I. KAFLI Almenn ákvæði.

1. gr. Gildissvið, markmið og framkvæmd.

Reglugerð þessi gildir um starfrækslu þjónustugáttar skv. 28. gr. laga um almannatryggingar, nr. 100/2007, og viðmót samhæfingarteyma skv. 55. gr. a laganna.

Markmið reglugerðar þessarar er að stuðla að öruggri skráningu, miðlun og varðveislu persónuupplýsinga í þjónustugátt og í viðmóti samhæfingarteyma sem og að skilgreina hvernig ábyrgð á persónuupplýsingum skiptist milli Tryggingastofnunar og þjónustuaðila.

Tryggingastofnun annast framkvæmd reglugerðarinnar og ber ábyrgð á rekstri þjónustugáttar og viðmóti samhæfingarteyma, sbr. 1. mgr., en Tryggingastofnun og þjónustuaðilar eru þó ábyrgir fyrir vinnslu sinni á persónuupplýsingum við notkun þjónustugáttarinnar og á viðmóti samhæfingarteyma, sbr. V. kafla reglugerðar þessarar.

2. gr. Þjónustuaðilar.

Þjónustuaðilar í skilningi reglugerðar þessarar eru tilgreindir fagaðilar sem starfa á grundvelli laga við að veita þjónustu í tengslum við endurhæfingu og mynda kerfisbundna heild á landsvísu eða einn fagaðili sem veitir þjónustu á landsvísu. Þjónustuaðilar samkvæmt reglugerð þessari, sbr. einnig 14. tölul. 2. gr. laga um almannatryggingar, nr. 100/2007, eru VIRK - Starfsendurhæfingarsjóður, félagsþjónusta sveitarfélaga, Vinnumálastofnun og heilbrigðisstofnanir.

II. KAFLI Þjónustugátt.

3. gr. Tilgangur og aðgangur að upplýsingum.

Tryggingastofnun og þjónustuaðilar skulu, þegar það á við, veita hvor öðrum aðgang að upplýsingum um einstaklinga í gegnum þjónustugátt sem nauðsynlegar eru við veitingu þjónustu þeirra, þ.m.t. upplýsingum sem viðkvæmar geta talist og taldar eru upp í lögum um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018. Upplýsingarnar skulu einungis vera aðgengilegar að því marki sem Tryggingastofnun og þjónustuaðilar þurfa upplýsingarnar til að geta uppfyllt skyldur sínar samkvæmt lögum um almannatryggingar, nr. 100/2007, og ákvæðum annarra laga sem Tryggingastofnun og þjónustuaðilar starfa eftir, sem og ákvæðum samninga þeirra á milli um samstarf á sviði endurhæfingar, þ.m.t. um starfsemi samhæfingarteyma. Þær upplýsingar sem um ræðir eru meðal annars upplýsingar um heilsufar og félagslegar aðstæður einstaklinga, búsetu, þjónustu, stöðu umsókna, sem og tegund og tímabil greiðslna til einstaklinga.

4. gr. Vinnsla persónuupplýsinga.

Vinnsla persónuupplýsinga á grundvelli reglugerðar þessarar skal vera í samræmi við það markmið sem stefnt er að með starfrækslu þjónustugáttar og virða persónuvernd, sbr. ákvæði laga um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018.

Vinnsla persónuupplýsinga skal vera í samræmi við meðalhóf og eingöngu ná til upplýsinga sem eru nauðsynlegar til að tryggja yfirsýn yfir viðurkenndar meðferðir og endurhæfingarþjónustu, sem einstaklingar fá á hverjum tíma og hafa áður fengið, til að stuðla að samfellu og meta einstaklingsbundna þjónustuþörf.

III. KAFLI Skráning og vistun upplýsinga.

5. gr. Lýsigögn.

Tryggingastofnun skal halda skrá um lýsigögn yfir upplýsingar sem fara um þjónustugáttina, þ.m.t. þær sem viðkvæmar geta talist, og getur stofnunin sem og tilgreindir þjónustuaðilar nýtt skrána til þess að sækja frumgögn. Skráin skal varðveitt í gagnagrunnum Tryggingastofnunar.

Með lýsigögnum er átt við gögn sem vísa til upplýsinga út frá tegund, eiginleikum og staðsetningu vistunar upplýsinganna en tilgreina ekki innihald upplýsinganna. Í því felst að í lýsigögnum má sjá upplýsingar um hvar og hvernig unnt er að finna tilteknar upplýsingar án þess að efni upplýsinganna sjálfra sé rakið. Lýsigögnin þjóna meðal annars þeim tilgangi að vísa Tryggingastofnun og þjónustuaðilum á það hvar upplýsingar um tiltekna einstaklinga er að finna. Í lýsigögnum eru sem dæmi upplýsingar um tilvist og tilurð gagna, auk þess sem lýsigögnin mynda yfirlit yfir feril þjónustu.

Lýsigögn skulu einungis vera aðgengileg þeim starfsmönnum Tryggingastofnunar og þjónustuaðila sem þurfa upplýsingarnar til að Tryggingastofnun og þjónustuaðilarnir geti uppfyllt skyldur sínar samkvæmt lögum um almannatryggingar, nr. 100/2007, og ákvæðum annarra laga sem Tryggingastofnun og þjónustuaðilar starfa eftir, sem og ákvæðum samninga þeirra á milli um samstarf á sviði endurhæfingar, þ.m.t. um starfsemi samhæfingarteyma.

6. gr. Áreiðanleiki og gæði upplýsinga.

Upplýsingar sem gerðar eru aðgengilegar í þjónustugátt fyrir þá sem þurfa upplýsingarnar, sbr. 3. gr., skulu vera réttar og uppfærðar.

Upplýsingum sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal eyða eða leiðrétta án tafar. Tilvísun til persónuauðkenna í skrám er nauðsynleg til að tryggja örugga persónugreiningu, áreiðanleika og samhengi upplýsinga.

IV. KAFLI Viðmót samhæfingarteyma.

7. gr. Aðgangur að viðmóti samhæfingarteyma.

Ásamt þjónustugátt skal Tryggingastofnun starfrækja viðmót samhæfingarteyma, sbr. 55. gr. a laga um almannatrygginga, nr. 100/2007, og samning Tryggingastofnunar og þjónustuaðila þess efnis. Fulltrúar samhæfingarteyma og teymisstjórar hafa heimild til að skrá mál í viðmótið og fylgjast með framgangi þeirra sem og framgangi annarra mála sem eru í vinnslu hjá hlutaðeigandi teymi. Tilnefndir starfsmenn Tryggingastofnunar og þjónustuaðila skulu einnig hafa heimild til að skrá mál í viðmótið og fylgjast með framgangi tiltekinna mála.

8. gr. Varðveisla upplýsinga í tengslum við starfrækslu viðmóts samhæfingarteyma.

Í viðmóti samhæfingarteyma skulu gerðar aðgengilegar upplýsingar í tengslum við starfsemi samhæfingarteyma, þar á meðal þær sem viðkvæmar geta talist, sbr. 3. gr. reglugerðar þessarar. Upplýsingar um starfrækslu samhæfingarteyma, svo sem vísun mála til teyma, dagskrá funda, fyrirtöku og niðurstöðu mála, skulu varðveittar í skrám í gagnagrunnum Tryggingastofnunar og gerðar aðgengilegar viðeigandi samhæfingarteymi í viðmótinu, en þó ekki lengur en þörf krefur.

Lýsigögn í tengslum við starfrækslu samhæfingarteyma skulu varðveitt í skrá skv. 5. gr. reglugerðar þessarar.

V. KAFLI Ábyrgð á vinnslu persónuupplýsinga.

9. gr. Skipting ábyrgðar.

Í reglugerð þessari eru Tryggingastofnun og þjónustuaðilar skv. 2. gr. ábyrgðaraðilar í skilningi laga um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018, og bera ábyrgð á því að vinnsla persónuupplýsinga samrýmist ákvæðum laganna.

Tryggingastofnun ber ábyrgð á miðlægum rekstri þjónustugáttar, þ.m.t. öryggi lýsigagna og tölfræðiupplýsinga, sem varðveittar eru í skrám, og annarra upplýsinga sem eru tímabundið í þjónustugátt vegna miðlunar. Hver ábyrgðaraðili ber ábyrgð á vinnslu þeirra upplýsinga sem hann gerir aðgengilegar eða sækir í þjónustugátt eða viðmót samhæfingarteymis og skráningum í atburðaskrá skv. 2. mgr. 11. gr. Tryggingastofnun ber einnig ábyrgð á rekstri viðmóts samhæfingarteyma.

Skipting ábyrgðar milli ábyrgðaraðila ræðst af því hver tekur ákvörðun um tilgang og aðferðir við vinnslu persónuupplýsinga, samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018.

10. gr. Öryggisráðstafanir og aðgangsstýring.

Hlutaðeigandi ábyrgðaraðili skal tryggja að aðeins þeir starfsmenn ábyrgðaraðila hafi aðgang að upplýsingum í gegnum þjónustugátt, sem þess þurfa starfa sinna vegna.

Öll notkun þjónustugáttarinnar skal skráð og háð reglulegu eftirliti ábyrgðaraðila.

Tryggingastofnun ber ábyrgð á aðgangsstýringum inn í viðmót samhæfingarteyma.

11. gr. Skylda til að halda atvikaskrá og dagbækur.

Tryggingastofnun skal halda atvikaskrá yfir hvenær og af hvaða ábyrgðaraðila upplýsingar eru gerðar aðgengilegar eða sóttar í gegnum þjónustugátt eða viðmót samhæfingarteyma.

Ábyrgðaraðilar skulu halda atvikaskrár um hvenær og af hvaða starfsmönnum þeirra upplýsingar eru gerðar aðgengilegar eða sóttar í gegnum þjónustugátt og miðla þeirri skrá til Tryggingastofnunar. Tryggingastofnun skal halda skrá yfir hvenær og af hvaða starfsmönnum upplýsingar eru gerðar aðgengilegar eða sóttar í viðmót samhæfingarteyma.

Ábyrgðaraðilar skulu halda dagbækur þar sem atvikaskrár skv. 1. og 2. mgr. eru varðveittar, sem og upplýsingar um aðrar athafnir starfsmanna þeirra í þjónustugátt eða viðmóti samhæfingarteyma en þær sem taldar eru upp í 1. og 2. mgr., þ.m.t. öryggisatvik. Ábyrgðaraðilar skulu geyma dagbækurnar eins lengi og þörf krefur og hafa reglulegt eftirlit með þeim.

12. gr. Gildistaka.

Reglugerð þessi, sem sett er skv. heimild í 31. og 63. gr. laga um almannatryggingar, nr. 100/2007, öðlast gildi 1. september 2025.

B deild — Útgáfudagur: 29. ágúst 2025