr. um öryggiskerfi og 7. gr. um öryggisþætti og aðrar kröfur samkvæmt fyrirmælum landlæknis um öryggi og gæði sjúkraskráa. Skal staðfesting landlæknis liggja fyrir hjá viðkomandi stofnunum og starfsstofum heilbrigðisstarfsmanna áður en samtenging er heimil.
9. gr.
Eftirlit með aðgangi að sjúkraskrá.
Umsjónaraðili sjúkraskráa skal sjá til þess að haft sé reglubundið eftirlit með því að aðgangur að sjúkraskrá sé lögum samkvæmt og setja verklagsreglur í því skyni sem að lágmarki uppfylli fyrirmæli landlæknis um öryggi og gæði sjúkraskráa. Í verklagsreglum skal koma fram hlutverk, skipan, verksvið og fundartíðni eftirlitsnefndar, verklag við framkvæmd eftirlits, ábyrgðarsvið þátttakenda og hvernig unnið er með niðurstöður sem og viðurlög gegn brotum.
Þegar rafræn sjúkraskrárkerfi hafa verið samtengd skv. 18. gr. laga um sjúkraskrár ber umsjónaraðili sjúkraskráa þeirrar stofnunar sem heilbrigðisstarfsmaður starfar hjá ábyrgð á eftirliti með aðgangi starfsmanna sinna að sjúkraskrá einstaklinga. Þetta á við hvort sem sjúkraskrárupplýsingar tilheyra vinnustað heilbrigðisstarfsmannsins eða annarri heilbrigðisstofnun eða starfsstofu sem heilbrigðisstarfsmaður fær aðgang að í gegnum samtengt sjúkraskrárkerfi.
Þegar um sameiginlegt sjúkraskrárkerfi er að ræða skv. 20. gr. laga um sjúkraskrár ber umsjónaraðili sjúkraskráa ábyrgð á því að haft sé reglubundið eftirlit með aðgangi starfsmanna viðkomandi stofnunar.
10. gr.
Rekstur sjúkraskrárkerfa.
Ábyrgðaraðili sjúkraskráa skal tryggja heilbrigðisstarfsmönnum stofnunar eða starfsstöðvar viðunandi starfsumhverfi fyrir rafræna sjúkraskrá, þ.m.t. hvað varðar vinnsluhraða og öryggi notkunar.
Ábyrgðaraðili sjúkraskráa sem hýsir sitt eigið sjúkraskrárkerfi skal uppfylla fyrirmæli landlæknis um öryggi og gæði sjúkraskráa.
Ef sjúkraskrárkerfið er hýst hjá þriðja aðila skal það einungis gert hjá viðurkenndum þjónustuaðila, þ.e. aðila sem annaðhvort hefur vottað gæðakerfi skv. ISO-27001 eða öðrum sambærilegum stöðlum, og í samræmi við fyrirmæli landlæknis um öryggi og gæði sjúkraskráa.
Hýsing sjúkraskrárkerfis hjá erlendum aðila er því aðeins heimil að fullnægt sé skilyrðum fyrir flutningi persónuupplýsinga úr landi samkvæmt lögum um persónuvernd og meðferð persónuupplýsinga. Þá ber við hýsinguna að fara eftir ákvæðum þeirra laga að öðru leyti sem og fyrirmælum landlæknis um öryggi og gæði sjúkraskráa ásamt viðeigandi lögum og reglum í viðkomandi landi.
III. KAFLI
Kröfur til sjúkraskrárkerfa.
11. gr.
Almennar kröfur.
Þróunaraðilar sjúkraskrárkerfa skulu tryggja að virkni kerfis og notkun heilbrigðisstarfsmanna á þeim, hvað varðar skráningu, vinnslu og rafræn samskipti, sé í samræmi við lög, reglugerðir og fyrirmæli landlæknis um gæði og öryggi sjúkraskráa.
Þróunaraðilar skulu jafnframt tryggja að sjúkraskrárkerfi séu þannig úr garði gerð að unnt sé að hafa eftirlit með gæðum, umfangi og árangri heilbrigðisþjónustu og vera möguleg undirstaða vísindarannsókna.
12. gr.
Virkni.
Sjúkraskrárkerfi skulu gefa heilbrigðisstarfsmönnum yfirsýn yfir sjúkrasögu skjólstæðinga sinna og gera þeim mögulegt að skrá nauðsynlegar upplýsingar í samræmi við ákvæði laga, reglugerða og fyrirmæli landlæknis um lágmarksskráningu. Sjúkraskrárkerfi skulu styðja við áreiðanlega, réttmæta og tímanlega skráningu.
Sjúkraskrárkerfi skulu tryggja heilbrigðisstarfsmönnum viðunandi starfsumhverfi hvað varðar vinnsluhraða og öryggi notkunar.
Sjúkraskrárkerfi skulu bjóða upp á úrvinnslu a.m.k. fyrir alla lögbundna og almenna upplýsingagjöf í samræmi við gildandi lög og reglugerðir, auk úrvinnslu sem nauðsynleg er til að viðhafa virkt eftirlit með aðgangi starfsmanna, t.a.m. þegar sjúkraskrárkerfi eru samtengd.
13. gr.
Færsla sérstaklega viðkvæmra sjúkraskrárupplýsinga.
Í sjúkraskrárkerfi skal vera unnt að merkja sjúkraskrárupplýsingar sem sérstaklega viðkvæmar sjúkraskrárupplýsingar. Sérstaklega viðkvæmar eru þær sjúkraskrárupplýsingar sem sjúklingurinn sjálfur telur að flokka beri sem slíkar.
Óski sjúklingur þess þarf heilbrigðisstarfmaður að geta merkt sjúkraskrárupplýsingar sem sérstaklega viðkvæmar og skal aðgangur þá takmarkaður við þá heilbrigðisstarfsmenn sem nauðsynlega þurfa upplýsingarnar vegna meðferðar sjúklings. Skal aðgangur að sérstaklega viðkvæmum sjúkraskrárupplýsingum að jafnaði takmarkaður við þá heilbrigðisstarfsmenn sem starfa innan þeirrar einingar eða deildar heilbrigðisstofnunar eða starfsstofu heilbrigðisstarfsmanns þar sem meðferð er veitt. Aðgangur annarra heilbrigðisstarfsmanna að sérstaklega viðkvæmum sjúkraskrárupplýsingum er óheimill nema með samþykki sjúklings. Heimilt er að víkja frá framangreindum aðgangstakmörkunum ef það telst nauðsynlegt vegna öryggis heilbrigðisstarfsmanna, svo sem þegar um alvarlega smitsjúkdóma er að ræða.
14. gr.
Aðgangsstýringar.
Sjúkraskrárkerfi skulu gera umsjónaraðila sjúkraskráa mögulegt að skilgreina aðgang heilbrigðisstarfsmanna í samræmi við fyrirmæli landlæknis um gæði og öryggi sjúkraskráa þar sem meðal annars er fjallað um aðgangsreglur og aðgangsheimildir. Einnig skal haldin skrá yfir aðgangsveitingar og breytingar á aðgangi þannig að unnt sé að hafa eftirlit með aðgangsheimildum.
15. gr.
Rekjanleiki og eftirlit.
Rekjanleiki skráningar þarf að vera tryggður og upplýsingar um uppflettingar í sjúkraskrá einstaklinga aðgengilegar. Þannig skal tryggt að unnt sé að viðhafa virkt eftirlit með notendum sjúkraskrárkerfisins í samræmi við fyrirmæli landlæknis um öryggi og gæði sjúkraskráa.
IV. KAFLI
Færsla sjúkraskráa.
16. gr.
Samantekt við lok meðferðar.
Gera skal samantekt við lok meðferðar sjúklings á heilbrigðisstofnun og starfsstofum sjálfstætt starfandi heilbrigðisstarfsmanna eins fljótt og auðið er og eigi síðar en endanlegar rannsóknaniðurstöður liggja fyrir. Samantektin skal vera aðgengileg í samtengdu rafrænu sjúkraskrárkerfi. Ef sjúkraskrárkerfi eru ekki samtengd skal senda samantekt með öruggum hætti (boðsending eða ábyrgðarpóstur merktur sem trúnaðarmál) til heilsugæslu eða heimilislæknis sjúklings og þess sérfræðings sem hafði milligöngu um meðferðina, sé hann annar. Ef sjúklingur er fluttur á milli heilbrigðisstofnana skal samantektin einnig send þangað með öruggum hætti ef sjúkraskrárkerfi eru ekki samtengd. Sá heilbrigðisstarfsmaður sem ber ábyrgð á sjúklingi hverju sinni skal útbúa samantekt. Hann ber einnig ábyrgð á því að ef framhaldsmeðferð er áformuð þá sé samantekt send með öruggum hætti þeim heilbrigðisstarfsmanni sem heldur utan um framhaldsmeðferðina.
Heilbrigðisstarfsmaður sem vísar sjúklingi annað til meðferðar skal gera það með samantekt.
Í samantekt við lok meðferðar skal eftirfarandi koma fram eftir því sem við á:
17. gr.
Færsla sjúkraskrár við nauðungarvistun.
Nú dvelst sjúklingur gegn vilja sínum á heilbrigðisstofnun og skal þess þá sérstaklega getið í sjúkraskrá. Tilgreina skal hvort tilefni dvalar sé alvarlegur geðsjúkdómur, verulegar líkur séu taldar á að viðkomandi sé haldinn alvarlegum geðsjúkdómi, ástand viðkomandi sé þannig að jafna megi til alvarlegs geðsjúkdóms eða alvarleg áfengisfíkn eða ofnautn ávana- og fíkniefna.
Vakthafandi læknir skal, eftir því sem við á, skrá eftirfarandi atriði í sjúkraskrá nauðungarvistaðs manns svo fljótt sem verða má:
V. KAFLI
Réttindi sjúklinga.
18. gr.
Aðstoð við lestur sjúkraskrár.
Nú fær sjúklingur aðgang að eigin sjúkraskrá eða náinn aðstandandi aðgang að sjúkraskrá látins einstaklings og getur hann þá óskað eftir aðstoð heilbrigðisstarfsmanns við lestur sjúkraskrár til að skýra það sem kann að reynast torskilið.
19. gr.
Tilkynning um bann skv. 19. gr. laga um sjúkraskrár.
Ákvörðun sjúklings um að leggja bann við miðlun upplýsinga um sig með samtengingu rafrænna sjúkraskrárkerfa skv. 19. gr. laga um sjúkraskrár skal skráð í sjúkraskrá hans. Ákvörðunin skal vera skrifleg og staðfest af heilbrigðisstarfsmanni sem jafnframt staðfestir að útskýrt hafi verið fyrir viðkomandi hugsanlegar afleiðingar bannsins.
Umsjónaraðili sjúkraskráa ber ábyrgð á því að bann sjúklings varðandi samtengingu rafrænna sjúkraskrárkerfa sé tilkynnt embætti landlæknis svo unnt sé að loka fyrir samtengingu rafrænnar sjúkraskrár viðkomandi.
Sjúklingur getur hvenær sem er afturkallað bann við miðlun sjúkraskrárupplýsinga um sig með samtengingu rafrænna sjúkraskrárkerfa. Ákvörðun sjúklings um afturköllun skal staðfest af tveimur heilbrigðisstarfsmönnum og beint til umsjónaraðila sjúkraskrárinnar, sem sendir tilkynningu til embættis landlæknis til að opna fyrir samtengingu rafrænnar sjúkraskrár viðkomandi.
VI. KAFLI
Lokaákvæði.
20. gr.
Eftirlit.
Embætti landlæknis hefur eftir því sem við á eftirlit með því að ákvæði reglugerðar þessarar séu virt.
Um eftirlit embættis landlæknis og eftirlitsúrræði fer samkvæmt lögum um landlækni og lýðheilsu.
Persónuvernd hefur eftirlit með öryggi og vinnslu persónuupplýsinga í sjúkraskrám í samræmi við ákvæði laga um persónuvernd og meðferð persónuupplýsinga. Um vald- og eftirlitsheimildir Persónuverndar fer samkvæmt ákvæðum þeirra laga.
21. gr.
Gildistaka.
Reglugerð þessi, sem sett er með stoð í 24. gr. laga um sjúkraskrár, nr. 55/2009 og 26. gr. lögræðislaga, nr. 71/1997, tekur þegar gildi. Frá sama tíma fellur brott reglugerð nr. 227/1991, um sjúkraskrár og skýrslugerð varðandi heilbrigðismál, með síðari breytingum.
Bráðabirgðaákvæði.
Sjúkraskrárkerfi sem þegar eru í notkun og ekki uppfylla lágmarksskilyrði skal laga að settum lágmarkskröfum innan 24 mánaða frá gildistöku reglugerðarinnar.
Velferðarráðuneytinu, 5. júní 2015.
Kristján Þór Júlíusson
heilbrigðisráðherra.
Vilborg Ingólfsdóttir.