EPJ-leverandører, ny personopplysningslov (GDPR) og Normen

Flere medlemmer er bekymret for økte EPJ-kostnader, og spør oss blant annet om dette kan knyttes til den nye personvernlovgivningen (GDPR). Her er derfor det viktigste innholdet i standardsvaret vi gir medlemmene.


Spørsmålene fra medlemmene om dette temaet gjelder ofte EPJ-løsningen ProMed.

Utgangspunktet er den avtalen hver og enkelt har inngått med systemleverandøren. Det er viktig å ha i bakhodet at når det gjelder avtaler mellom næringsdrivende, er det i norsk rett stor grad av avtalefrihet, og næringsdrivende nyter ikke godt av de samme vernereglene som forbrukere. Selv om en fysioterapeut driver et enkeltpersonforetak, regnes vedkommende som profesjonell part, både etter avtalerettslige regler og kjøpsrettslige regler. Dersom en fysioterapeut for eksempel kjøper en tv som privatperson for å bruke hjemme, har vedkommende inntil fem års reklamasjonsrett, mens dersom vedkommende som firma kjøper samme type tv og bruker på instituttet, vil det bare være to års reklamasjonsrett. Videre er det bare privatpersoner som har angrerett ved kjøp på internett og andre salg utenfor selgers faste utsalgssted. Dette er fordi Stortinget har ment at privatpersoner trenger et sterkere vern enn firmaer i slike situasjoner.

Når det gjelder tilpasninger til nytt regelverk, som for eksempel ny personvernlovgivning, vil det være den enkelte systemleverandør som er ansvarlig for at deres system oppfyller lovens krav. Fysioterapeuter som brukere har på sin side et selvstendig ansvar for at de oppfyller lovens krav. At det inngås avtale med en proff leverandør, fritar ikke fysioterapeuten fra eget ansvar for å sørge for at personvernreglene er ivaretatt i fysioterapivirksomheten.

EPJ-leverandører som tilbyr oppkobling over helsenett, er forpliktet til å følge Normen for informasjonssikkerhet og personvern i helse- og omsorgstjenesten (Normen), som innarbeider gjeldende lov og forskriftskrav i sine retningslinjer for helsebransjen:

Se også veileder for sikkerhetskrav til fysioterapeuter på e-helse.no:

Etter det vi kan se, er det fremdeles tillatt å lagre pasientopplysningene på lokal server. At ProMed velger å tilby et skybasert produkt og dermed fase ut oppdatering av lokal programvare, er et forretningsmessig valg de har tatt.

Som en følge av regelverksendringer vil det nødvendigvis kunne dukke opp behov for endringer og tilpasninger i datasystemer. Hvorvidt systemleverandøren har adgang til å betinge seg ekstra betalt, eller la være å oppgradere eksisterende ordninger som følge av tilpasninger til regelendringer, vil igjen være avhengig av det som følger av avtalen med kundene.

I mange av de IT-leveranseavtalene vi har sett, har leverandøren betinget seg rett til å endre på flere forhold i avtalen, for eksempel å la være å oppdatere databasen i visse situasjoner, eller å øke prisen på visse vilkår. Som kunde har den enkelte fysioterapeut markedsmakt ved at vedkommende kan si opp avtalen og velge en annen leverandør. Oppsigelse må skje i henhold til det som er avtalt om oppsigelse i avtalen. Å si opp avtalen med den begrunnelse at man ikke kan godta endringene/prisøkningen, kan være et sterkt signal til en leverandør som tross alt lever av å selge sitt produkt.

NFF har som politikk å opptre nøytralt i forhold til anbefaling av ulike tjenestetilbydere, enten det er IT-leverandører eller rullestoler, og anbefaler ikke en EPJ-leverandør fremfor en annen. En generell anbefaling vil alltid være å kontakte andre leverandører for å sjekke om de kan dekke kundens behov til en lavere kostnad. Det handler om å sjekke at man har et riktig produkt til riktig pris, noe vi anbefaler før hvert hovedforfall på alle avtaler, uansett det gjelder forsikringer eller EPJ-systemleverandører.

Politisk ledelse i NFF er kjent med problemstillingen med økte EPJ-kostnader, og det er tatt initiativ til et felles møte for organisasjoner som har medlemmer som er berørt, der NFF vil delta. NFF driver for øvrig politisk påvirkning vedrørende offentlige rammevilkår og betingelser, herunder hvilke krav som stilles i Normen til EPJ-leverandører, og takster som kompenserer for utgifter.

NFF har hittil ikke sett det som sin oppgave å gå i forhandlinger med private IT-leverandører om hva slags produkt og priser de bør tilby, da vi har lagt til grunn at det foreligger ordinær konkurranse i dette markedet.