Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner

Transkript

1 Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.2

2 INNHOLD 1 INNLEDNING BAKGRUNN OM NORMEN OM VEILEDEREN MÅLGRUPPER VEILEDERENS FORHOLD TIL ANDRE DOKUMENTER OG VEILEDERE DEFINISJONER PERSONVERN OG RETTSIKKERHET OVERORDNET OM PERSONVERN OG RETTSSIKKERHET RETTIGHETER OG PLIKTER Taushetsplikten Informasjonsplikten Informert samtykke Rett til reservasjon Rett til innsyn Rett til å kreve retting og sletting INFORMASJONSSIKKERHET I FAGSYSTEMENE KRAV TIL INFORMASJONSSIKKERHET FØR ETABLERING AV FAGSYSTEM Oppdatere styringssystem for informasjonssikkerhet Påse at sikkerhetsmål og -strategi er ivaretatt Definere ansvar og roller Identifisere og beskrive formålet med behandling av helse- og personopplysninger Fastsette akseptkriterier og gjennomføre risikovurdering av fagsystemet Etablere tekniske løsninger Oppdatere konfigurasjonskontroll og dokumentasjon Etablere prinsipper og prosedyrer for tilgangsstyring Etablere prosedyrer for elektronisk samhandling med eksterne Etablere prosedyrer for intern samhandling Etablere hendelsesregistrering Etablere prosedyrer for håndtering av utskrifter Etablere prosedyrer for å ivareta sentrale rettigheter for den registrerte Gjennomføre opplæring Etablere prosedyrer for avviksbehandling Håndtere kommunesamarbeid i forbindelse med felles fagsystem Etablere evt. databehandleravtale KRAV TIL INFORMASJONSSIKKERHET NÅR FAGSYSTEMET ER I BRUK Følge opp prosedyrene for sentrale rettigheter for den registrerte Følge opp autorisasjon og tilgangsstyring Revidere risikovurderinger Gjennomføre sikkerhetsrevisjoner Identifisere og håndtere sikkerhetshendelser (avvik) Følge opp konfigurasjon og dokumentasjon Følge opp hendelsesregistrering Ivareta bruk av mobilt utstyr Veileder for helse- og sosialtjenester i kommuner V1.2 Side 2 av 39

3 3.2.9 Oppdatere programvaren mot ondsinnet programvare Sende elektronisk melding til den registrerte fra fagsystemet Etterleve prosedyrene for samhandling med interne og eksterne parter Sørge for nødvendig opplæring KRAV TIL INFORMASJONSSIKKERHET VED UTFASING AV FAGSYSTEMET Følge opp konfigurasjonsstyring Følge opp autorisasjon og tilgangsstyring Vurdere å slette, overføre eller deponere helse- og personopplysninger SJEKKLISTER SJEKKLISTE FØR ETABLERING AV FAGSYSTEM SJEKKLISTE NÅR FAGSYSTEMET ER I BRUK SJEKKLISTE UTFASING AV FAGSYSTEMET VEDLEGG REFERANSER DELTAGERE I UTARBEIDELSEN AV VEILEDEREN EKSEMPLER PÅ BEHANDLINGER Veileder for helse- og sosialtjenester i kommuner V1.2 Side 3 av 39

4 1 INNLEDNING 1.1 Bakgrunn En stadig større del av kommunens håndtering av helse- og personopplysninger innenfor helse- og sosialtjenesten skjer elektronisk. Stor dynamikk, høy endringstakt og høy grad av elektronisk registrering og bruk av fagsystemer og andre IT-systemer for tjenestedokumentasjon preger arbeidsdagen i kommunen, både på helseområdet og på sosialområdet. I en slik kompleks virkelighet kan det være usikkerhet om hvilke krav som stilles, og tilsyn i kommunene har i enkelte tilfeller avdekket mangler og til dels store ulikheter ved håndteringen av helse- og personopplysninger. Det finnes også andre utfordringer knyttet til personvern og informasjonssikkerhet, bl.a. at: alle kommuner som er tilknyttet Norsk Helsenett skal følge Normen. Norsk Helsenett er den elektroniske samhandlingsarenaen for helse- og sosialsektoren (se kommunene har oppgaver knyttet til rapportering til IPLOS-registeret hensynet til den registrertes krav på personvern gjør det nødvendig å nå ut med informasjon til mottakere av kommunale helse- og sosialtjenester Øverste leder (oftest rådmannen) er hovedansvarlig for personvern og informasjonssikkerhet. Det er erfaring for at det er behov for veiledning for kommuneledelsen. Et dokument som gir informasjon og som beskriver kommunens ansvar, kommer òg brukerne av kommunale helseog sosialtjenester (dvs. dem som de registrerte opplysningene gjelder), til gode. På denne bakgrunnen er det et behov for en veileder 1 innen personvern/taushetsplikt og informasjonssikkerhet knyttet til behandling av helse- og personopplysninger i helse- og sosialtjenesten i kommunene. Hensikten med veilederen er i første rekke å gi kommunene et praktisk verktøy i arbeidet med å ivareta gjeldende krav til personvern og informasjonssikkerhet. 1.2 Om Normen Norm for informasjonssikkerhet (Normen) ble lansert i august Normen skal bidra til tilfredsstillende informasjonssikkerhet hos den enkelte virksomhet, og i helsesektoren generelt. I tillegg skal Normen bidra til å harmonisere informasjonssikkerheten, slik at virksomhetene kan ha gjensidig tillit til hverandre. 1 Den veilederen som hittil har vært benyttet ("Veileder for å ivareta informasjonssikkerhet i IPLOS-systemet" (versjon 2.0 fra februar 2003)), er i store trekk utdatert og dekker et for lite område. Veileder for helse- og sosialtjenester i kommuner V1.2 Side 4 av 39

5 Normen bygger på en rekke norske bestemmelser om personvern og informasjonssikkerhet, bl.a. reglene i personopplysningsloven og helseregisterloven. Disse reglene er basert på EUs personverndirektiv. Personverndirektivet bygger igjen på grunnleggende menneskerettigheter. Kravene i Normen er derfor basert på gjeldende regler på personvern- og informasjonssikkerhetsområdet, men Normen i seg selv er ikke bindende. Imidlertid er alle som knytter seg til Norsk Helsenett - gjennom avtalen om tilknytning - forpliktet til å følge Normen. 1.3 Om veilederen Denne veilederen er et støttedokument til Normen. Normen omhandler i utgangspunktet informasjonssikkerheten i helsetjenesten. For å gi en mer helhetlig hjelp, tilpasset kommunenes behov, dekker imidlertid denne veilederen også personvern og informasjonssikkerhet i sosialtjenesten. Veilederen gir førende anbefalinger for personvern og informasjonssikkerhet i kommunenes helse- og sosialtjeneste, herunder også i IPLOS-sammenheng. Helsedirektoratet ga i november 2008 ut Håndbok om helse- og sosialtjenesten i kommunen". Formålet med håndboken er å gi en oversikt over rettigheter og plikter etter helse- og sosiallovgivingen, samt å gi en oversikt over de viktigste tjenestetilbudene i kommunen. "Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner" dekker personvern og informasjonssikkerhet på de samme områdene som er omfattet av Helsedirektoratets håndbok. Dette innebærer at denne veilederen dekker personvern og informasjonssikkerhet innen de fleste lovpålagte helse- og sosialtjenester (etter helse- og omsorgstjenesteloven). Bare den delen av NAV som kommunen er ansvarlig for, dekkes av denne veilederen. Personvern, taushetsplikt og informasjonssikkerhet internt i NAV (som statlig organ), er NAVs eget ansvar, og NAV må kontaktes direkte for informasjon om etatens egne personvern- og informasjonssikkerhetsprosedyrer. Når det er enighet om at det lokale NAVkontoret skal utføre tjenester på vegne av kommunen, anbefales det at kommunen gjennom avtale sikrer at prinsippene i denne veilederen blir fulgt. Som et ledd i avtalen om informasjonssikkerhet mellom NAV og kommunene er det utarbeidet et dokument, "Felles sikkerhetsansvar for Arbeids- og velferdsforvaltningen", som omfatter felles sikkerhetsnormer for Arbeids- og velferdsforvaltningen. Disse sikkerhetsnormene skal sikre felles forståelse mellom stat og kommune i forhold til sikkerhetsnivå ved etablering av felles lokalt kontor. Dokumentet inneholder konkretisering av lovmessige krav som alle enheter i Arbeids- og velferdsforvaltningen bør implementere. Det presiseres at med Arbeids- og velferdsforvaltningen (også omtalt som forvaltningen) menes her summen av 1) statlige enheter og 2) enheter hvor stat og kommune er samlokalisert. Veilederen bør også benyttes i sammenheng med ikke-lovpålagte tjenester (for eksempel trygghetsalarm, dagsenter, hjelpemiddelvurdering og krisesenter). Veileder for helse- og sosialtjenester i kommuner V1.2 Side 5 av 39

6 Kommunen har det overordnete ansvaret for at tjenester ytes. Selve utførelsen settes ofte til private tjenesteytere (f.eks. fastlege eller private sykehjem). Kommunen bør nøye påse at tjenesteyteren følger gjeldende regler innen personvern og informasjonssikkerhet. Kommunen anbefales å ivareta dette ved utforming av kravspesifikasjoner og kontrakter. Det er likevel slik at kommunen ikke har direkte ansvar for personvernet og informasjonssikkerheten internt hos den private tjenesteyteren. Databehandlingsansvaret ligger hos den private tjenesteyteren. I de tilfeller kommunen leier inn personell som dokumenterer i kommunens fagsystem vil kommunen ha det fulle ansvaret (slik den er ansvarlig for kommunens ansatte). Kommunene har en stor grad av frihet når det gjelder intern organisering, kommunesamarbeid mv., også innen personvern og informasjonssikkerhet. Veilederen har ikke til hensikt å legge føringer med tanke på kommunens organisering. I sjekklistene i kapittel 4 er det gjort plass til å nedtegne hvem som innehar hvilket ansvar i den enkelte kommune; dette må kommunen avklare og beslutte i samsvar med sin egen organisering mv. Denne veilederen er bygget opp med en innledning (kapittel 1), en redegjørelse for personvernet og informasjonssikkerhet i kommunene mer generelt (kapittel 2), og en beskrivelse av krav kommunen må etterleve iht. Normen (kapittel 3). Veilederen tar utgangspunkt i etablering, bruk og utfasing av et fagsystem. Bakgrunnen for dette er at fagsystemet ofte viser seg å være utgangspunktet for konkrete personvernutfordringer personellet møter i arbeidshverdagen. Veilederen omfatter både kommunens papirbaserte og elektroniske behandlinger av helse- og personopplysninger, men er altså særlig rettet mot den elektroniske behandlingen i fagsystemene. I kommunene blir det også registrert tjenestedokumentasjon i andre systemer som ikke faller inn under definisjonen fagsystem (f.eks. sak/arkivsystemet). Personvernutfordringene er imidlertid de samme som under fagsystemet. Veilederen søker å være praktisk både for dem med ansvar for å utforme og implementere gode, interne regler for personvern og informasjonssikkerhet, og for dem som i møtet med de registrerte skal bruke systemene i det daglige. Veilederen er utarbeidet i samarbeid med representanter fra sektoren, se nærmere under Målgrupper Denne veilederen er primært rettet mot personell med ansvar, oppgaver og roller i forbindelse med personvern og informasjonssikkerhet innen kommunenes helse- og sosialtjeneste. Eksempler på slikt personell er: Rådmann / øverste administrative leder Kommunalsjef (sosial- og helsedirektør / etatssjef mv.) Avdelingsleder/enhetsleder Sikkerhetskoordinator IT-fagsystemansvarlig Andre som kan ha nytte av veilederen: Veileder for helse- og sosialtjenester i kommuner V1.2 Side 6 av 39

7 Ordfører, politisk ledelse og helse- og sosialutvalg o.l. Private leverandører av kommunale tjenester (f.eks. helse- og sosialtjenester) Personvernombud Databehandler Helse- og sosialpersonell/tjenesteutførende personell Saksbehandler Administrativt personell innen sak/arkiv Den registrerte (søkere og mottakere av helse- og sosialtjenester) Veilederen er uavhengig av kommunal organisering og stillingskategoriene ovenfor er eksempler og vil kunne variere fra kommune til kommune. 1.5 Veilederens forhold til andre dokumenter og veiledere Dokument (for pekere se pkt. 5.1) Normen Støttedokumenter til Normen: Faktaark og veiledere (herunder denne veilederen) Felles sikkerhetsansvar for Arbeids- og velferdsforvaltningen Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet (støttedokument under Normen) Datatilsynets veileder for kommuner og fylkeskommuner Håndbok om helse- og sosialtjenesten i kommunen (HOD/Helsedirektoratet 2008) IPLOS veileder (Helsedirektoratet 2009) Forhold til denne veilederen Overordnet dokument Gir utfyllende veiledning på ulike tematiske områder. Er underordnet Normen Omfatter felles sikkerhetsnormer for Arbeids- og velferdsforvaltningen Gir krav og anbefalinger når kommuner skal tilknyttes helsenettet. Dekker i liten grad personvern og informasjonssikkerhet i helseog sosialtjenesten Datatilsynets veileder må hensyntas når kommuner etablerer løsninger for informasjonssikkerhet og personvern og bør leses i sammenheng med denne veilederen. Gir en oversikt over de viktigste tjenestetilbudene i kommunen og hvilke prinsipper de er basert på. Dekker i liten grad personvern og informasjonssikkerhet. Håndbokens beskrivelse av tjenestetilbudene danner ramme for denne veilederen En veileder for registrering av IPLOSopplysninger for personell i kommunale helse- og sosialtjenester. Dekker i liten grad personvern og informasjonssikkerhet Veileder for helse- og sosialtjenester i kommuner V1.2 Side 7 av 39

8 1.6 Definisjoner 2 Definisjoner er hentet fra Normen. Nye begrep er definert og samlet etter definisjoner fra Normen. Definerte ord er markert i kursiv i teksten. Definisjoner fra Normen Med autentisering menes i Normen prosessen som gjennomføres for å bekrefte en påstått identitet. Med autorisere/autorisert/autorisasjon menes i Normen at en person i en bestemt rolle kan gis eller er gitt bestemte rettigheter til lesing, registrering, redigering, retting, sletting og/eller sperring av helse- og personopplysninger. Autorisasjon kan bare gis i den grad det er nødvendig for vedkommendes arbeid, er begrunnet ut fra tjenstlig behov og er i henhold til bestemmelser om taushetsplikt. Med avvik menes i Normen enhver håndtering av helse- og personopplysninger som ikke utføres i henhold til gjeldende regelverk, retningslinjer og/eller prosedyrer, samt andre sikkerhetsbrudd. Med behandling menes i Normen enhver formålsbestemt bruk av helse- og personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, jf. helseregisterloven 2 nr. 5 og personopplysningsloven 2 nr. 2). Med databehandler menes den som behandler helse- og personopplysninger på vegne av den databehandlingsansvarlige, jf. helseregisterloven 2 nr. 9 og personopplysningsloven 2 nr. 5). Det presiseres at en databehandler er en ekstern person eller virksomhet utenfor den databehandlingsansvarliges virksomhet. Det vil si at den databehandlingsansvarliges egne medarbeidere ikke er dennes databehandlere. Med databehandlingsansvarlig menes den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes, hvis ikke databehandlingsansvaret er særskilt angitt i loven eller i forskrift i medhold av loven, jf. helseregisterloven 2 nr. 8 og personopplysningsloven 2 nr. 4 (her benyttes begrepet behandlingsansvarlig ). Det presiseres at det er virksomheten som er databehandlingsansvarlig for behandling av helseog personopplysninger. Ansvaret skal ivaretas av den daglige ledelsen av virksomheten, og virksomheten er pliktsubjekt. Med elektronisk pasientjournalsystem (EPJ-system) menes i Normen elektroniske systemer med nødvendig funksjonalitet for å registrere, søke frem, presentere, kommunisere, redigere, rette og slette opplysninger i elektronisk pasientjournal (EPJ). Dette inkluderer 2 Det gjøres oppmerksom på at enkelte av definisjonene kan ha et annet meningsinnhold i dagligtalen / andre sammenhenger (f.eks. begrepet integritet) Veileder for helse- og sosialtjenester i kommuner V1.2 Side 8 av 39

9 både radiologisystemer, systemer for somatisk og psykiatrisk journal, pasientadministrative systemer og andre systemer som inneholder helseopplysninger. Med fagsystem menes i Normen en applikasjon eller et IT-system som behandler helse- og personopplysninger. Begrepet systemløsning brukes også om et fagsystem. Eksempler på fagsystem er: pleie- og omsorgsystem (PLO), legekontorsystem og barnevernsystem. Opplysninger i ulike fagsystemer kan både utgjøre elektronisk pasientjournal (EPJ) og annen tjenestedokumentasjon. helse- og personopplysninger benyttes i Normen som en fellesbetegnelse for helseopplysninger og/eller personopplysninger innenfor Normens virkeområde. Med helseopplysninger menes taushetsbelagte opplysninger i henhold til helsepersonelloven 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson, jf. helseregisterloven 2 nr. 1. Med hendelsesregistrering menes i Normen registrering av hendelser i et informasjonssystem, bl.a. med sikte på å forebygge, avdekke og hindre gjentagelse av sikkerhetsbrudd. Med integritet menes i Normen at helse- og personopplysninger må være sikret mot utilsiktet eller uautorisert endring eller sletting. Med konfidensialitet menes i Normen at helse- og personopplysninger må være sikret mot at uvedkommende får kjennskap til opplysningene. Med konfigurasjon menes i Normen informasjonssystemets utforming inklusive både teknisk utstyr og programvare. Med konfigurasjonsendring menes i Normen en endring av informasjonssystemets utforming som følge av installasjon, oppgradering eller fjerning av utstyr eller programvare. Med kvalitet menes i Normen at helse- og personopplysninger må være korrekte, oppdaterte, relevante og tilstrekkelige som grunnlag for å yte helsehjelp. Med Normen menes Norm for informasjonssikkerhet. Andre dokumenter i tilknytning til Normen, som for eksempel faktaark og veiledninger, er ikke omfattet av begrepet. Med personopplysninger menes opplysninger og vurderinger som kan knyttes til en enkeltperson, jf. personopplysningsloven 2 nr. 1. Med registrert/den registrerte menes i Normen den som opplysninger kan knyttes til, jf. personopplysningsloven 2 nr. 6. Eksempler og begreper som brukes om den registrerte er søker, pasient/bruker og tjenestemottaker. En ansatt kan være omfattet av begrepet. Med sikkerhetsnivå 4 menes i Normen to-faktor autentisering hvor en faktor er dynamisk basert på kvalifiserte sertifikater og ellers tilfredsstiller kravene til sikkerhetsnivå 4 i Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor. Veileder for helse- og sosialtjenester i kommuner V1.2 Side 9 av 39

10 Med taushetsplikt menes i Normen lovpålagt eller avtalt plikt til å hindre at andre får adgang eller kjennskap til helse- og personopplysninger, jf. helsepersonelloven 21, helseregisterloven 15, helse- og omsorgstjenesteloven 12-1 og forvaltningsloven 13 til 13e, samt annen informasjon med betydning for informasjonssikkerheten, jf. personopplysningsforskriften 2-9. Taushetsplikt innbefatter både en passiv plikt til å tie og en plikt til aktivt å hindre uvedkommende i å få kunnskap om taushetsbelagte opplysninger. Med tekniske tiltak menes i Normen tiltak av teknisk karakter som ikke kan påvirkes eller omgås av medarbeidere, og ikke er begrenset av handlinger som den enkelte forutsettes å utføre. Eksempler på slike tiltak kan være autentisering på sikkerhetsnivå 4 eller konfigurering av en brannmur slik at den kun tillater bestemt trafikk eller en meldingstjeneste som er laget slik at alle meldinger automatisk blir kryptert. Med tilgang menes i Normen at helse- og personopplysninger om en eller flere bestemte pasienter/brukere er eller gjøres tilgjengelige for autorisert personell. Beslutning om tilgang til behandlingsrettede helseregistre skal treffes etter en konkret vurdering basert på at det ytes helsehjelp til pasienten. Tilgang til fagsystemer i forbindelse med ytelser til pasient/bruker skal iverksettes basert på tjenstlig behov. Tilgang i forbindelse med kvalitetssikring og administrative oppgaver skal også besluttes ut fra tjenstlig behov. Med tilgjengelighet menes i Normen at helse- og personopplysninger som skal behandles, er tilgjengelig til den tid og på det sted det er behov for opplysningene. Med tjenestedokumentasjon menes i Normen dokumentasjon for planlegging, kartlegging, oppfølging og informasjonsutveksling som vedrører tjenestemottakerens søknad, praktiske og medisinske problemer, behov, ressurser, tiltak i form av helsehjelp, hjelpemidler, mm. Sammen med elektronisk pasientjournal (EPJ) vil tjenestedokumentasjonen utgjøre dokumentasjonsplikten etter helsepersonelloven mv. Personer som yter tjenester etter helseog omsorgstjenesteloven har ikke dokumentasjonsplikt når tjenestene som ytes ikke er å anse for helsehjelp. Veileder for helse- og sosialtjenester i kommuner V1.2 Side 10 av 39

11 Nye definisjoner som er brukt i denne veilederen Med EDI (Electronic Data Interchange) menes elektronisk overføring av forretningsdata mellom IT-systemer i standardiserte formater. Med forretningsdata forstås informasjon som elektroniske og strukturerte dokumenter og blanketter. Med interkommunalt selskap menes et selskap opprettet i samsvar med lov 29. januar 1999 nr. 6 om interkommunale selskap. Et samarbeid, f.eks. på informasjonssikkerhetsområdet, mellom flere kommuner og/eller fylkeskommuner hvor alle deltakerne er kommuner, fylkeskommuner (og/eller andre interkommunale selskaper), kan organiseres gjennom et interkommunalt selskap. Et interkommunalt selskap er et selvstendig rettssubjekt og er rettslig og økonomisk adskilt fra deltakerkommunene. Med IPLOS eller IPLOS-registeret menes betegnelsen på et nasjonalt register hvor det oppbevares pseudonymiserte og kvalitetskontrollerte opplysninger om personer som har søkt, mottar eller har mottatt pleie- og omsorgstjenester. Kommunene rapporterer inn data til registeret etter egne prosedyrer. Med samarbeidskommune menes i denne sammenheng kommune som etter avtale har overlatt oppgaver, f.eks. informasjonssikkerhetsoppgaver, til en annen kommune ( vertskommune, se egen definisjon) i samsvar med reglene i kommuneloven kapittel 5. Med sikker sone menes den delen (de delene) av kommunens informasjonssystem som behandler helse- og personopplysninger, hvor kun autoriserte brukere gis tilgang. Med vertskommune menes kommune som etter avtale har påtatt seg å utføre oppgaver, f.eks. på informasjonssikkerhetsområdet, for en annen kommune ( samarbeidskommune, se egen definisjon) i samsvar med reglene i kommuneloven kapittel 5. Veileder for helse- og sosialtjenester i kommuner V1.2 Side 11 av 39

12 2 PERSONVERN OG RETTSIKKERHET 2.1 Overordnet om personvern og rettssikkerhet Den enkeltes rett til å bestemme over bruken over egne personopplysninger, er et sentralt element i personvernet. Personvernreguleringer er nært knyttet til enkeltindividers behov og mulighet for privatliv og selvbestemmelse. Personvernet kommer til uttrykk i lovverket på ulikt vis. Den sentrale lov på personvernområdet er personopplysningsloven. Lovens formål er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. I tillegg finnes det mange særlover og forskrifter som regulerer personvernet og informasjonssikkerheten. Et eksempel er helseregisterloven, som er en særlov for helseregistre og behandling av helseopplysninger. Et annet eksempel er pasient- og brukerrettighetsloven som slår fast at opplysninger om legems- og sykdomsforhold samt andre personlige opplysninger skal behandles i samsvar med gjeldende bestemmelser om taushetsplikt. Opplysningene skal behandles med varsomhet og respekt for integriteten til den opplysningene gjelder. Elektronisk behandling av opplysninger gir muligheter, men skaper også utfordringer for personvernet og informasjonssikkerheten i kommunene. Elektronisk behandling medfører blant annet at opplysningene enklere og raskere kan gjøres tilgjengelig både internt og eksternt. Dette er en fordel for den registrerte, forutsatt at opplysningene kun gjøres tilgjengelig for rett vedkommende til rett tid. Elektronisk behandling medfører imidlertid et nytt trusselbilde mot opplysningene. Det er derfor behov for opplæring, konkrete prosedyrer og teknologi som gir tillit til at personvernet, taushetsplikten og informasjonssikkerheten er tilfredsstillende ivaretatt. Spesielt om personvernombud: En del kommuner har utnevnt eget personvernombud. Ombudet, som godkjennes av Datatilsynet, skal være en ressursperson innen personvern og informasjonssikkerhet, og det anbefales at kommunene samarbeider med ombudet - i fall et ombud er utpekt - om de spørsmål som reiser seg i arbeidet med denne veilederen. Faktaark 35 - Personvernombud gir mer veiledning. Veileder for helse- og sosialtjenester i kommuner V1.2 Side 12 av 39

13 2.2 Rettigheter og plikter Den registrertes rettsikkerhet i personvernsammenheng er ivaretatt gjennom et sett ulike rettigheter og plikter Taushetsplikten Personellet som behandler helse- og personopplysninger i kommunen, vil være underlagt regler om taushetsplikt. Dette sikrer at den registrerte kan være trygg på at informasjonen ikke blir gitt videre til uvedkommende. Taushetsplikten følger av en rekke ulike bestemmelser, avhengig av hvilket virksomhetsområde personellet arbeider innenfor. Helsepersonell er bundet av taushetsplikten som følger av helsepersonelloven. Personell innenfor sosialtjenesten er bundet av forvaltningslovens og helse- og omsorgstjenestelovens taushetspliktsregler. Helse- og sosialpersonell har som hovedregel taushetsplikt om pasient-/klientforhold. Det finnes flere unntak fra taushetsplikten. Bl.a. kan pasienten samtykke til at opplysninger gis til andre. Det finnes også lovpålagte krav om innrapportering av helse- og personopplysninger til sentrale registre, f.eks. IPLOS-registeret. Også i andre tilfeller - for eksempel ved akutt fare for liv og helse - kan helse- og sosialpersonell fravike taushetsplikten. Kommunen skal legge til rette for at alle medarbeidere til enhver tid er bevisst taushetspliktens innhold og omfang. Kommunen skal sørge for praktiske løsninger (inkludert teknologiske) som gjør at taushetsplikten kan etterleves av medarbeiderne Informasjonsplikten Hovedregelen er at den databehandlingsansvarlige, dvs. kommunen, har plikt til å gi informasjon til den registerte om hva som registreres. Når en kommune registrerer helse- og personopplysninger om noen i et fagsystem eller andre systemer for tjenestedokumentasjon, skal derfor den registrerte være informert om at registreringen skjer. Bare ved å være informert om registreringen, vil den registrerte være i stand til å ivareta sine rettigheter. Den personen som registrerer på vegne av kommunen skal forsikre seg om at den som skal registreres på forhånd har fått informasjon om registeret og om hva som registreres. Den registrerte skal ha informasjon om sine rettigheter knyttet til samtykke, reservasjon, innsyn, retting og sletting Informert samtykke Å behandle helse- og personopplysninger krever et grunnlag. Uten grunnlag vil behandlingen av opplysningene ikke være lovlig. Et slikt grunnlag kan finnes i lov / forskrift eller ved at den registrerte samtykker i registreringen. Kommunen har som hovedregel bare rett til å behandle opplysninger, dersom den registrerte samtykker til det. Veileder for helse- og sosialtjenester i kommuner V1.2 Side 13 av 39

14 Det følger imidlertid av en rekke rettsregler at kommunen kan behandle helse- og personopplysninger uten samtykke. F.eks. følger det av helsepersonelloven at personellet skal føre journal. Journalføringsplikten er derfor et eksempel på et behandlingsgrunnlag som følger av lov. Den registrerte kan ikke motsette seg at helse- og personopplysninger blir journalført hvis helsehjelpen mottas; personellets journalføringsplikt går foran den enkeltes individuelle rett til å samtykke i/nekte registreringen. Det følger av IPLOS-forskriften at de pseudonymiserte opplysningene i IPLOS-registeret kan samles inn uten samtykke. Ofte vil samtykket være stilltiende. I de tilfellene der en f.eks. søker om en sosialtjeneste, vil dette av kommunen bli oppfattet som at en godtar at de opplysningene som er nødvendige i saksbehandlingen, kan registreres. I de tilfellene der en ikke kan legge til grunn noe stilltiende samtykke, og det heller ikke finnes noe grunnlag i loven som tillater registrering av helse- og personopplysninger, skal kommunen forvisse seg om at den registrerte har gitt et informert samtykke til registreringen, før registreringen skjer. At samtykket er "informert" betyr at det foreligger en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv. Loven stiller ikke noe krav om at et informert samtykke skal foreligge skriftlig. Men skriftlighet er ofte hensiktsmessig med tanke på eventuell klagebehandling, etterfølgende uenighet om omfanget av samtykket mv. I enkelte sammenhenger, spesielt der den registrerte mangler samtykkekompetanse, er det de pårørende eller verge/hjelpeverge som må samtykke på vegne av den registrerte. Den registrerte har rett til både å gi og å tilbakekalle samtykke etter eget valg. Den registrerte har ikke noen plikt til å begrunne valget Rett til reservasjon Reservasjonsretten er aktuell i forbindelse med IPLOS, der den registrerte har mulighet til å reservere seg mot at diagnoseopplysninger sendes fra kommunen til IPLOS-registeret. Den som registrerer (saksbehandler/det enkelte personell) skal informere om reservasjonsretten. Denne reservasjonsretten berører ikke det generelle regelverket rundt utveksling av nødvendige og relevante opplysninger mellom samarbeidende helsepersonell, altså innhenting og håndtering av helse- og personopplysninger som skjer i forkant av IPLOS-rapporteringen. Her ligger allerede krav til samtykke, jfr. taushetspliktbestemmelsene i helsepersonelloven. I de tilfeller der diagnoseopplysninger foreligger i kommunens dokumentasjon, skal de sendes inn til IPLOS-registeret dersom ikke den enkelte reserverer seg Rett til innsyn En sentral rettighet er retten til innsyn i opplysningene som er lagret om en selv. Som hovedregel har den registrerte krav på et slikt innsyn. Det følger f.eks. av pasient- og brukerrettighetsloven at pasienten vanligvis har innsyn i egen EPJ. Veileder for helse- og sosialtjenester i kommuner V1.2 Side 14 av 39

15 2.2.6 Rett til å kreve retting og sletting Den registrerte kan i en rekke sammenhenger kreve at feil i helse- og personopplysningene om en selv, blir rettet eller slettet. F.eks. følger det av pasient- og brukerrettighetsloven at den registrerte kan kreve at mangelfulle, feilaktige eller utilbørlige helse- og personopplysninger eller utsagn blir rettet. Veileder for helse- og sosialtjenester i kommuner V1.2 Side 15 av 39

16 3 INFORMASJONSSIKKERHET I FAGSYSTEMENE I dette kapitlet beskrives krav og anbefalinger for å ivareta personvernet, taushetsplikten og informasjonssikkerheten når et fagsystem skal etableres, er i bruk og ved eventuell utfasing. I det følgende brukes både "skal" og "bør" i tilknytning til kravene. Skal-krav er absolutte krav og gjengitt i Normen, mens bør-krav er å oppfatte som anbefalinger. 3.1 Krav til informasjonssikkerhet før etablering av fagsystem Her beskrives krav og anbefalinger som kommunen må ivareta ved etablering av fagsystemet. Ved etablering menes nyetablering, bytte av leverandør, vesentlige omlegginger av eksisterende systemer mv Oppdatere styringssystem for informasjonssikkerhet Etter Normen plikter kommunen å opprette et styringssystem for informasjonssikkerhet. Et styringssystem angir aktiviteter for å rettlede og styre kommunen og er basert på alminnelige internkontrollprinsipper. Kravene og anbefalingene som er angitt i dette kapitelet er normalt en del av dette styringssystemet. Mange kommuner vil allerede ha et styringssystem. I så fall er det viktig at det er samsvar mellom det eksisterende styringssystemet og arbeidet med personvern og informasjonssikkerhet i kommunens ulike fagsystemer. Kommunen må selv endre styringssystemet i den grad innføring av fagsystemene reiser behov for det. For etablering av styringssystemet vises det til Normen og til Faktaark 2 Styringssystem for informasjonssikkerhet Påse at sikkerhetsmål og -strategi er ivaretatt Kommunen skal ha vedtatt sikkerhetsmål og -strategi. Ved etablering av fagsystemet må kommunen påse at den aktuelle etableringen er i tråd med sikkerhetsmålene og -strategien. Gjennom sikkerhetsmålene og -strategien skal følgende punkter ivaretas konkret med tanke på fagsystemet som skal innføres: all registrering og bruk av helse- og personopplysninger skal skje etter et definert formål og etter et informert samtykke fra den registrerte, evt. annet lovlig grunnlag for registreringen all behandling av helse- og personopplysninger i fagsystemer skal skje på bakgrunn av et hjemmelsgrunnlag all tilgang til helse- og personopplysninger i fagsystemet skal foregå via en personlig identifikasjon av den enkelte ansatte eller bruker utstyr som benyttes til behandling av helse- og personopplysninger i fagsystemet skal sikres mot uautorisert tilgang alle som har tilgang til fagsystemet skal ha signert taushetserklæring Veileder for helse- og sosialtjenester i kommuner V1.2 Side 16 av 39

17 I sikkerhetsmålene og -strategien bør kommunen videre avveie og omtale følgende: sikkerhetsarkitektur for å ivareta Normens krav om minst to uavhengige tekniske tiltak, slik at personer utenfor virksomheten uansett ressurser og kunnskap ikke skal kunne få tilgang til og/eller kunne endre eller slette helse- og personopplysninger bruk av databehandler (f.eks. gjennom vertskommune eller interkommunale selskap) Definere ansvar og roller Rådmannen / øverste administrative leder er hovedansvarlig for personvernet og informasjonssikkerheten i kommunen. Oppgavene blir imidlertid normalt delegert. Ved innføring av et fagsystem må det derfor defineres hvem som i det daglige er ansvarlig for de ulike oppgavene i tilknytning til fagsystemet. Ved innføring av et fagsystem må kommunen definere ansvar og roller, herunder hvem som er databehandlingsansvarlig. I sjekklisten i pkt. 5.3 er det gitt plass til å nedtegne ansvaret. Faktaark 1 - Ansvar og organisering gir mer veiledning Identifisere og beskrive formålet med behandling av helse- og personopplysninger Når kommunen skal etablere et nytt fagsystem, er det viktig å identifisere og beskrive lovgrunnlaget for behandlingen(e) som skal skje i fagsystemet. Lovgrunnlaget kan finnes i helse- og omsorgstjenesteloven, helsepersonelloven mv. og ut fra lovbestemmelsen, må den konkrete behandlingen beskrives. På etats-/avdelingsnivå må kommunen beskrive formålet med behandlingen(e) av helse- og personopplysninger som det aktuelle fagsystemet skal brukes til. Eksempler på formål fremgår av tabellen under pkt I kommunens komplekse hverdag er et konkret fagsystem ofte brukt til flere behandlinger. Dette kan medføre at det er flere lovgrunnlag for ett og samme fagsystem. I så fall et det meget viktig at tilgangsstyring sikrer at personvernet og taushetsplikten blir ivaretatt (se nærmere under pkt ). Kommunen kan ikke benytte helse- og personopplysninger registrert for en behandling til andre behandlinger, hvis formålene med behandlingene er forskjellig. Kommunen skal føre oversikt over alle behandlinger av helse- og personopplysninger. Det kan være et omfattende arbeid. Eksempelet i tabellen i pkt. 5.3 gir hjelp til kartleggingen. Kommunen kan imidlertid ha ikke-lovpålagte tjenester i tillegg til de som fremkommer av tabellen i pkt Disse tjenestene må i så fall også føyes til i oversikten. Ved innføring av et nytt fagsystem skal oversikten oppdateres med følgende informasjon: Tjenesteområde (eller tjenesteområdene om fagsystemet skal brukes til flere behandlinger) Formål(ene) med behandlingen Kategorier av personopplysninger (sensitive/ikke-sensitive) Ansvarlig for fagsystemet Navn på fagsystem/typebetegnelse (leverandørnavn, kommunens interne navn på fagsystemet mv.) Veileder for helse- og sosialtjenester i kommuner V1.2 Side 17 av 39

18 Evt. melde- eller konsesjonsplikt Evt. databehandler må imidlertid påse at sikkerhetskravene omkring planen minst ligger på samme sikkerhetsnivå som behandlingene opplysningene hentes fra. På denne måten blir det samsvar mellom informasjonssikkerheten i det enkelte fagsystem og for planen Etter nærmere regler i pasientjournalforskriften 8, bokstav n), skal individuell plan være en del av pasientjournalen Fastsette akseptkriterier og gjennomføre risikovurdering av fagsystemet Kommunen skal på forhånd ha fastsatt kriterier for akseptabel risiko. Med akseptabel risiko menes hvor stor risiko kommunen kan akseptere for at det inntreffer en hendelse som kan forårsake brudd på konfidensialitet, tilgjengelighet, integritet eller kvalitet for helse- og personopplysninger. Risikoens størrelse avhenger av sannsynligheten for at hendelsen inntreffer og konsekvensene av hendelsen. Ved utarbeidelse av nivå for akseptabel risiko bør en ta utgangspunkt i en skala for konsekvens og sannsynlighet. Gjennom en vurdering av hvilke type konsekvenser virksomheten ikke kan akseptere fastsettes betydningen av skalaen (for eksempel 1 til 4 - ubetydelig til kritisk). Samme vurdering gjøres for sannsynlighetsskalaen (for eksempel 1 til 4 - usannsynlig til sannsynlig). Faktaark 5 Fastsettelse av akseptkriterier for tilgjengelighet, konfidensialitet, integritet og kvalitet gir mer veiledning. Det nye fagsystemet skal risikovurderes opp mot fastlagte akseptkriterier. Om risikovurderingen viser at fagsystemet har uakseptabel risiko skal fagsystemet ikke etableres før risikoreduserende tiltak er iverksatt. Gjennom risikovurderingen må kommunen vurdere hensynet til personvernet opp mot hensynet til å kunne yte helse- og sosialtjenester på en effektiv måte. Ofte vil det være en konflikt mellom hensynet til tilgjengelighet for helse- og personopplysninger og hensynet til konfidensialitet for de samme opplysningene. Begge hensyn er legitime, og den konkrete avveiningen mellom dem må være hensiktsmessig; ytterligheter i begge retninger er uheldig. Ut fra risikovurderingen må kommunen iverksette tiltak ut fra prinsippene om forholdsmessig sikring. Følgende momenter kan være aktuelle å risikovurdere ved etablering av et fagsystem: uønskede hendelser og mulige konsekvenser knyttet til at ulike behandlinger legges i samme fagsystem eller andre systemer for tjenestedokumentasjon uautorisert tilgang til og bruk av fagsystemet bruk av minnepinne (innebærer f.eks. risiko for ondsinnet programvare og helse- og personopplysninger på avveie) eventuelle svakheter ved tilgangsstyringen, spesielt når fagsystemet inneholder flere behandlinger (skal hindre uautorisert tilgang) risiko knyttet til bortlåning av ID og passord sikring slik at uautoriserte personer utenfor virksomheten, uansett ressurser og kunnskap, ikke skal kunne få tilgang til og/eller kunne endre eller slette helse- og personopplysninger at data kan tilbakekopieres fra sikkerhetskopier om data blir slettet eller blir inkonsistente Veileder for helse- og sosialtjenester i kommuner V1.2 Side 18 av 39

19 tiltak som skal sikre at avvik oppdages (f.eks. gjennom hendelsesregistrering) for øvrige tekniske tiltak, se Datatilsynets veileder for kommuner og fylkeskommuner Selv om kommunen har satt enkelte oppgaver/tjenester ut til en databehandler eller en driftsleverandør, er kommunen ansvarlig for å risikovurdere også disse områdene. Men kommunen kan gjerne få databehandleren/driftsleverandøren til å gjennomføre risikovurderingen, f.eks. ved at dette er tatt inn som et krav i avtale med databehandler og/eller driftsleverandør. Faktaark 7 Risikovurderinger gir mer veiledning Etablere tekniske løsninger Når et fagsystem for behandling av helse- og personopplysninger skal etableres må kommunen ivareta en rekke krav til tekniske løsninger. Fagsystemene bør ligge på sikker sone i samsvar med anbefalingene i Datatilsynets Veileder for kommuner og fylkeskommuner. Overføring av helse- og personopplysninger i åpne nett skal krypteres. Krypteringen skal gjøres fra kommunens sikre sone til kommunikasjonspartnerens nettverkssone hvor helse- og personopplysninger behandles. Eksempler på områder som krever kryptering: når kommunen benytter datalinjer som den selv ikke har full kontroll over sending av EDI-meldinger til kommunikasjonsparter, f.eks. gjennom helsenettet uttrekk av opplysninger som skal sendes til IPLOS-registeret bruk av mobilt utstyr (f.eks. i hjemmesykepleie) hjemmekontor med tilgang til helse- og personopplysninger Følgende dokumenter gir mer veiledning: Datatilsynets veileder for kommuner og fylkeskommuner Faktaark 24 Kommunikasjon over åpne nett Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veileder for fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet Oppdatere konfigurasjonskontroll og dokumentasjon Kommunen skal gjennom konfigurasjonskontroll ha oversikt over alt utstyr og programvare som benyttes i behandlingen av helse- og personopplysninger. Når fagsystemet etableres må det innlemmes i konfigurasjonsoversikten. Kommunen må etablere en prosedyre for godkjenning av konfigurasjonsendringer og oppdatering av dokumentasjonen når det gjøres endringer. Når en vertskommune eller et interkommunalt selskap benyttes, skal konfigurasjonskartet vise dette. Dokumentasjonen bør inneholde: et konfigurasjonskart som bør ha et detaljeringsnivå som viser: fysiske/logiske nettverk og deres inndeling i ulike nettverkssoner, TCP/IP-adresser, VLAN, brannmurer, rutere, servere (logiske og/eller fysiske), eksterne kommunikasjonsliner, kryptering og evt. VPN i konfigurasjonskartet bør det klart fremkomme hvor det aktuelle fagsystemet er plassert i tilknytning til konfigurasjonskartet bør det utarbeides en tekstlig beskrivelse som viser logiske elementer og konfigurasjonsparametre som er vanskelig å visualisere i en tegning Veileder for helse- og sosialtjenester i kommuner V1.2 Side 19 av 39

20 3.1.8 Etablere prinsipper og prosedyrer for tilgangsstyring Prinsippene for tilgangsstyringen til fagsystemet skal baseres på at tilgang skal tildeles medarbeiderne etter roller og arbeidsoppgaver. Medarbeiderens rolle skal likevel ikke alene gi tilgang til helse- og personopplysninger og bruk av fagsystemet. Tilgang til helse- og personopplysninger skal i utgangspunkt kun gis i den grad dette er nødvendig for å yte tjenesten og i den grad den registrerte ikke motsetter seg det. Tilgangsstyringen skal baseres på de beslutninger som tas om helsehjelp eller sosiale ytelser til den registrerte. En slik beslutningsstyrt tilgang skiller seg fra den tradisjonelle rollebaserte tilgangsstyringen. Forskjellen ligger i at det konkrete engasjementet overfor den registrerte avgjør omfanget av tilgangen som skal gis - og ikke rollen til helse- og sosialpersonellet. Personellets rolle i kommunen er imidlertid avgjørende for hvilke tiltak om helse- eller sosialhjelp vedkommende medarbeider kan ta del i. For kommunen kan det være en utfordring å etablere riktig tilgangsstyring når det er flere behandlinger/formål i samme fagsystem. Ut fra prinsippene om forholdsmessig sikring skal kommunen, basert på en risikovurdering, etablere tiltak og prosedyrer for tildeling, administrasjon og kontroll av tilgangsrettigheter (autorisasjon) ved bruk av fagsystemet. Faktaark 14 - Tilgangsstyring gir mer veiledning Etablere prosedyrer for elektronisk samhandling med eksterne Det er behov for samhandling med eksterne parter, f.eks. for å få til et helhetlig og godt diagnostiserings-, behandlings- og oppfølgningsforløp. Dette vil vanligvis innebære utlevering av helse- og personopplysninger til eksterne, og kommunen må etablere prosedyrer for å sikre at personvernet og taushetsplikten blir ivaretatt når helse- og personopplysninger fra kommunens fagsystem utleveres til andre. I prosedyrer skal det fremkomme hvem som er ansvarlig for den enkelte elektroniske samhandlingen. Ansvaret bør følge de samme ansvarslinjene som for behandlingene. Taushetspliktsbestemmelsene vil være førende for i hvilken grad opplysninger kan utleveres til andre. Når det gjelder helseopplysninger vil det kun være anledning til å utlevere disse til annet helsepersonell, og dersom opplysningene er nødvendig for å kunne yte helsehjelp. Aktuelle eksterne samhandlingspartnere: Andre kommuner Pårørende Offentlige helseforetak (f.eks. somatiske sykehus, distriktspsykiatrisk senter (DPS), barnehabilitering og rusinstitusjoner) Private helseforetak (f.eks. rehabilitering og opptrening) Laboratorier Asyl- og flyktningemottak (UDI) Politiet NAV Fylkeskommunale organer Røntgeninstitutter Fysikalske institutter Veileder for helse- og sosialtjenester i kommuner V1.2 Side 20 av 39

21 Apotek Hjelpemiddelsentral (som organisatorisk er en del av NAV) Ved samhandling gjennom Norsk Helsenett (f.eks. med EDI-meldinger) skal alle samarbeidspartnere følge Normen. Mer informasjon finnes i Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet og på Norsk Helsenetts hjemmeside ( Etablere prosedyrer for intern samhandling Kommunen vil ofte ha behov for samhandling internt mellom kommunens ulike tjenester og fagsystemer. Eksempler kan være barneverntjeneste, pedagogisk psykologisk rådgivningstjeneste (PPT), skoler, fysioterapitjeneste, helsestasjonstjeneste og legevakttjeneste. Taushetsplikten vil være førende for samhandlingen. Helsepersonelloven har ingen unntaksbestemmelse som åpner for utlevering av helseopplysninger i forbindelse med samhandling internt mellom kommunens ulike tjenester. Slik samhandling må bygge på den enkelte pasients samtykke. På samme måte som for eksterne samarbeidspartnere (se pkt ), skal det etableres prosedyrer der det fremkommer hvem som er ansvarlig for den enkelte elektroniske samhandlingen. Ansvaret bør følge de samme ansvarslinjene som for behandlingene Etablere hendelsesregistrering Kommunen skal ha etablert hendelsesregistre og prosedyrer for hendelsesregistrering, slik at den har en overordnet oversikt over aktiviteten i fagsystemet. Dermed kan avvik oppdages. Ved etablering av et nytt fagsystem må kommunen sikre at hendelsesregistrering blir iverksatt iht. kommunens prosedyrer. Følgende hendelser bør registreres: Tildeling av tilganger Bruk av tilganger Uautorisert eller forsøk på uautorisert bruk av tilganger Bruk av nødrettstilgang Hendelsesregistret bør oppbevares i minst 2 år i elektronisk form. Faktaark 15 - Hendelsesregistrering og oppfølging gir mer veiledning Etablere prosedyrer for håndtering av utskrifter Utskrifter fra fagsystemet vil ofte inneholde helse- og personopplysninger. Det må derfor allerede ved etableringen utarbeides prosedyrer for hvordan utskrifter håndteres. Dette kan også løses med tekniske virkemidler (bruk av magnetkort/pinkode, utskriftskøer slettes etter en viss periode e.l.) eller at skrivere plasseres i separate rom med tilgang kun for autorisert personell. I forbindelse med utskrifter bør det etableres prosedyrer og tekniske hjelpemidler for makulering. Veileder for helse- og sosialtjenester i kommuner V1.2 Side 21 av 39

22 Etablere prosedyrer for å ivareta sentrale rettigheter for den registrerte Kommunen må etablere enkle og praktiserbare prosedyrer for å etterleve sine plikter knyttet til den registrertes personvern og rettssikkerhet. Prosedyrene skal: ivareta taushetsplikten ivareta informasjonsplikten (f.eks. ved å legge ut informasjon på kommunenes hjemmesider) ivareta informert samtykke ivareta retten til reservasjon, herunder sørge for at det enkelte personell gir opplysning om den reservasjonsretten som den registrerte måtte ha ivareta retten til innsyn ivareta retten til retting og sletting Gjennomføre opplæring Det er meget sentralt at kommunen gir adekvat opplæring i informasjonssikkerhet til alle som bruker og/eller drifter fagsystemene. Opplæringen må gjennomføres før fagsystemet tas i bruk. Kommunen må avsette ressurser til videreopplæring, slik at kunnskapen kan bli vedlikeholdt. Eksempler på temaer som opplæringen bør omfatte: formålet med fagsystemet formål med bruk av opplysningene utover rent tjenstlige behov, f.eks. lokal statistikk hvordan ivareta personvernet (taushetsplikt, informasjonsplikt, informert samtykke, reservasjon, innsyn, retting og sletting) tilgangsstyring funksjonell bruk av fagsystemet regler og krav ved utlevering av informasjon til andre Opplæringen kan gjerne skje i samarbeid med leverandør. Faktaark 9 - Opplæring av ledere og medarbeidere gir mer veiledning Etablere prosedyrer for avviksbehandling Kommunen skal ha prosedyrer for hvordan avvik oppdages og håndteres. Prosedyrene skal også dekke håndtering av avvik i forbindelse med samhandling internt og overfor eksterne parter (for eksempel andre kommuner, private tjenesteytere med videre). Faktaark 8 Avviksbehandling gir mer veiledning Håndtere kommunesamarbeid i forbindelse med felles fagsystem I forbindelse med kommunesamarbeid er det sentralt å ha definert roller og oppgaver, herunder hvem som er databehandlingsansvarlig for hvilke opplysninger på en tydelig måte. Den kommunen som tar på seg oppgaver for andre kommuner kalles for en vertskommune. De kommunene som overlater oppgaver til vertskommunen, kalles samarbeidskommuner. Veileder for helse- og sosialtjenester i kommuner V1.2 Side 22 av 39