Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner

Størrelse: px
Begynne med side:

Download "Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner"

Transkript

1 Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.2

2 INNHOLD 1 INNLEDNING BAKGRUNN OM NORMEN OM VEILEDEREN MÅLGRUPPER VEILEDERENS FORHOLD TIL ANDRE DOKUMENTER OG VEILEDERE DEFINISJONER PERSONVERN OG RETTSIKKERHET OVERORDNET OM PERSONVERN OG RETTSSIKKERHET RETTIGHETER OG PLIKTER Taushetsplikten Informasjonsplikten Informert samtykke Rett til reservasjon Rett til innsyn Rett til å kreve retting og sletting INFORMASJONSSIKKERHET I FAGSYSTEMENE KRAV TIL INFORMASJONSSIKKERHET FØR ETABLERING AV FAGSYSTEM Oppdatere styringssystem for informasjonssikkerhet Påse at sikkerhetsmål og -strategi er ivaretatt Definere ansvar og roller Identifisere og beskrive formålet med behandling av helse- og personopplysninger Fastsette akseptkriterier og gjennomføre risikovurdering av fagsystemet Etablere tekniske løsninger Oppdatere konfigurasjonskontroll og dokumentasjon Etablere prinsipper og prosedyrer for tilgangsstyring Etablere prosedyrer for elektronisk samhandling med eksterne Etablere prosedyrer for intern samhandling Etablere hendelsesregistrering Etablere prosedyrer for håndtering av utskrifter Etablere prosedyrer for å ivareta sentrale rettigheter for den registrerte Gjennomføre opplæring Etablere prosedyrer for avviksbehandling Håndtere kommunesamarbeid i forbindelse med felles fagsystem Etablere evt. databehandleravtale KRAV TIL INFORMASJONSSIKKERHET NÅR FAGSYSTEMET ER I BRUK Følge opp prosedyrene for sentrale rettigheter for den registrerte Følge opp autorisasjon og tilgangsstyring Revidere risikovurderinger Gjennomføre sikkerhetsrevisjoner Identifisere og håndtere sikkerhetshendelser (avvik) Følge opp konfigurasjon og dokumentasjon Følge opp hendelsesregistrering Ivareta bruk av mobilt utstyr Veileder for helse- og sosialtjenester i kommuner V1.2 Side 2 av 39

3 3.2.9 Oppdatere programvaren mot ondsinnet programvare Sende elektronisk melding til den registrerte fra fagsystemet Etterleve prosedyrene for samhandling med interne og eksterne parter Sørge for nødvendig opplæring KRAV TIL INFORMASJONSSIKKERHET VED UTFASING AV FAGSYSTEMET Følge opp konfigurasjonsstyring Følge opp autorisasjon og tilgangsstyring Vurdere å slette, overføre eller deponere helse- og personopplysninger SJEKKLISTER SJEKKLISTE FØR ETABLERING AV FAGSYSTEM SJEKKLISTE NÅR FAGSYSTEMET ER I BRUK SJEKKLISTE UTFASING AV FAGSYSTEMET VEDLEGG REFERANSER DELTAGERE I UTARBEIDELSEN AV VEILEDEREN EKSEMPLER PÅ BEHANDLINGER Veileder for helse- og sosialtjenester i kommuner V1.2 Side 3 av 39

4 1 INNLEDNING 1.1 Bakgrunn En stadig større del av kommunens håndtering av helse- og personopplysninger innenfor helse- og sosialtjenesten skjer elektronisk. Stor dynamikk, høy endringstakt og høy grad av elektronisk registrering og bruk av fagsystemer og andre IT-systemer for tjenestedokumentasjon preger arbeidsdagen i kommunen, både på helseområdet og på sosialområdet. I en slik kompleks virkelighet kan det være usikkerhet om hvilke krav som stilles, og tilsyn i kommunene har i enkelte tilfeller avdekket mangler og til dels store ulikheter ved håndteringen av helse- og personopplysninger. Det finnes også andre utfordringer knyttet til personvern og informasjonssikkerhet, bl.a. at: alle kommuner som er tilknyttet Norsk Helsenett skal følge Normen. Norsk Helsenett er den elektroniske samhandlingsarenaen for helse- og sosialsektoren (se kommunene har oppgaver knyttet til rapportering til IPLOS-registeret hensynet til den registrertes krav på personvern gjør det nødvendig å nå ut med informasjon til mottakere av kommunale helse- og sosialtjenester Øverste leder (oftest rådmannen) er hovedansvarlig for personvern og informasjonssikkerhet. Det er erfaring for at det er behov for veiledning for kommuneledelsen. Et dokument som gir informasjon og som beskriver kommunens ansvar, kommer òg brukerne av kommunale helseog sosialtjenester (dvs. dem som de registrerte opplysningene gjelder), til gode. På denne bakgrunnen er det et behov for en veileder 1 innen personvern/taushetsplikt og informasjonssikkerhet knyttet til behandling av helse- og personopplysninger i helse- og sosialtjenesten i kommunene. Hensikten med veilederen er i første rekke å gi kommunene et praktisk verktøy i arbeidet med å ivareta gjeldende krav til personvern og informasjonssikkerhet. 1.2 Om Normen Norm for informasjonssikkerhet (Normen) ble lansert i august Normen skal bidra til tilfredsstillende informasjonssikkerhet hos den enkelte virksomhet, og i helsesektoren generelt. I tillegg skal Normen bidra til å harmonisere informasjonssikkerheten, slik at virksomhetene kan ha gjensidig tillit til hverandre. 1 Den veilederen som hittil har vært benyttet ("Veileder for å ivareta informasjonssikkerhet i IPLOS-systemet" (versjon 2.0 fra februar 2003)), er i store trekk utdatert og dekker et for lite område. Veileder for helse- og sosialtjenester i kommuner V1.2 Side 4 av 39

5 Normen bygger på en rekke norske bestemmelser om personvern og informasjonssikkerhet, bl.a. reglene i personopplysningsloven og helseregisterloven. Disse reglene er basert på EUs personverndirektiv. Personverndirektivet bygger igjen på grunnleggende menneskerettigheter. Kravene i Normen er derfor basert på gjeldende regler på personvern- og informasjonssikkerhetsområdet, men Normen i seg selv er ikke bindende. Imidlertid er alle som knytter seg til Norsk Helsenett - gjennom avtalen om tilknytning - forpliktet til å følge Normen. 1.3 Om veilederen Denne veilederen er et støttedokument til Normen. Normen omhandler i utgangspunktet informasjonssikkerheten i helsetjenesten. For å gi en mer helhetlig hjelp, tilpasset kommunenes behov, dekker imidlertid denne veilederen også personvern og informasjonssikkerhet i sosialtjenesten. Veilederen gir førende anbefalinger for personvern og informasjonssikkerhet i kommunenes helse- og sosialtjeneste, herunder også i IPLOS-sammenheng. Helsedirektoratet ga i november 2008 ut Håndbok om helse- og sosialtjenesten i kommunen". Formålet med håndboken er å gi en oversikt over rettigheter og plikter etter helse- og sosiallovgivingen, samt å gi en oversikt over de viktigste tjenestetilbudene i kommunen. "Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner" dekker personvern og informasjonssikkerhet på de samme områdene som er omfattet av Helsedirektoratets håndbok. Dette innebærer at denne veilederen dekker personvern og informasjonssikkerhet innen de fleste lovpålagte helse- og sosialtjenester (etter helse- og omsorgstjenesteloven). Bare den delen av NAV som kommunen er ansvarlig for, dekkes av denne veilederen. Personvern, taushetsplikt og informasjonssikkerhet internt i NAV (som statlig organ), er NAVs eget ansvar, og NAV må kontaktes direkte for informasjon om etatens egne personvern- og informasjonssikkerhetsprosedyrer. Når det er enighet om at det lokale NAVkontoret skal utføre tjenester på vegne av kommunen, anbefales det at kommunen gjennom avtale sikrer at prinsippene i denne veilederen blir fulgt. Som et ledd i avtalen om informasjonssikkerhet mellom NAV og kommunene er det utarbeidet et dokument, "Felles sikkerhetsansvar for Arbeids- og velferdsforvaltningen", som omfatter felles sikkerhetsnormer for Arbeids- og velferdsforvaltningen. Disse sikkerhetsnormene skal sikre felles forståelse mellom stat og kommune i forhold til sikkerhetsnivå ved etablering av felles lokalt kontor. Dokumentet inneholder konkretisering av lovmessige krav som alle enheter i Arbeids- og velferdsforvaltningen bør implementere. Det presiseres at med Arbeids- og velferdsforvaltningen (også omtalt som forvaltningen) menes her summen av 1) statlige enheter og 2) enheter hvor stat og kommune er samlokalisert. Veilederen bør også benyttes i sammenheng med ikke-lovpålagte tjenester (for eksempel trygghetsalarm, dagsenter, hjelpemiddelvurdering og krisesenter). Veileder for helse- og sosialtjenester i kommuner V1.2 Side 5 av 39

6 Kommunen har det overordnete ansvaret for at tjenester ytes. Selve utførelsen settes ofte til private tjenesteytere (f.eks. fastlege eller private sykehjem). Kommunen bør nøye påse at tjenesteyteren følger gjeldende regler innen personvern og informasjonssikkerhet. Kommunen anbefales å ivareta dette ved utforming av kravspesifikasjoner og kontrakter. Det er likevel slik at kommunen ikke har direkte ansvar for personvernet og informasjonssikkerheten internt hos den private tjenesteyteren. Databehandlingsansvaret ligger hos den private tjenesteyteren. I de tilfeller kommunen leier inn personell som dokumenterer i kommunens fagsystem vil kommunen ha det fulle ansvaret (slik den er ansvarlig for kommunens ansatte). Kommunene har en stor grad av frihet når det gjelder intern organisering, kommunesamarbeid mv., også innen personvern og informasjonssikkerhet. Veilederen har ikke til hensikt å legge føringer med tanke på kommunens organisering. I sjekklistene i kapittel 4 er det gjort plass til å nedtegne hvem som innehar hvilket ansvar i den enkelte kommune; dette må kommunen avklare og beslutte i samsvar med sin egen organisering mv. Denne veilederen er bygget opp med en innledning (kapittel 1), en redegjørelse for personvernet og informasjonssikkerhet i kommunene mer generelt (kapittel 2), og en beskrivelse av krav kommunen må etterleve iht. Normen (kapittel 3). Veilederen tar utgangspunkt i etablering, bruk og utfasing av et fagsystem. Bakgrunnen for dette er at fagsystemet ofte viser seg å være utgangspunktet for konkrete personvernutfordringer personellet møter i arbeidshverdagen. Veilederen omfatter både kommunens papirbaserte og elektroniske behandlinger av helse- og personopplysninger, men er altså særlig rettet mot den elektroniske behandlingen i fagsystemene. I kommunene blir det også registrert tjenestedokumentasjon i andre systemer som ikke faller inn under definisjonen fagsystem (f.eks. sak/arkivsystemet). Personvernutfordringene er imidlertid de samme som under fagsystemet. Veilederen søker å være praktisk både for dem med ansvar for å utforme og implementere gode, interne regler for personvern og informasjonssikkerhet, og for dem som i møtet med de registrerte skal bruke systemene i det daglige. Veilederen er utarbeidet i samarbeid med representanter fra sektoren, se nærmere under Målgrupper Denne veilederen er primært rettet mot personell med ansvar, oppgaver og roller i forbindelse med personvern og informasjonssikkerhet innen kommunenes helse- og sosialtjeneste. Eksempler på slikt personell er: Rådmann / øverste administrative leder Kommunalsjef (sosial- og helsedirektør / etatssjef mv.) Avdelingsleder/enhetsleder Sikkerhetskoordinator IT-fagsystemansvarlig Andre som kan ha nytte av veilederen: Veileder for helse- og sosialtjenester i kommuner V1.2 Side 6 av 39

7 Ordfører, politisk ledelse og helse- og sosialutvalg o.l. Private leverandører av kommunale tjenester (f.eks. helse- og sosialtjenester) Personvernombud Databehandler Helse- og sosialpersonell/tjenesteutførende personell Saksbehandler Administrativt personell innen sak/arkiv Den registrerte (søkere og mottakere av helse- og sosialtjenester) Veilederen er uavhengig av kommunal organisering og stillingskategoriene ovenfor er eksempler og vil kunne variere fra kommune til kommune. 1.5 Veilederens forhold til andre dokumenter og veiledere Dokument (for pekere se pkt. 5.1) Normen Støttedokumenter til Normen: Faktaark og veiledere (herunder denne veilederen) Felles sikkerhetsansvar for Arbeids- og velferdsforvaltningen Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet (støttedokument under Normen) Datatilsynets veileder for kommuner og fylkeskommuner Håndbok om helse- og sosialtjenesten i kommunen (HOD/Helsedirektoratet 2008) IPLOS veileder (Helsedirektoratet 2009) Forhold til denne veilederen Overordnet dokument Gir utfyllende veiledning på ulike tematiske områder. Er underordnet Normen Omfatter felles sikkerhetsnormer for Arbeids- og velferdsforvaltningen Gir krav og anbefalinger når kommuner skal tilknyttes helsenettet. Dekker i liten grad personvern og informasjonssikkerhet i helseog sosialtjenesten Datatilsynets veileder må hensyntas når kommuner etablerer løsninger for informasjonssikkerhet og personvern og bør leses i sammenheng med denne veilederen. Gir en oversikt over de viktigste tjenestetilbudene i kommunen og hvilke prinsipper de er basert på. Dekker i liten grad personvern og informasjonssikkerhet. Håndbokens beskrivelse av tjenestetilbudene danner ramme for denne veilederen En veileder for registrering av IPLOSopplysninger for personell i kommunale helse- og sosialtjenester. Dekker i liten grad personvern og informasjonssikkerhet Veileder for helse- og sosialtjenester i kommuner V1.2 Side 7 av 39

8 1.6 Definisjoner 2 Definisjoner er hentet fra Normen. Nye begrep er definert og samlet etter definisjoner fra Normen. Definerte ord er markert i kursiv i teksten. Definisjoner fra Normen Med autentisering menes i Normen prosessen som gjennomføres for å bekrefte en påstått identitet. Med autorisere/autorisert/autorisasjon menes i Normen at en person i en bestemt rolle kan gis eller er gitt bestemte rettigheter til lesing, registrering, redigering, retting, sletting og/eller sperring av helse- og personopplysninger. Autorisasjon kan bare gis i den grad det er nødvendig for vedkommendes arbeid, er begrunnet ut fra tjenstlig behov og er i henhold til bestemmelser om taushetsplikt. Med avvik menes i Normen enhver håndtering av helse- og personopplysninger som ikke utføres i henhold til gjeldende regelverk, retningslinjer og/eller prosedyrer, samt andre sikkerhetsbrudd. Med behandling menes i Normen enhver formålsbestemt bruk av helse- og personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, jf. helseregisterloven 2 nr. 5 og personopplysningsloven 2 nr. 2). Med databehandler menes den som behandler helse- og personopplysninger på vegne av den databehandlingsansvarlige, jf. helseregisterloven 2 nr. 9 og personopplysningsloven 2 nr. 5). Det presiseres at en databehandler er en ekstern person eller virksomhet utenfor den databehandlingsansvarliges virksomhet. Det vil si at den databehandlingsansvarliges egne medarbeidere ikke er dennes databehandlere. Med databehandlingsansvarlig menes den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes, hvis ikke databehandlingsansvaret er særskilt angitt i loven eller i forskrift i medhold av loven, jf. helseregisterloven 2 nr. 8 og personopplysningsloven 2 nr. 4 (her benyttes begrepet behandlingsansvarlig ). Det presiseres at det er virksomheten som er databehandlingsansvarlig for behandling av helseog personopplysninger. Ansvaret skal ivaretas av den daglige ledelsen av virksomheten, og virksomheten er pliktsubjekt. Med elektronisk pasientjournalsystem (EPJ-system) menes i Normen elektroniske systemer med nødvendig funksjonalitet for å registrere, søke frem, presentere, kommunisere, redigere, rette og slette opplysninger i elektronisk pasientjournal (EPJ). Dette inkluderer 2 Det gjøres oppmerksom på at enkelte av definisjonene kan ha et annet meningsinnhold i dagligtalen / andre sammenhenger (f.eks. begrepet integritet) Veileder for helse- og sosialtjenester i kommuner V1.2 Side 8 av 39

9 både radiologisystemer, systemer for somatisk og psykiatrisk journal, pasientadministrative systemer og andre systemer som inneholder helseopplysninger. Med fagsystem menes i Normen en applikasjon eller et IT-system som behandler helse- og personopplysninger. Begrepet systemløsning brukes også om et fagsystem. Eksempler på fagsystem er: pleie- og omsorgsystem (PLO), legekontorsystem og barnevernsystem. Opplysninger i ulike fagsystemer kan både utgjøre elektronisk pasientjournal (EPJ) og annen tjenestedokumentasjon. helse- og personopplysninger benyttes i Normen som en fellesbetegnelse for helseopplysninger og/eller personopplysninger innenfor Normens virkeområde. Med helseopplysninger menes taushetsbelagte opplysninger i henhold til helsepersonelloven 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson, jf. helseregisterloven 2 nr. 1. Med hendelsesregistrering menes i Normen registrering av hendelser i et informasjonssystem, bl.a. med sikte på å forebygge, avdekke og hindre gjentagelse av sikkerhetsbrudd. Med integritet menes i Normen at helse- og personopplysninger må være sikret mot utilsiktet eller uautorisert endring eller sletting. Med konfidensialitet menes i Normen at helse- og personopplysninger må være sikret mot at uvedkommende får kjennskap til opplysningene. Med konfigurasjon menes i Normen informasjonssystemets utforming inklusive både teknisk utstyr og programvare. Med konfigurasjonsendring menes i Normen en endring av informasjonssystemets utforming som følge av installasjon, oppgradering eller fjerning av utstyr eller programvare. Med kvalitet menes i Normen at helse- og personopplysninger må være korrekte, oppdaterte, relevante og tilstrekkelige som grunnlag for å yte helsehjelp. Med Normen menes Norm for informasjonssikkerhet. Andre dokumenter i tilknytning til Normen, som for eksempel faktaark og veiledninger, er ikke omfattet av begrepet. Med personopplysninger menes opplysninger og vurderinger som kan knyttes til en enkeltperson, jf. personopplysningsloven 2 nr. 1. Med registrert/den registrerte menes i Normen den som opplysninger kan knyttes til, jf. personopplysningsloven 2 nr. 6. Eksempler og begreper som brukes om den registrerte er søker, pasient/bruker og tjenestemottaker. En ansatt kan være omfattet av begrepet. Med sikkerhetsnivå 4 menes i Normen to-faktor autentisering hvor en faktor er dynamisk basert på kvalifiserte sertifikater og ellers tilfredsstiller kravene til sikkerhetsnivå 4 i Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor. Veileder for helse- og sosialtjenester i kommuner V1.2 Side 9 av 39

10 Med taushetsplikt menes i Normen lovpålagt eller avtalt plikt til å hindre at andre får adgang eller kjennskap til helse- og personopplysninger, jf. helsepersonelloven 21, helseregisterloven 15, helse- og omsorgstjenesteloven 12-1 og forvaltningsloven 13 til 13e, samt annen informasjon med betydning for informasjonssikkerheten, jf. personopplysningsforskriften 2-9. Taushetsplikt innbefatter både en passiv plikt til å tie og en plikt til aktivt å hindre uvedkommende i å få kunnskap om taushetsbelagte opplysninger. Med tekniske tiltak menes i Normen tiltak av teknisk karakter som ikke kan påvirkes eller omgås av medarbeidere, og ikke er begrenset av handlinger som den enkelte forutsettes å utføre. Eksempler på slike tiltak kan være autentisering på sikkerhetsnivå 4 eller konfigurering av en brannmur slik at den kun tillater bestemt trafikk eller en meldingstjeneste som er laget slik at alle meldinger automatisk blir kryptert. Med tilgang menes i Normen at helse- og personopplysninger om en eller flere bestemte pasienter/brukere er eller gjøres tilgjengelige for autorisert personell. Beslutning om tilgang til behandlingsrettede helseregistre skal treffes etter en konkret vurdering basert på at det ytes helsehjelp til pasienten. Tilgang til fagsystemer i forbindelse med ytelser til pasient/bruker skal iverksettes basert på tjenstlig behov. Tilgang i forbindelse med kvalitetssikring og administrative oppgaver skal også besluttes ut fra tjenstlig behov. Med tilgjengelighet menes i Normen at helse- og personopplysninger som skal behandles, er tilgjengelig til den tid og på det sted det er behov for opplysningene. Med tjenestedokumentasjon menes i Normen dokumentasjon for planlegging, kartlegging, oppfølging og informasjonsutveksling som vedrører tjenestemottakerens søknad, praktiske og medisinske problemer, behov, ressurser, tiltak i form av helsehjelp, hjelpemidler, mm. Sammen med elektronisk pasientjournal (EPJ) vil tjenestedokumentasjonen utgjøre dokumentasjonsplikten etter helsepersonelloven mv. Personer som yter tjenester etter helseog omsorgstjenesteloven har ikke dokumentasjonsplikt når tjenestene som ytes ikke er å anse for helsehjelp. Veileder for helse- og sosialtjenester i kommuner V1.2 Side 10 av 39

11 Nye definisjoner som er brukt i denne veilederen Med EDI (Electronic Data Interchange) menes elektronisk overføring av forretningsdata mellom IT-systemer i standardiserte formater. Med forretningsdata forstås informasjon som elektroniske og strukturerte dokumenter og blanketter. Med interkommunalt selskap menes et selskap opprettet i samsvar med lov 29. januar 1999 nr. 6 om interkommunale selskap. Et samarbeid, f.eks. på informasjonssikkerhetsområdet, mellom flere kommuner og/eller fylkeskommuner hvor alle deltakerne er kommuner, fylkeskommuner (og/eller andre interkommunale selskaper), kan organiseres gjennom et interkommunalt selskap. Et interkommunalt selskap er et selvstendig rettssubjekt og er rettslig og økonomisk adskilt fra deltakerkommunene. Med IPLOS eller IPLOS-registeret menes betegnelsen på et nasjonalt register hvor det oppbevares pseudonymiserte og kvalitetskontrollerte opplysninger om personer som har søkt, mottar eller har mottatt pleie- og omsorgstjenester. Kommunene rapporterer inn data til registeret etter egne prosedyrer. Med samarbeidskommune menes i denne sammenheng kommune som etter avtale har overlatt oppgaver, f.eks. informasjonssikkerhetsoppgaver, til en annen kommune ( vertskommune, se egen definisjon) i samsvar med reglene i kommuneloven kapittel 5. Med sikker sone menes den delen (de delene) av kommunens informasjonssystem som behandler helse- og personopplysninger, hvor kun autoriserte brukere gis tilgang. Med vertskommune menes kommune som etter avtale har påtatt seg å utføre oppgaver, f.eks. på informasjonssikkerhetsområdet, for en annen kommune ( samarbeidskommune, se egen definisjon) i samsvar med reglene i kommuneloven kapittel 5. Veileder for helse- og sosialtjenester i kommuner V1.2 Side 11 av 39

12 2 PERSONVERN OG RETTSIKKERHET 2.1 Overordnet om personvern og rettssikkerhet Den enkeltes rett til å bestemme over bruken over egne personopplysninger, er et sentralt element i personvernet. Personvernreguleringer er nært knyttet til enkeltindividers behov og mulighet for privatliv og selvbestemmelse. Personvernet kommer til uttrykk i lovverket på ulikt vis. Den sentrale lov på personvernområdet er personopplysningsloven. Lovens formål er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. I tillegg finnes det mange særlover og forskrifter som regulerer personvernet og informasjonssikkerheten. Et eksempel er helseregisterloven, som er en særlov for helseregistre og behandling av helseopplysninger. Et annet eksempel er pasient- og brukerrettighetsloven som slår fast at opplysninger om legems- og sykdomsforhold samt andre personlige opplysninger skal behandles i samsvar med gjeldende bestemmelser om taushetsplikt. Opplysningene skal behandles med varsomhet og respekt for integriteten til den opplysningene gjelder. Elektronisk behandling av opplysninger gir muligheter, men skaper også utfordringer for personvernet og informasjonssikkerheten i kommunene. Elektronisk behandling medfører blant annet at opplysningene enklere og raskere kan gjøres tilgjengelig både internt og eksternt. Dette er en fordel for den registrerte, forutsatt at opplysningene kun gjøres tilgjengelig for rett vedkommende til rett tid. Elektronisk behandling medfører imidlertid et nytt trusselbilde mot opplysningene. Det er derfor behov for opplæring, konkrete prosedyrer og teknologi som gir tillit til at personvernet, taushetsplikten og informasjonssikkerheten er tilfredsstillende ivaretatt. Spesielt om personvernombud: En del kommuner har utnevnt eget personvernombud. Ombudet, som godkjennes av Datatilsynet, skal være en ressursperson innen personvern og informasjonssikkerhet, og det anbefales at kommunene samarbeider med ombudet - i fall et ombud er utpekt - om de spørsmål som reiser seg i arbeidet med denne veilederen. Faktaark 35 - Personvernombud gir mer veiledning. Veileder for helse- og sosialtjenester i kommuner V1.2 Side 12 av 39

13 2.2 Rettigheter og plikter Den registrertes rettsikkerhet i personvernsammenheng er ivaretatt gjennom et sett ulike rettigheter og plikter Taushetsplikten Personellet som behandler helse- og personopplysninger i kommunen, vil være underlagt regler om taushetsplikt. Dette sikrer at den registrerte kan være trygg på at informasjonen ikke blir gitt videre til uvedkommende. Taushetsplikten følger av en rekke ulike bestemmelser, avhengig av hvilket virksomhetsområde personellet arbeider innenfor. Helsepersonell er bundet av taushetsplikten som følger av helsepersonelloven. Personell innenfor sosialtjenesten er bundet av forvaltningslovens og helse- og omsorgstjenestelovens taushetspliktsregler. Helse- og sosialpersonell har som hovedregel taushetsplikt om pasient-/klientforhold. Det finnes flere unntak fra taushetsplikten. Bl.a. kan pasienten samtykke til at opplysninger gis til andre. Det finnes også lovpålagte krav om innrapportering av helse- og personopplysninger til sentrale registre, f.eks. IPLOS-registeret. Også i andre tilfeller - for eksempel ved akutt fare for liv og helse - kan helse- og sosialpersonell fravike taushetsplikten. Kommunen skal legge til rette for at alle medarbeidere til enhver tid er bevisst taushetspliktens innhold og omfang. Kommunen skal sørge for praktiske løsninger (inkludert teknologiske) som gjør at taushetsplikten kan etterleves av medarbeiderne Informasjonsplikten Hovedregelen er at den databehandlingsansvarlige, dvs. kommunen, har plikt til å gi informasjon til den registerte om hva som registreres. Når en kommune registrerer helse- og personopplysninger om noen i et fagsystem eller andre systemer for tjenestedokumentasjon, skal derfor den registrerte være informert om at registreringen skjer. Bare ved å være informert om registreringen, vil den registrerte være i stand til å ivareta sine rettigheter. Den personen som registrerer på vegne av kommunen skal forsikre seg om at den som skal registreres på forhånd har fått informasjon om registeret og om hva som registreres. Den registrerte skal ha informasjon om sine rettigheter knyttet til samtykke, reservasjon, innsyn, retting og sletting Informert samtykke Å behandle helse- og personopplysninger krever et grunnlag. Uten grunnlag vil behandlingen av opplysningene ikke være lovlig. Et slikt grunnlag kan finnes i lov / forskrift eller ved at den registrerte samtykker i registreringen. Kommunen har som hovedregel bare rett til å behandle opplysninger, dersom den registrerte samtykker til det. Veileder for helse- og sosialtjenester i kommuner V1.2 Side 13 av 39

14 Det følger imidlertid av en rekke rettsregler at kommunen kan behandle helse- og personopplysninger uten samtykke. F.eks. følger det av helsepersonelloven at personellet skal føre journal. Journalføringsplikten er derfor et eksempel på et behandlingsgrunnlag som følger av lov. Den registrerte kan ikke motsette seg at helse- og personopplysninger blir journalført hvis helsehjelpen mottas; personellets journalføringsplikt går foran den enkeltes individuelle rett til å samtykke i/nekte registreringen. Det følger av IPLOS-forskriften at de pseudonymiserte opplysningene i IPLOS-registeret kan samles inn uten samtykke. Ofte vil samtykket være stilltiende. I de tilfellene der en f.eks. søker om en sosialtjeneste, vil dette av kommunen bli oppfattet som at en godtar at de opplysningene som er nødvendige i saksbehandlingen, kan registreres. I de tilfellene der en ikke kan legge til grunn noe stilltiende samtykke, og det heller ikke finnes noe grunnlag i loven som tillater registrering av helse- og personopplysninger, skal kommunen forvisse seg om at den registrerte har gitt et informert samtykke til registreringen, før registreringen skjer. At samtykket er "informert" betyr at det foreligger en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv. Loven stiller ikke noe krav om at et informert samtykke skal foreligge skriftlig. Men skriftlighet er ofte hensiktsmessig med tanke på eventuell klagebehandling, etterfølgende uenighet om omfanget av samtykket mv. I enkelte sammenhenger, spesielt der den registrerte mangler samtykkekompetanse, er det de pårørende eller verge/hjelpeverge som må samtykke på vegne av den registrerte. Den registrerte har rett til både å gi og å tilbakekalle samtykke etter eget valg. Den registrerte har ikke noen plikt til å begrunne valget Rett til reservasjon Reservasjonsretten er aktuell i forbindelse med IPLOS, der den registrerte har mulighet til å reservere seg mot at diagnoseopplysninger sendes fra kommunen til IPLOS-registeret. Den som registrerer (saksbehandler/det enkelte personell) skal informere om reservasjonsretten. Denne reservasjonsretten berører ikke det generelle regelverket rundt utveksling av nødvendige og relevante opplysninger mellom samarbeidende helsepersonell, altså innhenting og håndtering av helse- og personopplysninger som skjer i forkant av IPLOS-rapporteringen. Her ligger allerede krav til samtykke, jfr. taushetspliktbestemmelsene i helsepersonelloven. I de tilfeller der diagnoseopplysninger foreligger i kommunens dokumentasjon, skal de sendes inn til IPLOS-registeret dersom ikke den enkelte reserverer seg Rett til innsyn En sentral rettighet er retten til innsyn i opplysningene som er lagret om en selv. Som hovedregel har den registrerte krav på et slikt innsyn. Det følger f.eks. av pasient- og brukerrettighetsloven at pasienten vanligvis har innsyn i egen EPJ. Veileder for helse- og sosialtjenester i kommuner V1.2 Side 14 av 39

15 2.2.6 Rett til å kreve retting og sletting Den registrerte kan i en rekke sammenhenger kreve at feil i helse- og personopplysningene om en selv, blir rettet eller slettet. F.eks. følger det av pasient- og brukerrettighetsloven at den registrerte kan kreve at mangelfulle, feilaktige eller utilbørlige helse- og personopplysninger eller utsagn blir rettet. Veileder for helse- og sosialtjenester i kommuner V1.2 Side 15 av 39

16 3 INFORMASJONSSIKKERHET I FAGSYSTEMENE I dette kapitlet beskrives krav og anbefalinger for å ivareta personvernet, taushetsplikten og informasjonssikkerheten når et fagsystem skal etableres, er i bruk og ved eventuell utfasing. I det følgende brukes både "skal" og "bør" i tilknytning til kravene. Skal-krav er absolutte krav og gjengitt i Normen, mens bør-krav er å oppfatte som anbefalinger. 3.1 Krav til informasjonssikkerhet før etablering av fagsystem Her beskrives krav og anbefalinger som kommunen må ivareta ved etablering av fagsystemet. Ved etablering menes nyetablering, bytte av leverandør, vesentlige omlegginger av eksisterende systemer mv Oppdatere styringssystem for informasjonssikkerhet Etter Normen plikter kommunen å opprette et styringssystem for informasjonssikkerhet. Et styringssystem angir aktiviteter for å rettlede og styre kommunen og er basert på alminnelige internkontrollprinsipper. Kravene og anbefalingene som er angitt i dette kapitelet er normalt en del av dette styringssystemet. Mange kommuner vil allerede ha et styringssystem. I så fall er det viktig at det er samsvar mellom det eksisterende styringssystemet og arbeidet med personvern og informasjonssikkerhet i kommunens ulike fagsystemer. Kommunen må selv endre styringssystemet i den grad innføring av fagsystemene reiser behov for det. For etablering av styringssystemet vises det til Normen og til Faktaark 2 Styringssystem for informasjonssikkerhet Påse at sikkerhetsmål og -strategi er ivaretatt Kommunen skal ha vedtatt sikkerhetsmål og -strategi. Ved etablering av fagsystemet må kommunen påse at den aktuelle etableringen er i tråd med sikkerhetsmålene og -strategien. Gjennom sikkerhetsmålene og -strategien skal følgende punkter ivaretas konkret med tanke på fagsystemet som skal innføres: all registrering og bruk av helse- og personopplysninger skal skje etter et definert formål og etter et informert samtykke fra den registrerte, evt. annet lovlig grunnlag for registreringen all behandling av helse- og personopplysninger i fagsystemer skal skje på bakgrunn av et hjemmelsgrunnlag all tilgang til helse- og personopplysninger i fagsystemet skal foregå via en personlig identifikasjon av den enkelte ansatte eller bruker utstyr som benyttes til behandling av helse- og personopplysninger i fagsystemet skal sikres mot uautorisert tilgang alle som har tilgang til fagsystemet skal ha signert taushetserklæring Veileder for helse- og sosialtjenester i kommuner V1.2 Side 16 av 39

17 I sikkerhetsmålene og -strategien bør kommunen videre avveie og omtale følgende: sikkerhetsarkitektur for å ivareta Normens krav om minst to uavhengige tekniske tiltak, slik at personer utenfor virksomheten uansett ressurser og kunnskap ikke skal kunne få tilgang til og/eller kunne endre eller slette helse- og personopplysninger bruk av databehandler (f.eks. gjennom vertskommune eller interkommunale selskap) Definere ansvar og roller Rådmannen / øverste administrative leder er hovedansvarlig for personvernet og informasjonssikkerheten i kommunen. Oppgavene blir imidlertid normalt delegert. Ved innføring av et fagsystem må det derfor defineres hvem som i det daglige er ansvarlig for de ulike oppgavene i tilknytning til fagsystemet. Ved innføring av et fagsystem må kommunen definere ansvar og roller, herunder hvem som er databehandlingsansvarlig. I sjekklisten i pkt. 5.3 er det gitt plass til å nedtegne ansvaret. Faktaark 1 - Ansvar og organisering gir mer veiledning Identifisere og beskrive formålet med behandling av helse- og personopplysninger Når kommunen skal etablere et nytt fagsystem, er det viktig å identifisere og beskrive lovgrunnlaget for behandlingen(e) som skal skje i fagsystemet. Lovgrunnlaget kan finnes i helse- og omsorgstjenesteloven, helsepersonelloven mv. og ut fra lovbestemmelsen, må den konkrete behandlingen beskrives. På etats-/avdelingsnivå må kommunen beskrive formålet med behandlingen(e) av helse- og personopplysninger som det aktuelle fagsystemet skal brukes til. Eksempler på formål fremgår av tabellen under pkt I kommunens komplekse hverdag er et konkret fagsystem ofte brukt til flere behandlinger. Dette kan medføre at det er flere lovgrunnlag for ett og samme fagsystem. I så fall et det meget viktig at tilgangsstyring sikrer at personvernet og taushetsplikten blir ivaretatt (se nærmere under pkt ). Kommunen kan ikke benytte helse- og personopplysninger registrert for en behandling til andre behandlinger, hvis formålene med behandlingene er forskjellig. Kommunen skal føre oversikt over alle behandlinger av helse- og personopplysninger. Det kan være et omfattende arbeid. Eksempelet i tabellen i pkt. 5.3 gir hjelp til kartleggingen. Kommunen kan imidlertid ha ikke-lovpålagte tjenester i tillegg til de som fremkommer av tabellen i pkt Disse tjenestene må i så fall også føyes til i oversikten. Ved innføring av et nytt fagsystem skal oversikten oppdateres med følgende informasjon: Tjenesteområde (eller tjenesteområdene om fagsystemet skal brukes til flere behandlinger) Formål(ene) med behandlingen Kategorier av personopplysninger (sensitive/ikke-sensitive) Ansvarlig for fagsystemet Navn på fagsystem/typebetegnelse (leverandørnavn, kommunens interne navn på fagsystemet mv.) Veileder for helse- og sosialtjenester i kommuner V1.2 Side 17 av 39

18 Evt. melde- eller konsesjonsplikt Evt. databehandler må imidlertid påse at sikkerhetskravene omkring planen minst ligger på samme sikkerhetsnivå som behandlingene opplysningene hentes fra. På denne måten blir det samsvar mellom informasjonssikkerheten i det enkelte fagsystem og for planen Etter nærmere regler i pasientjournalforskriften 8, bokstav n), skal individuell plan være en del av pasientjournalen Fastsette akseptkriterier og gjennomføre risikovurdering av fagsystemet Kommunen skal på forhånd ha fastsatt kriterier for akseptabel risiko. Med akseptabel risiko menes hvor stor risiko kommunen kan akseptere for at det inntreffer en hendelse som kan forårsake brudd på konfidensialitet, tilgjengelighet, integritet eller kvalitet for helse- og personopplysninger. Risikoens størrelse avhenger av sannsynligheten for at hendelsen inntreffer og konsekvensene av hendelsen. Ved utarbeidelse av nivå for akseptabel risiko bør en ta utgangspunkt i en skala for konsekvens og sannsynlighet. Gjennom en vurdering av hvilke type konsekvenser virksomheten ikke kan akseptere fastsettes betydningen av skalaen (for eksempel 1 til 4 - ubetydelig til kritisk). Samme vurdering gjøres for sannsynlighetsskalaen (for eksempel 1 til 4 - usannsynlig til sannsynlig). Faktaark 5 Fastsettelse av akseptkriterier for tilgjengelighet, konfidensialitet, integritet og kvalitet gir mer veiledning. Det nye fagsystemet skal risikovurderes opp mot fastlagte akseptkriterier. Om risikovurderingen viser at fagsystemet har uakseptabel risiko skal fagsystemet ikke etableres før risikoreduserende tiltak er iverksatt. Gjennom risikovurderingen må kommunen vurdere hensynet til personvernet opp mot hensynet til å kunne yte helse- og sosialtjenester på en effektiv måte. Ofte vil det være en konflikt mellom hensynet til tilgjengelighet for helse- og personopplysninger og hensynet til konfidensialitet for de samme opplysningene. Begge hensyn er legitime, og den konkrete avveiningen mellom dem må være hensiktsmessig; ytterligheter i begge retninger er uheldig. Ut fra risikovurderingen må kommunen iverksette tiltak ut fra prinsippene om forholdsmessig sikring. Følgende momenter kan være aktuelle å risikovurdere ved etablering av et fagsystem: uønskede hendelser og mulige konsekvenser knyttet til at ulike behandlinger legges i samme fagsystem eller andre systemer for tjenestedokumentasjon uautorisert tilgang til og bruk av fagsystemet bruk av minnepinne (innebærer f.eks. risiko for ondsinnet programvare og helse- og personopplysninger på avveie) eventuelle svakheter ved tilgangsstyringen, spesielt når fagsystemet inneholder flere behandlinger (skal hindre uautorisert tilgang) risiko knyttet til bortlåning av ID og passord sikring slik at uautoriserte personer utenfor virksomheten, uansett ressurser og kunnskap, ikke skal kunne få tilgang til og/eller kunne endre eller slette helse- og personopplysninger at data kan tilbakekopieres fra sikkerhetskopier om data blir slettet eller blir inkonsistente Veileder for helse- og sosialtjenester i kommuner V1.2 Side 18 av 39

19 tiltak som skal sikre at avvik oppdages (f.eks. gjennom hendelsesregistrering) for øvrige tekniske tiltak, se Datatilsynets veileder for kommuner og fylkeskommuner Selv om kommunen har satt enkelte oppgaver/tjenester ut til en databehandler eller en driftsleverandør, er kommunen ansvarlig for å risikovurdere også disse områdene. Men kommunen kan gjerne få databehandleren/driftsleverandøren til å gjennomføre risikovurderingen, f.eks. ved at dette er tatt inn som et krav i avtale med databehandler og/eller driftsleverandør. Faktaark 7 Risikovurderinger gir mer veiledning Etablere tekniske løsninger Når et fagsystem for behandling av helse- og personopplysninger skal etableres må kommunen ivareta en rekke krav til tekniske løsninger. Fagsystemene bør ligge på sikker sone i samsvar med anbefalingene i Datatilsynets Veileder for kommuner og fylkeskommuner. Overføring av helse- og personopplysninger i åpne nett skal krypteres. Krypteringen skal gjøres fra kommunens sikre sone til kommunikasjonspartnerens nettverkssone hvor helse- og personopplysninger behandles. Eksempler på områder som krever kryptering: når kommunen benytter datalinjer som den selv ikke har full kontroll over sending av EDI-meldinger til kommunikasjonsparter, f.eks. gjennom helsenettet uttrekk av opplysninger som skal sendes til IPLOS-registeret bruk av mobilt utstyr (f.eks. i hjemmesykepleie) hjemmekontor med tilgang til helse- og personopplysninger Følgende dokumenter gir mer veiledning: Datatilsynets veileder for kommuner og fylkeskommuner Faktaark 24 Kommunikasjon over åpne nett Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veileder for fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet Oppdatere konfigurasjonskontroll og dokumentasjon Kommunen skal gjennom konfigurasjonskontroll ha oversikt over alt utstyr og programvare som benyttes i behandlingen av helse- og personopplysninger. Når fagsystemet etableres må det innlemmes i konfigurasjonsoversikten. Kommunen må etablere en prosedyre for godkjenning av konfigurasjonsendringer og oppdatering av dokumentasjonen når det gjøres endringer. Når en vertskommune eller et interkommunalt selskap benyttes, skal konfigurasjonskartet vise dette. Dokumentasjonen bør inneholde: et konfigurasjonskart som bør ha et detaljeringsnivå som viser: fysiske/logiske nettverk og deres inndeling i ulike nettverkssoner, TCP/IP-adresser, VLAN, brannmurer, rutere, servere (logiske og/eller fysiske), eksterne kommunikasjonsliner, kryptering og evt. VPN i konfigurasjonskartet bør det klart fremkomme hvor det aktuelle fagsystemet er plassert i tilknytning til konfigurasjonskartet bør det utarbeides en tekstlig beskrivelse som viser logiske elementer og konfigurasjonsparametre som er vanskelig å visualisere i en tegning Veileder for helse- og sosialtjenester i kommuner V1.2 Side 19 av 39

20 3.1.8 Etablere prinsipper og prosedyrer for tilgangsstyring Prinsippene for tilgangsstyringen til fagsystemet skal baseres på at tilgang skal tildeles medarbeiderne etter roller og arbeidsoppgaver. Medarbeiderens rolle skal likevel ikke alene gi tilgang til helse- og personopplysninger og bruk av fagsystemet. Tilgang til helse- og personopplysninger skal i utgangspunkt kun gis i den grad dette er nødvendig for å yte tjenesten og i den grad den registrerte ikke motsetter seg det. Tilgangsstyringen skal baseres på de beslutninger som tas om helsehjelp eller sosiale ytelser til den registrerte. En slik beslutningsstyrt tilgang skiller seg fra den tradisjonelle rollebaserte tilgangsstyringen. Forskjellen ligger i at det konkrete engasjementet overfor den registrerte avgjør omfanget av tilgangen som skal gis - og ikke rollen til helse- og sosialpersonellet. Personellets rolle i kommunen er imidlertid avgjørende for hvilke tiltak om helse- eller sosialhjelp vedkommende medarbeider kan ta del i. For kommunen kan det være en utfordring å etablere riktig tilgangsstyring når det er flere behandlinger/formål i samme fagsystem. Ut fra prinsippene om forholdsmessig sikring skal kommunen, basert på en risikovurdering, etablere tiltak og prosedyrer for tildeling, administrasjon og kontroll av tilgangsrettigheter (autorisasjon) ved bruk av fagsystemet. Faktaark 14 - Tilgangsstyring gir mer veiledning Etablere prosedyrer for elektronisk samhandling med eksterne Det er behov for samhandling med eksterne parter, f.eks. for å få til et helhetlig og godt diagnostiserings-, behandlings- og oppfølgningsforløp. Dette vil vanligvis innebære utlevering av helse- og personopplysninger til eksterne, og kommunen må etablere prosedyrer for å sikre at personvernet og taushetsplikten blir ivaretatt når helse- og personopplysninger fra kommunens fagsystem utleveres til andre. I prosedyrer skal det fremkomme hvem som er ansvarlig for den enkelte elektroniske samhandlingen. Ansvaret bør følge de samme ansvarslinjene som for behandlingene. Taushetspliktsbestemmelsene vil være førende for i hvilken grad opplysninger kan utleveres til andre. Når det gjelder helseopplysninger vil det kun være anledning til å utlevere disse til annet helsepersonell, og dersom opplysningene er nødvendig for å kunne yte helsehjelp. Aktuelle eksterne samhandlingspartnere: Andre kommuner Pårørende Offentlige helseforetak (f.eks. somatiske sykehus, distriktspsykiatrisk senter (DPS), barnehabilitering og rusinstitusjoner) Private helseforetak (f.eks. rehabilitering og opptrening) Laboratorier Asyl- og flyktningemottak (UDI) Politiet NAV Fylkeskommunale organer Røntgeninstitutter Fysikalske institutter Veileder for helse- og sosialtjenester i kommuner V1.2 Side 20 av 39

21 Apotek Hjelpemiddelsentral (som organisatorisk er en del av NAV) Ved samhandling gjennom Norsk Helsenett (f.eks. med EDI-meldinger) skal alle samarbeidspartnere følge Normen. Mer informasjon finnes i Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet og på Norsk Helsenetts hjemmeside (www.nhn.no) Etablere prosedyrer for intern samhandling Kommunen vil ofte ha behov for samhandling internt mellom kommunens ulike tjenester og fagsystemer. Eksempler kan være barneverntjeneste, pedagogisk psykologisk rådgivningstjeneste (PPT), skoler, fysioterapitjeneste, helsestasjonstjeneste og legevakttjeneste. Taushetsplikten vil være førende for samhandlingen. Helsepersonelloven har ingen unntaksbestemmelse som åpner for utlevering av helseopplysninger i forbindelse med samhandling internt mellom kommunens ulike tjenester. Slik samhandling må bygge på den enkelte pasients samtykke. På samme måte som for eksterne samarbeidspartnere (se pkt ), skal det etableres prosedyrer der det fremkommer hvem som er ansvarlig for den enkelte elektroniske samhandlingen. Ansvaret bør følge de samme ansvarslinjene som for behandlingene Etablere hendelsesregistrering Kommunen skal ha etablert hendelsesregistre og prosedyrer for hendelsesregistrering, slik at den har en overordnet oversikt over aktiviteten i fagsystemet. Dermed kan avvik oppdages. Ved etablering av et nytt fagsystem må kommunen sikre at hendelsesregistrering blir iverksatt iht. kommunens prosedyrer. Følgende hendelser bør registreres: Tildeling av tilganger Bruk av tilganger Uautorisert eller forsøk på uautorisert bruk av tilganger Bruk av nødrettstilgang Hendelsesregistret bør oppbevares i minst 2 år i elektronisk form. Faktaark 15 - Hendelsesregistrering og oppfølging gir mer veiledning Etablere prosedyrer for håndtering av utskrifter Utskrifter fra fagsystemet vil ofte inneholde helse- og personopplysninger. Det må derfor allerede ved etableringen utarbeides prosedyrer for hvordan utskrifter håndteres. Dette kan også løses med tekniske virkemidler (bruk av magnetkort/pinkode, utskriftskøer slettes etter en viss periode e.l.) eller at skrivere plasseres i separate rom med tilgang kun for autorisert personell. I forbindelse med utskrifter bør det etableres prosedyrer og tekniske hjelpemidler for makulering. Veileder for helse- og sosialtjenester i kommuner V1.2 Side 21 av 39

22 Etablere prosedyrer for å ivareta sentrale rettigheter for den registrerte Kommunen må etablere enkle og praktiserbare prosedyrer for å etterleve sine plikter knyttet til den registrertes personvern og rettssikkerhet. Prosedyrene skal: ivareta taushetsplikten ivareta informasjonsplikten (f.eks. ved å legge ut informasjon på kommunenes hjemmesider) ivareta informert samtykke ivareta retten til reservasjon, herunder sørge for at det enkelte personell gir opplysning om den reservasjonsretten som den registrerte måtte ha ivareta retten til innsyn ivareta retten til retting og sletting Gjennomføre opplæring Det er meget sentralt at kommunen gir adekvat opplæring i informasjonssikkerhet til alle som bruker og/eller drifter fagsystemene. Opplæringen må gjennomføres før fagsystemet tas i bruk. Kommunen må avsette ressurser til videreopplæring, slik at kunnskapen kan bli vedlikeholdt. Eksempler på temaer som opplæringen bør omfatte: formålet med fagsystemet formål med bruk av opplysningene utover rent tjenstlige behov, f.eks. lokal statistikk hvordan ivareta personvernet (taushetsplikt, informasjonsplikt, informert samtykke, reservasjon, innsyn, retting og sletting) tilgangsstyring funksjonell bruk av fagsystemet regler og krav ved utlevering av informasjon til andre Opplæringen kan gjerne skje i samarbeid med leverandør. Faktaark 9 - Opplæring av ledere og medarbeidere gir mer veiledning Etablere prosedyrer for avviksbehandling Kommunen skal ha prosedyrer for hvordan avvik oppdages og håndteres. Prosedyrene skal også dekke håndtering av avvik i forbindelse med samhandling internt og overfor eksterne parter (for eksempel andre kommuner, private tjenesteytere med videre). Faktaark 8 Avviksbehandling gir mer veiledning Håndtere kommunesamarbeid i forbindelse med felles fagsystem I forbindelse med kommunesamarbeid er det sentralt å ha definert roller og oppgaver, herunder hvem som er databehandlingsansvarlig for hvilke opplysninger på en tydelig måte. Den kommunen som tar på seg oppgaver for andre kommuner kalles for en vertskommune. De kommunene som overlater oppgaver til vertskommunen, kalles samarbeidskommuner. Veileder for helse- og sosialtjenester i kommuner V1.2 Side 22 av 39

Veileder i personvern og informasjonssikkerhet for helse- og omsorgstjenester i kommuner

Veileder i personvern og informasjonssikkerhet for helse- og omsorgstjenester i kommuner Veileder i personvern og informasjonssikkerhet for helse- og omsorgstjenester i kommuner Veilederen er et støttedokument til Norm for informasjonssikkerhet www.normen.no Utgitt med støtte av: Versjon 2.0

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud Helseopplysninger på tvers - rammer for deling og tilgang HelsIT 15. oktober 2014 Marius Engh Pellerud Hva er personvern? 18.06.2014 Side 2 Retten til privatliv Selvbestemmelse Rett til å vite og forstå

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Bruk av databehandler (ekstern driftsenhet)

Bruk av databehandler (ekstern driftsenhet) Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Bruk av databehandler (ekstern driftsenhet) Støttedokument Faktaark nr 10 Versjon: 4.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang

Detaljer

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Kapittel 1. Generelle bestemmelser 1.Lovens formål Formålet med loven er at behandling av helseopplysninger skal skje

Detaljer

Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag. Tor Ottersen

Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag. Tor Ottersen Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag Tor Ottersen Bakgrunn Helse-, sosial- og omsorgssektoren er: Enorm både i antall årsverk og omsetning Organisatorisk fragmentert Har

Detaljer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. www.normen.no 1

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. www.normen.no 1 Introduksjonskurs til Normen Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS 1 Innhold 1. Litt om personvern og informasjonssikkerhet 2. Norm for informasjonssikkerhet 3. Risikovurdering 4.

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten - en veileder Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 2.0 www.normen.no

Detaljer

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN LÆRINGS- og GJENNOMFØRINGSPLAN Fagkurs i informasjonssikkerhet og personvern for kommuner basert på Normen Planen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.

Detaljer

Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet

Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veilederen er et støttedokument til Norm for informasjonssikkerhet www.normen.no Utgitt med støtte av: Versjon

Detaljer

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN LÆRINGS- og GJENNOMFØRINGSPLAN Fagkurs i informasjonssikkerhet og personvern for kommuner basert på Normen Planen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.1

Detaljer

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten - en veileder Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.3 www.normen.no

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner Velkommen til Fagkurs i informasjonssikkerhet basert på Normen for kommuner 1 Mål for fagkurset (1) Deltakerne skal etter gjennomføring av kurset: Ha kunnskap om og kunne formidle hvorfor ivaretakelse

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet

Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veilederen er et støttedokument til Norm for informasjonssikkerhet i helsesektoren Utgitt med støtte av:

Detaljer

Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Norm for informasjonssikkerhet Helse, omsorgs og sosialsektoren Utgitt med støtte av: Oslo, 2010 FORORD Stadig mer av arbeidet i helsesektoren er basert på elektronisk behandling av pasientenes opplysninger.

Detaljer

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Personvernombud Støttedokument Faktaark nr. 35 Versjon: 2.1 Dato: 15.12.2010 Målgruppe Dette faktaarket er spesielt relevant for: Ansvar

Detaljer

Personvern og informasjonssikkerhet for legekontorer

Personvern og informasjonssikkerhet for legekontorer Personvern og informasjonssikkerhet for legekontorer - en veileder Veilederen er et støttedokument til Norm for informasjonssikkerhet i helsesektoren Utgitt med støtte av: Versjon 1.1 www.normen.no INNHOLD

Detaljer

IS-7/2006. Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler

IS-7/2006. Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler IS-7/2006 Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler Heftets tittel: Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN Norm for informasjonssikkerhet Helse- og omsorgstjenesten Tor Ottersen HVA - HVORFOR - HVORDAN Hva er Normen Et omforent sett av adferdsregler og tiltak Besluttet og forvaltet av sektoren, forankret i

Detaljer

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Rapport informasjonssikkerhet Helgelandssykehuset 2015 Rapport informasjonssikkerhet Helgelandssykehuset 2015 1. Innledning I Oppdragsdokumentet 2015 punkt 4.4. Beredskap, er et av punktene: Området informasjonssikkerhet med tilhørende status på ROS [1] -analyser

Detaljer

mellom leverandør og virksomhet

mellom leverandør og virksomhet Veileder for fjernaksess mellom leverandør og virksomhet Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 2.0 www.normen.no INNHOLD 1 INNLEDNING... 4 1.1

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Vår ref: 09/4568 /TLB

Vår ref: 09/4568 /TLB // Arbeids- og inkluderingsdepartementet Postboks 8019 Dep 0030 Oslo ARBEIDS OG tnkluder1nusuepammentet MOTTATT 0'4JUN2009 Deres ret 200901113/MCH Vår ref: 09/4568 /TLB Vår dato: 29.05.2009 Høringskommentarer

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Pasientjournaler i kommunehelsetjenesten unntatt fra alle regler? Rådgiver Janicken E. Olsen, IKA Troms. Kontaktseminar 2015 Tromsø 21.05.

Pasientjournaler i kommunehelsetjenesten unntatt fra alle regler? Rådgiver Janicken E. Olsen, IKA Troms. Kontaktseminar 2015 Tromsø 21.05. Pasientjournaler i kommunehelsetjenesten unntatt fra alle regler? Rådgiver Janicken E. Olsen, IKA Troms Kontaktseminar 2015 Tromsø 21.05.15 Program Avgrensing og definisjon Pasientjournaler og lovverket

Detaljer

Video-, lyd- og bildeopptak i helse- og omsorgssektoren - en veileder

Video-, lyd- og bildeopptak i helse- og omsorgssektoren - en veileder Video-, lyd- og bildeopptak i helse- og omsorgssektoren - en veileder Veilederen er et støttedokument til Norm for informasjonssikkerhet www.normen.no Utgitt med støtte av: Versjon 1.0 INNHOLD 1 INNLEDNING...

Detaljer

Personvern og informasjonssikkerhet for apotek

Personvern og informasjonssikkerhet for apotek Personvern og informasjonssikkerhet for apotek - en veileder Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av Versjon 1.1 www.normen.no INNHOLD 1 INNLEDNING... 5

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Det må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning.

Det må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning. Policydokument nr. 3/2011 Etablering og bruk av helseregistre Legeforeningen arbeider for å bedre kvaliteten i helsetjenesten og for en helsetjeneste som er mest mulig lik for alle. Bruk av valide og kvalitetssikrede

Detaljer

Datasikkerhet internt på sykehuset

Datasikkerhet internt på sykehuset Datasikkerhet internt på sykehuset DRG Konferansen 11. mars 2009 Informasjonssikkerhetsleder Jan Gunnar Broch Sykehuset Innlandet HF Agenda Informasjonssikkerhet; Hva, hvorfor og hvordan Hvordan håndterer

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01090 Dato for kontroll: 04.12.2013 Rapportdato: 22.05.2014 Endelig kontrollrapport Kontrollobjekt: Drammen Helsehus Sted: Drammen Utarbeidet av: Camilla Nervik Grete Alhaug Marius Engh

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

Tjenesteavtale nr. 9. mellom. Berlevåg kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt

Tjenesteavtale nr. 9. mellom. Berlevåg kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt Tjenesteavtale nr. 9 mellom Berlevåg kommune og Helse Finnmark HF Om Samarbeid om IKT-løsninger lokalt Parter Denne avtalen er inngått mellom Berlevåg kommune og Helse Finnmark HF Bakgrunn Denne tjenesteavtalen

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Personvern og informasjonssikkerhet i kontakten med pasient/bruker Personvern og informasjonssikkerhet i kontakten med pasient/bruker En veileder i bruk av portalløsninger, SMS og e-post Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte

Detaljer

Helse- og omsorgsdepartementet Kultur- og kirkedepartementet. Deres ref Vår ref Dato 200605006-/EMK 09.01.2007

Helse- og omsorgsdepartementet Kultur- og kirkedepartementet. Deres ref Vår ref Dato 200605006-/EMK 09.01.2007 Helse- og omsorgsdepartementet Kultur- og kirkedepartementet De regionale helseforetakene Alle kommunene Alle fylkeskommunene Deres ref Vår ref Dato 200605006-/EMK 09.01.2007 Forholdet mellom lovbestemt

Detaljer

Side 1 av 5. Storgata 38 0182 Oslo. Helse- og omsorgsdepartementet Postboks 8011 Dep. 0030 Oslo

Side 1 av 5. Storgata 38 0182 Oslo. Helse- og omsorgsdepartementet Postboks 8011 Dep. 0030 Oslo Side 1 av 5 Mental Helse Storgata 38 0182 Oslo 1. oktober 2013 Helse- og omsorgsdepartementet Postboks 8011 Dep. 0030 Oslo HØRINGSSVAR: FORSLAG TIL NY PASIENTJOURNALLOV OG NY HELSEREGISTERLOV Generelt:

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet Velferdsteknologi og personvern Camilla Nervik, Datatilsynet Datatilsynet http://itpro.no/artikkel/20499/vipps-deler-din-kundeinformasjon-medfacebook/ http://e24.no/digital/undlien-vil-skape-medisiner-tilpasset-dine-gener-uioprofessor-vil-digitalisere-genene-dine/23608168

Detaljer

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18. Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.september 2012 Om Datatilsynet Et forvaltningsorgan med stor grad av faglig uavhengighet

Detaljer

Personvern i Dødsårsaksregisteret Lysebu, 7. november 2011

Personvern i Dødsårsaksregisteret Lysebu, 7. november 2011 Personvern i Dødsårsaksregisteret Lysebu, 7. november 2011 Hva betyr egentlig personvern? Enkeltindividets rett til å bestemme over seg selv og sin egen kropp og retten til kontrollere hvem som skal få

Detaljer

Høringsuttalelse - Forslag til ny kommunal helse- og omsorgslov

Høringsuttalelse - Forslag til ny kommunal helse- og omsorgslov Helse- og Omsorgsdepartementet Postboks 8011 Dep 0030 Oslo Deres ref. Deres dato Vår ref. Vår dato 200903950-/ATG 18.10.2010 010/11ToNy 13.01.2011 Høringsuttalelse - Forslag til ny kommunal helse- og omsorgslov

Detaljer

Veileder i. Personvern og informasjonssikkerhet -medisinsk utstyr

Veileder i. Personvern og informasjonssikkerhet -medisinsk utstyr Veileder i Personvern og informasjonssikkerhet -medisinsk utstyr Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.0 www.normen.no INNHOLD 1 INNLEDNING...

Detaljer

Hvordan kan personvernet ivaretas i helsesektoren?

Hvordan kan personvernet ivaretas i helsesektoren? Hvordan kan personvernet ivaretas i helsesektoren? Bjørn Erik Thon direktør 06.10.2011 Side 1 Hva er personvern? - Noen viktige ord personverntanken. - Samtykke - Informasjon og innsyn - Selvbestemmelse/autonomi

Detaljer

Ny lov nye muligheter for deling av pasientopplysninger

Ny lov nye muligheter for deling av pasientopplysninger Ny lov nye muligheter for deling av pasientopplysninger - regelverksendringene - felles journal i Helse Nord 17.09.15 - STYRK Årskonferanse 2015 Juridisk rådgiver Heidi Talsethagen, FIKS Fra én journal

Detaljer

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fellesforbundet avdeling.. Org.nr.:. Behandlingsansvarlig og Fellesforbundet Org.nr.:

Detaljer

Det skal ikke være lett! Elektronisk sårjournal: Liten brikke i stort spill

Det skal ikke være lett! Elektronisk sårjournal: Liten brikke i stort spill Det skal ikke være lett! Elektronisk sårjournal: Liten brikke i stort spill Juridiske og sikkerhetsmessige problemstillinger HelsIT, 28. september 2011 Eva Skipenes, sikkerhetsrådgiver NST eva.skipenes@telemed.no

Detaljer

Fagplan Helse IKT Versjon 1.0

Fagplan Helse IKT Versjon 1.0 Fagplan Helse IKT Versjon 1.0 Bakgrunn Denne fagplan er laget som et rammeverk til hjelp for å sikre kompetanse om prinsipper for behandling av pasientinformasjon og en forståelse for de krav og regler

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Personvern og informasjonssikkerhet ved anskaffelser

Personvern og informasjonssikkerhet ved anskaffelser Personvern og informasjonssikkerhet ved anskaffelser Innledning 2 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis,

Detaljer

Avtale mellom. om elektronisk utveksling av opplysninger

Avtale mellom. om elektronisk utveksling av opplysninger Avtale mellom og.. om elektronisk utveksling av opplysninger INNHOLD 1. AVTALENS PARTER 3 2. AVTALENS GJENSTAND OG AVTALENS DOKUMENTER 3 3. HJEMMEL FOR UTLEVERING, INNHENTING OG BEHANDLING AV OPPLYSNINGENE

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Delavtale om samarbeid om IKT - løsninger lokalt.

Delavtale om samarbeid om IKT - løsninger lokalt. Delavtale 4.3.7 Delavtale om samarbeid om IKT - løsninger lokalt. (Lov om helse- og omsorgstjenester 6.2- pkt 9) Sykehuset Telemark Helseforetak og kommunene i Telemark NN kommune 1 Avtaleparter Partene

Detaljer

Tjenesteavtale nr 9. mellom. Bardu kommune. Universitetssykehuset Nord-Norge HF. Samarbeid om IKT-Iøsninger lokalt

Tjenesteavtale nr 9. mellom. Bardu kommune. Universitetssykehuset Nord-Norge HF. Samarbeid om IKT-Iøsninger lokalt UNIVERSITETSSYKEHUSET NORD-NORGE DAVVI NORCCA UNNERS:TEHTABUOHCCEVIESSU BARDU KOMMUNE Tjenesteavtale nr 9 mellom Bardu kommune og Universitetssykehuset Nord-Norge HF om Samarbeid om IKT-Iøsninger lokalt

Detaljer

Samarbeid om IKT- løsninger og elektronisk samhandling

Samarbeid om IKT- løsninger og elektronisk samhandling Tjenesteavtale 9 Samarbeid om IKT- løsninger og elektronisk samhandling Samarbeid om IKT-løsninger og bruk av felles plattform lokalt er av stor betydning for å få til god samhandling. Enkel, rask og pålitelig

Detaljer

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune Kongsvinger kommune Fjellg 2 2226 KONGSVINGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato ARI/14/4710/K2- G90, K3-&40/ 13/01091-8/MEP 26. mars 2014 Vedtak om pålegg og endelig kontrollrapport

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

Personvern og velferdsteknologi

Personvern og velferdsteknologi Personvern og velferdsteknologi «Personvern» Enkelt sagt handler personvern om retten til et privatliv og retten til å bestemme over egne personopplysninger Fra www.datatilsynet.no Når jeg går inn på badeværelset

Detaljer

Rettslig regulering av helseregistre. Dana Jaedicke juridisk rådgiver E-post: dij@datatilsynet.no

Rettslig regulering av helseregistre. Dana Jaedicke juridisk rådgiver E-post: dij@datatilsynet.no Rettslig regulering av helseregistre Dana Jaedicke juridisk rådgiver E-post: dij@datatilsynet.no Innhold Mål og strategier Verdier Holdninger Vurderingstemaer 20.03.2014 Side 2 Datatilsynets strategi i

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Informasjon om personopplysninger Formålet med personopplysningsloven Formålet med personopplysningsloven (pol) er å beskytte den

Detaljer

Studenters tilgang til elektronisk pasientjournal

Studenters tilgang til elektronisk pasientjournal Studenters tilgang til elektronisk pasientjournal Helge Grimnes Personvernrådgiver Kompetansesenter for personvern og sikkerhet Konsern IT Oslo universitetssykehus HF Helsepersonell, som ikke deltar i

Detaljer

Informasjonsstrategi med overordnet handlingsplan. for Normen. i perioden 2015 til 2017

Informasjonsstrategi med overordnet handlingsplan. for Normen. i perioden 2015 til 2017 Informasjonsstrategi med overordnet handlingsplan for Normen i perioden 2015 til 2017 Utarbeidet med støtte av: Versjon 2.0 www.normen.no 1 INNHOLD 1 INNLEDNING... 3 2 BAKGRUNN... 3 2.1 FORMÅL... 3 2.2

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01089 Dato for kontroll: 08.11.2013 Rapportdato: 26.03.2014 Endelig kontrollrapport Kontrollobjekt: Byhagen legesenter Sted: Alta Utarbeidet av: Camilla G. Nervik Grete Alhaug Marius Engh

Detaljer

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN LÆRINGS- og GJENNOMFØRINGSPLAN Instruktørkurs i informasjonssikkerhet basert på Normen for helseforetak, regionale helseforetak og deres IKT-driftsenheter Kurs i informasjonssikkerhet for utvalgte grupper

Detaljer

1.6 Sentrale lover og forskrifter

1.6 Sentrale lover og forskrifter 1.6 Sentrale lover og forskrifter Innledning For Midt-Telemarkkommunenes informasjonssikkerhet gjelder en rekke lover og bestemmelser som blant annet tar sikte på å hindre at noen uten lovlig hjemmel får

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01088 Dato for kontroll: 07.11.2013 Rapportdato: 26.03.2014 Endelig kontrollrapport Kontrollobjekt: Alta sykestue Sted: Alta helsesenter Utarbeidet av: Camilla Nervik Grete Alhaug Marius

Detaljer

Bruk av pasientjournal og personvern. Helge Veum, senioringeniør DRG-forum, Gardermoen 8. mars 2011

Bruk av pasientjournal og personvern. Helge Veum, senioringeniør DRG-forum, Gardermoen 8. mars 2011 Bruk av pasientjournal og personvern Helge Veum, senioringeniør DRG-forum, Gardermoen 8. mars 2011 Om Datatilsynet Ca 40 medarbeidere 4 Avdelinger Juridisk Tilsyns- og sikkerhet Informasjon Administrasjon

Detaljer

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Personvern og informasjonssikkerhet i kontakten med pasient/bruker Personvern og informasjonssikkerhet i kontakten med pasient/bruker En veileder i bruk av portalløsninger, SMS og e-post Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte

Detaljer

Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi

Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.0 www.normen.no INNHOLD 1

Detaljer

Dato: 9. juni 2009. Byrådssak 1230/09. Byrådet

Dato: 9. juni 2009. Byrådssak 1230/09. Byrådet Dato: 9. juni 2009 Byrådssak 1230/09 Byrådet Høring - forslag til endringer i folketrygdloven, helseregisterloven og spesialisthelsetjenesteloven - innføring av automatisk frikortordning og etablering

Detaljer

Internundervisning om taushetsplikt. Helle Devik Haugseter Jurist, Kvalitetsseksjonen

Internundervisning om taushetsplikt. Helle Devik Haugseter Jurist, Kvalitetsseksjonen Internundervisning om taushetsplikt Helle Devik Haugseter Jurist, Kvalitetsseksjonen Taushetsplikt De sentrale bestemmelsene Unntak: Hva kan man informere om til hvem? Pårørende Samarbeidende personell

Detaljer

Kurs eldremedisin, Hedmark 04. juni 2015 Kjellaug Enoksen, sykehjemsoverlege Askøy kommune. Spesialist i indremedisin og samfunnsmedisin, Godkjenning

Kurs eldremedisin, Hedmark 04. juni 2015 Kjellaug Enoksen, sykehjemsoverlege Askøy kommune. Spesialist i indremedisin og samfunnsmedisin, Godkjenning Kurs eldremedisin, Hedmark 04. juni 2015 Kjellaug Enoksen, sykehjemsoverlege Askøy kommune. Spesialist i indremedisin og samfunnsmedisin, Godkjenning i kompetanseområde alders- og sykehjemsmedisin Lovgrunnlag

Detaljer