Digital pasientsikkerhet, Normen og litt velferdsteknologi Stavanger 4. juni 2019 Aasta Margrethe Hetland
Veien til toppen av agendaen
«Dødelig personvern» digital pasientsikkerhet? Diskusjonen i media omfatter mange problemstillinger Personvern pasientrettigheter - taushetsplikt I utgangspunktet er ikke personvern og pasientsikkerhet i konflikt En balansert tilnærming til personvern og pasientsikkerhet må alltid ta utgangspunkt i gode risikovurderinger, og reell ledelsesforankring Innebygd personvern en nøkkel til å lykkes
Bakgrunn Om Normen Normen Faktaark og veiledere Arena Kurs Normen er Norges første og største bransjenorm for informasjonssikkerhet og fra 2018 også for personvern Normen er åpent tilgjengelig via www.normen.no
Bakgrunn Om Normen Normen er til for Normen styres av en bredt sammensatt styringsgruppe Det daglige arbeidet koordineres av sekretariatet Alle virksomheter som ved avtale har forpliktet seg til å følge Normen i praksis de fleste av sektorens mer enn titusen virksomheter og deres leverandører og databehandlere Den offentlige tannhelsetjeneste Sekretariatet er plassert i Direktoratet for e-helse med fast representasjon fra Norsk Helsenett Strategi for Normen 2019-2021
STRATEGI 2019-2021 Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten sektorens felles krav, verktøy og arena for informasjonssikkerhet og personvern Normen skal bidra til at virksomheter som følger Normen har egnede tekniske og organisatoriske tiltak på plass fremme samhandling gjennom tillit i helse- og omsorgssektoren fremme en balansert tilnærming til konfidensialitet, tilgjengelighet, integritet og robusthet forenkle arbeidet med informasjonssikkerhet og personvern Strategi Helse- og omsorgssektorens felles bransjenorm skal øke sin nytte og relevans gjennom forenkling tilgjengeliggjøring oppdatering effektiv utadrettet virksomhet tilpasning til personvernforordningen Prioriterte temaområder Pasient-/brukerrettigheter og personvern Leverandørkrav og - oppfølging Sekundærbruk Prioriterte målgrupper Ledelse Leverandører og databehandlere Små virksomheter
STRATEGI 2019-2021 STRATEGISKE FOKUSOMRÅDER OG INITIATIVER 1 Forenkling, lesbarhet og 2 Felles arena 3 Sektorens felles kravsett til informasjonssikkerhet og personvern nyttige verktøy Enklere språk Dokumenter med bedre grafisk utforming Kortversjoner Nye verktøy og formater, mer enn bare pdf Være tilgjengelig og i tett dialog og samarbeid med sektoren og andre relevante aktører Revidere og videreutvikle Normens kursstrategi- og virksomhet Vurdere hvordan pasienter og leverandører kan inkluderes bedre i Normarbeidet Bidra aktivt til felles normering på områder der sektoren ønsker det Utvikle Normens rolle som verktøy i anskaffelser og leverandøroppfølging Søke og opprettholde godkjenning som en godkjent atferdsnorm Følge opp etterlevelse av Normen for å skaffe til veie bedre faktagrunnlag som grunnlag for Normens utvikling. Utarbeide oversikt som viser bakgrunn for Normens ulike krav (lovspeil)
Oppdatering og modernisering av Normen 31.05.18 2019: Åpen høring 1.aug 1.okt 2006-2018 v5.3 Versjon 6.0 Norges første og største bransjenorm innen informasjonssikkerhet Godt forankret og i bruk i sektoren Fremmer samhandling og digitalisering Innarbeidet kravsett i sektoren Modernisert og omstrukturert - ISO Personvernforordningen Adferdsnorm etter art. 40 Nytt utseende Forenkling og forbedring - Bruker- og leservennlighet Forholdsmessighet Personvern rettigheter og behandling Pasientjournalforskriften Modernisering Nye/ endrede krav Sikkerhetsarkitektur/ Grunnprinsipper Leverandør og avtale Styringssystem Risikostyring Sekundærbruk Oppdatering veiledningsmateriell
Viktige utgangspunkter Integrert del av tjenesteytingen Bruk av velferdsteknologi skal og må som en integrert bestanddel i tjenesteforvaltningen, det kan ikke jobbes med atskilt Det betyr at personvernombud, tildelings-/bestillerkontor, ergoterapitjeneste, ITavdeling mv. også må «jobbe med velferdsteknologi» De samme reglene gjelder Det er de samme reglene som gjelder ved tradisjonell tjenesteyting uten teknologi, som de som gjelder med bruk av velferdsteknologi De eneste egentlige unntakene knytter seg til rettsgrunnlaget i enkelte tilfeller når det skal benyttes teknologi som må anses som inngripende, Helsedirektoratet 9
Kort om samtykke Helsehjelp Helse- og personopplysninger 10
Hovedregel om samtykke i helse- og omsorgstjenesten Det er ikke behov for noe uttrykkelig samtykke ved ytelse av helse- og omsorgstjenester, verken til tjenesteytingen eller til behandlingen av person- /helseopplysninger. Årsaken er Kun nødvendig med uttrykkelig samtykke 1. at samtykke til helse- og omsorgstjenester enten den gis med eller uten bruk av teknologi - kan gis implisitt (det er det vanlige) 2. at helselovgivningen i seg selv gir rettsgrunnlag for behandling av de opplysningene som er relevant og nødvendig for ytelse av tjenestene 1. hvis opplysninger skal behandles for andre formål enn ytelse av helse- og omsorgstjenester til den det gjelder (unntatt intern kvalitetssikring) 2. hvis det skal behandles andre opplysninger enn de som er relevante og nødvendige for å yte tjenester pasienten/brukeren 11
Juss, personvern og sikkerhet i alle faser Personvernvurderinger for å sikre god behandling av personopplysninger Juridiske vurderinger for å sikre forsvarlighet i tjenesten Sikre brukers personvernrettigheter Juridiske vurderinger for Avklare behov Planlegge prosjekt Designe Implementere ny tjeneste ny tjeneste og anskaffe Drifte tjenesten enkelt bruker Forankring Gevinstrealisering
Noen kloke grep identifisert så langt Dette er en «gjørejobbb» Få med de riktige folka, de som kan - Juridisk, IT, sikkerhet, PVO, andre? Bruk PVO! Finn juridisk kompetanse Samarbeid med Fylkesmannen Bruk malene som er tilgjengelig Bruk hverandre og de nettverk dere har noen er kommet lengre enn andre og deler gjerne Forankring, forankring, forankring Side 13
Hva gjør vi? Nasjonalt velferdsteknologiprogram Webinar 7.mai kl 9.30 Kvikk-guide Normen DPIA-case Veileder i velferdsteknologi - 2020 Side 14
26.-27. november på The Qube Clarion Oslo airport Opplæringsdag 25.november Side 15