Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner

Like dokumenter
Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner

Veileder i personvern og informasjonssikkerhet for helse- og omsorgstjenester i kommuner

Sikkerhetskrav for systemer

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Sikkerhetskrav for systemer

HVEM ER JEG OG HVOR «BOR» JEG?

Sikkerhetskrav for systemer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Internkontroll og informasjonssikkerhet lover og standarder

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Endelig kontrollrapport

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Bruk av databehandler (ekstern driftsenhet)

Bruk av databehandler (ekstern driftsenhet)

Kommunens Internkontroll

Databehandleravtale etter personopplysningsloven

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag. Tor Ottersen

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Endelig kontrollrapport

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Ansvar og organisering

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

Personvernerklæring Stendi

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Endelig kontrollrapport

Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet

Avtale om bruk av Modia Arbeidsrettet Oppfølging for deltakere i Kvalifiseringsprogrammet

Bilag 14 Databehandleravtale

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Innsatsområder nasjonalt nivå i helsetjenesten Nasjonalt meldingsløft Kjernejournal Helsepolitiske mål E-resept Helseportal Helseregistre EPJ Velferds

Databehandleravtaler

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Norm for informasjonssikkerhet i helsesektoren

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato:

Endelig kontrollrapport

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Personvern - sjekkliste for databehandleravtale

Personvern og informasjonssikkerhet for legekontorer

ekommune 2017 Prosessplan for god praksis om personvern

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet

LÆRINGS- og GJENNOMFØRINGSPLAN

Videokonsultasjon - sjekkliste

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

LÆRINGS- og GJENNOMFØRINGSPLAN

Norm for informasjonssikkerhet Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene

LÆRINGS- og GJENNOMFØRINGSPLAN

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Noen utvalgte faktaark og veiledere. Åpent kurs

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Endelig kontrollrapport

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Fagkurs for kommuner Personvern og taushetsplikt (75 minutter)

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Norm for informasjonssikkerhet

Personvern og tilgang i journal Internt & Eksternt. Helge Veum, senioringeniør HelsIT, Trondheim, 25. september 2008

Helseforskningsrett med fokus på personvern

Retningslinjer for databehandleravtaler

Krav til informasjonssikkerhet

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Personopplysninger og opplæring i kriminalomsorgen

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Kunngjort 28. august 2017 kl PDF-versjon 30. august 2017

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Databehandleravtale for NLF-medlemmer

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Endelig kontrollrapport

Endelig Kontrollrapport

Transkript:

Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner Veilederen er et støttedokument til Norm for informasjonssikkerhet i helsesektoren Utgitt med støtte av: Versjon 1.0

INNHOLD 1 INNLEDNING... 2 1.1 BAKGRUNN... 2 1.2 OM NORMEN... 2 1.3 OM VEILEDEREN... 2 1.4 MÅLGRUPPER... 2 1.5 VEILEDERENS FORHOLD TIL ANDRE DOKUMENTER OG VEILEDERE... 2 1.6 DEFINISJONER... 2 2 PERSONVERN OG RETTSIKKERHET... 2 2.1 OVERORDNET OM PERSONVERN OG RETTSSIKKERHET... 2 2.2 RETTIGHETER OG PLIKTER... 2 2.2.1 Taushetsplikten... 2 2.2.2 Informasjonsplikten... 2 2.2.3 Informert samtykke... 2 2.2.4 Rett til reservasjon... 2 2.2.5 Rett til innsyn... 2 2.2.6 Rett til å kreve retting og sletting... 2 3 INFORMASJONSSIKKERHET I FAGSYSTEMENE... 2 3.1 KRAV TIL INFORMASJONSSIKKERHET FØR ETABLERING AV FAGSYSTEM... 2 3.1.1 Oppdatere styringssystem for informasjonssikkerhet... 2 3.1.2 Påse at sikkerhetsmål og -strategi er ivaretatt... 2 3.1.3 Definere ansvar og roller... 2 3.1.4 Identifisere og beskrive formålet med behandling av helse- og personopplysninger... 2 3.1.5 Fastsette akseptkriterier og gjennomføre risikovurdering av fagsystemet... 2 3.1.6 Etablere tekniske løsninger... 2 3.1.7 Oppdatere konfigurasjonskontroll og dokumentasjon... 2 3.1.8 Etablere prinsipper og rutiner for tilgangsstyring... 2 3.1.9 Etablere rutiner for elektronisk samhandling med eksterne... 2 3.1.10 Etablere rutiner for intern samhandling... 2 3.1.11 Etablere hendelsesregistrering (logging)... 2 3.1.12 Etablere rutiner for håndtering av utskrifter... 2 3.1.13 Etablere rutiner for å ivareta sentrale rettigheter for den registrerte... 2 3.1.14 Gjennomføre opplæring... 2 3.1.15 Etablere rutiner for avviksbehandling... 2 3.1.16 Håndtere kommunesamarbeid i forbindelse med felles fagsystem... 2 3.1.17 Etablere evt. databehandleravtale... 2 3.2 KRAV TIL INFORMASJONSSIKKERHET NÅR FAGSYSTEMET ER I BRUK... 2 3.2.1 Følge opp rutinene for sentrale rettigheter for den registrerte... 2 3.2.2 Følge opp autorisasjon og tilgangsstyring... 2 3.2.3 Revidere risikovurderinger... 2 3.2.4 Gjennomføre sikkerhetsrevisjoner... 2 3.2.5 Identifisere og håndtere sikkerhetshendelser (avvik)... 2 3.2.6 Følge opp konfigurasjon og dokumentasjon... 2 3.2.7 Følge opp hendelsesregistrering (logging)... 2 3.2.8 Ivareta bruk av mobilt utstyr... 2

3.2.9 Oppdatere programvaren mot ondsinnet programvare... 2 3.2.10 Sende elektronisk melding til den registrerte fra fagsystemet... 2 3.2.11 Etterleve rutinene for samhandling med interne og eksterne parter... 2 3.2.12 Sørge for nødvendig opplæring... 2 3.3 KRAV TIL INFORMASJONSSIKKERHET VED UTFASING AV FAGSYSTEMET... 2 3.3.1 Følge opp konfigurasjonsstyring... 2 3.3.2 Følge opp autorisasjon og tilgangsstyring... 2 3.3.3 Vurdere å slette, overføre eller deponere helse- og personopplysninger... 2 4 SJEKKLISTER... 2 4.1 SJEKKLISTE FØR ETABLERING AV FAGSYSTEM... 2 4.2 SJEKKLISTE NÅR FAGSYSTEMET ER I BRUK... 2 4.3 SJEKKLISTE UTFASING AV FAGSYSTEMET... 2 5 VEDLEGG... 2 5.1 REFERANSER... 2 5.2 DELTAGERE I UTARBEIDELSEN AV VEILEDEREN... 2 5.3 EKSEMPLER PÅ BEHANDLINGER... 2

1 INNLEDNING 1.1 Bakgrunn En stadig større del av kommunens håndtering av helse- og personopplysninger innenfor helse- og sosialtjenesten skjer elektronisk. Stor dynamikk, høy endringstakt og høy grad av elektronisk registrering og bruk av fagsystemer og andre IT-systemer for tjenestedokumentasjon preger arbeidsdagen i kommunen, både på helseområdet og på sosialområdet. I en slik kompleks virkelighet kan det være usikkerhet om hvilke krav som stilles, og tilsyn i kommunene har i enkelte tilfeller avdekket mangler og til dels store ulikheter ved håndteringen av helse- og personopplysninger. Det finnes også andre utfordringer knyttet til personvern og informasjonssikkerhet, bl.a. at: alle kommuner som er tilknyttet Norsk Helsenett skal følge Normen. Norsk Helsenett er den elektroniske samhandlingsarenaen for helse- og sosialsektoren (se www.nhn.no). kommunene har oppgaver knyttet til rapportering til IPLOS-registeret hensynet til den registrertes krav på personvern gjør det nødvendig å nå ut med informasjon til mottakere av kommunale helse- og sosialtjenester Øverste leder (oftest rådmannen) er hovedansvarlig for personvern og informasjonssikkerhet. Det er erfaring for at det er behov for veiledning for kommuneledelsen. Et dokument som gir informasjon og som beskriver kommunens ansvar, kommer òg brukerne av kommunale helseog sosialtjenester (dvs. dem som de registrerte opplysningene gjelder), til gode. På denne bakgrunnen er det et behov for en veileder 1 innen personvern/taushetsplikt og informasjonssikkerhet knyttet til behandling av helse- og personopplysninger i helse- og sosialtjenesten i kommunene. Hensikten med veilederen er i første rekke å gi kommunene et praktisk verktøy i arbeidet med å ivareta gjeldende krav til personvern og informasjonssikkerhet. 1.2 Om Normen Norm for informasjonssikkerhet i helsesektoren (Normen) ble lansert i august 2006. Normen skal bidra til tilfredsstillende informasjonssikkerhet hos den enkelte virksomhet, og i helsesektoren generelt. I tillegg skal Normen bidra til å harmonisere informasjonssikkerheten, slik at virksomhetene kan ha gjensidig tillit til hverandre. 1 Den veilederen som hittil har vært benyttet ("Veileder for å ivareta informasjonssikkerhet i IPLOS-systemet" (versjon 2.0 fra februar 2003)), er i store trekk utdatert og dekker et for lite område.

Normen bygger på en rekke norske bestemmelser om personvern og informasjonssikkerhet, bl.a. reglene i personopplysningsloven og helseregisterloven. Disse reglene er basert på EUs personverndirektiv. Personverndirektivet bygger igjen på grunnleggende menneskerettigheter. Kravene i Normen er derfor basert på gjeldende regler på personvern- og informasjonssikkerhetsområdet, men Normen i seg selv er ikke bindende. Imidlertid er alle som knytter seg til Norsk Helsenett - gjennom avtalen om tilknytning - forpliktet til å følge Normen. 1.3 Om veilederen Denne veilederen er et støttedokument til Normen. Normen omhandler i utgangspunktet informasjonssikkerheten i helsetjenesten. For å gi en mer helhetlig hjelp, tilpasset kommunenes behov, dekker imidlertid denne veilederen også personvern og informasjonssikkerhet i sosialtjenesten. Veilederen gir førende anbefalinger for personvern og informasjonssikkerhet i kommunenes helse- og sosialtjeneste, herunder også i IPLOS-sammenheng. ga i november 2008 ut Håndbok om helse- og sosialtjenesten i kommunen". Formålet med håndboken er å gi en oversikt over rettigheter og plikter etter helse- og sosiallovgivingen, samt å gi en oversikt over de viktigste tjenestetilbudene i kommunen. "" dekker personvern og informasjonssikkerhet på de samme områdene som er omfattet av s håndbok. Dette innebærer at denne veilederen dekker personvern og informasjonssikkerhet innen de fleste lovpålagte helse- og sosialtjenester (etter kommunehelsetjenesteloven og sosialtjenesteloven). Bare den delen av NAV som kommunen er ansvarlig for, dekkes av denne veilederen. Personvern, taushetsplikt og informasjonssikkerhet internt i NAV (som statlig organ), er NAVs eget ansvar, og NAV må kontaktes direkte for informasjon om etatens egne personvern- og informasjonssikkerhetsprosedyrer. Når det er enighet om at det lokale NAVkontoret skal utføre tjenester på vegne av kommunen, anbefales det at kommunen gjennom avtale sikrer at prinsippene i denne veilederen blir fulgt. Som et ledd i avtalen om informasjonssikkerhet mellom NAV og kommunene er det utarbeidet et dokument, "Felles sikkerhetsansvar for Arbeids- og velferdsforvaltningen", som omfatter felles sikkerhetsnormer for Arbeids- og velferdsforvaltningen. Disse sikkerhetsnormene skal sikre felles forståelse mellom stat og kommune i forhold til sikkerhetsnivå ved etablering av felles lokalt kontor. Dokumentet inneholder konkretisering av lovmessige krav som alle enheter i Arbeids- og velferdsforvaltningen bør implementere. Det presiseres at med Arbeids- og velferdsforvaltningen (også omtalt som forvaltningen) menes her summen av 1) statlige enheter og 2) enheter hvor stat og kommune er samlokalisert. Veilederen bør også benyttes i sammenheng med ikke-lovpålagte tjenester (for eksempel trygghetsalarm, dagsenter, hjelpemiddelvurdering og krisesenter).

Kommunen har det overordnete ansvaret for at tjenester ytes. Selve utførelsen settes ofte til private tjenesteytere (f.eks. fastlege eller private sykehjem). Kommunen bør nøye påse at tjenesteyteren følger gjeldende regler innen personvern og informasjonssikkerhet. Kommunen anbefales å ivareta dette ved utforming av kravspesifikasjoner og kontrakter. Det er likevel slik at kommunen ikke har direkte ansvar for personvernet og informasjonssikkerheten internt hos den private tjenesteyteren. Databehandlingsansvaret ligger hos den private tjenesteyteren. I de tilfeller kommunen leier inn personell som dokumenterer i kommunens fagsystem vil kommunen ha det fulle ansvaret (slik den er ansvarlig for kommunens ansatte). Kommunene har en stor grad av frihet når det gjelder intern organisering, kommunesamarbeid mv., også innen personvern og informasjonssikkerhet. Veilederen har ikke til hensikt å legge føringer med tanke på kommunens organisering. I sjekklistene i kapittel 4 er det gjort plass til å nedtegne hvem som innehar hvilket ansvar i den enkelte kommune; dette må kommunen avklare og beslutte i samsvar med sin egen organisering mv. Denne veilederen er bygget opp med en innledning (kapittel 1), en redegjørelse for personvernet og informasjonssikkerhet i kommunene mer generelt (kapittel 2), og en beskrivelse av krav kommunen må etterleve iht. Normen (kapittel 3). Veilederen tar utgangspunkt i etablering, bruk og utfasing av et fagsystem. Bakgrunnen for dette er at fagsystemet ofte viser seg å være utgangspunktet for konkrete personvernutfordringer personellet møter i arbeidshverdagen. Veilederen omfatter både kommunens papirbaserte og elektroniske behandlinger av helse- og personopplysninger, men er altså særlig rettet mot den elektroniske behandlingen i fagsystemene. I kommunene blir det også registrert tjenestedokumentasjon i andre systemer som ikke faller inn under definisjonen fagsystem (f.eks. sak/arkivsystemet). Personvernutfordringene er imidlertid de samme som under fagsystemet. Veilederen søker å være praktisk både for dem med ansvar for å utforme og implementere gode, interne regler for personvern og informasjonssikkerhet, og for dem som i møtet med de registrerte skal bruke systemene i det daglige. Veilederen er utarbeidet i samarbeid med representanter fra sektoren, se nærmere under 5.2. 1.4 Målgrupper Denne veilederen er primært rettet mot personell med ansvar, oppgaver og roller i forbindelse med personvern og informasjonssikkerhet innen kommunenes helse- og sosialtjeneste. Eksempler på slikt personell er: Rådmann / øverste administrative leder Kommunalsjef (sosial- og helsedirektør / etatssjef mv.) Avdelingsleder/enhetsleder Sikkerhetskoordinator IT-fagsystemansvarlig Andre som kan ha nytte av veilederen:

Ordfører, politisk ledelse og helse- og sosialutvalg o.l. Private leverandører av kommunale tjenester (f.eks. helse- og sosialtjenester) Personvernombud Databehandler Helse- og sosialpersonell/tjenesteutførende personell Saksbehandler Administrativt personell innen sak/arkiv Den registrerte (søkere og mottakere av helse- og sosialtjenester) Veilederen er uavhengig av kommunal organisering og stillingskategoriene ovenfor er eksempler og vil kunne variere fra kommune til kommune. 1.5 Veilederens forhold til andre dokumenter og veiledere Dokument (for pekere se pkt. 5.1) Norm for informasjonssikkerhet i helsesektoren Støttedokumenter til Normen: Faktaark og veiledere (herunder denne veilederen) Felles sikkerhetsansvar for Arbeids- og velferdsforvaltningen Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet (støttedokument under Normen) Datatilsynets veileder for kommuner og fylkeskommuner Håndbok om helse- og sosialtjenesten i kommunen (HOD/ 2008) IPLOS veileder ( 2009) Forhold til denne veilederen Overordnet dokument Gir utfyllende veiledning på ulike tematiske områder. Er underordnet Normen Omfatter felles sikkerhetsnormer for Arbeids- og velferdsforvaltningen Gir krav og anbefalinger når kommuner skal tilknyttes helsenettet. Dekker i liten grad personvern og informasjonssikkerhet i helseog sosialtjenesten Datatilsynets veileder må hensyntas når kommuner etablerer løsninger for informasjonssikkerhet og personvern og bør leses i sammenheng med denne veilederen. Gir en oversikt over de viktigste tjenestetilbudene i kommunen og hvilke prinsipper de er basert på. Dekker i liten grad personvern og informasjonssikkerhet. Håndbokens beskrivelse av tjenestetilbudene danner ramme for denne veilederen En veileder for registrering av IPLOSopplysninger for personell i kommunale helse- og sosialtjenester. Dekker i liten grad personvern og informasjonssikkerhet 1.6 Definisjoner 2 2 Det gjøres oppmerksom på at enkelte av definisjonene kan ha et annet meningsinnhold i dagligtalen / andre sammenhenger (f.eks. begrepet integritet)

Definisjoner er hentet fra Normen. Nye begrep er definert og samlet etter definisjoner fra Normen. Definerte ord er markert i kursiv i teksten. Definisjoner fra Normen (av 7. august 2006) Med autentisering menes i Normen prosessen som gjennomføres for å bekrefte en påstått identitet. Med "sterk autentisering" menes i Normen at det benyttes en prosess som er basert på sterkere identifisering enn bare bruk av brukeridentitet og passord, f.eks. bruk av engangspassord, smartkort eller biometriske parametere. Med autorisere/autorisert/autorisasjon menes i Normen at en person i en bestemt rolle kan gis eller er gitt bestemte rettigheter til lesing, registrering, redigering, retting, sletting og/eller sperring av helse- og personopplysninger. Autorisasjon kan bare gis i den grad det er nødvendig for vedkommendes arbeid, er begrunnet ut fra tjenstlig behov og er i henhold til bestemmelser om taushetsplikt. Med avvik menes i Normen enhver håndtering av helse- og personopplysninger som ikke utføres i henhold til gjeldende regelverk, retningslinjer og/eller prosedyrer samt andre sikkerhetsbrudd. Med behandling menes i Normen enhver formålsbestemt bruk av helse- og personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, jf. helseregisterloven 2 nr. 5 og personopplysningsloven 2 nr. 2). Med databehandler menes den som behandler helse- og personopplysninger på vegne av den databehandlingsansvarlige, jf. helseregisterloven 2 nr. 9 og personopplysningsloven 2 nr. 5. Det presiseres at en databehandler er en ekstern person eller virksomhet utenfor den databehandlingsansvarliges virksomhet. Det vil si at den databehandlingsansvarliges egne medarbeidere ikke er dennes databehandlere. Med databehandlingsansvarlig menes den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes, hvis ikke databehandlingsansvaret er særskilt angitt i loven eller i forskrift i medhold av loven, jf. helseregisterloven 2 nr. 8 og personopplysningsloven 2 nr. 4 (her benyttes begrepet "behandlingsansvarlig"). Det presiseres at det er virksomheten som er databehandlingsansvarlig for behandling av helseog personopplysninger. Ansvaret skal ivaretas av den daglige ledelsen av virksomheten, og virksomheten er pliktsubjekt. helse- og personopplysninger benyttes i Normen som en fellesbetegnelse for helseopplysninger og/eller personopplysninger. Med helseopplysninger menes taushetsbelagte opplysninger i henhold til helsepersonelloven 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson, jf. helseregisterloven 2 nr. 1. Med integritet menes i Normen at helse- og personopplysninger må være sikret mot utilsiktet eller uautorisert endring eller sletting.

Med konfidensialitet menes i Normen at helse- og personopplysninger må være sikret mot at uvedkommende får kjennskap til opplysningene. Med konfigurasjon menes i Normen informasjonssystemets utforming inklusive både teknisk utstyr og programvare. Med konfigurasjonsendring menes i Normen en endring av informasjonssystemets utforming som følge av installasjon, oppgradering eller fjerning av utstyr eller programvare. Med kvalitet menes i Normen at helse- og personopplysninger må være korrekte, oppdaterte, samt relevante og tilstrekkelige som grunnlag for å yte helsehjelp. Med Normen menes Norm for informasjonssikkerhet i helsesektoren. Andre dokumenter i tilknytning til Normen, som for eksempel faktaark og veiledninger, er ikke omfattet av begrepet. Med personopplysninger menes opplysninger og vurderinger som kan knyttes til en enkeltperson, jf. personopplysningsloven 2 nr. 1. Med tekniske tiltak menes i Normen tiltak av teknisk karakter som ikke kan påvirkes eller omgås av medarbeidere, og ikke er begrenset av handlinger som den enkelte forutsettes å utføre. Eksempler på slike tiltak kan være sterk autentisering eller konfigurering av en brannmur slik at den kun utfører bestemt trafikk eller en meldingstjeneste som er laget slik at alle meldinger automatisk blir kryptert. Med taushetsplikt menes i Normen lovpålagt eller avtalt plikt til å hindre at andre får adgang eller kjennskap til helse- og personopplysninger, jf. helsepersonelloven 21 og helseregisterloven 15, samt annen informasjon med betydning for informasjonssikkerheten, jf. personopplysningsforskriften 2-9. Taushetsplikt innbefatter både en passiv plikt til å tie og en plikt til aktivt å hindre uvedkommende i å få tilgang til taushetsbelagte opplysninger, herunder å skaffe seg kjennskap til opplysninger man ikke er autorisert for og ikke har tjenstlig behov for. Med tilgang menes i Normen at helse- og personopplysninger om en eller flere bestemte pasienter er eller gjøres tilgjengelige for autorisert personell. Beslutning om tilgang skal treffes etter en konkret beslutning basert på at det iverksettes tiltak for medisinsk behandling av pasienten. Med tilgjengelighet menes i Normen at helse- og personopplysninger som skal behandles, er tilgjengelig til den tid og på det sted det er behov for opplysningene. Nye definisjoner som er brukt i denne veilederen Med EDI (Electronic Data Interchange) menes elektronisk overføring av forretningsdata mellom IT-systemer i standardiserte formater. Med forretningsdata forstås informasjon som elektroniske og strukturerte dokumenter og blanketter. Med EPJ menes elektronisk pasientjournal, dvs. en elektronisk ført samling eller sammenstilling av nedtegnede/registrerte helse- og personopplysninger om en pasient i forbindelse med helsehjelp.

Med fagsystem menes en applikasjon eller et IT-system som behandler helse- og personopplysninger. Begrepet systemløsning brukes også om et fagsystem. Eksempler på fagsystem er: Pleie- og omsorgsystem (PLO), legekontorsystem og barnevernsystem. Opplysninger i ulike fagsystemer kan både utgjøre EPJ og annen tjenestedokumentasjon. Med hendelsesregistrering menes registrering av hendelser i et informasjonssystem, bl.a. med sikte på å forebygge, avdekke og hindre gjentakelse av sikkerhetsbrudd. Med interkommunalt selskap menes et selskap opprettet i samsvar med lov 29. januar 1999 nr. 6 om interkommunale selskap. Et samarbeid, f.eks. på informasjonssikkerhetsområdet, mellom flere kommuner og/eller fylkeskommuner hvor alle deltakerne er kommuner, fylkeskommuner (og/eller andre interkommunale selskaper), kan organiseres gjennom et interkommunalt selskap. Et interkommunalt selskap er et selvstendig rettssubjekt og er rettslig og økonomisk adskilt fra deltakerkommunene. Med IPLOS eller IPLOS-registeret menes betegnelsen på et nasjonalt register hvor det oppbevares pseudonymiserte og kvalitetskontrollerte opplysninger om personer som har søkt, mottar eller har mottatt pleie- og omsorgstjenester. Kommunene rapporterer inn data til registeret etter egne rutiner. Med registrert/den registrerte menes den som helse- og personopplysninger kan knyttes til, jfr. helseregisterloven 2 nr. 10 og personopplysningsloven 2 nr. 6. Eksempler og begreper som brukes om den registrerte er søker, pasient, bruker og mottaker. Med samarbeidskommune menes i denne sammenheng kommune som etter avtale har overlatt oppgaver, f.eks. informasjonssikkerhetsoppgaver, til en annen kommune ( vertskommune, se egen definisjon) i samsvar med reglene i kommuneloven kapittel 5. Med sikker sone menes den delen (de delene) av kommunens informasjonssystem som behandler helse- og personopplysninger, hvor kun autoriserte brukere gis tilgang. Med tjenestedokumentasjon menes dokumentasjon for planlegging, kartlegging, oppfølging og informasjonsutveksling som vedrører tjenestemottakerens søknad, praktiske og medisinske problemer, behov, ressurser, tiltak i form av helsehjelp, hjelpemidler, mm. Sammen med EPJ vil tjenestedokumentasjonen utgjøre dokumentasjonsplikten etter helsepersonelloven mv. Det er ingen lovfestet dokumentasjonsplikt etter sosialtjenesteloven. Med vertskommune menes kommune som etter avtale har påtatt seg å utføre oppgaver, f.eks. på informasjonssikkerhetsområdet, for en annen kommune ( samarbeidskommune, se egen definisjon) i samsvar med reglene i kommuneloven kapittel 5.

2 PERSONVERN OG RETTSIKKERHET 2.1 Overordnet om personvern og rettssikkerhet Den enkeltes rett til å bestemme over bruken over egne personopplysninger, er et sentralt element i personvernet. Personvernreguleringer er nært knyttet til enkeltindividers behov og mulighet for privatliv og selvbestemmelse. Personvernet kommer til uttrykk i lovverket på ulikt vis. Den sentrale lov på personvernområdet er personopplysningsloven. Lovens formål er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. I tillegg finnes det mange særlover og forskrifter som regulerer personvernet og informasjonssikkerheten. Et eksempel er helseregisterloven, som er en særlov for helseregistre og behandling av helseopplysninger. Et annet eksempel er pasientrettighetsloven som slår fast at opplysninger om legems- og sykdomsforhold samt andre personlige opplysninger skal behandles i samsvar med gjeldende bestemmelser om taushetsplikt. Opplysningene skal behandles med varsomhet og respekt for integriteten til den opplysningene gjelder. Elektronisk behandling av opplysninger gir muligheter, men skaper også utfordringer for personvernet og informasjonssikkerheten i kommunene. Elektronisk behandling medfører blant annet at opplysningene enklere og raskere kan gjøres tilgjengelig både internt og eksternt. Dette er en fordel for den registrerte, forutsatt at opplysningene kun gjøres tilgjengelig for rett vedkommende til rett tid. Elektronisk behandling medfører imidlertid et nytt trusselbilde mot opplysningene. Det er derfor behov for opplæring, konkrete prosedyrer og teknologi som gir tillit til at personvernet, taushetsplikten og informasjonssikkerheten er tilfredsstillende ivaretatt. Spesielt om personvernombud: En del kommuner har utnevnt eget personvernombud. Ombudet, som godkjennes av Datatilsynet, skal være en ressursperson innen personvern og informasjonssikkerhet, og det anbefales at kommunene samarbeider med ombudet - i fall et ombud er utpekt - om de spørsmål som reiser seg i arbeidet med denne veilederen. Faktaark 35 - Personvernombud gir mer veiledning. 2.2 Rettigheter og plikter Den registrertes rettsikkerhet i personvernsammenheng er ivaretatt gjennom et sett ulike rettigheter og plikter.

2.2.1 Taushetsplikten Personellet som behandler helse- og personopplysninger i kommunen, vil være underlagt regler om taushetsplikt. Dette sikrer at den registrerte kan være trygg på at informasjonen ikke blir gitt videre til uvedkommende. Taushetsplikten følger av en rekke ulike bestemmelser, avhengig av hvilket virksomhetsområde personellet arbeider innenfor. Helsepersonell er bundet av taushetsplikten som følger av helsepersonelloven. Personell innenfor sosialtjenesten er bundet av forvaltningslovens og sosialtjenestelovens taushetspliktsregler. Helse- og sosialpersonell har som hovedregel taushetsplikt om pasient-/klientforhold. Det finnes flere unntak fra taushetsplikten. Bl.a. kan pasienten samtykke til at opplysninger gis til andre. Det finnes også lovpålagte krav om innrapportering av helse- og personopplysninger til sentrale registre, f.eks. IPLOS-registeret. Også i andre tilfeller - for eksempel ved akutt fare for liv og helse - kan helse- og sosialpersonell fravike taushetsplikten. Kommunen skal legge til rette for at alle medarbeidere til enhver tid er bevisst taushetspliktens innhold og omfang. Kommunen skal sørge for praktiske løsninger (inkludert teknologiske) som gjør at taushetsplikten kan etterleves av medarbeiderne. 2.2.2 Informasjonsplikten Hovedregelen er at den databehandlingsansvarlige, dvs. kommunen, har plikt til å gi informasjon til den registerte om hva som registreres. Når en kommune registrerer helse- og personopplysninger om noen i et fagsystem eller andre systemer for tjenestedokumentasjon, skal derfor den registrerte være informert om at registreringen skjer. Bare ved å være informert om registreringen, vil den registrerte være i stand til å ivareta sine rettigheter. Den personen som registrerer på vegne av kommunen skal forsikre seg om at den som skal registreres på forhånd har fått informasjon om registeret og om hva som registreres. Den registrerte skal ha informasjon om sine rettigheter knyttet til samtykke, reservasjon, innsyn, retting og sletting. 2.2.3 Informert samtykke Å behandle helse- og personopplysninger krever et grunnlag. Uten grunnlag vil behandlingen av opplysningene ikke være lovlig. Et slikt grunnlag kan finnes i lov / forskrift eller ved at den registrerte samtykker i registreringen. Kommunen har som hovedregel bare rett til å behandle opplysninger, dersom den registrerte samtykker til det. Det følger imidlertid av en rekke rettsregler at kommunen kan behandle helse- og personopplysninger uten samtykke. F.eks. følger det av helsepersonelloven at personellet skal føre journal. Journalføringsplikten er derfor et eksempel på et behandlingsgrunnlag som følger av lov. Den registrerte kan ikke motsette seg at helse- og personopplysninger blir journalført hvis helsehjelpen mottas; personellets journalføringsplikt går foran den enkeltes

individuelle rett til å samtykke i/nekte registreringen. Det følger av IPLOS-forskriften at de pseudonymiserte opplysningene i IPLOS-registeret kan samles inn uten samtykke. Ofte vil samtykket være stilletiende. I de tilfellene der en f.eks. søker om en sosialtjeneste, vil dette av kommunen bli oppfattet som at en godtar at de opplysningene som er nødvendige i saksbehandlingen, kan registreres. I de tilfellene der en ikke kan legge til grunn noe stilletiende samtykke, og det heller ikke finnes noe grunnlag i loven som tillater registrering av helse- og personopplysninger, skal kommunen forvisse seg om at den registrerte har gitt et informert samtykke til registreringen, før registreringen skjer. At samtykket er "informert" betyr at det foreligger en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv. Loven stiller ikke noe krav om at et informert samtykke skal foreligge skriftlig. Men skriftlighet er ofte hensiktsmessig med tanke på eventuell klagebehandling, etterfølgende uenighet om omfanget av samtykket mv. I enkelte sammenhenger, spesielt der den registrerte mangler samtykkekompetanse, er det de pårørende eller verge/hjelpeverge som må samtykke på vegne av den registrerte. Den registrerte har rett til både å gi og å tilbakekalle samtykke etter eget valg. Den registrerte har ikke noen plikt til å begrunne valget. 2.2.4 Rett til reservasjon Reservasjonsretten er aktuell i forbindelse med IPLOS, der den registrerte har mulighet til å reservere seg mot at diagnoseopplysninger sendes fra kommunen til IPLOS-registeret. Den som registrerer (saksbehandler/det enkelte personell) skal informere om reservasjonsretten. Denne reservasjonsretten berører ikke det generelle regelverket rundt utveksling av nødvendige og relevante opplysninger mellom samarbeidende helsepersonell, altså innhenting og håndtering av helse- og personopplysninger som skjer i forkant av IPLOS-rapporteringen. Her ligger allerede krav til samtykke, jfr. taushetspliktbestemmelsene i helsepersonelloven. I de tilfeller der diagnoseopplysninger foreligger i kommunens dokumentasjon, skal de sendes inn til IPLOS-registeret dersom ikke den enkelte reserverer seg. 2.2.5 Rett til innsyn En sentral rettighet er retten til innsyn i opplysningene som er lagret om en selv. Som hovedregel har den registrerte krav på et slikt innsyn. Det følger f.eks. av pasientrettighetsloven at pasienten vanligvis har innsyn i egen EPJ. 2.2.6 Rett til å kreve retting og sletting Den registrerte kan i en rekke sammenhenger kreve at feil i helse- og personopplysningene om en selv, blir rettet eller slettet. F.eks. følger det av pasientrettighetsloven at den registrerte kan kreve at mangelfulle, feilaktige eller utilbørlige helse- og personopplysninger eller utsagn blir rettet.

3 INFORMASJONSSIKKERHET I FAGSYSTEMENE I dette kapitlet beskrives krav og anbefalinger for å ivareta personvernet, taushetsplikten og informasjonssikkerheten når et fagsystem skal etableres, er i bruk og ved eventuell utfasing. I det følgende brukes både "skal" og "bør" i tilknytning til kravene. Skal-krav er absolutte krav og gjengitt i Normen, mens bør-krav er å oppfatte som anbefalinger. 3.1 Krav til informasjonssikkerhet før etablering av fagsystem Her beskrives krav og anbefalinger som kommunen må ivareta ved etablering av fagsystemet. Ved etablering menes nyetablering, bytte av leverandør, vesentlige omlegginger av eksisterende systemer mv. 3.1.1 Oppdatere styringssystem for informasjonssikkerhet Etter Normen plikter kommunen å opprette et styringssystem for informasjonssikkerhet. Et styringssystem angir aktiviteter for å rettlede og styre kommunen og er basert på alminnelige internkontrollprinsipper. Kravene og anbefalingene som er angitt i dette kapitelet er normalt en del av dette styringssystemet. Mange kommuner vil allerede ha et styringssystem. I så fall er det viktig at det er samsvar mellom det eksisterende styringssystemet og arbeidet med personvern og informasjonssikkerhet i kommunens ulike fagsystemer. Kommunen må selv endre styringssystemet i den grad innføring av fagsystemene reiser behov for det. For etablering av styringssystemet vises det til Normen og til Faktaark 2 Styringssystem for informasjonssikkerhet. 3.1.2 Påse at sikkerhetsmål og -strategi er ivaretatt Kommunen skal ha vedtatt sikkerhetsmål og -strategi. Ved etablering av fagsystemet må kommunen påse at den aktuelle etableringen er i tråd med sikkerhetsmålene og -strategien. Gjennom sikkerhetsmålene og -strategien skal følgende punkter ivaretas konkret med tanke på fagsystemet som skal innføres: - all registrering og bruk av helse- og personopplysninger skal skje etter et definert formål og etter et informert samtykke fra den registrerte, evt. annet lovlig grunnlag for registreringen - all behandling av helse- og personopplysninger i fagsystemer skal skje på bakgrunn av et hjemmelsgrunnlag - all tilgang til helse- og personopplysninger i fagsystemet skal foregå via en personlig identifikasjon av den enkelte ansatte eller bruker - utstyr som benyttes til behandling av helse- og personopplysninger i fagsystemet skal sikres mot uautorisert tilgang - alle som har tilgang til fagsystemet skal ha signert taushetserklæring I sikkerhetsmålene og -strategien bør kommunen videre avveie og omtale følgende:

- sikkerhetsarkitektur for å ivareta Normens krav om minst to uavhengige tekniske tiltak, slik at personer utenfor virksomheten uansett ressurser og kunnskap ikke skal kunne få tilgang til og/eller kunne endre eller slette helse- og personopplysninger - bruk av databehandler (f.eks. gjennom vertskommune eller interkommunale selskap) 3.1.3 Definere ansvar og roller Rådmannen / øverste administrative leder er hovedansvarlig for personvernet og informasjonssikkerheten i kommunen. Oppgavene blir imidlertid normalt delegert. Ved innføring av et fagsystem må det derfor defineres hvem som i det daglige er ansvarlig for de ulike oppgavene i tilknytning til fagsystemet. Ved innføring av et fagsystem må kommunen definere ansvar og roller, herunder hvem som er databehandlingsansvarlig. I sjekklisten i pkt. 5.3 er det gitt plass til å nedtegne ansvaret. Faktaark 1 - Ansvar og organisering gir mer veiledning 3.1.4 Identifisere og beskrive formålet med behandling av helse- og personopplysninger Når kommunen skal etablere et nytt fagsystem, er det viktig å identifisere og beskrive lovgrunnlaget for behandlingen(e) som skal skje i fagsystemet. Lovgrunnlaget kan finnes i kommunehelsetjenesteloven, sosialtjenesteloven, helsepersonelloven mv. og ut fra lovbestemmelsen, må den konkrete behandlingen beskrives. På etats-/avdelingsnivå må kommunen beskrive formålet med behandlingen(e) av helse- og personopplysninger som det aktuelle fagsystemet skal brukes til. Eksempler på formål fremgår av tabellen under pkt. 5.3. I kommunens komplekse hverdag er et konkret fagsystem ofte brukt til flere behandlinger. Dette kan medføre at det er flere lovgrunnlag for ett og samme fagsystem. I så fall et det meget viktig at tilgangsstyring sikrer at personvernet og taushetsplikten blir ivaretatt (se nærmere under pkt. 3.1.8). Kommunen kan ikke benytte helse- og personopplysninger registrert for en behandling til andre behandlinger, hvis formålene med behandlingene er forskjellig. Kommunen skal føre oversikt over alle behandlinger av helse- og personopplysninger. Det kan være et omfattende arbeid. Eksempelet i tabellen i pkt. 5.3 gir hjelp til kartleggingen. Kommunen kan imidlertid ha ikke-lovpålagte tjenester i tillegg til de som fremkommer av tabellen i pkt. 5.3. Disse tjenestene må i så fall også føyes til i oversikten. Ved innføring av et nytt fagsystem skal oversikten oppdateres med følgende informasjon: - Tjenesteområde (eller tjenesteområdene om fagsystemet skal brukes til flere behandlinger) - Formål(ene) med behandlingen - Kategorier av personopplysninger (sensitive/ikke-sensitive) - Ansvarlig for fagsystemet - Navn på fagsystem/typebetegnelse (leverandørnavn, kommunens interne navn på fagsystemet mv.) - Evt. melde- eller konsesjonsplikt - Evt. databehandler

Som nevnt kan helse- og personopplysninger registreres i ett eller flere fagsystemer eller i andre systemer for tjenestedokumentasjon (for eksempel kommunens saks-/arkivsystem). Kommunen må påse at alle systemer der det registreres helse- og personopplysninger fremkommer i oversikten, under den enkelte behandling. Ved eventuell bruk av et fagsystem til flere ulike behandlinger kan det samlede risikonivået øke. Før en slik praksis etableres bør det gjennomføres en risikovurdering. De fleste av kommunens behandlinger av helse- og personopplysninger er meldepliktige til Datatilsynet. Hvis behandlingen av helse- og personopplysningene i et fagsystem som er i ferd med å bli etablert, er meldepliktig, må kommunen på etats-/avdelingsnivå, påse å melde behandlingen til Datatilsynet før fagsystemet tas i bruk. Meldingen sendes enkelt inn elektronisk via Datatilsynets hjemmeside og skal fornyes hvert 3. år. Kommunens fagsystem vil bare i helt spesielle tilfelle være konsesjonspliktige. Nærmere informasjon om melde- og konsesjonsplikten finnes på www.datatilsynet.no. Særlig om individuell plan: - Individuell plan er et virkemiddel for å kunne gi et bedre tilbud til tjenestemottakere med behov for langvarige og koordinerte helse- og/eller sosialtjenester. Individuell plan er regulert i egen forskrift, og bør utarbeides i samsvar med "Veileder til forskrift om individuell plan" (IS-1253) fra - Ordningen med individuell plan er frivillig. Det vil si at det kreves samtykke fra den registrerte før det utarbeides individuell plan og at det som hovedregel må innhentes samtykke før taushetsbelagte opplysninger kan utveksles. - Helse- og personopplysninger som trengs for å utarbeide en individuell plan vil ofte være hentet fra flere ulike behandlinger, jfr. tabellen i kapittel 5.3. Den enkelte individuelle plan er ikke å regne som en ny behandling av helse- og personopplysninger. Kommunen må imidlertid påse at sikkerhetskravene omkring planen minst ligger på samme sikkerhetsnivå som behandlingene opplysningene hentes fra. På denne måten blir det samsvar mellom informasjonssikkerheten i det enkelte fagsystem og for planen - Etter nærmere regler i pasientjournalforskriften 8, bokstav n), skal individuell plan være en del av pasientjournalen 3.1.5 Fastsette akseptkriterier og gjennomføre risikovurdering av fagsystemet Kommunen skal på forhånd ha fastsatt kriterier for akseptabel risiko. Med akseptabel risiko menes hvor stor risiko kommunen kan akseptere for at det inntreffer en hendelse som kan forårsake brudd på konfidensialitet, tilgjengelighet, integritet eller kvalitet for helse- og personopplysninger. Risikoens størrelse avhenger av sannsynligheten for at hendelsen inntreffer og konsekvensene av hendelsen. Ved utarbeidelse av nivå for akseptabel risiko bør en ta utgangspunkt i en skala for konsekvens og sannsynlighet. Gjennom en vurdering av hvilke type konsekvenser virksomheten ikke kan akseptere fastsettes betydningen av skalaen (for eksempel 1 til 4 - ubetydelig til kritisk). Samme vurdering gjøres for sannsynlighetsskalaen (for eksempel 1 til 4 - usannsynlig til sannsynlig). Faktaark 5 Fastsettelse av akseptkriterier for tilgjengelighet, integritet og konfidensialitet gir mer veiledning.

Det nye fagsystemet skal risikovurderes opp mot fastlagte akseptkriterier. Om risikovurderingen viser at fagsystemet har uakseptabel risiko skal fagsystemet ikke etableres før risikoreduserende tiltak er iverksatt. Gjennom risikovurderingen må kommunen vurdere hensynet til personvernet opp mot hensynet til å kunne yte helse- og sosialtjenester på en effektiv måte. Ofte vil det være en konflikt mellom hensynet til tilgjengelighet for helse- og personopplysninger og hensynet til konfidensialitet for de samme opplysningene. Begge hensyn er legitime, og den konkrete avveiningen mellom dem må være hensiktsmessig; ytterligheter i begge retninger er uheldig. Ut fra risikovurderingen må kommunen iverksette tiltak ut fra prinsippene om forholdsmessig sikring. Følgende momenter kan være aktuelle å risikovurdere ved etablering av et fagsystem: uønskede hendelser og mulige konsekvenser knyttet til at ulike behandlinger legges i samme fagsystem eller andre systemer for tjenestedokumentasjon uautorisert tilgang til og bruk av fagsystemet bruk av minnepinne (innebærer f.eks. risiko for ondsinnet programvare og helse- og personopplysninger på avveie) eventuelle svakheter ved tilgangsstyringen, spesielt når fagsystemet inneholder flere behandlinger (skal hindre uautorisert tilgang) risiko knyttet til bortlåning av ID og passord sikring slik at uautoriserte personer utenfor virksomheten, uansett ressurser og kunnskap, ikke skal kunne få tilgang til og/eller kunne endre eller slette helse- og personopplysninger at data kan tilbakekopieres fra sikkerhetskopier om data blir slettet eller blir inkonsistente tiltak som skal sikre at avvik oppdages (f.eks. gjennom hendelsesregistrering) for øvrige tekniske tiltak, se Datatilsynets veileder for kommuner og fylkeskommuner Selv om kommunen har satt enkelte oppgaver/tjenester ut til en databehandler eller en driftsleverandør, er kommunen ansvarlig for å risikovurdere også disse områdene. Men kommunen kan gjerne få databehandleren/driftsleverandøren til å gjennomføre risikovurderingen, f.eks. ved at dette er tatt inn som et krav i avtale med databehandler og/eller driftsleverandør. Faktaark 7 Risikovurderinger gir mer veiledning. 3.1.6 Etablere tekniske løsninger Når et fagsystem for behandling av helse- og personopplysninger skal etableres må kommunen ivareta en rekke krav til tekniske løsninger. Fagsystemene bør ligge på sikker sone i samsvar med anbefalingene i Datatilsynets Veileder for kommuner og fylkeskommuner. Overføring av helse- og personopplysninger i åpne nett skal krypteres. Krypteringen skal gjøres fra kommunens sikre sone til kommunikasjonspartnerens nettverkssone hvor helse- og personopplysninger behandles. Eksempler på områder som krever kryptering: - når kommunen benytter datalinjer som den selv ikke har full kontroll over - sending av EDI-meldinger til kommunikasjonsparter, f.eks. gjennom helsenettet - uttrekk av opplysninger som skal sendes til IPLOS-registeret - bruk av mobilt utstyr (f.eks. i hjemmesykepleie)

- hjemmekontor med tilgang til helse- og personopplysninger Følgende dokumenter gir mer veiledning: - Datatilsynets veileder for kommuner og fylkeskommuner - Faktaark 24 Kommunikasjon over åpne nett - Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet - Veileder for fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet 3.1.7 Oppdatere konfigurasjonskontroll og dokumentasjon Kommunen skal gjennom konfigurasjonskontroll ha oversikt over alt utstyr og programvare som benyttes i behandlingen av helse- og personopplysninger. Når fagsystemet etableres må det innlemmes i konfigurasjonsoversikten. Kommunen må etablere en prosedyre for godkjenning av konfigurasjonsendringer og oppdatering av dokumentasjonen når det gjøres endringer. Når en vertskommune eller et interkommunalt selskap benyttes, skal konfigurasjonskartet vise dette. Dokumentasjonen bør inneholde: et konfigurasjonskart som bør ha et detaljeringsnivå som viser: fysiske/logiske nettverk og deres inndeling i ulike nettverkssoner, TCP/IP-adresser, VLAN, brannmurer, rutere, servere (logiske og/eller fysiske), eksterne kommunikasjonsliner, kryptering og evt. VPN i konfigurasjonskartet bør det klart fremkomme hvor det aktuelle fagsystemet er plassert i tilknytning til konfigurasjonskartet bør det utarbeides en tekstlig beskrivelse som viser logiske elementer og konfigurasjonsparametre som er vanskelig å visualisere i en tegning 3.1.8 Etablere prinsipper og prosedyrer for tilgangsstyring 3 Prinsippene for tilgangsstyringen til fagsystemet skal baseres på at tilgang skal tildeles medarbeiderne etter roller og arbeidsoppgaver. Medarbeiderens rolle skal likevel ikke alene gi tilgang til helse- og personopplysninger og bruk av fagsystemet. Tilgang til helse- og personopplysninger skal i utgangspunkt kun gis i den grad dette er nødvendig for å yte tjenesten og i den grad den registrerte ikke motsetter seg det. Tilgangsstyringen skal baseres på de beslutninger som tas om helsehjelp eller sosiale ytelser til den registrerte. En slik beslutningsstyrt tilgang skiller seg fra den tradisjonelle rollebaserte tilgangsstyringen. Forskjellen ligger i at det konkrete engasjementet overfor den registrerte avgjør omfanget av tilgangen som skal gis - og ikke rollen til helse- og sosialpersonellet. Personellets rolle i kommunen er imidlertid avgjørende for hvilke tiltak om helse- eller sosialhjelp vedkommende medarbeider kan ta del i. For kommunen kan det være en utfordring å etablere riktig tilgangsstyring når det er flere behandlinger/formål i samme fagsystem. Ut fra prinsippene om forholdsmessig sikring skal kommunen, basert på en risikovurdering, etablere tiltak og prosedyrer for tildeling, administrasjon og kontroll av tilgangsrettigheter (autorisasjon) ved bruk av fagsystemet. 3 I forslag til lovending av helseregisterloven åpnes det for tilgang på tvers av virksomheter som tilbyr helsetjenester. Dette kan også ha konsekvenser i forbindelse med etableringen av fagsystemet. Om forslaget vedtas vil det bli utarbeidet en veileder for tilgangsstyring på tvers.

Faktaark 14 - Tilgangsstyring gir mer veiledning. 3.1.9 Etablere prosedyrer for elektronisk samhandling med eksterne Det er behov for samhandling med eksterne parter, f.eks. for å få til et helhetlig og godt diagnostiserings-, behandlings- og oppfølgningsforløp. Dette vil vanligvis innebære utlevering av helse- og personopplysninger til eksterne, og kommunen må etablere prosedyrer for å sikre at personvernet og taushetsplikten blir ivaretatt når helse- og personopplysninger fra kommunens fagsystem utleveres til andre. I prosedyrer skal det fremkomme hvem som er ansvarlig for den enkelte elektroniske samhandlingen. Ansvaret bør følge de samme ansvarslinjene som for behandlingene. Taushetspliktsbestemmelsene vil være førende for i hvilken grad opplysninger kan utleveres til andre. Når det gjelder helseopplysninger vil det kun være anledning til å utlevere disse til annet helsepersonell, og dersom opplysningene er nødvendig for å kunne yte helsehjelp. Aktuelle eksterne samhandlingspartnere: - Andre kommuner - Pårørende - Offentlige helseforetak (f.eks. somatiske sykehus, distriktspsykiatrisk senter (DPS), barnehabilitering og rusinstitusjoner) - Private helseforetak (f.eks. rehabilitering og opptrening) - Laboratorier - Asyl- og flyktningemottak (UDI) - Politiet - NAV - Fylkeskommunale organer - Røntgeninstitutter - Fysikalske institutter - Apotek - Hjelpemiddelsentral (som organisatorisk er en del av NAV) Ved samhandling gjennom Norsk Helsenett (f.eks. med EDI-meldinger) skal alle samarbeidspartnere følge Normen. Mer informasjon finnes i Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet og på Norsk Helsenetts hjemmeside (www.nhn.no). 3.1.10 Etablere prosedyrer for intern samhandling Kommunen vil ofte ha behov for samhandling internt mellom kommunens ulike tjenester og fagsystemer. Eksempler kan være barneverntjeneste, pedagogisk psykologisk rådgivningstjeneste (PPT), skoler, fysioterapitjeneste, helsestasjonstjeneste og legevakttjeneste. Taushetsplikten vil være førende for samhandlingen. Helsepersonelloven har ingen unntaksbestemmelse som åpner for utlevering av helseopplysninger i forbindelse med samhandling internt mellom kommunens ulike tjenester. Slik samhandling må bygge på den enkelte pasients samtykke.

På samme måte som for eksterne samarbeidspartnere (se pkt. 3.1.9), skal det etableres prosedyrer der det fremkommer hvem som er ansvarlig for den enkelte elektroniske samhandlingen. Ansvaret bør følge de samme ansvarslinjene som for behandlingene. 3.1.11 Etablere hendelsesregistrering (logging) Kommunen skal ha etablert hendelsesregistre og prosedyrer for hendelsesregistrering, slik at den har en overordnet oversikt over aktiviteten i fagsystemet. Dermed kan avvik oppdages. Ved etablering av et nytt fagsystem må kommunen sikre at hendelsesregistrering blir iverksatt iht. kommunens prosedyrer. Følgende hendelser bør registreres: Tildeling av tilganger Bruk av tilganger Uautorisert eller forsøk på uautorisert bruk av tilganger Bruk av nødrettstilgang Hendelsesregistret bør oppbevares i minst 3 måneder i elektronisk form. Faktaark 15 - Hendelsesregistrering (logging) og oppfølging gir mer veiledning. 3.1.12 Etablere rutiner for håndtering av utskrifter Utskrifter fra fagsystemet vil ofte inneholde helse- og personopplysninger. Det må derfor allerede ved etableringen utarbeides prosedyrer for hvordan utskrifter håndteres. Dette kan også løses med tekniske virkemidler (bruk av magnetkort/pinkode, utskriftskøer slettes etter en viss periode e.l.) eller at skrivere plasseres i separate rom med tilgang kun for autorisert personell. I forbindelse med utskrifter bør det etableres rutiner og tekniske hjelpemidler for makulering. 3.1.13 Etablere prosedyrer for å ivareta sentrale rettigheter for den registrerte Kommunen må etablere enkle og praktiserbare prosedyrer for å etterleve sine plikter knyttet til den registrertes personvern og rettssikkerhet. Prosedyrene skal: - ivareta taushetsplikten - ivareta informasjonsplikten (f.eks. ved å legge ut informasjon på kommunenes hjemmesider) - ivareta informert samtykke - ivareta retten til reservasjon, herunder sørge for at det enkelte personell gir opplysning om den reservasjonsretten som den registrerte måtte ha - ivareta retten til innsyn - ivareta retten til retting og sletting 3.1.14 Gjennomføre opplæring Det er meget sentralt at kommunen gir adekvat opplæring i informasjonssikkerhet til alle som bruker og/eller drifter fagsystemene. Opplæringen må gjennomføres før fagsystemet tas i bruk. Kommunen må avsette ressurser til videreopplæring, slik at kunnskapen kan bli vedlikeholdt. Eksempler på temaer som opplæringen bør omfatte:

formålet med fagsystemet formål med bruk av opplysningene utover rent tjenstlige behov, f.eks. lokal statistikk hvordan ivareta personvernet (taushetsplikt, informasjonsplikt, informert samtykke, reservasjon, innsyn, retting og sletting) tilgangsstyring funksjonell bruk av fagsystemet regler og krav ved utlevering av informasjon til andre Opplæringen kan gjerne skje i samarbeid med leverandør. Faktaark 9 - Opplæring av ledere og medarbeidere gir mer veiledning. 3.1.15 Etablere prosedyrer for avviksbehandling Kommunen skal ha prosedyrer for hvordan avvik oppdages og håndteres. Prosedyrene skal også dekke håndtering av avvik i forbindelse med samhandling internt og overfor eksterne parter (for eksempel andre kommuner, private tjenesteytere med videre). Faktaark 8 Avviksbehandling gir mer veiledning. 3.1.16 Håndtere kommunesamarbeid i forbindelse med felles fagsystem 4 I forbindelse med kommunesamarbeid er det sentralt å ha definert roller og oppgaver, herunder hvem som er databehandlingsansvarlig for hvilke opplysninger, på en tydelig måte. Den kommunen som tar på seg oppgaver for andre kommuner kalles for en vertskommune. De kommunene som overlater oppgaver til vertskommunen, kalles samarbeidskommuner. En slik samarbeidsmodell vil innebære at vertskommunen behandler helse- og personopplysninger på vegne av en eller flere samarbeidskommuner. I så fall vil vertskommunen være databehandler for samarbeidskommunen, og partene må inngå en databehandleravtale som sikrer at vertskommunen behandler helse- og personopplysningene i samsvar med kravene i Normen. Det er samarbeidskommunen - som er databehandlingsansvarlig og som overlater behandlingen av opplysningene til vertskommunen - som vil ha ansvaret for at en databehandleravtale blir etablert. Databehandleravtalen må være på plass før fagsystemet settes i drift. Se også pkt. 3.1.17. 3.1.17 Etablere evt. databehandleravtale Kommunen kan benytte en databehandler for fagsystemet. I så fall skal kommunen og databehandleren inngå en databehandleravtale som dekker de behandlinger databehandleren foretar på vegne av kommunen. I forbindelse med opprettelse av databehandleravtale er det sentralt å ha definert roller og oppgaver, herunder hvem som er databehandlingsansvarlig for hvilke opplysninger, på en tydelig måte. Bruk av databehandler kan være relevant der kommunen for eksempel: 4 Om lovforslag om etablering av virksomhetsovergripende helseregistre (legekontor, legevakt m.m.) blir vedtatt, kan det bli utarbeidet veiledere og faktaark.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding