Veileder i personvern og informasjonssikkerhet ved tilgang til helseopplysninger mellom virksomheter

Transkript

1 Veileder i personvern og informasjonssikkerhet ved tilgang til helseopplysninger mellom virksomheter Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon Merknad : Dokumentet er ikke oppdatert fra siste versjon av Normen (5.3), ny personopplysningslov, endringer i helselovgivningen, eller EUs personvernforordning

2 INNHOLD 1 INNLEDNING BAKGRUNN OM VEILEDEREN MÅLGRUPPE EKSEMPLER PÅ BEHOV FOR TILGANG AKTIVITETER FOR ETABLERING OG BRUK AV TILGANG MELLOM VIRKSOMHETER EKSEMPLER PÅ TEKNISKE LØSNINGER FOR TILGANG Tilgang fra eget journalsystem Bruk av personlig sertifikat i innhentende virksomhet Bruk av personlig sertifikat bare i utleverende virksomhet Tilgang fra sikkert nettverk og bruk av sikker autentisering i utleverende virksomhet Tilgang fra usikre nettverk KRAV SOM SKAL IVARETAS VILKÅR FOR TILGANG MELLOM VIRKSOMHETER BETYDNINGEN AV RELEVANTE OG NØDVENDIGE OPPLYSNINGER PASIENTENS RETTIGHETER Informasjon til pasienten Sperring BEHOVSANALYSE Eksempler på behov Tilgang mellom fastlege og distriktspsykiatrisk sentre (DPS) Tilgang mellom ulike virksomheter i spesialisthelsetjenesten Kartlegging og dokumentasjon av behov RISIKOVURDERING Innhold og struktur i journalsystem Personvern og snoking Svekket informasjonssikkerhet i noen av virksomhetene AVTALE Krav til avtalens innhold Virksomheter som kan inngå avtale TILGANGSSTYRING Autorisasjon Autentisering HENDELSESREGISTRERING OG OPPFØLGING Hendelsesregistrering Oppfølging og kontroller av tilgang PROSEDYRER Rett til å sperre helseopplysninger Innsyn i hendelsesregistre Fysisk sikring Organisering Sikkerhetsrevisjon Avvikshåndtering Opplæring Risikovurdering Veileder tilgang mellom virksomheter V 1.1 side 2 av 48

3 3 VEDLEGG DEFINISJONER MAL FOR AVTALE MAL FOR RESERVASJONSRETT (SPERRING) MAL FOR INFORMASJONSPLAKAT MAL FOR FOLDER TIL PASIENTEN MAL FOR FORENKLET RISIKOVURDERING REFERANSER DELTAGERE I REFERANSEGRUPPEN Endringshistorikk for og godkjenning av dokumentet Versjon Endringer Godkjent av styringsgruppen for Normen (dato) 1.0 Første utgave av veilederen 14. oktober Innarbeidet referanse til Veileder med avtaleeksempler ved samarbeid om felles journal. Innarbeidet presiseringer etter innspill fra referansegruppen og lesere. 3. mars 2016 Veileder tilgang mellom virksomheter V 1.1 side 3 av 48

4 1 INNLEDNING Formålet med denne veilederen er å sikre at informasjonssikkerhet og personvern blir godt ivaretatt når det gis tilgang til helseopplysninger mellom virksomheter for å yte, administrere eller kvalitetssikre helsehjelp til den enkelte Veilederen skal bidra til god informasjonssikkerhet slik at pasienter og brukere skal kunne ha tillit til at helse- og personopplysningene i systemene blir sikret på best mulig måte og ikke tilflyter uvedkommende. 1.1 Bakgrunn Pasientjournalloven legger til rette for flere alternative måter å gjøre opplysninger tilgjengelige på for helsepersonell når de gir helsehjelp. Loven skal bidra til at relevante og nødvendige helseopplysninger er tilgjengelige, uavhengig av hvem som gir helsehjelpen og uavhengig av hvor opplysningene om pasienten er registrert og lagret. Pasientjournalloven 19 gjelder tilgjengeliggjøring av helseopplysninger, det vil si informasjonsdeling mellom helsepersonell når de gir helsehjelp. Bestemmelsen gjelder alle behandlingsrettede helseregistre. Relevante og nødvendige helseopplysninger skal være tilgjengelige for helsepersonell som gir helsehjelp uavhengig av hvor pasienten har fått behandling tidligere. Med tilgjengeliggjøring menes at opplysningene enten deles ved at helsepersonell gis adgang til selv å hente frem opplysningene i journalen (tilgang) eller ved at opplysningene utleveres. Reglene er i utgangspunktet de samme for intern og ekstern informasjonsdeling, og for utlevering og tilgang. I bestemmelsens første ledd slås det fast at den databehandlingsansvarlige skal sørge for at relevante og nødvendige helseopplysninger er tilgjengelige for helsepersonell og annet samarbeidende personell når dette er nødvendig for å gi helsehjelp til den enkelte pasient. Dette er i samsvar med helsepersonelloven 45 om helsepersonells plikt til å gi nødvendige og relevante helseopplysninger til annet helsepersonell som trenger opplysningene i forbindelse med helsehjelp. Taushetsplikten setter rammene for når opplysningene kan gjøres tilgjengelige for andre enn de som har registrert dem. Det følger av taushetsplikten at opplysningene ikke skal spres til uvedkommende. Pasientjournalloven 19 sett i sammenheng med helsepersonellovens regler om taushetsplikt, sier at opplysningene bare kan gjøres tilgjengelige når de er relevante og nødvendige for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt. Det er kun de som har et tjenstlig behov som skal få opplysningene, og de skal ikke få flere opplysninger enn det som er relevant og nødvendig for å gi helsehjelpen. Denne veilederen omhandler kun tilgang for helsepersonell mellom virksomheter, jf. pasientjournalloven 19 tredje ledd jf. forskrift om tilgang til helseopplysninger mellom virksomheter. Helseopplysninger kan etter pasientjournalloven også gjøres tilgjengelige ved at virksomhetene samarbeider om et felles journalsystem etter 9. Nasjonal kjernejournal er også en måte å gjøre opplysninger tilgjengelige på, jf. lovens 13. Loven 10 åpner også for, ved forskrift, å etablere nasjonale behandlingsrettede helseregistre på bestemte områder. Veileder tilgang mellom virksomheter V 1.1 side 4 av 48

5 Opplysningene kan også utleveres på samme måte som i dag, som for eksempel ved meldingsutveksling. Forskrift om tilgang til helseopplysninger mellom virksomheter omhandler hvilke krav som må være oppfylt i virksomhetene for å kunne gi tilgang. Formålet med forskriften er at informasjonssikkerhet og personvern skal ivaretas ved slik tilgang. Forskriften skal bidra til god informasjonssikkerhet slik at pasienter og brukere skal kunne ha tillitt til at opplysningene i systemene blir sikret på best mulig måte og ikke tilflyter uvedkommende. Med tilgang til helseopplysninger mellom virksomheter menes at helsepersonell og annet samarbeidende personell gis adgang til elektronisk å hente frem helseopplysninger om pasienten. I denne forskriften åpnes det kun for lesetilgang og ikke skrivetilgang. Når begrepet tilgang brukes i denne veilederen menes det derfor kun lesetilgang, og ikke skrivetilgang. En virksomhet som vil gi andre virksomheter tilgang må ha vurdert risikoen ved dette og ha iverksatt eventuelle tiltak for å begrense risikoen (se kapittel 2.5). Pasientjournalloven 9 fastslår at to eller flere virksomheter kan samarbeide om behandlingsrettede helseregistre. Bestemmelsen gjelder fagsystemer og journalsystemer hvor helsepersonell som gir helsehjelp nedtegner eller registrerer opplysninger om pasientene i samsvar med dokumentasjonsplikten. Bestemmelsen omfatter alle typer behandlingsrettede helseregistre; ulike fagsystemer, kurveløsninger, pasientjournaler, osv. Veiledning i bruk av 9 er omtalt i Veileder med avtaleeksempler ved samarbeid om felles journal v.2.0. Pasientjournalloven 9 og 19 kan benyttes samtidig. Pasientjournalloven 9 kan for eksempel benyttes når visse deler av pasientens journal er felles, for eksempel felles laboratoriedata og/eller felles RIS PACS, og pasientjournalloven 19 kan benyttes for andre deler av EPJ-systemet. Bestemmelsene kan også brukes samtidig ved å benytte 9 mellom noen virksomheter og 19 mellom dette felles registeret og andre virksomheter. Begge alternativene må avtalefestes mellom de involverte virksomhetene. Den databehandlingsansvarlige skal bestemme på hvilken måte helseopplysningene skal gjøres tilgjengelige. Dette omfatter også om helsepersonell i andre virksomheter skal kunne gis tilgang. Opplysninger skal, som i dag, bare kunne gjøres tilgjengelige dersom de er relevante og nødvendige for å gi helsehjelp og det er sikkerhet for at opplysningene ikke kommer på avveie. 1.2 Om veilederen Veilederen gir veiledning til etterlevelse av kravene i Normen ved etablering av tilgang til helseopplysninger mellom virksomheter. Veilederen gir hjelp til bl.a.: Vurdering av behovet for tilgang Gjennomføring av risikovurdering Foreslag til avtaletekst ved tilgang mellom virksomheter Hvilke oppgaver som løpende må ivaretas ved tilgang mellom virksomheter I denne veilederen brukes betegnelsen gi helsehjelp som en samlebetegnelse for å yte, administrere eller kvalitetssikre helsehjelp. Veileder tilgang mellom virksomheter V 1.1 side 5 av 48

6 Definerte ord er markert med kursiv i teksten (se kapittel 3.1 for definisjoner). 1.3 Målgruppe Målgruppen for veilederen er virksomheter som omfattes av Normen og som gjør bruk eller planlegger å gjøre bruk av tilgang til helseopplysninger mellom virksomheter. Følgende roller vil ha nytte av veilederen: Databehandlingsansvarlig Databehandler IKT-ansvarlig Personvernombud Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ ledelse Leverandører 1.4 Eksempler på behov for tilgang Mulighetsrommet for tilgang til helseopplysninger mellom virksomheter er stort. Figuren nedenfor illustrerer eksempler på virksomheter som kan etablere løsninger med tilgang til helseopplysninger mellom virksomheter. Kommunale døgntilbud Sykehus Hjemmetjenester Rehabilitering Tilgang til helseopplysninger mellom virksomheter Ambulanse Syketransport AMK Laboratorier Private spesialisthelsetjenester Rehabiliteringsinstitusjoner - Fastleger Legevakt Apotek Det eneste grunnlag for å kunne etablere slike løsninger er at det er et relevant behov for tilgang for å kunne gi helsehjelp til pasienten. Eksempler på behov som kan være aktuelle å vurdere: Pasienter med forløp og overganger mellom spesialisthelsetjenesten, fastlege og den øvrige delen av den kommunale helse- og omsorgstjenesten Pasienter som mottar helsehjelp ved flere virksomheter Pasienter som mottar helsetjenester fra flere nivåer og over lengre tid Akuttoppmøte av pasienten på legevakt hvor ordinær utredning og behandling er pågående i en annen virksomhet Veileder tilgang mellom virksomheter V 1.1 side 6 av 48

7 1.5 Aktiviteter for etablering og bruk av tilgang mellom virksomheter Figuren nedenfor illustrerer grunnlaget og rekkefølgen av aktiviteter ved etablering og bruk av tilgangen, med referanse til hvilket kapittel i veilederen temaet er omtalt. Grunnlag for å etablere tilgang mellom virksomheter 1. Informasjonssikkerhet iht Normen er etablert (se 2. Gjennomføre behovsvurdering (se kapittel 2.4) 3. Gjennomføre risikovurdering (se kapittel 2.5) 4. Etablere avtale mellom virksomhetene (se kapittel 2.6) Når pkt er gjennomført Bruk av tilgang mellom virksomheter 5. Gi informasjon til pasienten om rettigheter (se kapittel 2.3) 6. Tilgangsstyre helsepersonells bruk ift avtale og behov (se kapittel 2.7) 8. Kontroll og oppfølging av benyttet tilgang (se kapittel 2.8.2) 7. Hendelsesregistrere all tilgang (se kapittel 2.8.1) 1.6 Eksempler på tekniske løsninger for tilgang Nedenfor følger 3 eksempler på tilgang mellom virksomheter som beskriver funksjoner og fordeler og ulemper: Tilgang fra eget journalsystem, med 2 eksempler: o Bruk av personlig sertifikat i innhentende virksomhet o Bruk av personlig sertifikat bare i utleverende virksomhet Tilgang fra sikkert nettverk i innhentende virksomhet og bruk av personlig sertifikat i utleverende virksomhet Veileder tilgang mellom virksomheter V 1.1 side 7 av 48

8 1.6.1 Tilgang fra eget journalsystem Bruk av personlig sertifikat i innhentende virksomhet Eksemplet viser helsepersonell som er autentisert med sikker autentisering i virksomhet A og har tilgang til helseopplysninger i virksomhet B (nummereringen nedenfor viser til sirkel med nummer i figuren): 1. Helsepersonellets autorisasjon (se kapittel 2.7.1) er registrert i autorisasjonsregisteret i A 2. Helsepersonell er autorisert for tilgang til helseopplysninger om Pasient Y i A. Helsepersonell benytter sikker autentisering, som i dette eksemplet er personlig kvalifisert sertifikat for tilgang 3. Helsepersonellet gir helsehjelp og åpner journalen til Pasient Y i A 4. Tilgangen til Pasient Ys journal hendelsesregistreres i A 5. Helsepersonell i A er autorisert i B for tilgang til pasientjournaler iht avtale om tilgang mellom virksomheter 6. Helsepersonell velger funksjon for å åpne journal i B basert på at pasient Ys journal er åpen i A 7. Pasient-ID, helsepersonellets autorisasjon, begrunnelse og tidspunkt hendelsesregistreres i A 8. Journalen for Pasient Y i B åpnes med direkteoppslag basert på pasient-id for Pasient Y i EPJ i A, autorisasjonen og autentiseringen (ved bruk av federering av autentiseringen fra A til B) (se kapittel 2.7.2) for helsepersonellet i A. Pasient Y har ikke reservert seg mot tilgang til helseopplysninger i B og helsepersonell i A har tilgang til relevante og nødvendige helseopplysninger 9. Tilgangen fra helsepersonell i A til journalen for Pasient Y i B hendelsesregistreres i B 10. Kommunikasjonen mellom A og B er sikret (f.eks. HTTPS/TLS, VPN, etc.) Fordeler Kun behov for autorisasjonsregister i A. Det er ikke krav om autorisasjonsregister i B selv om det opprettes autorisasjon i B for Pasient Y Hendelsesregistrering i innhentende og utleverende virksomhet er enkel å gjennomføre Veileder tilgang mellom virksomheter V 1.1 side 8 av 48

9 Tilgang til journal i B er enkel å styre Ulemper Krever løsning for å overføre (federere) autorisasjonen og autentiseringen fra innhentende til utleverende virksomhet (A til B) Bruk av personlig sertifikat bare i utleverende virksomhet Eksemplet viser helsepersonell som er autentisert (se kapittel 2.7.1) med brukernavn og passord i virksomhet A og som må autentiseres med sikker autentisering i virksomhet B for å få tilgang til helseopplysninger i virksomhet B (nummereringen nedenfor viser til sirkel med nummer i figuren): 1. Helsepersonellets autorisasjon er registrert i autorisasjonsregisteret i A 2. Helsepersonell er autorisert for tilgang til helseopplysninger om Pasient Y i A. Helsepersonell benytter brukernavn og passord som autentisering for tilgang 3. Helsepersonellet gir helsehjelp og åpner journalen til Pasient Y i A 4. Tilgangen til Pasient Ys journal hendelsesregistreres i A 5. Helsepersonell i A er autorisert i B for tilgang til pasientjournaler iht avtale om tilgang mellom virksomheter 6. Helsepersonell velger funksjon for å åpne journal i B basert på at pasient Ys journal er åpen i A 7. Pasient-ID, helsepersonellets autorisasjon, begrunnelse og tidspunkt hendelsesregistreres i A 8. Helsepersonell må autentiseres (se kapittel 2.7.2) ved åpning av journal tilhørende Pasient Y i B. Dette gjøres med sikker autentisering, i dette tilfellet med personlig kvalifisert sertifikat 9. Journalen for Pasient Y i B åpnes med direkteoppslag basert på pasient-id for Pasient Y fra EPJ i A, helsepersonellets tildelte autorisasjon i B og autentiseringen helsepersonellet i A har benyttet for å åpne EPJ i B. Pasient Y har ikke reservert seg mot tilgang til helseopplysninger i B og helsepersonell i A har tilgang til relevante og nødvendige helseopplysninger Veileder tilgang mellom virksomheter V 1.1 side 9 av 48

10 10. Tilgangen fra helsepersonell i A til journalen for Pasient Y i B hendelsesregistreres i B 11. Kommunikasjonen mellom A og B er sikret (f.eks. HTTPS/TLS, VPN, etc.) Fordeler Hendelsesregistrering i innhentende og utleverende virksomhet er enkel å gjennomføre Tilgang til journal i B er enkel å styre Ulemper Helsepersonell må autentiseres i både A og i B Tilgang fra sikkert nettverk og bruk av sikker autentisering i utleverende virksomhet Eksemplet viser helsepersonell som er autentisert med brukernavn og passord til sikkert nettverk i virksomhet A og som må autentiseres med sikker autentisering i virksomhet B for å få tilgang til helseopplysninger i virksomhet B (nummereringen nedenfor viser til sirkel med nummer i figuren): 1. Helsepersonellets autorisasjon (se kapittel 2.7.1) er registrert i autorisasjonsregisteret i A 2. Helsepersonell er autorisert for tilgang til helseopplysninger om Pasient Y i A. Helsepersonell benytter brukernavn og passord som autentisering for tilgang 3. Helsepersonellet gir helsehjelp og åpner journalen til Pasient Y i A 4. Tilgangen til Pasient Ys journal hendelsesregistreres i A 5. Helsepersonell i A er autorisert i B for tilgang til pasientjournaler iht avtale om tilgang mellom virksomheter 6. Helsepersonell velger funksjon i EPJ for å åpne journal tilhørende Pasient Y i journalsystemet i B 7. Pasient-ID for Pasient Y som er åpen i EPJ, helsepersonellets autorisasjon, begrunnelse og tidspunkt hendelsesregistreres i A 8. Helsepersonell må autentiseres (se kapittel 2.7.2) ved åpning av journalen tilhørende Pasient Y i B. Dette gjøres med sikker autentisering, i dette tilfellet med personlig kvalifisert sertifikat Veileder tilgang mellom virksomheter V 1.1 side 10 av 48

11 9. Journalen for Pasient Y i B åpnes med søk eller direkteoppslag basert på pasient-id for Pasient Y fra EPJ i A, helsepersonellets tildelte autorisasjon i B og autentiseringen helsepersonellet i A har benyttet for å åpne EPJ i B. Pasient Y har ikke reservert seg mot tilgang til helseopplysninger i B og helsepersonell i A har tilgang til relevante og nødvendige helseopplysninger 10. Tilgangen fra helsepersonell i A til journalen for Pasient Y i B hendelsesregistreres i B 11. Kommunikasjonen mellom A og B er sikret (f.eks. HTTPS/TLS, VPN, etc.) Fordeler Hendelsesregistrering i utleverende virksomhet er enkel å gjennomføre Ulemper Hendelsesregistrering i innhentende virksomhet er basert på tillit til at helsepersonellet henter frem journalen i B som tilhører pasienten som har åpen journal i A. Det er mulig å tilegne seg helseopplysninger om andre pasienter enn den åpne journalen Vanskelig å vite om helsepersonellet gir helsehjelp til en pasient i en behandlingssituasjon Søk i EPJ i utleverende virksomhet må være mulig, og kan medføre fare for uautorisert innsyn Helsepersonell må autentiseres i både A og i B Nødvendige tilleggstiltak må etableres for denne løsningen for å oppfylle kravene som stilles Tilgang fra usikre nettverk Dette eksemplet utdypes ikke i denne versjonen av veilederen. Sannsynligheten for at en slik løsning kan etableres innenfor lovens/forskriftens rammer er meget liten og en løsning vil være kompleks. 2 KRAV SOM SKAL IVARETAS 2.1 Vilkår for tilgang mellom virksomheter Pasientjournalloven stiller krav om at opplysningene bare kan gjøres tilgjengelige når de er relevante og nødvendige for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt. Med dette menes at det kun er de som har et tjenstlig behov som skal få tilgang til opplysningene, og de skal ikke få flere opplysninger enn det som er relevant og nødvendig for å gi helsehjelp til den enkelte pasient. Den databehandlingsansvarlige kan bare la andre virksomheter gi helsepersonell i sin virksomhet tilgang dersom kravene i forskrift om tilgang til helseopplysninger mellom virksomheter 3 til 11 er oppfylt. I forskriftens 3 angis grunnvilkårene som må være oppfylt for at tilgang mellom virksomheter kan gis. For det første må kravene i pasientjournalloven være oppfylt. For det andre må de databehandlingsansvarlige i virksomhetene ha inngått avtale om tilgang i samsvar med 4. Avtalene skal inngås mellom de databehandlingsansvarlige, dvs. på virksomhetsnivå. Avtalepartene skal vurdere risiko for pasientens personvern som uautorisert tilgang kan føre til. Vurderingene skal minst omfatte risiko for brudd på taushetsplikt og svekket informasjonssikkerhet. Videre må de databehandlingsansvarlige i virksomhetene ha Veileder tilgang mellom virksomheter V 1.1 side 11 av 48

12 prosedyrer, systemer og journalstruktur som gir tilfredsstillende informasjonssikkerhet, og tilgangsstyring som minst ivaretar kravene i 5 til 11. Tekniske muligheter for sperring av helseopplysninger samt dokumentasjon, autentisering og oppfølging, og kontroll av tilgang skal minst ivareta kravene i 5 til 11. Avtalepartene er begge virksomhetene, det vil si den virksomhet som gir tilgang til andre virksomheter, og den eller de virksomhetene som får tilgang.. Forskriftens 4 angir minstekrav til avtalens innhold (se kapitel 2.6). De databehandlingsansvarlige kan sette ytterligere krav til de andre virksomhetene som vilkår for å åpne for tilgang. Videre fremgår det av 5 at virksomhetene skal ha særlige prosedyrer for hvordan informasjonssikkerheten skal ivaretas ved tilgang mellom virksomheter (se kapittel 2.9). Virksomhetene skal vurdere risikoen for pasientens personvern som uautorisert tilgang kan føre til. Kravene i forskriften kommer i tillegg til pasientjournalloven 22, og tydeliggjør at det skal foreligge styrende dokumenter for behandling av helseopplysninger for alle nivåer i virksomhetene. Disse må baseres på risikovurderinger for virksomhetene. Konkret hva prosedyrene skal inneholde fremkommer av bestemmelsen. Tilgangen mellom virksomhetene skal ikke svekke informasjonssikkerheten ved behandling av opplysningene i noen av virksomhetene, og den virksomhet som gir annen virksomhet tilgang, skal påse at denne virksomheten ivaretar kravene til informasjonssikkerhet ved behandling av opplysninger etter forskriften. Dette innebærer at virksomheten skal ha kunnskap om sikkerhetsstrategien hos avtaleparten, og jevnlig forsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet I tillegg må de databehandlingsansvarlige ha prosedyrer, systemer og journalstruktur som gir tilfredsstillende informasjonssikkerhet, og tilgangsstyring som minst ivaretar kravene i 5 til 11 (se kapittel 2.7). Forskriften 6 setter krav til autorisasjoner som gir tilgang til helseopplysninger mellom virksomheter. Bestemmelsen fastslår at helsepersonells autorisasjon for tilgang til helseopplysninger i utleverende virksomhet må ligge innenfor rammen av hva som er avtalt mellom virksomhetene (se kapittel 2.7.1). Av forskriftens 7 fremgår det at begge virksomhetene skal ha tekniske og organisatoriske løsninger som avgrenser tilgangen til helseopplysninger i samsvar med minimumskravene angitt i bestemmelsens andre ledd (se kapittel 2.2). Forskriftens 8 første ledd presiserer den generelle informasjonsplikten som gjelder for behandling av helseopplysninger etter forskriften. Den databehandlingsansvarlige skal sørge for at pasienten gis informasjon etter denne bestemmelsen av eget tiltak. Av annet ledd bokstav a-c fremgår informasjonsplikten som gjelder for den databehandlingsansvarlige i virksomheter som lar andre virksomheter gi helsepersonell tilgang. Den databehandlingsansvarlige skal sørge for at pasienten informeres om hvilke virksomheter som gis tilgang, hvilke opplysninger tilgangen omfatter og informasjon om at pasienten kan motsette seg at det gis tilgang. I bestemmelsens tredje ledd presiseres informasjonsplikten til den databehandlingsansvarlige i den innhentende virksomheten. Pasienten skal informeres om at virksomheten elektronisk henter frem helseopplysninger om pasienten fra annen navngitt virksomhet (se kapittel 2.3) Veileder tilgang mellom virksomheter V 1.1 side 12 av 48

13 Forskriftens 9 hjemler pasientens rett til å sperre helsepersonell fra andre virksomheter enn der opplysningene er nedtegnet fra tilgang til helseopplysninger om seg selv. Forskriften forutsetter at utleverende virksomhet har et system som er tilrettelagt slik at helsepersonell effektivt kan bidra til at pasientens ønske om sperring for tilgang fra innhentede virksomheter effektivt kan etterleves. Videre forutsetter bestemmelsen at helsepersonell gis kunnskap om at pasienten har rett til å motsette seg at opplysninger i virksomheten kan hentes frem fra andre virksomheter, informerer pasienten eller brukeren om det, og at opplysningene kan sperres fra at det gis slik tilgang (se kapittel 2.3.2). I forskriftens 10 kreves at når personell i innhentende virksomheter henter frem helseopplysninger fra et behandlingsrettet helseregister, skal dette dokumenteres automatisk i et hendelsesregister. Pasienten har rett til innsyn i og utskrift av dokumentasjonen (se kapittel 2.8). Forskriftens 11 krever at databehandlingsansvarlige i virksomhetene skal samarbeide om kontroll av tilganger. Hendelsesregistreringer skal følges opp og kontrolleres løpende(se kapittel 2.8.2). 2.2 Betydningen av relevante og nødvendige opplysninger Det er reglene om taushetsplikt som regulerer hvilke og når helseopplysninger kan gjøres tilgjengelige. Hvilke helseopplysninger som kan gjøres tilgjengelige for helsepersonellet, vil være sterkt situasjonsavhengig knyttet til de oppgaver vedkommende til enhver tid utfører. Dette innebærer at løsningene for tilgang til helseopplysninger mellom virksomheter må ivareta at helsepersonell kun skal ha tilgang til helseopplysninger som er relevante og nødvendige for å gi helsehjelp til den enkelte pasient. Begrepene relevante og nødvendige vil i denne sammenheng være de opplysningene som det i den aktuelle undersøkelses- og behandlingssituasjonen er behov for å ha tilgjengelig, for å kunne gi helsehjelp. Det er kun helsepersonell med tjenstlig behov som skal få tilgang til opplysningene, og de skal ikke få tilgang til flere opplysninger enn det som er relevant og nødvendig for å kunne gi helsehjelpen. Mulighet for informasjonsutveksling er vesentlig for mer effektivt å kunne ivareta pasientsikkerheten og kvaliteten i pasientbehandlingen. Opplysningene skal også kunne bidra til å dokumentere at helsepersonell har handlet i samsvar med forsvarlighetskravet, jf. helsepersonelloven 4, og andre krav stilt i lov eller i medhold av lov. Kravet om at det bare kan gis tilgang til nødvendige og relevante opplysninger for å kunne gi helsehjelp til pasienten, innebærer at journalen må ha en struktur som gjør at denne funksjonen kan oppfylles. Dette gjelder uavhengig av om det er snakk om intern eller ekstern tilgang. Den ekstra utfordringen ved ekstern tilgang, er at det må være effektiv tilgangsstyring i begge virksomhetene, både i normal- og akuttsituasjoner. Dagens pasientjournaler består dels av strukturerte data (diagnoser, prosedyrer osv.) og dels av informasjon i fritekst. Strukturerte data følger en formell struktur av datamodeller. Eksempelvis er RIS/PACS, laboratoriedata, ultralyd, laboratorierekvisisjoner/-svar, henvisninger/epikriser og legemiddelopplysninger som er strukturert i større grad enn andre deler av pasientjournalene. At data er ustrukturerte betyr gjerne at informasjonen mangler en gjenkjennelig struktur, som igjen gjør det vanskelig å automatisere forståelsen og klassifiseringen av innholdet. Veileder tilgang mellom virksomheter V 1.1 side 13 av 48

14 Forskriften definerer ikke hvem det er som skal vurdere hvilket helsepersonell som skal foreta vurderingen av hvilke opplysninger som er relevante og nødvendige. Som oftest vil det være helsepersonellet selv som må vurdere hvilke helseopplysninger som er relevante og nødvendige for å gi helsehjelp. Dersom pasienten er ukjent for vedkommende helsepersonell kan det være formålstjenlig å samarbeide med helsepersonell som tidligere har gitt helsehjelp til pasienten i en slik vurdering. Det å gi helsepersonell adgang til selv å hente frem relevante og nødvendige opplysninger, krever at virksomhetene har systemer som understøtter dette. For å oppfylle forskriftens krav til journalstruktur må virksomhetene ha journalsystem hvor det er mulig å gjøre et skille mellom opplysninger som kan, og ikke kan deles. Databehandlingsansvarlige som ikke har journaler som i tilstrekkelig grad oppfyller kravet til kun å gi tilgang til relevante og nødvendige opplysninger, kan heller ikke åpne for tilgang mellom virksomheter. Først og fremst er det i pasientens interesse at nødvendige og relevante opplysninger er tilgjengelige for helsepersonells helsefaglige vurderinger. I forkant av vurderingen av hvilke opplysninger som er relevante og nødvendige for å gi helsehjelp til den enkelte pasient, vil det ikke alltid være mulig for helsepersonellet å være helt sikre på konkret hvilke opplysninger som vil være nødvendige og relevante. Dette innebærer at helsepersonell i enkelte tilfeller vil måtte få tilgang til helseopplysninger som strengt tatt ikke er nødvendige og relevant for å kunne yte forsvarlig helsehjelp. Det presiseres at innhentende virksomhet løpende skal kontrollere om noen urettmessig har innhentet helseopplysninger. Dersom dette har forekommet skal utleverende virksomhet og pasienten opplysningene gjelder varsles og hendelsen behandles som et avvik (se kapittel for nærmere om oppfølging og kontroll). Veileder tilgang mellom virksomheter V 1.1 side 14 av 48

15 2.3 Pasientens rettigheter Informasjon til pasienten Som følge av at tilgang mellom virksomheter ikke er betinget av pasientens samtykke har pasienten et særlig behov for informasjon. Virksomheten har en plikt til å informere pasientene om at det kan gis tilgang til journalen fra andre virksomheter. Bakgrunnen for denne informasjonsplikten for virksomhetene er at pasienten skal bli informert om sine rettigheter i forbindelse med tilgang til pasientens opplysninger mellom virksomhetene. Begge virksomhetene har informasjonsplikt, både utleverende virksomhet som gir tilgang og innhentende virksomhet som får tilgang. Den databehandlingsansvarlige i utleverende virksomhet skal informere pasienten blant annet om hvilke virksomheter som gis tilgang, hvilke opplysninger tilgangen omfatter, og at pasienten kan motsette seg at det gis tilgang. Innhentende virksomheter skal også informere pasienten om dette. Denne informasjonen trenger pasienten når opplysningene journalføres og senere når det blir aktuelt for helsepersonell i en annen virksomhet å søke frem disse opplysningene. Det er mange måter å informere pasienten på f.eks. ved brev, på virksomhetens nettside, ved bruk av informasjonsplakat eller brosjyre. Skriftlig informasjon burde følges opp muntlig. Det avgjørende er at pasienten er klar over om helsepersonell i andre virksomheter enn der de får helsehjelpen kan få tilgang til journalopplysningene. Virksomheten har ansvar for å vurdere hvilken informasjonskanal som er tilstrekkelig for at pasientene er god nok informert for å kunne utøve sine rettigheter. Pasienten har rett til informasjon og innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens navn eller fødselsnummer (hendelsesregistre). Innsynsretten gjelder alle tilfeller der noen har lest, søkt eller på annen måte tilegnet seg, brukt eller besittet helseopplysninger fra behandlingsrettede helseregistre, enten dette er rettmessig eller ikke. Pasienten skal også informeres om retten til å motsette seg behandling av helseopplysninger, og hvordan dette kan gjøres rent praktisk (se kapittel 2.3.2) Sperring Med sperring av tilgang til helseopplysninger mellom virksomheter menes en teknisk løsning der hele eller deler av journalen gjøres utilgjengelige for enkeltpersoner, grupper av helsepersonell eller helsepersonell i andre virksomheter enn der journalnotatene er nedtegnet. Denne rettigheten for pasienten forutsetter at virksomheten har et system som er tilrettelagt slik at helsepersonell effektivt kan bidra til at pasientens ønske om sperring for tilgang fra andre virksomheter effektivt kan etterleves. Hvilke opplysninger som er sperret av pasienten må kunne flagges/markeres i journalsystemet. Pasientens rett til å sperre helseopplysninger forutsetter at helsepersonell gis kunnskap om at pasienten har rett til å motsette seg at opplysninger i virksomheten kan hentes frem fra andre virksomheter, at pasienten blir informert om denne rettigheten (se kapittel 3.3, 3.4 og 3.5) og Veileder tilgang mellom virksomheter V 1.1 side 15 av 48

16 at opplysningene kan sperres fra at det gis slik tilgang. Det kan være slik at pasienter som har sperret opplysninger, ikke har forutsett alle situasjoner som vil kunne oppstå, eller at årsaken til at de i utgangspunktet ønsket sperring, ikke er der lenger. Virksomheten må ha et system/prosedyrer som gjør det mulig for helsepersonell som har fått pasientens samtykke, eller for pasienten selv, på enkel og rask måte kunne få fjernet sperringer. Det er særlig i akuttsituasjoner dette vil være viktig. Det anbefales at det gjennomføres en risikovurdering for å dokumentere at løsningen er innefor nivå for akseptabel risiko. Informasjon til pasienten om rett til å sperre helseopplysninger (se kapittel 2.3.2) må gis før det gis tilgang til andre virksomheter og pasienten må informeres om hvordan dette skal gjøres rent praktisk. Helsepersonell må opplyse pasienten om risikoen som er forbundet med at helsepersonell på grunn av sperring av journal, ikke får tilgang til relevante opplysninger om pasienten. Dersom pasienten vil opprettholde sin avgjørelse, må pasienten selv ta konsekvensen av dette. Det kan allikevel tenkes tilfeller der opplysningene utleveres selv om pasienten har motsatt seg det. Dette er aktuelt dersom tungtveiende grunner taler for det. Tungtveiende grunner er i praksis situasjoner der overføring av opplysninger anses nødvendig for å hindre fare for liv eller alvorlig helseskade. Helsepersonell i innhentende virksomhet som har tjenstlig behov for opplysningene kan i så fall ikke gis tilgang til opplysninger i utleverende virksomhet, men må i stedet få dem utlevert f.eks. muntlig, på faks eller ved bruk av elektroniske meldinger. 2.4 Behovsanalyse Nødvendig og oppdatert informasjon må raskt være tilgjengelig for helsepersonell ansatt i ulike virksomheter og på ulike nivåer som gir helsehjelp til samme pasient. Dette gjelder for eksempel når pasienter utskrives fra sykehus og overføres til den kommunale helse- og omsorgstjenesten for videre behandling. Da er det viktig at journalopplysninger kan følge pasienten og at helsepersonell som mottar pasienten gis relevant og oppdatert informasjon om pasienten. Nedenfor gis det først eksempler på behov og deretter omtales kartlegging og dokumentasjon av behov Eksempler på behov Eksemplene nedenfor på behov, er basert på innspill fra og prioritert av referansegruppen Tilgang mellom fastlege og distriktspsykiatrisk sentre (DPS) Helsepersonell som gir helsehjelp til pasienter som går i lange sykeforløp ved DPS for utredning og behandling, samtidig som fastlegen gir deler av helsehjelpen innen psykisk helse, som for eksempel medikamentell forskrivning, serumsmålinger, støttesamtaler og uttalelser om funksjon til NAV. Resultatet er overlapp i helsehjelpen i lange perioder, men få kontaktpunkter mellom helsepersonellet i 1. og 2. linje. Veileder tilgang mellom virksomheter V 1.1 side 16 av 48

17 Eksempel hvor DPS har behov for å hente helseopplysninger fra fastlege DPS får ofte mangelfulle henvisninger hvor det kan være behov for å innhente mer informasjon om status og sykehistorie bl.a. til rettighetsvurderingen, før oppstart av helsehjelp eller underveis i utredning/behandling. Det kan være tidligere epikriser fra DPS eller psykiatrisk avdeling om pasienten er sjekket for somatiske forhold som kan påvirke symptombildet og diagnostisk konklusjon (psykisk/somatisk). Dette kan være medikamentliste (interaksjoner), om resept er hentet ut, blodprøver eller om pasienten har møtt hos fastlegen med aktuelt tilstandsbilde. Deler av dette kan innhentes via pasienten selv, men kommer da gjerne etter oppstart. Det blir ofte omtrentlige antakelser, pasienten er ikke informert om egne diagnoser og husker ikke navn/dose på legemiddel. Eksempel hvor fastlege har behov for å hente helseopplysninger fra DPS Fastlegen kan ha behov for å vite om pasienten er i aktiv utredning/behandling ved DPS, hva status er på utredning, hva slags behandling pasienten mottar, medikamentliste (interaksjoner), hva som forventes av helsehjelp lagt til fastlegen og om pasienten møter til timer for motivering (uteblitt/ustabilitet er en stor utfordring ved DPS). Dette for å gi egen helsehjelp, samkjøre med DPS for å vurdere sykemeldinger på et bedre grunnlag, uttalelser til NAV og medikamentell og somatisk oppfølgning Tilgang mellom ulike virksomheter i spesialisthelsetjenesten Generelt er det riktig å si at stor grad av samarbeid og arbeidsfordeling mellom virksomhetene i den (offentlige) spesialisthelsetjenesten medfører et økt behov for tilgang til opplysninger i elektronisk pasientjournal (EPJ) på tvers, både ved planlagte og ikke planlagte pasientforløp. Selv om det skrives og sendes oppsummeringer om pasientbehandlingen, vil behandlende helsepersonell på tvers av virksomhetsgrensene ofte ha behov for mer detaljert informasjon enn det som er naturlig å ta med i epikriser og overføringsnotater. I utredninger innen Helse-IKT fokuseres det ofte mest på de mer akutte tilfellene, men også ved planlagte forløp som naturlig går på tvers av virksomhetene, er det et stort behov for mer informasjon om pasienten og behandlingen enn det som i dag håndteres ved brev og meldingsutveksling. Også i slike planlagte forløp er det gjerne vanskelig å definere på forhånd hva som er relevant informasjon. Behovet for tilgang mellom virksomheter i spesialisthelsetjenesten oppstår i de tilfellene hvor pasienten blir overført mellom ulike virksomheter, eller mellom helseforetak og andre virksomheter innen spesialisthelsetjenesten (for eksempel virksomheter som er drevet av private/ideelle som har driftsavtale med et regionalt helseforetak). I de tilfeller hvor samme virksomhet driver to eller flere sykehus regnes dette som samme virksomhet og behovet for tilgang til opplysninger i elektronisk pasientjournal (EPJ) kan løses på samme måte som mellom ulike avdelinger i samme helseforetak. Veileder tilgang mellom virksomheter V 1.1 side 17 av 48

18 Eksempel med flere helseforetak (virksomheter i spesialisthelsetjenesten) som har felles AMK-sentral På grunn av funksjonsfordelingen som er gjort mellom de ulike virksomhetene i spesialisthelsetjenesten, vil pasienter kunne bli lagt inn ved en virksomhet, uavhengig av hvor pasienten tidligere har vært innlagt. Det kan også forekomme hyppig overføring av pasienter mellom slike virksomheter. Tilgang til journalinformasjon for den enkelte pasient ved de samarbeidende virksomhetene er viktig for å kunne gi tilfredsstillende helsehjelp og ivareta pasientsikkerheten. I overføringen fra en virksomhet i spesialisthelsetjenesten til en annen vil det kunne være behov for at sykepleiere også har tilgang til informasjon i utleverende virksomhet. I mottakssituasjonen er det i hovedsak sykepleier som mottar og har første møte med pasienten. I en del tilfeller kan også transporten av pasienten mellom de aktuelle virksomhetene ta tid, og i denne perioden kan det være dokumentert ytterligere informasjon (labsvar eller lignende) der pasienten er overført fra, som kan være umiddelbart relevant i mottagende virksomhet. I tillegg vil behandlende lege (og tilsvarende rolle i psykiatrien) ha behov for tilgang til relevant informasjon fra virksomheten pasienten er overført fra. Eksempel med regionalisering og funksjonsfordeling Situasjonen fører i dag til at pasienter i økende grad mottar behandling ved flere virksomheter i spesialisthelsetjenesten. Behandlingen initieres gjerne ved en virksomhet og gjennomføres til dels ved andre virksomheter på grunn av regionalisering og funksjonsdeling. Dette er særlig relevant ved innføringen av ulike pakkeforløp for kreft hvor det i mange tilfeller er knappe frister for å få analysert ulike prøver o.l. Tilgang til relevant og nødvendig informasjon kan i slike tilfeller løses ved tilgang til helseopplysninger mellom virksomheter etter pasientjournalloven 19, 3. ledd. Eksempel med fastsatte pasientforløp mellom helseforetak og andre virksomheter i spesialisthelsetjenesten Dette er en annen situasjon hvor det er av betydning for helsehjelpen at det er mulig med tilgang til helseopplysninger mellom virksomheter Når pasienten behandles ved flere virksomheter i ulike helseforetak vil den tradisjonelle utveksling av pasientinformasjon (f.eks. per brev eller telefon), ofte ikke være tilstrekkelig for å gi tilfredsstillende helsehjelp. Også elektronisk meldingsutveksling har vist seg å ha en del begrensninger. Behovet for tilgangen til elektronisk pasientjournal kan være like stor om pasient er reist til et lokalsykehus eller er under behandling ved universitetssykehuset. En typisk situasjon er der en pasient som er skrevet ut etter å ha fått medikamentell kreftbehandling med benmargsundertrykkende effekt ved universitetssykehuset, plutselig får en forverrelse av sin medisinske tilstand kveld eller helg, gjerne med feber, og innlegges på lokalsykehuset i et annet helseforetak. Det som da ofte blir løsningen er at vakthavende leger ved de to institusjonene kommuniserer per telefon. Vakthavende ved universitetssykehuset kjenner gjerne ikke den konkrete pasienten, men må foreta høytlesning fra pasientens journal for å kunne gi nødvendig informasjon. Her vil lesetilgang til journal for behandlende lege ved Veileder tilgang mellom virksomheter V 1.1 side 18 av 48

19 lokalsykehuset gi en bedre og mer effektiv tilgang til relevant og nødvendig informasjon om pasienten og helsehjelpen. I dette tilfellet vil det i hovedsak være behandlende lege som har behov for tilgang til informasjon Kartlegging og dokumentasjon av behov Virksomhetene skal gjennomføre en behovsanalyse hvor det kartlegges hvilke opplysninger det er behov for når det skal gis helsehjelp til den enkelte pasient. Virksomhetene må avtale (se kapittel 2.6) hvilke opplysninger det kan gis tilgang til og hvordan begrensningen til relevante og nødvendige opplysninger skal gjennomføres. Det stilles krav til at - Behovene dokumenteres - Behovene inngår i avtalen mellom virksomhetene - Behovsanalyse gjennomføres for å kartlegge hvilke opplysninger det er behov for - Behovsanalysen danner grunnlag for autorisering av hvilke opplysninger det skal gis tilgang til - Behovene inngår i risikovurderingen - Behovene og tilhørende oppslag (bruk av tilgang) skal ligge til grunn for analyse av hendelsesregistre - Behovene skal danne grunnlag for den informasjon pasienten skal få om tilgangen mellom virksomhetene 2.5 Risikovurdering Innhentende og utleverende virksomhet skal gjennomføre risikovurderinger sammen før det åpnes for tilgang til helseopplysninger mellom virksomhetene. Risikovurderingene må dokumentere at løsningen som etableres er innenfor nivå for akseptabel risiko i alle virksomhetene. Risikovurderingen skal dekke de helsefaglige behovene (se kapittel 2.4), ivareta kravene til personvern og sikre at den totale informasjonssikkerheten opprettholdes for partene. Se kapitlene nedenfor for eksempler (og kapittel 3.6 for mal for risikovurdering). Som det fremgår av kapittel 2.6 skal det i avtalen mellom virksomhetene angis hvilke risikovurderinger som ligger til grunn for avtalen. Innhentende og utleverende virksomhet skal etablere prosedyrer for når og hvordan risikovurderinger skal gjennomføres. Se kapittel for eksempel på prosedyre Innhold og struktur i journalsystem Denne delen av risikovurderingen skal dekke behovene for tilgang og må belyse at kravet til at kun nødvendige og relevante opplysninger skal gjøres tilgjengelig blir ivaretatt (se kapittel 2.2). Veileder tilgang mellom virksomheter V 1.1 side 19 av 48

20 1 = Usannsynlig 2 = Mindre Sannsynlig 3 = Mulig 4 = Sannsynlig 1 = Ubetydelig 2 = Moderat 3 = Alvorlig 4 = Kritisk Eksempel på risikovurdering: RISIKOVURDERING Virksomhet: Vurdert av: Dato: Formålet med risikovurderingen: Påse at kravet til at kun nødvendige og relevante opplysninger skal gjøres tilgjengelig blir ivaretatt Forhold som er vurdert (uønsket hendelse / scenario) Sannsynlighet Konsekvens Risikonivå Sannsynlighet x konsekvens, f.eks. risiko < 5 Tiltak ikke nødvendig., f.eks. mellom 6 og 8 Tiltak må vurderes gjennomført 1. Behovet for tilgang mellom virksomhetene er ikke fastsatt ift hva som er relevant og nødvendig 2. Helsepersonell som søker informasjon i annen virksomhet kjenner ikke journalsystemet godt nok, og får et feilaktig bilde av pasientens helse 3. Medikamentliste i utleverende virksomhet er ikke oppdatert 4. Journalen i utleverende virksomhet er ikke oppdatert (med labsvar og annen relevant informasjon) 5. Journalen i utleverende virksomhet har ikke tilstrekkelig kvalitet 6. Journalen i utleverende virksomhet er mangelfull og gjenspeiler ikke helsehjelpen som er gitt til pasienten 7. Journalen i utleverende virksomhet inneholder ikke nødvendige og relevante opplysninger 8. Helsepersonell får ikke informasjon om at deler av journalen er sperret, f.eks. risiko > =9 Tiltak skal gjennomføres Beskrivelse av tiltak (Nr 1 har høyest prioritet) 1. Betydning/ Kommentar Ref linjenr ovenfor 2. Veileder tilgang mellom virksomheter V 1.1 side 20 av 48

21 1 = Usannsynlig 2 = Mindre Sannsynlig 3 = Mulig 4 = Sannsynlig 1 = Ubetydelig 2 = Moderat 3 = Alvorlig 4 = Kritisk Beskrivelse av tiltak (Nr 1 har høyest prioritet) 3. Betydning/ Kommentar Ref linjenr ovenfor Personvern og snoking Denne delen av risikovurderingen skal dekke behovene for tilgang og må belyse at personvernet og konfidensialitet blir ivaretatt. Eksempel på risikovurdering: RISIKOVURDERING Virksomhet: Vurdert av: Dato: Formålet med risikovurderingen: Påse at personvern og konfidensialitet blir ivaretatt ved tilgang mellom virksomheter. Forhold som er vurdert (uønsket hendelse / scenario) Sannsynlighet Konsekvens Risikonivå Sannsynlighet x konsekvens, f.eks. risiko < 5 Tiltak ikke nødvendig., f.eks. mellom 6 og 8 Tiltak må vurderes gjennomført, f.eks. risiko > =9 Tiltak skal gjennomføres Personvern 1. Tilgang gis (eller benyttes) selv om pasienten har reservert seg mot tilgang mellom virksomheter 2. Pasienten har ikke mottatt informasjon om at det gis tilgang til helseopplysninger mellom virksomheter 3. Pasienten har motsatt seg utlevering av helseopplysninger, men det er ikke registrert i journalen i utleverende virksomhet 4. Det finnes ikke en funksjon i journalsystemet for å sperre tilgang til helseopplysninger for helsepersonell fra innhentende virksomheter 5. Funksjonen for sperring dekker ikke både enkeltpersoner, grupper av helsepersonell og virksomheter Veileder tilgang mellom virksomheter V 1.1 side 21 av 48

22 1 = Usannsynlig 2 = Mindre Sannsynlig 3 = Mulig 4 = Sannsynlig 1 = Ubetydelig 2 = Moderat 3 = Alvorlig 4 = Kritisk Forhold som er vurdert (uønsket hendelse / scenario) Sannsynlighet Konsekvens Risikonivå Sannsynlighet x konsekvens, f.eks. risiko < 5 Tiltak ikke nødvendig., f.eks. mellom 6 og 8 Tiltak må vurderes gjennomført, f.eks. risiko > =9 Tiltak skal gjennomføres Konfidensialitet 6. Tilgang blir gitt uten en konkret beslutning basert på at det er iverksatt eller skal iverksettes tiltak for å gi helsehjelp til pasienten 7. Helsepersonell søker opplysninger om andre pasienter enn pasienten som mottar helsehjelp 8. Journalen i utleverende virksomhet kan ikke skille ut de helseopplysningene som innehentende virksomhet skal ha tilgang til 9. Helsepersonell får tilgang til mer informasjon enn det som er relevant og nødvendig ift behovet med helsehjelpen Svekket informasjonssikkerhet i noen av virksomhetene Denne delen av risikovurderingen skal vise om personvernet for pasienten blir påvirket og om informasjonssikkerhet blir svekket, bl.a. ved at det åpnes for eksterne tilganger og trusler fra eksterne. Med løsning menes både prosedyrer, organisering og teknisk løsning. For å belyse det totale risikoområdet anbefales det at innhentende og utleverende virksomhet gjennomfører risikovurderingen sammen (se kapittel 2.9.8). Eksempel på risikovurdering: RISIKOVURDERING Virksomhet: Vurdert av: Dato: Formålet med risikovurderingen: Påse at løsningen som etableres ikke svekker informasjonssikkerheten i noen av virksomhetene Veileder tilgang mellom virksomheter V 1.1 side 22 av 48

23 1 = Usannsynlig 2 = Mindre Sannsynlig 3 = Mulig 4 = Sannsynlig 1 = Ubetydelig 2 = Moderat 3 = Alvorlig 4 = Kritisk Forhold som er vurdert (uønsket hendelse / scenario) Sannsynlighet Konsekvens Risikonivå Sannsynlighet x konsekvens, f.eks. risiko < 5 Tiltak ikke nødvendig., f.eks. mellom 6 og 8 Tiltak må vurderes gjennomført, f.eks. risiko > =9 Tiltak skal gjennomføres Organisering 1. Det gjennomføres ikke jevnlig kontroll av hvem som har hatt elektronisk tilgang til helseopplysninger 2. Det kontrolleres ikke hvorfor tilgangen er benyttet og tidsperioden helseopplysningene er hentet fram 3. Flere brukere benytter samme autentiseringskriteria (for eksempel kombinasjon av brukernavn og passord) 4. Tildelt autorisasjon for tilgang mellom virksomheter fjernes ikke ved fratredelse Teknisk løsning 5. Autorisering skjer ikke selvstendig for hver enkelt rolle brukeren har 6. Ulike ansettelsesforhold identifiseres ikke ved autorisering 7. Tildeling av autorisasjon registreres ikke i autorisasjonsregisteret i innhentende virksomhet 8. Tildelt autorisasjon er ikke tidsbegrenset 9. Sikker autentisering benyttes ikke 10. Autentiseringen kan ikke benyttes som bevis i en rettssak 11. Bruk av tilgang hendelsesregistreres ikke automatisk i både innhentende og utleverende virksomhet 12. Følgende registreres ikke som minimum i hendelsesregistre: entydig identifikator for den Veileder tilgang mellom virksomheter V 1.1 side 23 av 48

24 1 = Usannsynlig 2 = Mindre Sannsynlig 3 = Mulig 4 = Sannsynlig 1 = Ubetydelig 2 = Moderat 3 = Alvorlig 4 = Kritisk Forhold som er vurdert (uønsket hendelse / scenario) Sannsynlighet Konsekvens Risikonivå Sannsynlighet x konsekvens, f.eks. risiko < 5 Tiltak ikke nødvendig., f.eks. mellom 6 og 8 Tiltak må vurderes gjennomført autoriserte brukeren rollen den autoriserte brukeren har ved tilgangen virksomhetstilhørighet organisatorisk tilhørighet til den som er autorisert hvilke type opplysninger det er gitt tilgang til hvem som har fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens navn eller fødselsnummer grunnlaget for tilgangen (hvorfor helseopplysningene er hentet frem) tidspunkt og varighet for tilgangen 13. Hendelsesregistre tas ikke vare på til det av helsehjelpens karakter ikke lenger antas å være bruk for dem 14. Hendelsesregistrene er ikke sikret mot endring og sletting av uautorisert personell 15. Bruker er ikke autorisert hos innhentende virksomhet, men kun hos utleverende virksomhet 16. Bruker blir ikke autentisert for korrekt rolle i hvert enkelt tilfelle 17. Utleverende virksomhet har åpnet opp for at bruker kan registrere opplysninger i journalen 18. Det registreres ikke i journalen, til pasienten ved utleverende virksomhet, at det er utlevert helseopplysninger til annet helsepersonell 19. Tildelt autorisasjon føres ikke i autorisasjonsregisteret i en av virksomhetene 20. Kommunikasjonen mellom virksomhetene er ikke kryptert, f.eks. risiko > =9 Tiltak skal gjennomføres Veileder tilgang mellom virksomheter V 1.1 side 24 av 48