Adgangen til å samarbeide om felles pasientjournalsystem følger av pasientjournalloven § 9.
Det kan for eksempel være et samarbeid mellom flere enkeltstående legevirksomheter, slik som på et legekontor med flere selvstendig næringsdrivende fastleger, eller et samarbeid med andre behandlingsrettede virksomheter, som for eksempel fysioterapeuter. Det er vanlig at samarbeidende virksomheter har felles journalsystem. Formålet med felles journalsystem er å sikre effektive og forsvarlige helsetjenester. Felles journal kan blant annet gjøre det enklere å samarbeide om pasientbehandling. For legenes del vil gjerne et felles journalsystem være billigere og enklere å administrere enn hvis hver enkelt lege skal tegne et eget abonnement på journal.
Pasientjournalloven § 9 stiller krav om at det inngås en avtale mellom virksomhetene som samarbeider om felles pasientjournalsystem. Avtalen som inngås skal som et minimum regulere hva samarbeidet omfatter, hvordan pasientens rettigheter skal ivaretas, hvordan helseopplysninger skal behandles og sikres, også ved opphør av samarbeidet, og hvem som har dataansvar.
«Dataansvarlig» er en benevnelse på den som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes (i GDPR benyttes gjerne begrepet «behandlingsansvarlig», mens man i helseretten benytter «dataansvarlig» for å unngå misforståelser).
Den dataansvarlige er det primære pliktsubjektet i henhold til GDPR, og er ansvarlig for at den registrerte (den som personopplysningene omhandler) får ivaretatt sine rettigheter og sitt personvern. I en avtale mellom virksomheter som deler journalsystem, må det vurderes konkret hvordan dataansvaret er plassert. Ofte vil dataansvaret være delt, slik at hver samarbeidende virksomhet har en selvstendig plikt overfor de registrerte til å oppfylle forpliktelsene etter GDPR. Dette er likevel ikke til hinder for at de samarbeidende partene seg imellom fordeler ulike oppgaver som tilligger de dataansvarlige. Det helt sentrale formålet med å avtaleregulere dette, er å hindre uklare ansvarsforhold når flere virksomheter samarbeider om behandlingen av helseopplysninger i et system.
Om databehandleravtale på datatilsynet.no
Om databehandler og databehandleravtale på legeforeningen.no
Tilgangsstyringen i journalsystemet må innrettes slik at kun virksomheter og personell som har tjenstlig behov for informasjon, faktisk har tilgang.
Legeforeningen har utarbeidet en mal for en avtale om felles journal.
Normen har utarbeidet en veileder for samarbeid om felles journal. Denne inneholder avtaleeksempler og beskriver hvordan ulike konstellasjoner kan regulere sitt samarbeid.