Veileder i personvern og informasjonssikkerhet for helse- og omsorgstjenester i kommuner

Størrelse: px
Begynne med side:

Download "Veileder i personvern og informasjonssikkerhet for helse- og omsorgstjenester i kommuner"

Transkript

1 Veileder i personvern og informasjonssikkerhet for helse- og omsorgstjenester i kommuner Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 2.0

2 INNHOLD 1 INNLEDNING BAKGRUNN OM NORMEN OM VEILEDEREN MÅLGRUPPER VEILEDERENS FORHOLD TIL ANDRE DOKUMENTER OG VEILEDERE DEFINISJONER PERSONVERN OG RETTSIKKERHET OVERORDNET OM PERSONVERN OG RETTSSIKKERHET RETTIGHETER OG PLIKTER Taushetsplikten Informasjonsplikten Grunnlag for behandling av helse- og personopplysninger Rett til reservasjon Rett til innsyn Rett til å kreve retting og sletting INFORMASJONSSIKKERHET I FAGSYSTEMENE KRAV TIL INFORMASJONSSIKKERHET FØR ETABLERING AV FAGSYSTEM Oppdatere styringssystem for informasjonssikkerhet Påse at sikkerhetsmål og -strategi er ivaretatt Definere ansvar og roller Identifisere og beskrive formålet med behandling av helse- og personopplysninger Fastsette akseptkriterier og gjennomføre risikovurdering av fagsystemet Etablere tekniske løsninger Oppdatere konfigurasjonskontroll og dokumentasjon Etablere prinsipper og prosedyrer for tilgangsstyring Etablere prosedyrer for elektronisk samhandling med eksterne Etablere prosedyrer for intern samhandling Etablere hendelsesregistrering Etablere prosedyrer for håndtering av utskrifter Etablere prosedyrer for å ivareta sentrale rettigheter for den registrerte Gjennomføre opplæring Etablere prosedyrer for avviksbehandling Håndtere kommunesamarbeid i forbindelse med felles fagsystem Etablere evt. databehandleravtale Avtale i forbindelse med samarbeid om felles journal Avtale i forbindelse med tilgang til helseopplysninger mellom virksomheter KRAV TIL INFORMASJONSSIKKERHET NÅR FAGSYSTEMET ER I BRUK Følge opp prosedyrene for sentrale rettigheter for den registrerte Følge opp autorisasjon og tilgangsstyring Revidere risikovurderinger Gjennomføre sikkerhetsrevisjoner Identifisere og håndtere sikkerhetshendelser (avvik) Følge opp konfigurasjon og dokumentasjon Veileder for helse- og omsorgstjenester i kommuner V2 Side 2 av 45

3 3.2.7 Følge opp hendelsesregistrering Ivareta bruk av mobilt utstyr Oppdatere programvaren mot ondsinnet programvare Elektronisk kommunikasjon med pasient/bruker Etterleve prosedyrene for samhandling med interne og eksterne parter Sørge for nødvendig opplæring KRAV TIL INFORMASJONSSIKKERHET VED UTFASING AV FAGSYSTEMET Følge opp konfigurasjonsstyring Følge opp autorisasjon og tilgangsstyring Vurdere å slette, overføre eller deponere helse- og personopplysninger SJEKKLISTER SJEKKLISTE FØR ETABLERING AV FAGSYSTEM SJEKKLISTE NÅR FAGSYSTEMET ER I BRUK SJEKKLISTE UTFASING AV FAGSYSTEMET VEDLEGG REFERANSER DELTAGERE I UTARBEIDELSEN AV VEILEDEREN EKSEMPEL PÅ RISIKOVURDERING EKSEMPLER PÅ BEHANDLINGER Versjon Endringer Godkjent av styringsgruppen for Normen (dato) 1.0 Første utgave av veilederen Oppdatert iht. endringer i lovverk (til orientering) 1.2 Oppdatert iht. endringer i lovverk (til orientering) 2.0 Oppdatert iht. endringer i lovverk. Spesielt angående endring av helse- og sosialtjenesten til helse- og omsorgstjenesten samt forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap som er opphevet Veileder for helse- og omsorgstjenester i kommuner V2 Side 3 av 45

4 1 INNLEDNING 1.1 Bakgrunn En stadig større del av kommunens håndtering av helse- og personopplysninger innenfor helse- og omsorgstjenesten skjer elektronisk. Stor dynamikk, høy endringstakt og høy grad av elektronisk registrering og bruk av fagsystemer og andre IT-systemer for tjenestedokumentasjon preger arbeidsdagen i kommunen, både på helseområdet og på omsorgsområdet. I en slik kompleks virkelighet kan det være usikkerhet om hvilke krav som stilles, og tilsyn i kommunene har i enkelte tilfeller avdekket mangler og til dels store ulikheter ved håndteringen av helse- og personopplysninger. Det finnes også andre utfordringer knyttet til personvern og informasjonssikkerhet, bl.a. at: alle kommuner som er tilknyttet Norsk Helsenett skal følge Normen. Norsk Helsenett er den elektroniske samhandlingsarenaen for helse- og omsorgssektoren (se kommunene har oppgaver knyttet til rapportering til IPLOS-registeret hensynet til den registrertes krav på personvern gjør det nødvendig å nå ut med informasjon til mottakere av kommunale helse- og omsorgstjenester Det er kommunens ledelse som er ansvarlig for å ivareta etterlevelse av krav til personvern og informasjonssikkerhet. Som ledd i dette kan kommunen foreta intern arbeidsfordeling slik at det er klart hvilken stilling det ligger til å sørge for at loven etterleves i praksis. Funksjonen bør knyttes til en lederstilling slik at stillingsinnehaveren har reel daglig innflytelse på arbeid med personvern og informasjonssikkerhet. Ved eventuelle lovbrudd er det kommunen, representert ved ordføreren, som kan saksøkes og pådra seg straffeansvar. Dette vil også gjelde i tilfeller hvor kommunen har delegert det daglige databehandlingsansvaret til underliggende etater som skole eller helseinstitusjon, ettersom kommunens ledelse ikke kan fraskrive seg sitt databehandlingsansvar ved delegering. Det er erfaring for at det er behov for veiledning for kommuneledelsen. Et dokument som gir informasjon og som beskriver kommunens ansvar, kommer òg brukerne av kommunale helseog omsorgstjenester (dvs. dem som de registrerte opplysningene gjelder), til gode. På denne bakgrunnen er det et behov for en veileder innen personvern/taushetsplikt og informasjonssikkerhet knyttet til behandling av helse- og personopplysninger i helse- og omsorgstjenesten i kommunene. Hensikten med veilederen er i første rekke å gi kommunene et praktisk verktøy i arbeidet med å ivareta gjeldende krav til personvern og informasjonssikkerhet. Veileder for helse- og omsorgstjenester i kommuner V2 Side 4 av 45

5 1.2 Om Normen Norm for informasjonssikkerhet (Normen) ble lansert i august Normen skal bidra til tilfredsstillende informasjonssikkerhet hos den enkelte virksomhet, og i helsesektoren generelt. I tillegg skal Normen bidra til å harmonisere informasjonssikkerheten, slik at virksomhetene kan ha gjensidig tillit til hverandre. Normen bygger på en rekke norske bestemmelser om personvern og informasjonssikkerhet, bl.a. reglene i personopplysningsloven og helseregisterloven. Disse reglene er basert på EUs personverndirektiv. Personverndirektivet bygger igjen på grunnleggende menneskerettigheter. Kravene i Normen er derfor basert på gjeldende regler på personvern- og informasjonssikkerhetsområdet, men Normen i seg selv er ikke bindende. Imidlertid er alle som knytter seg til Norsk Helsenett - gjennom avtalen om tilknytning - forpliktet til å følge Normen. 1.3 Om veilederen Denne veilederen er et støttedokument til Normen og gir førende anbefalinger for personvern og informasjonssikkerhet i kommunenes helse- og omsorgstjeneste, herunder også i IPLOSsammenheng. Helsedirektoratet ga i desember 2012 ut Håndbok om helse- og omsorgstjenester i kommunen". Formålet med håndboken er å gi en oversikt over pasient og brukers rettigheter og plikter etter helse- og omsorgslovgivingen, samt å gi en oversikt over hvilke helse- og omsorgstjenester kommunene er forpliktet til å tilby sine innbyggere. "Veileder i personvern og informasjonssikkerhet for helse- og omsorgstjenester i kommuner" dekker personvern og informasjonssikkerhet på de samme områdene som er omfattet av Helsedirektoratets håndbok. Dette innebærer at denne veilederen dekker personvern og informasjonssikkerhet innen de fleste lovpålagte helse- og omsorgstjenester (etter helse- og omsorgstjenesteloven). Veilederen bør også benyttes i sammenheng med ikke-lovpålagte tjenester Denne veilederen er ikke ment å dekke andre tjenester kommunen yter, f.eks. arbeids- og velferdstjenester. Opplysninger i veilederen kan likevel ha overførings verdi på andre områder, når det gjelder personvern og informasjonssikkerhet ved behandling av personopplysninger. Kommunen har det overordnete ansvaret for at tjenester ytes. Selve utførelsen kan kommunen sette til private tjenesteytere (f.eks. fastlege eller private sykehjem). Kommunen bør nøye påse at tjenesteyteren følger gjeldende regler innen personvern og informasjonssikkerhet. Kommunen anbefales å ivareta dette ved utforming av kravspesifikasjoner og kontrakter. Når kommunen velger å tjenesteutsette helse- og/eller omsorgstjenester kan kommunen inngå avtale om samarbeid mellom virksomheter om behandlingsrettet helseregister som kommer i stedet for journal i enkelte virksomheter, jf. pasientjournalloven 9. Kommunen vil være Veileder for helse- og omsorgstjenester i kommuner V2 Side 5 av 45

6 databehandlingsansvarlig for en slik felles journal, ettersom det er kommunen som bestemmer formålet med behandlingen. Tidligere avtaler iht. forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap er fortsatt gyldige, selv om forskriften er opphevet. Avtaler om felles journal kan også benyttes i tilfeller hvor flere virksomheter eller kommuner samarbeider om å yte tjenester uten at det innebærer tjenesteutsetting. I slike tilfeller kan det også inngås avtaler om felles journal, hvor avtalepartene må bli enig om hvem som har databehandlingsansvaret. I tilfeller hvor det ikke inngås avtale om felles journal, ved tjenesteutsetting er det slik at kommunen ikke har direkte ansvar for personvernet og informasjonssikkerheten internt hos den private tjenesteyteren. Databehandlingsansvaret ligger hos den private tjenesteyteren. I de tilfeller kommunen leier inn personell som dokumenterer i kommunens fagsystem vil kommunen ha det fulle ansvaret (slik den er ansvarlig for kommunens ansatte). Kommunene har en stor grad av frihet når det gjelder intern organisering, kommunesamarbeid mv., også innen personvern og informasjonssikkerhet. Veilederen har ikke til hensikt å legge føringer med tanke på kommunens organisering. I sjekklistene i kapittel 4 er det gjort plass til å nedtegne hvem som innehar hvilket ansvar i den enkelte kommune; dette må kommunen avklare og beslutte i samsvar med sin egen organisering mv. Denne veilederen er bygget opp med en innledning (kapittel 1), en redegjørelse for personvernet og informasjonssikkerhet i kommunene mer generelt (kapittel 2), og en beskrivelse av krav kommunen må etterleve iht. Normen (kapittel 3). Veilederen tar utgangspunkt i etablering, bruk og utfasing av et fagsystem. Bakgrunnen for dette er at fagsystemet ofte viser seg å være utgangspunktet for konkrete personvernutfordringer personellet møter i arbeidshverdagen. Veilederen omfatter både kommunens papirbaserte og elektroniske behandlinger av helse- og personopplysninger, men er altså særlig rettet mot den elektroniske behandlingen i fagsystemene. I kommunene blir det også registrert tjenestedokumentasjon i andre systemer som ikke faller inn under definisjonen fagsystem (f.eks. sak/arkivsystemet). Personvernutfordringene er imidlertid de samme som under fagsystemet. Veilederen søker å være praktisk både for dem med ansvar for å utforme og implementere gode, interne regler for personvern og informasjonssikkerhet, og for dem som i møtet med de registrerte skal bruke systemene i det daglige. Veilederen er utarbeidet i samarbeid med representanter fra sektoren, se nærmere under. 1.4 Målgrupper Denne veilederen er primært rettet mot personell med ansvar, oppgaver og roller i forbindelse med personvern og informasjonssikkerhet innen kommunenes helse- og omsorgstjeneste. Eksempler på slikt personell er: Veileder for helse- og omsorgstjenester i kommuner V2 Side 6 av 45

7 Rådmann / øverste administrative leder Kommunalsjef (helse- og omsorgssjef / etatssjef mv.) Avdelingsleder/enhetsleder Sikkerhetskoordinator IT-fagsystemansvarlig Andre som kan ha nytte av veilederen: Ordfører, politisk ledelse og helse- og omsorgsutvalg o.l. Private leverandører av kommunale tjenester (f.eks. helse- og omsorgstjenester) Personvernombud Databehandler Helse- og omsorgspersonell/tjenesteutførende personell Saksbehandler Administrativt personell innen sak/arkiv Den registrerte (søkere og mottakere av helse- og omsorgstjenester) Veilederen er uavhengig av kommunal organisering og stillingskategoriene ovenfor er eksempler og vil kunne variere fra kommune til kommune. 1.5 Veilederens forhold til andre dokumenter og veiledere Dokument (for pekere se pkt. 5.1) Normen Støttedokumenter til Normen: Faktaark og veiledere (herunder denne veilederen) Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet (støttedokument under Normen) Veileder Samarbeid mellom virksomheter om felles journal (støttedokument under Normen) Datatilsynets veileder om internkontroll og informasjonssikkerhet Datatilsynets veileder i sikkerhetsarkitektur Håndbok om helse- og omsorgstjenester i kommunen (HOD/Helsedirektoratet ) IPLOS veileder (Helsedirektoratet ) Forhold til denne veilederen Overordnet dokument Gir utfyllende veiledning på ulike tematiske områder. Er underordnet Normen Gir krav og anbefalinger når kommuner skal tilknyttes helsenettet. Dekker i liten grad personvern og informasjonssikkerhet i helseog sosialtjenestenomsorgstjenesten Gir veiledning til etterlevelse av kravene i Normen ved etablering av felles journal Veilederen hjelper virksomheten gjennom prosessen med å innføre internkontroll og informasjonssikkerhet. Veilederen fokuserer på hvordan en virksomhet bør implementere teknologiske tiltak for informasjonssikkerhet etter at informasjonssikkerhetsarbeid for internkontroll er gjennomført. Gir en oversikt over de viktigste tjenestetilbudene i kommunen og hvilke prinsipper de er basert på. Dekker i liten grad personvern og informasjonssikkerhet. Håndbokens beskrivelse av tjenestetilbudene danner ramme for denne veilederen En veileder for registrering av IPLOSopplysninger for personell i kommunale Veileder for helse- og omsorgstjenester i kommuner V2 Side 7 av 45

8 helse- og sosialtjenesteromsorgstjenester. Dekker i liten grad personvern og informasjonssikkerhet Veileder for helse- og omsorgstjenester i kommuner V2 Side 8 av 45

9 1.6 Definisjoner 1 Definisjoner er hentet fra Normen. Nye begrep er definert og samlet etter definisjoner fra Normen. Definerte ord er markert i kursiv i teksten. Definisjoner fra Normen Med autentisering menes i Normen prosessen som gjennomføres for å bekrefte en påstått identitet. Med autorisere/autorisert/autorisasjon menes i Normen at en person i en bestemt rolle kan gis eller er gitt bestemte rettigheter til lesing, registrering, redigering, retting, sletting og/eller sperring av helse- og personopplysninger. Autorisasjon kan bare gis i den grad det er nødvendig for vedkommendes arbeid, er begrunnet ut fra tjenstlig behov og er i henhold til bestemmelser om taushetsplikt. Med avvik menes i Normen enhver håndtering av helse- og personopplysninger som ikke utføres i henhold til gjeldende regelverk, retningslinjer og/eller prosedyrer, samt andre sikkerhetsbrudd. Med behandling menes i Normen enhver formålsbestemt bruk av helse- og personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av slike bruksmåter, jf. helseregisterloven 2 c), pasientjournalloven 2 bokstav b) og personopplysningsloven 2 nr. 2). Med behandlingsrettet helseregister menes i Normen pasientjournal og informasjonssystem eller annet register, fortegnelse eller lignende, der helseopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen og som skal gi grunnlag for helsehjelp eller administrasjon av helsehjelp til enkeltpersoner, jf. pasientjournalloven 2 d). Se også elektronisk pasientjournal (EPJ) og tjenestedokumentasjon. Med bruker menes i Normen en person som anmoder om eller mottar tjenester omfattet av helse- og omsorgstjenesteloven som ikke er helsehjelp, jf. pasient- og brukerrettighetsloven 1-3 bokstav f). Med databehandler menes den som behandler helse- og personopplysninger på vegne av den databehandlingsansvarlige, jf. personopplysningsloven 2 nr. 5). Det presiseres at en databehandler er en ekstern person eller virksomhet utenfor den databehandlingsansvarliges virksomhet. Det vil si at den databehandlingsansvarliges egne medarbeidere ikke er dennes databehandlere. 1 Det gjøres oppmerksom på at enkelte av definisjonene kan ha et annet meningsinnhold i dagligtalen / andre sammenhenger (f.eks. begrepet integritet) Veileder for helse- og omsorgstjenester i kommuner V2 Side 9 av 45

10 Med databehandlingsansvarlig menes den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes, hvis ikke databehandlingsansvaret er særskilt angitt i loven eller i forskrift i medhold av loven, jf. helseregisterloven 2 e), pasientjournalloven 2 bokstav e) og personopplysningsloven 2 nr. 4 (her benyttes begrepet behandlingsansvarlig ). Det presiseres at det er virksomheten som er databehandlingsansvarlig for behandling av helse- og personopplysninger. Ansvaret skal ivaretas av den daglige ledelsen av virksomheten, og virksomheten er pliktsubjekt. Med "felles journal" menes i Normen samarbeid mellom to eller flere virksomheter om behandlingsrettet helseregister som skal erstatte virksomhetens interne journal, jf. pasientjournalloven 9. Med elektronisk pasientjournal (EPJ) menes i Normen elektronisk ført samling eller sammenstilling av nedtegnede/registrerte opplysninger om en pasient i forbindelse med ytelse helsehjelp, se også helsepersonelloven 40 første ledd og forskrift om pasientjournal 3 a). Dette inkluderer både somatisk og psykiatrisk journal o.a., hver for seg eller samlet. Se også behandlingsrettet helseregister Med elektronisk pasientjournalsystem (EPJ-system) menes i Normen elektroniske systemer med nødvendig funksjonalitet for å registrere, søke frem, presentere, kommunisere, redigere, rette og slette opplysninger i elektronisk pasientjournal (EPJ). Dette inkluderer både radiologisystemer, systemer for somatisk og psykiatrisk journal, pasientadministrative systemer og andre systemer som inneholder helseopplysninger. Med fagsystem menes i Normen en applikasjon eller et IT-system som behandler helse- og personopplysninger. Begrepet systemløsning brukes også om et fagsystem. Eksempler på fagsystem er: pleie- og omsorgsystem (PLO), legekontorsystem og barnevernsystem. Opplysninger i ulike fagsystemer kan både utgjøre elektronisk pasientjournal (EPJ) og annen tjenestedokumentasjon. Med "formalisert arbeidsfellesskap" menes i Normen samarbeid mellom to eller flere virksomheter som tydelig fremstår som en enhet. En kommune som inngår avtale med andre offentlige eller private tjenesteytere etter helse- og omsorgstjenesteloven 3-1 femte ledd for å yte helhetlige helse- og omsorgstjenester anses som formalisert arbeidsfellesskap. helse- og personopplysninger benyttes i Normen som en fellesbetegnelse for helseopplysninger og/eller personopplysninger innenfor Normens virkeområde. Med helseopplysninger menes taushetsbelagte opplysninger i henhold til helsepersonelloven 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson, jf. helseregisterloven 2 a) og pasientjournalloven 2 bokstav a) Med hendelsesregistrering menes i Normen registrering av hendelser i et informasjonssystem, bl.a. med sikte på å forebygge, avdekke og hindre gjentagelse av sikkerhetsbrudd. Med integritet menes i Normen at helse- og personopplysninger må være sikret mot utilsiktet eller uautorisert endring eller sletting. Veileder for helse- og omsorgstjenester i kommuner V2 Side 10 av 45

11 Med konfidensialitet menes i Normen at helse- og personopplysninger må være sikret mot at uvedkommende får kjennskap til opplysningene. Med konfigurasjon menes i Normen informasjonssystemets utforming inklusive både teknisk utstyr og programvare. Med konfigurasjonsendring menes i Normen en endring av informasjonssystemets utforming som følge av installasjon, oppgradering eller fjerning av utstyr eller programvare. Med kvalitet menes i Normen at helse- og personopplysninger må være korrekte, oppdaterte, relevante og tilstrekkelige som grunnlag for å yte helsehjelp. Med Normen menes Norm for informasjonssikkerhet. Andre dokumenter i tilknytning til Normen, som for eksempel faktaark og veiledninger, er ikke omfattet av begrepet. Med pasient menes i Normen en person som henvender seg til helse- og omsorgstjenesten med anmodning om helsehjelp, eller som helse- og omsorgstjenesten gir eller tilbyr helsehjelp i det enkelte tilfelle, jf. pasient- og brukerrettighetsloven 1-3 bokstav a. Med personopplysninger menes opplysninger og vurderinger som kan knyttes til en enkeltperson, jf. personopplysningsloven 2 nr. 1. Med registrert/den registrerte menes i Normen den som opplysninger kan knyttes til, jf. personopplysningsloven 2 nr. 6. Eksempler og begreper som brukes om den registrerte er søker, pasient/bruker og tjenestemottaker. En ansatt kan være omfattet av begrepet. Med taushetsplikt menes i Normen lovpålagt eller avtalt plikt til å hindre at andre får adgang eller kjennskap til helse- og personopplysninger, jf. helsepersonelloven 21, helseregisterloven 17, pasientjournalloven 15, helse- og omsorgstjenesteloven 12-1 og forvaltningsloven 13 til 13e, samt annen informasjon med betydning for informasjonssikkerheten, jf. personopplysningsforskriften 2-9. Taushetsplikt innbefatter både en passiv plikt til å tie og en plikt til aktivt å hindre uvedkommende i å få kunnskap om taushetsbelagte opplysninger. Med tekniske tiltak menes i Normen tiltak av teknisk karakter som ikke kan påvirkes eller omgås av medarbeidere, og ikke er begrenset av handlinger som den enkelte forutsettes å utføre. Eksempler på slike tiltak kan være autentisering ved personlig kvalifisert sertifikat eller konfigurering av en brannmur slik at den kun tillater bestemt trafikk eller en meldingstjeneste som er laget slik at alle meldinger automatisk blir kryptert. Med tilgang menes i Normen at helse- og personopplysninger om en eller flere bestemte pasienter/brukere er eller gjøres tilgjengelige for autorisert personell. Beslutning om tilgang til behandlingsrettede helseregistre skal treffes etter en konkret vurdering basert på at det ytes helsehjelp til pasienten. Tilgang til fagsystemer i forbindelse med ytelser til pasient/bruker skal iverksettes basert på tjenstlig behov. Tilgang i forbindelse med kvalitetssikring og administrative oppgaver skal også besluttes ut fra tjenstlig behov. Veileder for helse- og omsorgstjenester i kommuner V2 Side 11 av 45

12 Med tilgjengelighet menes i Normen at helse- og personopplysninger som skal behandles, er tilgjengelig til den tid og på det sted det er behov for opplysningene. Med tjenestedokumentasjon menes i Normen dokumentasjon for planlegging, kartlegging, oppfølging og informasjonsutveksling som vedrører tjenestemottakerens søknad, praktiske og medisinske problemer, behov, ressurser, tiltak i form av helsehjelp, hjelpemidler, mm. Sammen med elektronisk pasientjournal (EPJ) vil tjenestedokumentasjonen utgjøre dokumentasjonsplikten etter helsepersonelloven mv. Veileder for helse- og omsorgstjenester i kommuner V2 Side 12 av 45

13 Nye definisjoner som er brukt i denne veilederen Med EDI (Electronic Data Interchange) menes elektronisk overføring av forretningsdata mellom IT-systemer i standardiserte formater. Med forretningsdata forstås informasjon som elektroniske og strukturerte dokumenter og blanketter. Med interkommunalt selskap menes et selskap opprettet i samsvar med lov 29. januar 1999 nr. 6 om interkommunale selskap. Et samarbeid, f.eks. på informasjonssikkerhetsområdet, mellom flere kommuner og/eller fylkeskommuner hvor alle deltakerne er kommuner, fylkeskommuner (og/eller andre interkommunale selskaper), kan organiseres gjennom et interkommunalt selskap. Et interkommunalt selskap er et selvstendig rettssubjekt og er rettslig og økonomisk adskilt fra deltakerkommunene. Med IPLOS eller IPLOS-registeret menes betegnelsen på et nasjonalt register hvor det oppbevares pseudonymiserte og kvalitetskontrollerte opplysninger om personer som har søkt, mottar eller har mottatt pleie- og omsorgstjenester. Kommunene rapporterer inn data til registeret etter egne prosedyrer. Med samarbeidskommune menes i denne sammenheng kommune som etter avtale har overlatt oppgaver, f.eks. informasjonssikkerhetsoppgaver, til en annen kommune ( vertskommune, se egen definisjon) i samsvar med reglene i kommuneloven kapittel 5. Med sikker sone menes den delen (de delene) av kommunens informasjonssystem som behandler helse- og personopplysninger, hvor kun autoriserte brukere gis tilgang. Med vertskommune menes kommune som etter avtale har påtatt seg å utføre oppgaver, f.eks. på informasjonssikkerhetsområdet, for en annen kommune ( samarbeidskommune, se egen definisjon) i samsvar med reglene i kommuneloven kapittel 5. Veileder for helse- og omsorgstjenester i kommuner V2 Side 13 av 45

14 2 PERSONVERN OG RETTSIKKERHET 2.1 Overordnet om personvern og rettssikkerhet Den enkeltes rett til å bestemme over bruken over egne personopplysninger, er et sentralt element i personvernet. Personvernreguleringer er nært knyttet til enkeltindividers behov og mulighet for privatliv og selvbestemmelse. Personvernet kommer til uttrykk i lovverket på ulikt vis. Den sentrale lov på personvernområdet er personopplysningsloven. Lovens formål er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. I tillegg finnes det mange særlover og forskrifter som regulerer personvernet og informasjonssikkerheten. Et eksempel er pasientjournalloven, som er en særlov for pasientjournaler og behandling av helseopplysninger. Et annet eksempel er pasient- og brukerrettighetsloven som slår fast at opplysninger om legems- og sykdomsforhold samt andre personlige opplysninger skal behandles i samsvar med gjeldende bestemmelser om taushetsplikt. Opplysningene skal behandles med varsomhet og respekt for integriteten til den opplysningene gjelder. Elektronisk behandling av opplysninger gir muligheter, men skaper også utfordringer for personvernet og informasjonssikkerheten i kommunene. Elektronisk behandling medfører blant annet at opplysningene enklere og raskere kan gjøres tilgjengelig både internt og eksternt. Dette er en fordel for den registrerte, forutsatt at opplysningene kun gjøres tilgjengelig for rett vedkommende til rett tid. Elektronisk behandling medfører imidlertid et nytt trusselbilde mot opplysningene. Det er derfor behov for opplæring, konkrete prosedyrer og teknologi som gir tillit til at personvernet, taushetsplikten og informasjonssikkerheten er tilfredsstillende ivaretatt. Spesielt om personvernombud: En del kommuner har utnevnt eget personvernombud. Ombudet, som godkjennes av Datatilsynet, skal være en ressursperson innen personvern og informasjonssikkerhet, og det anbefales at kommunene samarbeider med ombudet - i fall et ombud er utpekt - om de spørsmål som reiser seg i arbeidet med denne veilederen. Faktaark 35 - Personvernombud gir mer veiledning. Veileder for helse- og omsorgstjenester i kommuner V2 Side 14 av 45

15 2.2 Rettigheter og plikter Den registrertes rettsikkerhet i personvernsammenheng er ivaretatt gjennom et sett ulike rettigheter og plikter Taushetsplikten Personellet som behandler helse- og personopplysninger i kommunen, vil være underlagt regler om taushetsplikt. Dette sikrer at den registrerte kan være trygg på at informasjonen ikke blir gitt videre til uvedkommende. Taushetsplikten følger av en rekke ulike bestemmelser, avhengig av hvilket virksomhetsområde personellet arbeider innenfor. Helsepersonell og annet personell som yter tjenester etter helse- og omsorgstjenesteloven er bundet av taushetsplikten som følger av helsepersonelloven. Personellet har taushetsplikt om pasientens/brukerens legems- eller sykdomsforhold samt andre personlig forhold personellet får vite om i forbindelse med utførsel av sitt arbeid. Det finnes flere unntak fra taushetsplikten. Bl.a. kan pasienten samtykke til at opplysninger gis til andre. Det finnes også lovpålagte krav om innrapportering av helse- og personopplysninger til sentrale registre, f.eks. IPLOS-registeret. Også i andre tilfeller - for eksempel ved akutt fare for liv og helse - kan helse- og omsorgspersonell fravike taushetsplikten. Kommunen skal legge til rette for at alle medarbeidere til enhver tid er bevisst taushetspliktens innhold og omfang. Kommunen skal sørge for praktiske løsninger (inkludert teknologiske) som gjør at taushetsplikten kan etterleves av medarbeiderne Informasjonsplikten Hovedregelen er at den databehandlingsansvarlige, dvs. kommunen, har plikt til å gi informasjon til den registrerte om hva som registreres. Når en kommune registrerer helse- og personopplysninger om noen i et fagsystem eller andre systemer for tjenestedokumentasjon, skal derfor den registrerte være informert om at registreringen skjer. Bare ved å være informert om registreringen, vil den registrerte være i stand til å ivareta sine rettigheter. Den personen som registrerer på vegne av kommunen skal forsikre seg om at den som skal registreres på forhånd har fått informasjon om registeret og om hva som registreres. Den registrerte skal ha informasjon om sine rettigheter knyttet til samtykke, reservasjon, innsyn, retting og sletting Grunnlag for behandling av helse- og personopplysninger Å behandle helse- og personopplysninger krever et grunnlag. Uten grunnlag vil behandlingen av opplysningene ikke være lovlig. Et slikt grunnlag kan finnes i lov / forskrift eller ved at den registrerte samtykker i registreringen. Veileder for helse- og omsorgstjenester i kommuner V2 Side 15 av 45

16 Det følger imidlertid av en rekke rettsregler at kommunen kan behandle helse- og personopplysninger uten samtykke. F.eks. følger det av helsepersonelloven at personellet skal føre journal. Journalføringsplikten er derfor et eksempel på et behandlingsgrunnlag som følger av lov. Den registrerte kan ikke motsette seg at helse- og personopplysninger blir journalført hvis helsehjelpen mottas; personellets journalføringsplikt går foran den enkeltes individuelle rett til å samtykke i/nekte registreringen. Det følger av IPLOS-forskriften at de pseudonymiserte opplysningene i IPLOS-registeret kan samles inn uten samtykke. Samtykke til helsehjelp, og dermed til nødvendig behandling av helse- og personopplysninger, kan gis uttrykkelig eller stilltiende (ved konkludent atferd). Om man kan legge stilltiende samtykke til grunn, kommer an på hvor inngripende tiltak skal iverksettes og hvorvidt det kan anses som naturlig del av helsehjelpen som skal ytes. Det at pasienten/brukeren har oppgitt digital kontaktinformasjon kan f.eks. tolkes som stilltiende samtykke til å motta timepåminnelse på SMS eller e-post. I motsetning til det kan man ikke gå ut i fra at det å samtykke til å delta i terapi hvor flere skal delta, kan anses som stilltiende samtykke til at det kan gjøres videoopptak av terapisituasjonen. Slikt opptak ville derfor kreve uttrykkelig samtykke. I de tilfellene der en ikke kan legge til grunn noe stilltiende samtykke, og det heller ikke finnes noe grunnlag i loven som tillater registrering av helse- og personopplysninger, skal kommunen forvisse seg om at den registrerte har gitt et uttrykkelig samtykke til registreringen, før registreringen skjer. I slike tilfeller kan de også være behov for konsesjon fra Datatilsynet. At samtykket er "uttrykkelig" betyr at det foreligger en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv. Loven stiller ikke noe krav om at et informert samtykke skal foreligge skriftlig. Men skriftlighet er ofte hensiktsmessig med tanke på eventuell klagebehandling, etterfølgende uenighet om omfanget av samtykket mv. I enkelte sammenhenger, spesielt der den registrerte mangler samtykkekompetanse, er det de pårørende eller verge/hjelpeverge som må samtykke på vegne av den registrerte. Den registrerte har rett til både å gi og å tilbakekalle samtykke etter eget valg. Den registrerte har ikke noen plikt til å begrunne valget Rett til reservasjon Pasienten/brukeren har rett til å motsette seg utlevering av journal eller opplysninger i journalen, generelt eller til enkelte helsepersonell. Reservasjonsretten er også aktuell i forbindelse med IPLOS, der den registrerte har mulighet til å reservere seg mot at diagnoseopplysninger sendes fra kommunen til IPLOS-registeret. Den som registrerer (saksbehandler/det enkelte personell) skal informere om reservasjonsretten. Denne reservasjonsretten berører ikke det generelle regelverket rundt utveksling av nødvendige og relevante opplysninger mellom samarbeidende helsepersonell, altså innhenting og håndtering av helse- og personopplysninger som skjer i forkant av IPLOSrapporteringen. I de tilfeller der diagnoseopplysninger foreligger i kommunens dokumentasjon, skal de sendes inn til IPLOS-registeret dersom ikke den enkelte reserverer seg. Veileder for helse- og omsorgstjenester i kommuner V2 Side 16 av 45

17 2.2.5 Rett til innsyn En sentral rettighet er retten til innsyn i opplysningene som er lagret om en selv. Som hovedregel har den registrerte krav på et slikt innsyn. Det følger f.eks. av pasient- og brukerrettighetsloven at pasienten vanligvis har innsyn i egen EPJ Rett til å kreve retting og sletting Pasienten/brukeren kan i en rekke sammenhenger kreve at feil i helse- og personopplysningene om en selv, blir rettet eller slettet. F.eks. følger det av pasient- og brukerrettighetsloven at pasienten/brukeren kan kreve at mangelfulle, feilaktige eller utilbørlige helse- og personopplysninger eller utsagn blir rettet. Veileder for helse- og omsorgstjenester i kommuner V2 Side 17 av 45

18 3 INFORMASJONSSIKKERHET I FAGSYSTEMENE I dette kapitlet beskrives krav og anbefalinger for å ivareta personvernet, taushetsplikten og informasjonssikkerheten når et fagsystem skal etableres, er i bruk og ved eventuell utfasing. I det følgende brukes både "skal" og "bør" i tilknytning til kravene. Skal-krav er absolutte krav og gjengitt i Normen, mens bør-krav er å oppfatte som anbefalinger. 3.1 Krav til informasjonssikkerhet før etablering av fagsystem Her beskrives krav og anbefalinger som kommunen må ivareta ved etablering av fagsystemet. Ved etablering menes nyetablering, bytte av leverandør, vesentlige omlegginger av eksisterende systemer mv Oppdatere styringssystem for informasjonssikkerhet Etter Normen plikter kommunen å opprette et styringssystem for informasjonssikkerhet. Et styringssystem angir aktiviteter for å rettlede og styre kommunen og er basert på alminnelige internkontrollprinsipper. Kravene og anbefalingene som er angitt i dette kapitelet er normalt en del av dette styringssystemet. Mange kommuner vil allerede ha et styringssystem. I så fall er det viktig at det er samsvar mellom det eksisterende styringssystemet og arbeidet med personvern og informasjonssikkerhet i kommunens ulike fagsystemer. Kommunen må selv endre styringssystemet i den grad innføring av fagsystemene reiser behov for det. For etablering av styringssystemet vises det til Normen og til Faktaark 2 Styringssystem for informasjonssikkerhet Påse at sikkerhetsmål og -strategi er ivaretatt Kommunen skal ha vedtatt sikkerhetsmål og -strategi. Ved etablering av fagsystemet må kommunen påse at den aktuelle etableringen er i tråd med sikkerhetsmålene og -strategien. Gjennom sikkerhetsmålene og -strategien skal følgende punkter ivaretas konkret med tanke på fagsystemet som skal innføres: all behandling av helse- og personopplysninger skal være iht et fastsatt formål og samtykke fra den registrerte all behandling av helse- og personopplysninger i fagsystemer skal skje på bakgrunn av et hjemmelsgrunnlag all tilgang til helse- og personopplysninger i fagsystemet skal foregå via en personlig identifikasjon av den enkelte ansatte eller bruker utstyr som benyttes til behandling av helse- og personopplysninger i fagsystemet skal sikres mot uautorisert tilgang alle som har tilgang til fagsystemet skal ha signert taushetserklæring I sikkerhetsmålene og -strategien bør kommunen videre avveie og omtale følgende: Veileder for helse- og omsorgstjenester i kommuner V2 Side 18 av 45

19 sikkerhetsarkitektur for å ivareta Normens krav om minst to uavhengige tekniske tiltak, slik at personer utenfor virksomheten uansett ressurser og kunnskap ikke skal kunne få tilgang til og/eller kunne endre eller slette helse- og personopplysninger. Hvilke tekniske tiltak som etableres skal vurderes i det enkelte tilfelle og være i overensstemmelse med personopplysningslovens 2-1 vedr forholdsmessig sikring og resultatet fra gjennomført risikovurdering bruk av databehandler (f.eks. gjennom vertskommune eller interkommunale selskap) Definere ansvar og roller Rådmannen / øverste administrative leder er hovedansvarlig for personvernet og informasjonssikkerheten i kommunen. Oppgavene blir imidlertid normalt delegert. Ved innføring av et fagsystem må det derfor defineres hvem som i det daglige er ansvarlig for de ulike oppgavene i tilknytning til fagsystemet. Ved innføring av et fagsystem må kommunen definere ansvar og roller, herunder hvem som er databehandlingsansvarlig. I sjekklisten i pkt. 5.4 er det gitt plass til å nedtegne ansvaret. Faktaark 1 - Ansvar og organisering gir mer veiledning Identifisere og beskrive formålet med behandling av helse- og personopplysninger Når kommunen skal etablere et nytt fagsystem, er det viktig å identifisere og beskrive lovgrunnlaget for behandlingen(e) som skal skje i fagsystemet. Lovgrunnlaget kan finnes i helse- og omsorgstjenesteloven, helsepersonelloven mv. og ut fra lovbestemmelsen, må den konkrete behandlingen beskrives. På etats-/avdelingsnivå må kommunen beskrive formålet med behandlingen(e) av helse- og personopplysninger som det aktuelle fagsystemet skal brukes til. Eksempler på formål fremgår av tabellen under pkt I kommunens komplekse hverdag er et konkret fagsystem ofte brukt til flere behandlinger. Dette kan medføre at det er flere lovgrunnlag for ett og samme fagsystem. I så fall et det meget viktig at tilgangsstyring sikrer at personvernet og taushetsplikten blir ivaretatt (se nærmere under pkt ). Kommunen kan ikke benytte helse- og personopplysninger registrert for en behandling til andre behandlinger, hvis formålene med behandlingene er forskjellig. Kommunen skal føre oversikt over alle behandlinger av helse- og personopplysninger. Det kan være et omfattende arbeid. Eksempelet i tabellen i pkt. 5.4 gir hjelp til kartleggingen. Kommunen kan imidlertid ha ikke-lovpålagte tjenester i tillegg til de som fremkommer av tabellen i pkt Disse tjenestene må i så fall også føyes til i oversikten. Ved innføring av et nytt fagsystem skal oversikten oppdateres med følgende informasjon: Tjenesteområde (eller tjenesteområdene om fagsystemet skal brukes til flere behandlinger) Formål(ene) med behandlingen Kategorier av personopplysninger (sensitive/ikke-sensitive) Ansvarlig for fagsystemet Veileder for helse- og omsorgstjenester i kommuner V2 Side 19 av 45

20 Navn på fagsystem/typebetegnelse (leverandørnavn, kommunens interne navn på fagsystemet mv.) Evt. melde- eller konsesjonsplikt Evt. databehandler Fastsette akseptkriterier og gjennomføre risikovurdering av fagsystemet Kommunen skal på forhånd ha fastsatt kriterier for akseptabel risiko. Med akseptabel risiko menes hvor stor risiko kommunen kan akseptere for at det inntreffer en hendelse som kan forårsake brudd på konfidensialitet, tilgjengelighet, integritet eller kvalitet for helse- og personopplysninger. Risikoens størrelse avhenger av sannsynligheten for at hendelsen inntreffer og konsekvensene av hendelsen. Ved utarbeidelse av nivå for akseptabel risiko bør en ta utgangspunkt i en skala for konsekvens og sannsynlighet. Gjennom en vurdering av hvilke type konsekvenser virksomheten ikke kan akseptere fastsettes betydningen av skalaen (for eksempel 1 til 4 - ubetydelig til kritisk). Samme vurdering gjøres for sannsynlighetsskalaen (for eksempel 1 til 4 - usannsynlig til sannsynlig). Faktaark 5 Fastsettelse av akseptkriterier for tilgjengelighet, konfidensialitet, integritet og kvalitet gir mer veiledning. Det nye fagsystemet skal risikovurderes opp mot fastlagte akseptkriterier. Om risikovurderingen viser at fagsystemet har uakseptabel risiko skal fagsystemet ikke etableres før risikoreduserende tiltak er iverksatt. Gjennom risikovurderingen må kommunen vurdere hensynet til personvernet opp mot hensynet til å kunne yte helse- og omsorgstjenester på en effektiv måte. Ofte vil det være en konflikt mellom hensynet til tilgjengelighet for helse- og personopplysninger og hensynet til konfidensialitet for de samme opplysningene. Begge hensyn er legitime, og den konkrete avveiningen mellom dem må være hensiktsmessig; ytterligheter i begge retninger er uheldig. Ut fra risikovurderingen må kommunen iverksette tiltak ut fra prinsippene om forholdsmessig sikring. Selv om kommunen har satt enkelte oppgaver/tjenester ut til en databehandler eller en driftsleverandør, er kommunen ansvarlig for å risikovurdere også disse områdene. Men kommunen kan gjerne få databehandleren/driftsleverandøren til å gjennomføre risikovurderingen, f.eks. ved at dette er tatt inn som et krav i avtale med databehandler og/eller driftsleverandør. Se kapittel 5.3 med eksempel på risikovurdering. Faktaark 7 Risikovurderinger gir mer veiledning Etablere tekniske løsninger Når et fagsystem for behandling av helse- og personopplysninger skal etableres må kommunen ivareta en rekke krav til tekniske løsninger. Fagsystemene bør ligge på sikker sone i samsvar med anbefalingene i Datatilsynets Veileder i sikkerhetsarkitektur. Veileder for helse- og omsorgstjenester i kommuner V2 Side 20 av 45

21 Overføring av helse- og personopplysninger i åpne nett skal krypteres. Krypteringen skal gjøres fra kommunens sikre sone til kommunikasjonspartnerens nettverkssone hvor helse- og personopplysninger behandles. Eksempler på områder som krever kryptering: når kommunen benytter datalinjer som den selv ikke har full kontroll over sending av elektroniske meldinger til kommunikasjonsparter, f.eks. gjennom helsenettet uttrekk av opplysninger som skal sendes til IPLOS-registeret bruk av mobilt utstyr (f.eks. i hjemmesykepleie) hjemmekontor med tilgang til helse- og personopplysninger Følgende dokumenter gir mer veiledning: Datatilsynets veileder i sikkerhetsarkitektur Faktaark 24 Kommunikasjon over åpne nett Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veileder for fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet Oppdatere konfigurasjonskontroll og dokumentasjon Kommunen skal gjennom konfigurasjonskontroll ha oversikt over alt utstyr og programvare som benyttes i behandlingen av helse- og personopplysninger. Når fagsystemet etableres må det innlemmes i konfigurasjonsoversikten. Kommunen må etablere en prosedyre for godkjenning av konfigurasjonsendringer og oppdatering av dokumentasjonen når det gjøres endringer. Når en vertskommune eller et interkommunalt selskap benyttes, skal konfigurasjonskartet vise dette. Dokumentasjonen bør inneholde: et konfigurasjonskart som bør ha et detaljeringsnivå som viser: fysiske/logiske nettverk og deres inndeling i ulike nettverkssoner, TCP/IP-adresser, VLAN, brannmurer, rutere, servere (logiske og/eller fysiske), eksterne kommunikasjonslinjer, kryptering og evt. VPN i konfigurasjonskartet bør det klart fremkomme hvor det aktuelle fagsystemet er plassert i tilknytning til konfigurasjonskartet bør det utarbeides en tekstlig beskrivelse som viser logiske elementer og konfigurasjonsparametre som er vanskelig å visualisere i en tegning Etablere prinsipper og prosedyrer for tilgangsstyring Prinsippene for tilgangsstyringen til fagsystemet skal baseres på at tilgang skal tildeles medarbeiderne etter roller og arbeidsoppgaver. Medarbeiderens rolle skal likevel ikke alene gi tilgang til helse- og personopplysninger og bruk av fagsystemet. Tilgang til helse- og personopplysninger skal i utgangspunkt kun gis i den grad dette er nødvendig for å yte tjenesten og i den grad den registrerte ikke motsetter seg det. Tilgangsstyringen skal baseres på de beslutninger som tas om helse- eller omsorgstjenester til den registrerte. En slik beslutningsstyrt tilgang skiller seg fra den tradisjonelle rollebaserte tilgangsstyringen. Forskjellen ligger i at det konkrete engasjementet overfor den registrerte avgjør omfanget av tilgangen som skal gis - og ikke rollen til helse- og omsorgspersonellet. Personellets rolle i kommunen er imidlertid avgjørende for hvilke tiltak om helse- eller omsorgstjeneste vedkommende medarbeider kan ta del i. Veileder for helse- og omsorgstjenester i kommuner V2 Side 21 av 45

22 For kommunen kan det være en utfordring å etablere riktig tilgangsstyring når det er flere behandlinger/formål i samme fagsystem. Ut fra prinsippene om forholdsmessig sikring skal kommunen, basert på en risikovurdering, etablere tiltak og prosedyrer for tildeling, administrasjon og kontroll av tilgangsrettigheter (autorisasjon) ved bruk av fagsystemet. Faktaark 14 - Tilgangsstyring gir mer veiledning Etablere prosedyrer for elektronisk samhandling med eksterne Det er behov for samhandling med eksterne parter, f.eks. for å få til et helhetlig og godt diagnostiserings-, behandlings- og oppfølgningsforløp. Dette vil vanligvis innebære tilgjengeliggjøring av helse- og personopplysninger til eksterne, enten ved utlevering eller ved tilgang til helse- og personopplysninger mellom virksomheter Kommunen må etablere prosedyrer for å sikre at personvernet og taushetsplikten blir ivaretatt når helse- og personopplysninger fra kommunens fagsystem utleveres til andre. I prosedyrer skal det fremkomme hvem som er ansvarlig for den enkelte elektroniske samhandlingen. Ansvaret bør følge de samme ansvarslinjene som for behandlingene. Taushetspliktsbestemmelsene vil være førende for i hvilken grad opplysninger kan gjøres tilgjengelige for andre.. Når det gjelder helseopplysninger vil det kun være anledning til å gjøre disse tilgjengelig for annet helsepersonell, og dersom opplysningene er nødvendig for å kunne yte helsehjelp. Aktuelle eksterne samhandlingspartnere: Andre kommuner Pårørende Offentlige helseforetak (f.eks. somatiske sykehus, distriktspsykiatrisk senter (DPS), barnehabilitering og rusinstitusjoner) Private helseforetak (f.eks. rehabilitering og opptrening) Laboratorier Asyl- og flyktningemottak (UDI) Politiet NAV Fylkeskommunale organer Røntgeninstitutter Fysikalske institutter Apotek Hjelpemiddelsentral (som organisatorisk er en del av NAV) Ved samhandling gjennom Norsk Helsenett (f.eks. med elektroniske meldinger) skal alle samarbeidspartnere følge Normen. Mer informasjon finnes i Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet og på Norsk Helsenetts hjemmeside (www.nhn.no) Etablere prosedyrer for intern samhandling Kommunen vil ofte ha behov for samhandling internt mellom kommunens ulike tjenester og fagsystemer. Eksempler kan være barneverntjeneste, pedagogisk psykologisk rådgivningstjeneste (PPT), skoler, fysioterapitjeneste, helsestasjonstjeneste og legevakttjeneste. Veileder for helse- og omsorgstjenester i kommuner V2 Side 22 av 45

23 Taushetsplikten vil være førende for samhandlingen. Helsepersonelloven har ingen unntaksbestemmelse som åpner for utlevering av helseopplysninger i forbindelse med samhandling internt mellom kommunens ulike tjenester. Slik samhandling må bygge på den enkelte pasients samtykke. På samme måte som for eksterne samarbeidspartnere (se pkt ), skal det etableres prosedyrer der det fremkommer hvem som er ansvarlig for den enkelte elektroniske samhandlingen. Ansvaret bør følge de samme ansvarslinjene som for behandlingene Etablere hendelsesregistrering Kommunen skal ha etablert hendelsesregistre og prosedyrer for hendelsesregistrering, slik at den har en overordnet oversikt over aktiviteten i fagsystemet. Dermed kan avvik oppdages. Ved etablering av et nytt fagsystem må kommunen sikre at hendelsesregistrering blir iverksatt iht. kommunens prosedyrer. Følgende hendelser bør registreres: Tildeling av tilganger Bruk av tilganger Uautorisert eller forsøk på uautorisert bruk av tilganger Bruk av nødrettstilgang Hendelsesregistret skal oppbevares i minst 2 år i elektronisk form. Faktaark 15 - Hendelsesregistrering og oppfølging gir mer veiledning Etablere prosedyrer for håndtering av utskrifter Utskrifter fra fagsystemet vil ofte inneholde helse- og personopplysninger. Det må derfor allerede ved etableringen utarbeides prosedyrer for hvordan utskrifter håndteres. Dette kan også løses med tekniske virkemidler (bruk av magnetkort/pinkode, utskriftskøer slettes etter en viss periode e.l.) eller at skrivere plasseres i separate rom med tilgang kun for autorisert personell. I forbindelse med utskrifter bør det etableres prosedyrer og tekniske hjelpemidler for makulering Etablere prosedyrer for å ivareta sentrale rettigheter for den registrerte Kommunen må etablere enkle og praktiserbare prosedyrer for å etterleve sine plikter knyttet til den registrertes personvern og rettssikkerhet. Prosedyrene skal: ivareta taushetsplikten ivareta informasjonsplikten (f.eks. ved å legge ut informasjon på kommunenes hjemmesider) ivareta informert samtykke ivareta retten til reservasjon, herunder sørge for at det enkelte personell gir opplysning om den reservasjonsretten som den registrerte måtte ha ivareta retten til innsyn ivareta retten til retting og sletting Gjennomføre opplæring Veileder for helse- og omsorgstjenester i kommuner V2 Side 23 av 45

Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner

Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner Veilederen er et støttedokument til Norm for informasjonssikkerhet www.normen.no Utgitt med støtte av: Versjon 1.2

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud Helseopplysninger på tvers - rammer for deling og tilgang HelsIT 15. oktober 2014 Marius Engh Pellerud Hva er personvern? 18.06.2014 Side 2 Retten til privatliv Selvbestemmelse Rett til å vite og forstå

Detaljer

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Kapittel 1. Generelle bestemmelser 1.Lovens formål Formålet med loven er at behandling av helseopplysninger skal skje

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Bruk av databehandler (ekstern driftsenhet)

Bruk av databehandler (ekstern driftsenhet) Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Bruk av databehandler (ekstern driftsenhet) Støttedokument Faktaark nr 10 Versjon: 4.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN LÆRINGS- og GJENNOMFØRINGSPLAN Fagkurs i informasjonssikkerhet og personvern for kommuner basert på Normen Planen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.

Detaljer

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN LÆRINGS- og GJENNOMFØRINGSPLAN Fagkurs i informasjonssikkerhet og personvern for kommuner basert på Normen Planen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.1

Detaljer

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten - en veileder Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 2.0 www.normen.no

Detaljer

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. www.normen.no 1

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. www.normen.no 1 Introduksjonskurs til Normen Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS 1 Innhold 1. Litt om personvern og informasjonssikkerhet 2. Norm for informasjonssikkerhet 3. Risikovurdering 4.

Detaljer

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner Velkommen til Fagkurs i informasjonssikkerhet basert på Normen for kommuner 1 Mål for fagkurset (1) Deltakerne skal etter gjennomføring av kurset: Ha kunnskap om og kunne formidle hvorfor ivaretakelse

Detaljer

Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag. Tor Ottersen

Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag. Tor Ottersen Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag Tor Ottersen Bakgrunn Helse-, sosial- og omsorgssektoren er: Enorm både i antall årsverk og omsetning Organisatorisk fragmentert Har

Detaljer

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Personvernombud Støttedokument Faktaark nr. 35 Versjon: 2.1 Dato: 15.12.2010 Målgruppe Dette faktaarket er spesielt relevant for: Ansvar

Detaljer

Video-, lyd- og bildeopptak i helse- og omsorgssektoren - en veileder

Video-, lyd- og bildeopptak i helse- og omsorgssektoren - en veileder Video-, lyd- og bildeopptak i helse- og omsorgssektoren - en veileder Veilederen er et støttedokument til Norm for informasjonssikkerhet www.normen.no Utgitt med støtte av: Versjon 1.0 INNHOLD 1 INNLEDNING...

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01090 Dato for kontroll: 04.12.2013 Rapportdato: 22.05.2014 Endelig kontrollrapport Kontrollobjekt: Drammen Helsehus Sted: Drammen Utarbeidet av: Camilla Nervik Grete Alhaug Marius Engh

Detaljer

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten - en veileder Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.3 www.normen.no

Detaljer

Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Norm for informasjonssikkerhet Helse, omsorgs og sosialsektoren Utgitt med støtte av: Oslo, 2010 FORORD Stadig mer av arbeidet i helsesektoren er basert på elektronisk behandling av pasientenes opplysninger.

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN Norm for informasjonssikkerhet Helse- og omsorgstjenesten Tor Ottersen HVA - HVORFOR - HVORDAN Hva er Normen Et omforent sett av adferdsregler og tiltak Besluttet og forvaltet av sektoren, forankret i

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet

Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veilederen er et støttedokument til Norm for informasjonssikkerhet www.normen.no Utgitt med støtte av: Versjon

Detaljer

IS-7/2006. Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler

IS-7/2006. Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler IS-7/2006 Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler Heftets tittel: Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler

Detaljer

Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet

Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veilederen er et støttedokument til Norm for informasjonssikkerhet i helsesektoren Utgitt med støtte av:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

Pasientjournaler i kommunehelsetjenesten unntatt fra alle regler? Rådgiver Janicken E. Olsen, IKA Troms. Kontaktseminar 2015 Tromsø 21.05.

Pasientjournaler i kommunehelsetjenesten unntatt fra alle regler? Rådgiver Janicken E. Olsen, IKA Troms. Kontaktseminar 2015 Tromsø 21.05. Pasientjournaler i kommunehelsetjenesten unntatt fra alle regler? Rådgiver Janicken E. Olsen, IKA Troms Kontaktseminar 2015 Tromsø 21.05.15 Program Avgrensing og definisjon Pasientjournaler og lovverket

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01089 Dato for kontroll: 08.11.2013 Rapportdato: 26.03.2014 Endelig kontrollrapport Kontrollobjekt: Byhagen legesenter Sted: Alta Utarbeidet av: Camilla G. Nervik Grete Alhaug Marius Engh

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Rapport informasjonssikkerhet Helgelandssykehuset 2015 Rapport informasjonssikkerhet Helgelandssykehuset 2015 1. Innledning I Oppdragsdokumentet 2015 punkt 4.4. Beredskap, er et av punktene: Området informasjonssikkerhet med tilhørende status på ROS [1] -analyser

Detaljer

Personvern og informasjonssikkerhet for legekontorer

Personvern og informasjonssikkerhet for legekontorer Personvern og informasjonssikkerhet for legekontorer - en veileder Veilederen er et støttedokument til Norm for informasjonssikkerhet i helsesektoren Utgitt med støtte av: Versjon 1.1 www.normen.no INNHOLD

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Delavtale om samarbeid om IKT - løsninger lokalt.

Delavtale om samarbeid om IKT - løsninger lokalt. Delavtale 4.3.7 Delavtale om samarbeid om IKT - løsninger lokalt. (Lov om helse- og omsorgstjenester 6.2- pkt 9) Sykehuset Telemark Helseforetak og kommunene i Telemark NN kommune 1 Avtaleparter Partene

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Det må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning.

Det må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning. Policydokument nr. 3/2011 Etablering og bruk av helseregistre Legeforeningen arbeider for å bedre kvaliteten i helsetjenesten og for en helsetjeneste som er mest mulig lik for alle. Bruk av valide og kvalitetssikrede

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

mellom leverandør og virksomhet

mellom leverandør og virksomhet Veileder for fjernaksess mellom leverandør og virksomhet Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 2.0 www.normen.no INNHOLD 1 INNLEDNING... 4 1.1

Detaljer

Ny lov nye muligheter for deling av pasientopplysninger

Ny lov nye muligheter for deling av pasientopplysninger Ny lov nye muligheter for deling av pasientopplysninger - regelverksendringene - felles journal i Helse Nord 17.09.15 - STYRK Årskonferanse 2015 Juridisk rådgiver Heidi Talsethagen, FIKS Fra én journal

Detaljer

Helse- og omsorgsdepartementet Kultur- og kirkedepartementet. Deres ref Vår ref Dato 200605006-/EMK 09.01.2007

Helse- og omsorgsdepartementet Kultur- og kirkedepartementet. Deres ref Vår ref Dato 200605006-/EMK 09.01.2007 Helse- og omsorgsdepartementet Kultur- og kirkedepartementet De regionale helseforetakene Alle kommunene Alle fylkeskommunene Deres ref Vår ref Dato 200605006-/EMK 09.01.2007 Forholdet mellom lovbestemt

Detaljer

Side 1 av 5. Storgata 38 0182 Oslo. Helse- og omsorgsdepartementet Postboks 8011 Dep. 0030 Oslo

Side 1 av 5. Storgata 38 0182 Oslo. Helse- og omsorgsdepartementet Postboks 8011 Dep. 0030 Oslo Side 1 av 5 Mental Helse Storgata 38 0182 Oslo 1. oktober 2013 Helse- og omsorgsdepartementet Postboks 8011 Dep. 0030 Oslo HØRINGSSVAR: FORSLAG TIL NY PASIENTJOURNALLOV OG NY HELSEREGISTERLOV Generelt:

Detaljer

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune Kongsvinger kommune Fjellg 2 2226 KONGSVINGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato ARI/14/4710/K2- G90, K3-&40/ 13/01091-8/MEP 26. mars 2014 Vedtak om pålegg og endelig kontrollrapport

Detaljer

Høringsuttalelse - Forslag til ny kommunal helse- og omsorgslov

Høringsuttalelse - Forslag til ny kommunal helse- og omsorgslov Helse- og Omsorgsdepartementet Postboks 8011 Dep 0030 Oslo Deres ref. Deres dato Vår ref. Vår dato 200903950-/ATG 18.10.2010 010/11ToNy 13.01.2011 Høringsuttalelse - Forslag til ny kommunal helse- og omsorgslov

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01088 Dato for kontroll: 07.11.2013 Rapportdato: 26.03.2014 Endelig kontrollrapport Kontrollobjekt: Alta sykestue Sted: Alta helsesenter Utarbeidet av: Camilla Nervik Grete Alhaug Marius

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Hvordan kan personvernet ivaretas i helsesektoren?

Hvordan kan personvernet ivaretas i helsesektoren? Hvordan kan personvernet ivaretas i helsesektoren? Bjørn Erik Thon direktør 06.10.2011 Side 1 Hva er personvern? - Noen viktige ord personverntanken. - Samtykke - Informasjon og innsyn - Selvbestemmelse/autonomi

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Datasikkerhet internt på sykehuset

Datasikkerhet internt på sykehuset Datasikkerhet internt på sykehuset DRG Konferansen 11. mars 2009 Informasjonssikkerhetsleder Jan Gunnar Broch Sykehuset Innlandet HF Agenda Informasjonssikkerhet; Hva, hvorfor og hvordan Hvordan håndterer

Detaljer

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Personvern og informasjonssikkerhet i kontakten med pasient/bruker Personvern og informasjonssikkerhet i kontakten med pasient/bruker En veileder i bruk av portalløsninger, SMS og e-post Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver

Detaljer

Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi

Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.0 www.normen.no INNHOLD 1

Detaljer

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet Velferdsteknologi og personvern Camilla Nervik, Datatilsynet Datatilsynet http://itpro.no/artikkel/20499/vipps-deler-din-kundeinformasjon-medfacebook/ http://e24.no/digital/undlien-vil-skape-medisiner-tilpasset-dine-gener-uioprofessor-vil-digitalisere-genene-dine/23608168

Detaljer

Veileder i. Personvern og informasjonssikkerhet -medisinsk utstyr

Veileder i. Personvern og informasjonssikkerhet -medisinsk utstyr Veileder i Personvern og informasjonssikkerhet -medisinsk utstyr Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.0 www.normen.no INNHOLD 1 INNLEDNING...

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Tjenesteavtale nr. 9. mellom. Berlevåg kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt

Tjenesteavtale nr. 9. mellom. Berlevåg kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt Tjenesteavtale nr. 9 mellom Berlevåg kommune og Helse Finnmark HF Om Samarbeid om IKT-løsninger lokalt Parter Denne avtalen er inngått mellom Berlevåg kommune og Helse Finnmark HF Bakgrunn Denne tjenesteavtalen

Detaljer

Personvern i Dødsårsaksregisteret Lysebu, 7. november 2011

Personvern i Dødsårsaksregisteret Lysebu, 7. november 2011 Personvern i Dødsårsaksregisteret Lysebu, 7. november 2011 Hva betyr egentlig personvern? Enkeltindividets rett til å bestemme over seg selv og sin egen kropp og retten til kontrollere hvem som skal få

Detaljer

Rettslig regulering av helseregistre. Dana Jaedicke juridisk rådgiver E-post: dij@datatilsynet.no

Rettslig regulering av helseregistre. Dana Jaedicke juridisk rådgiver E-post: dij@datatilsynet.no Rettslig regulering av helseregistre Dana Jaedicke juridisk rådgiver E-post: dij@datatilsynet.no Innhold Mål og strategier Verdier Holdninger Vurderingstemaer 20.03.2014 Side 2 Datatilsynets strategi i

Detaljer

Personvern og informasjonssikkerhet for apotek

Personvern og informasjonssikkerhet for apotek Personvern og informasjonssikkerhet for apotek - en veileder Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av Versjon 1.1 www.normen.no INNHOLD 1 INNLEDNING... 5

Detaljer

Det skal ikke være lett! Elektronisk sårjournal: Liten brikke i stort spill

Det skal ikke være lett! Elektronisk sårjournal: Liten brikke i stort spill Det skal ikke være lett! Elektronisk sårjournal: Liten brikke i stort spill Juridiske og sikkerhetsmessige problemstillinger HelsIT, 28. september 2011 Eva Skipenes, sikkerhetsrådgiver NST eva.skipenes@telemed.no

Detaljer

Lydopptak og personopplysningsloven

Lydopptak og personopplysningsloven Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...

Detaljer

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Personvern og informasjonssikkerhet i kontakten med pasient/bruker Personvern og informasjonssikkerhet i kontakten med pasient/bruker En veileder i bruk av portalløsninger, SMS og e-post Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte

Detaljer

Vår ref: 09/4568 /TLB

Vår ref: 09/4568 /TLB // Arbeids- og inkluderingsdepartementet Postboks 8019 Dep 0030 Oslo ARBEIDS OG tnkluder1nusuepammentet MOTTATT 0'4JUN2009 Deres ret 200901113/MCH Vår ref: 09/4568 /TLB Vår dato: 29.05.2009 Høringskommentarer

Detaljer

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18. Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.september 2012 Om Datatilsynet Et forvaltningsorgan med stor grad av faglig uavhengighet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Tjenesteavtale nr 9. mellom. Bardu kommune. Universitetssykehuset Nord-Norge HF. Samarbeid om IKT-Iøsninger lokalt

Tjenesteavtale nr 9. mellom. Bardu kommune. Universitetssykehuset Nord-Norge HF. Samarbeid om IKT-Iøsninger lokalt UNIVERSITETSSYKEHUSET NORD-NORGE DAVVI NORCCA UNNERS:TEHTABUOHCCEVIESSU BARDU KOMMUNE Tjenesteavtale nr 9 mellom Bardu kommune og Universitetssykehuset Nord-Norge HF om Samarbeid om IKT-Iøsninger lokalt

Detaljer

Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Normkonferansen 15. oktober 2014. Nytt i Normen

Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Normkonferansen 15. oktober 2014. Nytt i Normen Hva er i Normen? Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Normkonferansen 15. oktober 2014 Normen med støttedokumenter Juridisk bindende ved avtale: Normen: Normen ( Code of conduct

Detaljer

Samarbeid om IKT- løsninger og elektronisk samhandling

Samarbeid om IKT- løsninger og elektronisk samhandling Tjenesteavtale 9 Samarbeid om IKT- løsninger og elektronisk samhandling Samarbeid om IKT-løsninger og bruk av felles plattform lokalt er av stor betydning for å få til god samhandling. Enkel, rask og pålitelig

Detaljer

Personvern og velferdsteknologi

Personvern og velferdsteknologi Personvern og velferdsteknologi «Personvern» Enkelt sagt handler personvern om retten til et privatliv og retten til å bestemme over egne personopplysninger Fra www.datatilsynet.no Når jeg går inn på badeværelset

Detaljer

Personvern og informasjonssikkerhet ved anskaffelser

Personvern og informasjonssikkerhet ved anskaffelser Personvern og informasjonssikkerhet ved anskaffelser Innledning 2 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis,

Detaljer

Bruk av pasientjournal og personvern. Helge Veum, senioringeniør DRG-forum, Gardermoen 8. mars 2011

Bruk av pasientjournal og personvern. Helge Veum, senioringeniør DRG-forum, Gardermoen 8. mars 2011 Bruk av pasientjournal og personvern Helge Veum, senioringeniør DRG-forum, Gardermoen 8. mars 2011 Om Datatilsynet Ca 40 medarbeidere 4 Avdelinger Juridisk Tilsyns- og sikkerhet Informasjon Administrasjon

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Delavtale mellom Sørlandets sykehus HF og Lund kommune

Delavtale mellom Sørlandets sykehus HF og Lund kommune Delavtale mellom Sørlandets sykehus HF og Lund kommune Delavtale nr. 9 Samarbeid om IKT-løsninger lokalt Enighet om hvilke plikter og ansvar som partene er ansvarlig for, knyttet til innføring og forvaltning

Detaljer

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Informasjon om personopplysninger Formålet med personopplysningsloven Formålet med personopplysningsloven (pol) er å beskytte den

Detaljer

Internundervisning om taushetsplikt. Helle Devik Haugseter Jurist, Kvalitetsseksjonen

Internundervisning om taushetsplikt. Helle Devik Haugseter Jurist, Kvalitetsseksjonen Internundervisning om taushetsplikt Helle Devik Haugseter Jurist, Kvalitetsseksjonen Taushetsplikt De sentrale bestemmelsene Unntak: Hva kan man informere om til hvem? Pårørende Samarbeidende personell

Detaljer

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN LÆRINGS- og GJENNOMFØRINGSPLAN Instruktørkurs i informasjonssikkerhet basert på Normen for helseforetak, regionale helseforetak og deres IKT-driftsenheter Kurs i informasjonssikkerhet for utvalgte grupper

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig kontrollrapport

Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig kontrollrapport Oppegård Kommune Postboks 510 1411 KOLBOTN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/137-11 13/01092-10/MEP 21. mai 2014 Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig

Detaljer

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26 Datatilsynet Postboks 8177 Dep 0034 OSLO Deres ref.: Vår ref.: 12/5062-3 Saksbehandler: Elisabeth Sagedal Dato: 18.12.2012 Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven

Detaljer

Internkontroll ved behandling av helseopplysninger i Sykehusapotek Nord HF. Internrevisjonsrapport nr.: 02/2010

Internkontroll ved behandling av helseopplysninger i Sykehusapotek Nord HF. Internrevisjonsrapport nr.: 02/2010 Internkontroll ved behandling av helseopplysninger i Sykehusapotek Nord HF Internrevisjonsrapport nr.: 02/2010 Dato: 17.09.2010 INNHOLDSFORTEGNELSE 1 SAMMENDRAG... 3 2 INNLEDNING... 4 2.1 Definisjoner...

Detaljer

MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO.

MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO. MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT HELSEDIREKTORATET Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO Deres ref Vår ref Dato 10/2494 200800923-/OS 10.10.2011 Uttalelse

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres.

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres. Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 200902492-/STL 11/00288-2 /MOF 5. april 2011 Kommentarer til forprosjektrapport om nasjonal

Detaljer