Veileder i personvern og informasjonssikkerhet for helse- og omsorgstjenester i kommuner

Veileder i personvern og informasjonssikkerhet for helse- og omsorgstjenester i kommuner Veilederen er et støttedokument til Norm for informasjonssikkerhet www.normen.no Utgitt med støtte av: Versjon 2.0

INNHOLD 1 INNLEDNING... 4 1.1 BAKGRUNN... 4 1.2 OM NORMEN... 5 1.3 OM VEILEDEREN... 5 1.4 MÅLGRUPPER... 6 1.5 VEILEDERENS FORHOLD TIL ANDRE DOKUMENTER OG VEILEDERE... 7 1.6 DEFINISJONER... 9 2 PERSONVERN OG RETTSIKKERHET... 14 2.1 OVERORDNET OM PERSONVERN OG RETTSSIKKERHET... 14 2.2 RETTIGHETER OG PLIKTER... 15 2.2.1 Taushetsplikten... 15 2.2.2 Informasjonsplikten... 15 2.2.3 Grunnlag for behandling av helse- og personopplysninger... 15 2.2.4 Rett til reservasjon... 16 2.2.5 Rett til innsyn... 17 2.2.6 Rett til å kreve retting og sletting... 17 3 INFORMASJONSSIKKERHET I FAGSYSTEMENE... 18 3.1 KRAV TIL INFORMASJONSSIKKERHET FØR ETABLERING AV FAGSYSTEM... 18 3.1.1 Oppdatere styringssystem for informasjonssikkerhet... 18 3.1.2 Påse at sikkerhetsmål og -strategi er ivaretatt... 18 3.1.3 Definere ansvar og roller... 19 3.1.4 Identifisere og beskrive formålet med behandling av helse- og personopplysninger... 19 3.1.5 Fastsette akseptkriterier og gjennomføre risikovurdering av fagsystemet... 20 3.1.6 Etablere tekniske løsninger... 20 3.1.7 Oppdatere konfigurasjonskontroll og dokumentasjon... 21 3.1.8 Etablere prinsipper og prosedyrer for tilgangsstyring... 21 3.1.9 Etablere prosedyrer for elektronisk samhandling med eksterne... 22 3.1.10 Etablere prosedyrer for intern samhandling... 22 3.1.11 Etablere hendelsesregistrering... 23 3.1.12 Etablere prosedyrer for håndtering av utskrifter... 23 3.1.13 Etablere prosedyrer for å ivareta sentrale rettigheter for den registrerte... 23 3.1.14 Gjennomføre opplæring... 23 3.1.15 Etablere prosedyrer for avviksbehandling... 24 3.1.16 Håndtere kommunesamarbeid i forbindelse med felles fagsystem... 24 3.1.17 Etablere evt. databehandleravtale... 24 3.1.18 Avtale i forbindelse med samarbeid om felles journal... 25 3.1.19 Avtale i forbindelse med tilgang til helseopplysninger mellom virksomheter. 25 3.2 KRAV TIL INFORMASJONSSIKKERHET NÅR FAGSYSTEMET ER I BRUK... 26 3.2.1 Følge opp prosedyrene for sentrale rettigheter for den registrerte... 26 3.2.2 Følge opp autorisasjon og tilgangsstyring... 26 3.2.3 Revidere risikovurderinger... 26 3.2.4 Gjennomføre sikkerhetsrevisjoner... 27 3.2.5 Identifisere og håndtere sikkerhetshendelser (avvik)... 27 3.2.6 Følge opp konfigurasjon og dokumentasjon... 27 Veileder for helse- og omsorgstjenester i kommuner V2 Side 2 av 45

3.2.7 Følge opp hendelsesregistrering... 27 3.2.8 Ivareta bruk av mobilt utstyr... 28 3.2.9 Oppdatere programvaren mot ondsinnet programvare... 28 3.2.10 Elektronisk kommunikasjon med pasient/bruker... 28 3.2.11 Etterleve prosedyrene for samhandling med interne og eksterne parter... 28 3.2.12 Sørge for nødvendig opplæring... 29 3.3 KRAV TIL INFORMASJONSSIKKERHET VED UTFASING AV FAGSYSTEMET... 29 3.3.1 Følge opp konfigurasjonsstyring... 29 3.3.2 Følge opp autorisasjon og tilgangsstyring... 29 3.3.3 Vurdere å slette, overføre eller deponere helse- og personopplysninger... 30 4 SJEKKLISTER... 32 4.1 SJEKKLISTE FØR ETABLERING AV FAGSYSTEM... 32 4.2 SJEKKLISTE NÅR FAGSYSTEMET ER I BRUK... 33 4.3 SJEKKLISTE UTFASING AV FAGSYSTEMET... 33 5 VEDLEGG... 33 5.1 REFERANSER... 33 5.2 DELTAGERE I UTARBEIDELSEN AV VEILEDEREN... 34 5.3 EKSEMPEL PÅ RISIKOVURDERING... 35 5.4 EKSEMPLER PÅ BEHANDLINGER... 37 Versjon Endringer Godkjent av styringsgruppen for Normen (dato) 1.0 Første utgave av veilederen 5.6.2009 1.1 Oppdatert iht. endringer i lovverk 10.12.2010 (til orientering) 1.2 Oppdatert iht. endringer i lovverk 31. 5. 2012 (til orientering) 2.0 Oppdatert iht. endringer i lovverk. Spesielt angående endring av helse- og sosialtjenesten til helse- og omsorgstjenesten samt forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap som er opphevet. 4.12.2014 Veileder for helse- og omsorgstjenester i kommuner V2 Side 3 av 45

1 INNLEDNING 1.1 Bakgrunn En stadig større del av kommunens håndtering av helse- og personopplysninger innenfor helse- og omsorgstjenesten skjer elektronisk. Stor dynamikk, høy endringstakt og høy grad av elektronisk registrering og bruk av fagsystemer og andre IT-systemer for tjenestedokumentasjon preger arbeidsdagen i kommunen, både på helseområdet og på omsorgsområdet. I en slik kompleks virkelighet kan det være usikkerhet om hvilke krav som stilles, og tilsyn i kommunene har i enkelte tilfeller avdekket mangler og til dels store ulikheter ved håndteringen av helse- og personopplysninger. Det finnes også andre utfordringer knyttet til personvern og informasjonssikkerhet, bl.a. at: alle kommuner som er tilknyttet Norsk Helsenett skal følge Normen. Norsk Helsenett er den elektroniske samhandlingsarenaen for helse- og omsorgssektoren (se www.nhn.no). kommunene har oppgaver knyttet til rapportering til IPLOS-registeret hensynet til den registrertes krav på personvern gjør det nødvendig å nå ut med informasjon til mottakere av kommunale helse- og omsorgstjenester Det er kommunens ledelse som er ansvarlig for å ivareta etterlevelse av krav til personvern og informasjonssikkerhet. Som ledd i dette kan kommunen foreta intern arbeidsfordeling slik at det er klart hvilken stilling det ligger til å sørge for at loven etterleves i praksis. Funksjonen bør knyttes til en lederstilling slik at stillingsinnehaveren har reel daglig innflytelse på arbeid med personvern og informasjonssikkerhet. Ved eventuelle lovbrudd er det kommunen, representert ved ordføreren, som kan saksøkes og pådra seg straffeansvar. Dette vil også gjelde i tilfeller hvor kommunen har delegert det daglige databehandlingsansvaret til underliggende etater som skole eller helseinstitusjon, ettersom kommunens ledelse ikke kan fraskrive seg sitt databehandlingsansvar ved delegering. Det er erfaring for at det er behov for veiledning for kommuneledelsen. Et dokument som gir informasjon og som beskriver kommunens ansvar, kommer òg brukerne av kommunale helseog omsorgstjenester (dvs. dem som de registrerte opplysningene gjelder), til gode. På denne bakgrunnen er det et behov for en veileder innen personvern/taushetsplikt og informasjonssikkerhet knyttet til behandling av helse- og personopplysninger i helse- og omsorgstjenesten i kommunene. Hensikten med veilederen er i første rekke å gi kommunene et praktisk verktøy i arbeidet med å ivareta gjeldende krav til personvern og informasjonssikkerhet. Veileder for helse- og omsorgstjenester i kommuner V2 Side 4 av 45

1.2 Om Normen Norm for informasjonssikkerhet (Normen) ble lansert i august 2006. Normen skal bidra til tilfredsstillende informasjonssikkerhet hos den enkelte virksomhet, og i helsesektoren generelt. I tillegg skal Normen bidra til å harmonisere informasjonssikkerheten, slik at virksomhetene kan ha gjensidig tillit til hverandre. Normen bygger på en rekke norske bestemmelser om personvern og informasjonssikkerhet, bl.a. reglene i personopplysningsloven og helseregisterloven. Disse reglene er basert på EUs personverndirektiv. Personverndirektivet bygger igjen på grunnleggende menneskerettigheter. Kravene i Normen er derfor basert på gjeldende regler på personvern- og informasjonssikkerhetsområdet, men Normen i seg selv er ikke bindende. Imidlertid er alle som knytter seg til Norsk Helsenett - gjennom avtalen om tilknytning - forpliktet til å følge Normen. 1.3 Om veilederen Denne veilederen er et støttedokument til Normen og gir førende anbefalinger for personvern og informasjonssikkerhet i kommunenes helse- og omsorgstjeneste, herunder også i IPLOSsammenheng. Helsedirektoratet ga i desember 2012 ut Håndbok om helse- og omsorgstjenester i kommunen". Formålet med håndboken er å gi en oversikt over pasient og brukers rettigheter og plikter etter helse- og omsorgslovgivingen, samt å gi en oversikt over hvilke helse- og omsorgstjenester kommunene er forpliktet til å tilby sine innbyggere. "Veileder i personvern og informasjonssikkerhet for helse- og omsorgstjenester i kommuner" dekker personvern og informasjonssikkerhet på de samme områdene som er omfattet av Helsedirektoratets håndbok. Dette innebærer at denne veilederen dekker personvern og informasjonssikkerhet innen de fleste lovpålagte helse- og omsorgstjenester (etter helse- og omsorgstjenesteloven). Veilederen bør også benyttes i sammenheng med ikke-lovpålagte tjenester Denne veilederen er ikke ment å dekke andre tjenester kommunen yter, f.eks. arbeids- og velferdstjenester. Opplysninger i veilederen kan likevel ha overførings verdi på andre områder, når det gjelder personvern og informasjonssikkerhet ved behandling av personopplysninger. Kommunen har det overordnete ansvaret for at tjenester ytes. Selve utførelsen kan kommunen sette til private tjenesteytere (f.eks. fastlege eller private sykehjem). Kommunen bør nøye påse at tjenesteyteren følger gjeldende regler innen personvern og informasjonssikkerhet. Kommunen anbefales å ivareta dette ved utforming av kravspesifikasjoner og kontrakter. Når kommunen velger å tjenesteutsette helse- og/eller omsorgstjenester kan kommunen inngå avtale om samarbeid mellom virksomheter om behandlingsrettet helseregister som kommer i stedet for journal i enkelte virksomheter, jf. pasientjournalloven 9. Kommunen vil være Veileder for helse- og omsorgstjenester i kommuner V2 Side 5 av 45

databehandlingsansvarlig for en slik felles journal, ettersom det er kommunen som bestemmer formålet med behandlingen. Tidligere avtaler iht. forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap er fortsatt gyldige, selv om forskriften er opphevet. Avtaler om felles journal kan også benyttes i tilfeller hvor flere virksomheter eller kommuner samarbeider om å yte tjenester uten at det innebærer tjenesteutsetting. I slike tilfeller kan det også inngås avtaler om felles journal, hvor avtalepartene må bli enig om hvem som har databehandlingsansvaret. I tilfeller hvor det ikke inngås avtale om felles journal, ved tjenesteutsetting er det slik at kommunen ikke har direkte ansvar for personvernet og informasjonssikkerheten internt hos den private tjenesteyteren. Databehandlingsansvaret ligger hos den private tjenesteyteren. I de tilfeller kommunen leier inn personell som dokumenterer i kommunens fagsystem vil kommunen ha det fulle ansvaret (slik den er ansvarlig for kommunens ansatte). Kommunene har en stor grad av frihet når det gjelder intern organisering, kommunesamarbeid mv., også innen personvern og informasjonssikkerhet. Veilederen har ikke til hensikt å legge føringer med tanke på kommunens organisering. I sjekklistene i kapittel 4 er det gjort plass til å nedtegne hvem som innehar hvilket ansvar i den enkelte kommune; dette må kommunen avklare og beslutte i samsvar med sin egen organisering mv. Denne veilederen er bygget opp med en innledning (kapittel 1), en redegjørelse for personvernet og informasjonssikkerhet i kommunene mer generelt (kapittel 2), og en beskrivelse av krav kommunen må etterleve iht. Normen (kapittel 3). Veilederen tar utgangspunkt i etablering, bruk og utfasing av et fagsystem. Bakgrunnen for dette er at fagsystemet ofte viser seg å være utgangspunktet for konkrete personvernutfordringer personellet møter i arbeidshverdagen. Veilederen omfatter både kommunens papirbaserte og elektroniske behandlinger av helse- og personopplysninger, men er altså særlig rettet mot den elektroniske behandlingen i fagsystemene. I kommunene blir det også registrert tjenestedokumentasjon i andre systemer som ikke faller inn under definisjonen fagsystem (f.eks. sak/arkivsystemet). Personvernutfordringene er imidlertid de samme som under fagsystemet. Veilederen søker å være praktisk både for dem med ansvar for å utforme og implementere gode, interne regler for personvern og informasjonssikkerhet, og for dem som i møtet med de registrerte skal bruke systemene i det daglige. Veilederen er utarbeidet i samarbeid med representanter fra sektoren, se nærmere under. 1.4 Målgrupper Denne veilederen er primært rettet mot personell med ansvar, oppgaver og roller i forbindelse med personvern og informasjonssikkerhet innen kommunenes helse- og omsorgstjeneste. Eksempler på slikt personell er: Veileder for helse- og omsorgstjenester i kommuner V2 Side 6 av 45

Rådmann / øverste administrative leder Kommunalsjef (helse- og omsorgssjef / etatssjef mv.) Avdelingsleder/enhetsleder Sikkerhetskoordinator IT-fagsystemansvarlig Andre som kan ha nytte av veilederen: Ordfører, politisk ledelse og helse- og omsorgsutvalg o.l. Private leverandører av kommunale tjenester (f.eks. helse- og omsorgstjenester) Personvernombud Databehandler Helse- og omsorgspersonell/tjenesteutførende personell Saksbehandler Administrativt personell innen sak/arkiv Den registrerte (søkere og mottakere av helse- og omsorgstjenester) Veilederen er uavhengig av kommunal organisering og stillingskategoriene ovenfor er eksempler og vil kunne variere fra kommune til kommune. 1.5 Veilederens forhold til andre dokumenter og veiledere Dokument (for pekere se pkt. 5.1) Normen Støttedokumenter til Normen: Faktaark og veiledere (herunder denne veilederen) Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet (støttedokument under Normen) Veileder Samarbeid mellom virksomheter om felles journal (støttedokument under Normen) Datatilsynets veileder om internkontroll og informasjonssikkerhet Datatilsynets veileder i sikkerhetsarkitektur Håndbok om helse- og omsorgstjenester i kommunen (HOD/Helsedirektoratet 201108) IPLOS veileder (Helsedirektoratet 20092014) Forhold til denne veilederen Overordnet dokument Gir utfyllende veiledning på ulike tematiske områder. Er underordnet Normen Gir krav og anbefalinger når kommuner skal tilknyttes helsenettet. Dekker i liten grad personvern og informasjonssikkerhet i helseog sosialtjenestenomsorgstjenesten Gir veiledning til etterlevelse av kravene i Normen ved etablering av felles journal Veilederen hjelper virksomheten gjennom prosessen med å innføre internkontroll og informasjonssikkerhet. Veilederen fokuserer på hvordan en virksomhet bør implementere teknologiske tiltak for informasjonssikkerhet etter at informasjonssikkerhetsarbeid for internkontroll er gjennomført. Gir en oversikt over de viktigste tjenestetilbudene i kommunen og hvilke prinsipper de er basert på. Dekker i liten grad personvern og informasjonssikkerhet. Håndbokens beskrivelse av tjenestetilbudene danner ramme for denne veilederen En veileder for registrering av IPLOSopplysninger for personell i kommunale Veileder for helse- og omsorgstjenester i kommuner V2 Side 7 av 45

helse- og sosialtjenesteromsorgstjenester. Dekker i liten grad personvern og informasjonssikkerhet Veileder for helse- og omsorgstjenester i kommuner V2 Side 8 av 45

1.6 Definisjoner 1 Definisjoner er hentet fra Normen. Nye begrep er definert og samlet etter definisjoner fra Normen. Definerte ord er markert i kursiv i teksten. Definisjoner fra Normen Med autentisering menes i Normen prosessen som gjennomføres for å bekrefte en påstått identitet. Med autorisere/autorisert/autorisasjon menes i Normen at en person i en bestemt rolle kan gis eller er gitt bestemte rettigheter til lesing, registrering, redigering, retting, sletting og/eller sperring av helse- og personopplysninger. Autorisasjon kan bare gis i den grad det er nødvendig for vedkommendes arbeid, er begrunnet ut fra tjenstlig behov og er i henhold til bestemmelser om taushetsplikt. Med avvik menes i Normen enhver håndtering av helse- og personopplysninger som ikke utføres i henhold til gjeldende regelverk, retningslinjer og/eller prosedyrer, samt andre sikkerhetsbrudd. Med behandling menes i Normen enhver formålsbestemt bruk av helse- og personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av slike bruksmåter, jf. helseregisterloven 2 c), pasientjournalloven 2 bokstav b) og personopplysningsloven 2 nr. 2). Med behandlingsrettet helseregister menes i Normen pasientjournal og informasjonssystem eller annet register, fortegnelse eller lignende, der helseopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen og som skal gi grunnlag for helsehjelp eller administrasjon av helsehjelp til enkeltpersoner, jf. pasientjournalloven 2 d). Se også elektronisk pasientjournal (EPJ) og tjenestedokumentasjon. Med bruker menes i Normen en person som anmoder om eller mottar tjenester omfattet av helse- og omsorgstjenesteloven som ikke er helsehjelp, jf. pasient- og brukerrettighetsloven 1-3 bokstav f). Med databehandler menes den som behandler helse- og personopplysninger på vegne av den databehandlingsansvarlige, jf. personopplysningsloven 2 nr. 5). Det presiseres at en databehandler er en ekstern person eller virksomhet utenfor den databehandlingsansvarliges virksomhet. Det vil si at den databehandlingsansvarliges egne medarbeidere ikke er dennes databehandlere. 1 Det gjøres oppmerksom på at enkelte av definisjonene kan ha et annet meningsinnhold i dagligtalen / andre sammenhenger (f.eks. begrepet integritet) Veileder for helse- og omsorgstjenester i kommuner V2 Side 9 av 45

Med databehandlingsansvarlig menes den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes, hvis ikke databehandlingsansvaret er særskilt angitt i loven eller i forskrift i medhold av loven, jf. helseregisterloven 2 e), pasientjournalloven 2 bokstav e) og personopplysningsloven 2 nr. 4 (her benyttes begrepet behandlingsansvarlig ). Det presiseres at det er virksomheten som er databehandlingsansvarlig for behandling av helse- og personopplysninger. Ansvaret skal ivaretas av den daglige ledelsen av virksomheten, og virksomheten er pliktsubjekt. Med "felles journal" menes i Normen samarbeid mellom to eller flere virksomheter om behandlingsrettet helseregister som skal erstatte virksomhetens interne journal, jf. pasientjournalloven 9. Med elektronisk pasientjournal (EPJ) menes i Normen elektronisk ført samling eller sammenstilling av nedtegnede/registrerte opplysninger om en pasient i forbindelse med ytelse helsehjelp, se også helsepersonelloven 40 første ledd og forskrift om pasientjournal 3 a). Dette inkluderer både somatisk og psykiatrisk journal o.a., hver for seg eller samlet. Se også behandlingsrettet helseregister Med elektronisk pasientjournalsystem (EPJ-system) menes i Normen elektroniske systemer med nødvendig funksjonalitet for å registrere, søke frem, presentere, kommunisere, redigere, rette og slette opplysninger i elektronisk pasientjournal (EPJ). Dette inkluderer både radiologisystemer, systemer for somatisk og psykiatrisk journal, pasientadministrative systemer og andre systemer som inneholder helseopplysninger. Med fagsystem menes i Normen en applikasjon eller et IT-system som behandler helse- og personopplysninger. Begrepet systemløsning brukes også om et fagsystem. Eksempler på fagsystem er: pleie- og omsorgsystem (PLO), legekontorsystem og barnevernsystem. Opplysninger i ulike fagsystemer kan både utgjøre elektronisk pasientjournal (EPJ) og annen tjenestedokumentasjon. Med "formalisert arbeidsfellesskap" menes i Normen samarbeid mellom to eller flere virksomheter som tydelig fremstår som en enhet. En kommune som inngår avtale med andre offentlige eller private tjenesteytere etter helse- og omsorgstjenesteloven 3-1 femte ledd for å yte helhetlige helse- og omsorgstjenester anses som formalisert arbeidsfellesskap. helse- og personopplysninger benyttes i Normen som en fellesbetegnelse for helseopplysninger og/eller personopplysninger innenfor Normens virkeområde. Med helseopplysninger menes taushetsbelagte opplysninger i henhold til helsepersonelloven 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson, jf. helseregisterloven 2 a) og pasientjournalloven 2 bokstav a) Med hendelsesregistrering menes i Normen registrering av hendelser i et informasjonssystem, bl.a. med sikte på å forebygge, avdekke og hindre gjentagelse av sikkerhetsbrudd. Med integritet menes i Normen at helse- og personopplysninger må være sikret mot utilsiktet eller uautorisert endring eller sletting. Veileder for helse- og omsorgstjenester i kommuner V2 Side 10 av 45

Med konfidensialitet menes i Normen at helse- og personopplysninger må være sikret mot at uvedkommende får kjennskap til opplysningene. Med konfigurasjon menes i Normen informasjonssystemets utforming inklusive både teknisk utstyr og programvare. Med konfigurasjonsendring menes i Normen en endring av informasjonssystemets utforming som følge av installasjon, oppgradering eller fjerning av utstyr eller programvare. Med kvalitet menes i Normen at helse- og personopplysninger må være korrekte, oppdaterte, relevante og tilstrekkelige som grunnlag for å yte helsehjelp. Med Normen menes Norm for informasjonssikkerhet. Andre dokumenter i tilknytning til Normen, som for eksempel faktaark og veiledninger, er ikke omfattet av begrepet. Med pasient menes i Normen en person som henvender seg til helse- og omsorgstjenesten med anmodning om helsehjelp, eller som helse- og omsorgstjenesten gir eller tilbyr helsehjelp i det enkelte tilfelle, jf. pasient- og brukerrettighetsloven 1-3 bokstav a. Med personopplysninger menes opplysninger og vurderinger som kan knyttes til en enkeltperson, jf. personopplysningsloven 2 nr. 1. Med registrert/den registrerte menes i Normen den som opplysninger kan knyttes til, jf. personopplysningsloven 2 nr. 6. Eksempler og begreper som brukes om den registrerte er søker, pasient/bruker og tjenestemottaker. En ansatt kan være omfattet av begrepet. Med taushetsplikt menes i Normen lovpålagt eller avtalt plikt til å hindre at andre får adgang eller kjennskap til helse- og personopplysninger, jf. helsepersonelloven 21, helseregisterloven 17, pasientjournalloven 15, helse- og omsorgstjenesteloven 12-1 og forvaltningsloven 13 til 13e, samt annen informasjon med betydning for informasjonssikkerheten, jf. personopplysningsforskriften 2-9. Taushetsplikt innbefatter både en passiv plikt til å tie og en plikt til aktivt å hindre uvedkommende i å få kunnskap om taushetsbelagte opplysninger. Med tekniske tiltak menes i Normen tiltak av teknisk karakter som ikke kan påvirkes eller omgås av medarbeidere, og ikke er begrenset av handlinger som den enkelte forutsettes å utføre. Eksempler på slike tiltak kan være autentisering ved personlig kvalifisert sertifikat eller konfigurering av en brannmur slik at den kun tillater bestemt trafikk eller en meldingstjeneste som er laget slik at alle meldinger automatisk blir kryptert. Med tilgang menes i Normen at helse- og personopplysninger om en eller flere bestemte pasienter/brukere er eller gjøres tilgjengelige for autorisert personell. Beslutning om tilgang til behandlingsrettede helseregistre skal treffes etter en konkret vurdering basert på at det ytes helsehjelp til pasienten. Tilgang til fagsystemer i forbindelse med ytelser til pasient/bruker skal iverksettes basert på tjenstlig behov. Tilgang i forbindelse med kvalitetssikring og administrative oppgaver skal også besluttes ut fra tjenstlig behov. Veileder for helse- og omsorgstjenester i kommuner V2 Side 11 av 45

Med tilgjengelighet menes i Normen at helse- og personopplysninger som skal behandles, er tilgjengelig til den tid og på det sted det er behov for opplysningene. Med tjenestedokumentasjon menes i Normen dokumentasjon for planlegging, kartlegging, oppfølging og informasjonsutveksling som vedrører tjenestemottakerens søknad, praktiske og medisinske problemer, behov, ressurser, tiltak i form av helsehjelp, hjelpemidler, mm. Sammen med elektronisk pasientjournal (EPJ) vil tjenestedokumentasjonen utgjøre dokumentasjonsplikten etter helsepersonelloven mv. Veileder for helse- og omsorgstjenester i kommuner V2 Side 12 av 45

Nye definisjoner som er brukt i denne veilederen Med EDI (Electronic Data Interchange) menes elektronisk overføring av forretningsdata mellom IT-systemer i standardiserte formater. Med forretningsdata forstås informasjon som elektroniske og strukturerte dokumenter og blanketter. Med interkommunalt selskap menes et selskap opprettet i samsvar med lov 29. januar 1999 nr. 6 om interkommunale selskap. Et samarbeid, f.eks. på informasjonssikkerhetsområdet, mellom flere kommuner og/eller fylkeskommuner hvor alle deltakerne er kommuner, fylkeskommuner (og/eller andre interkommunale selskaper), kan organiseres gjennom et interkommunalt selskap. Et interkommunalt selskap er et selvstendig rettssubjekt og er rettslig og økonomisk adskilt fra deltakerkommunene. Med IPLOS eller IPLOS-registeret menes betegnelsen på et nasjonalt register hvor det oppbevares pseudonymiserte og kvalitetskontrollerte opplysninger om personer som har søkt, mottar eller har mottatt pleie- og omsorgstjenester. Kommunene rapporterer inn data til registeret etter egne prosedyrer. Med samarbeidskommune menes i denne sammenheng kommune som etter avtale har overlatt oppgaver, f.eks. informasjonssikkerhetsoppgaver, til en annen kommune ( vertskommune, se egen definisjon) i samsvar med reglene i kommuneloven kapittel 5. Med sikker sone menes den delen (de delene) av kommunens informasjonssystem som behandler helse- og personopplysninger, hvor kun autoriserte brukere gis tilgang. Med vertskommune menes kommune som etter avtale har påtatt seg å utføre oppgaver, f.eks. på informasjonssikkerhetsområdet, for en annen kommune ( samarbeidskommune, se egen definisjon) i samsvar med reglene i kommuneloven kapittel 5. Veileder for helse- og omsorgstjenester i kommuner V2 Side 13 av 45

2 PERSONVERN OG RETTSIKKERHET 2.1 Overordnet om personvern og rettssikkerhet Den enkeltes rett til å bestemme over bruken over egne personopplysninger, er et sentralt element i personvernet. Personvernreguleringer er nært knyttet til enkeltindividers behov og mulighet for privatliv og selvbestemmelse. Personvernet kommer til uttrykk i lovverket på ulikt vis. Den sentrale lov på personvernområdet er personopplysningsloven. Lovens formål er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. I tillegg finnes det mange særlover og forskrifter som regulerer personvernet og informasjonssikkerheten. Et eksempel er pasientjournalloven, som er en særlov for pasientjournaler og behandling av helseopplysninger. Et annet eksempel er pasient- og brukerrettighetsloven som slår fast at opplysninger om legems- og sykdomsforhold samt andre personlige opplysninger skal behandles i samsvar med gjeldende bestemmelser om taushetsplikt. Opplysningene skal behandles med varsomhet og respekt for integriteten til den opplysningene gjelder. Elektronisk behandling av opplysninger gir muligheter, men skaper også utfordringer for personvernet og informasjonssikkerheten i kommunene. Elektronisk behandling medfører blant annet at opplysningene enklere og raskere kan gjøres tilgjengelig både internt og eksternt. Dette er en fordel for den registrerte, forutsatt at opplysningene kun gjøres tilgjengelig for rett vedkommende til rett tid. Elektronisk behandling medfører imidlertid et nytt trusselbilde mot opplysningene. Det er derfor behov for opplæring, konkrete prosedyrer og teknologi som gir tillit til at personvernet, taushetsplikten og informasjonssikkerheten er tilfredsstillende ivaretatt. Spesielt om personvernombud: En del kommuner har utnevnt eget personvernombud. Ombudet, som godkjennes av Datatilsynet, skal være en ressursperson innen personvern og informasjonssikkerhet, og det anbefales at kommunene samarbeider med ombudet - i fall et ombud er utpekt - om de spørsmål som reiser seg i arbeidet med denne veilederen. Faktaark 35 - Personvernombud gir mer veiledning. Veileder for helse- og omsorgstjenester i kommuner V2 Side 14 av 45

2.2 Rettigheter og plikter Den registrertes rettsikkerhet i personvernsammenheng er ivaretatt gjennom et sett ulike rettigheter og plikter. 2.2.1 Taushetsplikten Personellet som behandler helse- og personopplysninger i kommunen, vil være underlagt regler om taushetsplikt. Dette sikrer at den registrerte kan være trygg på at informasjonen ikke blir gitt videre til uvedkommende. Taushetsplikten følger av en rekke ulike bestemmelser, avhengig av hvilket virksomhetsområde personellet arbeider innenfor. Helsepersonell og annet personell som yter tjenester etter helse- og omsorgstjenesteloven er bundet av taushetsplikten som følger av helsepersonelloven. Personellet har taushetsplikt om pasientens/brukerens legems- eller sykdomsforhold samt andre personlig forhold personellet får vite om i forbindelse med utførsel av sitt arbeid. Det finnes flere unntak fra taushetsplikten. Bl.a. kan pasienten samtykke til at opplysninger gis til andre. Det finnes også lovpålagte krav om innrapportering av helse- og personopplysninger til sentrale registre, f.eks. IPLOS-registeret. Også i andre tilfeller - for eksempel ved akutt fare for liv og helse - kan helse- og omsorgspersonell fravike taushetsplikten. Kommunen skal legge til rette for at alle medarbeidere til enhver tid er bevisst taushetspliktens innhold og omfang. Kommunen skal sørge for praktiske løsninger (inkludert teknologiske) som gjør at taushetsplikten kan etterleves av medarbeiderne. 2.2.2 Informasjonsplikten Hovedregelen er at den databehandlingsansvarlige, dvs. kommunen, har plikt til å gi informasjon til den registrerte om hva som registreres. Når en kommune registrerer helse- og personopplysninger om noen i et fagsystem eller andre systemer for tjenestedokumentasjon, skal derfor den registrerte være informert om at registreringen skjer. Bare ved å være informert om registreringen, vil den registrerte være i stand til å ivareta sine rettigheter. Den personen som registrerer på vegne av kommunen skal forsikre seg om at den som skal registreres på forhånd har fått informasjon om registeret og om hva som registreres. Den registrerte skal ha informasjon om sine rettigheter knyttet til samtykke, reservasjon, innsyn, retting og sletting. 2.2.3 Grunnlag for behandling av helse- og personopplysninger Å behandle helse- og personopplysninger krever et grunnlag. Uten grunnlag vil behandlingen av opplysningene ikke være lovlig. Et slikt grunnlag kan finnes i lov / forskrift eller ved at den registrerte samtykker i registreringen. Veileder for helse- og omsorgstjenester i kommuner V2 Side 15 av 45

Det følger imidlertid av en rekke rettsregler at kommunen kan behandle helse- og personopplysninger uten samtykke. F.eks. følger det av helsepersonelloven at personellet skal føre journal. Journalføringsplikten er derfor et eksempel på et behandlingsgrunnlag som følger av lov. Den registrerte kan ikke motsette seg at helse- og personopplysninger blir journalført hvis helsehjelpen mottas; personellets journalføringsplikt går foran den enkeltes individuelle rett til å samtykke i/nekte registreringen. Det følger av IPLOS-forskriften at de pseudonymiserte opplysningene i IPLOS-registeret kan samles inn uten samtykke. Samtykke til helsehjelp, og dermed til nødvendig behandling av helse- og personopplysninger, kan gis uttrykkelig eller stilltiende (ved konkludent atferd). Om man kan legge stilltiende samtykke til grunn, kommer an på hvor inngripende tiltak skal iverksettes og hvorvidt det kan anses som naturlig del av helsehjelpen som skal ytes. Det at pasienten/brukeren har oppgitt digital kontaktinformasjon kan f.eks. tolkes som stilltiende samtykke til å motta timepåminnelse på SMS eller e-post. I motsetning til det kan man ikke gå ut i fra at det å samtykke til å delta i terapi hvor flere skal delta, kan anses som stilltiende samtykke til at det kan gjøres videoopptak av terapisituasjonen. Slikt opptak ville derfor kreve uttrykkelig samtykke. I de tilfellene der en ikke kan legge til grunn noe stilltiende samtykke, og det heller ikke finnes noe grunnlag i loven som tillater registrering av helse- og personopplysninger, skal kommunen forvisse seg om at den registrerte har gitt et uttrykkelig samtykke til registreringen, før registreringen skjer. I slike tilfeller kan de også være behov for konsesjon fra Datatilsynet. At samtykket er "uttrykkelig" betyr at det foreligger en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv. Loven stiller ikke noe krav om at et informert samtykke skal foreligge skriftlig. Men skriftlighet er ofte hensiktsmessig med tanke på eventuell klagebehandling, etterfølgende uenighet om omfanget av samtykket mv. I enkelte sammenhenger, spesielt der den registrerte mangler samtykkekompetanse, er det de pårørende eller verge/hjelpeverge som må samtykke på vegne av den registrerte. Den registrerte har rett til både å gi og å tilbakekalle samtykke etter eget valg. Den registrerte har ikke noen plikt til å begrunne valget. 2.2.4 Rett til reservasjon Pasienten/brukeren har rett til å motsette seg utlevering av journal eller opplysninger i journalen, generelt eller til enkelte helsepersonell. Reservasjonsretten er også aktuell i forbindelse med IPLOS, der den registrerte har mulighet til å reservere seg mot at diagnoseopplysninger sendes fra kommunen til IPLOS-registeret. Den som registrerer (saksbehandler/det enkelte personell) skal informere om reservasjonsretten. Denne reservasjonsretten berører ikke det generelle regelverket rundt utveksling av nødvendige og relevante opplysninger mellom samarbeidende helsepersonell, altså innhenting og håndtering av helse- og personopplysninger som skjer i forkant av IPLOSrapporteringen. I de tilfeller der diagnoseopplysninger foreligger i kommunens dokumentasjon, skal de sendes inn til IPLOS-registeret dersom ikke den enkelte reserverer seg. Veileder for helse- og omsorgstjenester i kommuner V2 Side 16 av 45

2.2.5 Rett til innsyn En sentral rettighet er retten til innsyn i opplysningene som er lagret om en selv. Som hovedregel har den registrerte krav på et slikt innsyn. Det følger f.eks. av pasient- og brukerrettighetsloven at pasienten vanligvis har innsyn i egen EPJ. 2.2.6 Rett til å kreve retting og sletting Pasienten/brukeren kan i en rekke sammenhenger kreve at feil i helse- og personopplysningene om en selv, blir rettet eller slettet. F.eks. følger det av pasient- og brukerrettighetsloven at pasienten/brukeren kan kreve at mangelfulle, feilaktige eller utilbørlige helse- og personopplysninger eller utsagn blir rettet. Veileder for helse- og omsorgstjenester i kommuner V2 Side 17 av 45

3 INFORMASJONSSIKKERHET I FAGSYSTEMENE I dette kapitlet beskrives krav og anbefalinger for å ivareta personvernet, taushetsplikten og informasjonssikkerheten når et fagsystem skal etableres, er i bruk og ved eventuell utfasing. I det følgende brukes både "skal" og "bør" i tilknytning til kravene. Skal-krav er absolutte krav og gjengitt i Normen, mens bør-krav er å oppfatte som anbefalinger. 3.1 Krav til informasjonssikkerhet før etablering av fagsystem Her beskrives krav og anbefalinger som kommunen må ivareta ved etablering av fagsystemet. Ved etablering menes nyetablering, bytte av leverandør, vesentlige omlegginger av eksisterende systemer mv. 3.1.1 Oppdatere styringssystem for informasjonssikkerhet Etter Normen plikter kommunen å opprette et styringssystem for informasjonssikkerhet. Et styringssystem angir aktiviteter for å rettlede og styre kommunen og er basert på alminnelige internkontrollprinsipper. Kravene og anbefalingene som er angitt i dette kapitelet er normalt en del av dette styringssystemet. Mange kommuner vil allerede ha et styringssystem. I så fall er det viktig at det er samsvar mellom det eksisterende styringssystemet og arbeidet med personvern og informasjonssikkerhet i kommunens ulike fagsystemer. Kommunen må selv endre styringssystemet i den grad innføring av fagsystemene reiser behov for det. For etablering av styringssystemet vises det til Normen og til Faktaark 2 Styringssystem for informasjonssikkerhet. 3.1.2 Påse at sikkerhetsmål og -strategi er ivaretatt Kommunen skal ha vedtatt sikkerhetsmål og -strategi. Ved etablering av fagsystemet må kommunen påse at den aktuelle etableringen er i tråd med sikkerhetsmålene og -strategien. Gjennom sikkerhetsmålene og -strategien skal følgende punkter ivaretas konkret med tanke på fagsystemet som skal innføres: all behandling av helse- og personopplysninger skal være iht et fastsatt formål og samtykke fra den registrerte all behandling av helse- og personopplysninger i fagsystemer skal skje på bakgrunn av et hjemmelsgrunnlag all tilgang til helse- og personopplysninger i fagsystemet skal foregå via en personlig identifikasjon av den enkelte ansatte eller bruker utstyr som benyttes til behandling av helse- og personopplysninger i fagsystemet skal sikres mot uautorisert tilgang alle som har tilgang til fagsystemet skal ha signert taushetserklæring I sikkerhetsmålene og -strategien bør kommunen videre avveie og omtale følgende: Veileder for helse- og omsorgstjenester i kommuner V2 Side 18 av 45

sikkerhetsarkitektur for å ivareta Normens krav om minst to uavhengige tekniske tiltak, slik at personer utenfor virksomheten uansett ressurser og kunnskap ikke skal kunne få tilgang til og/eller kunne endre eller slette helse- og personopplysninger. Hvilke tekniske tiltak som etableres skal vurderes i det enkelte tilfelle og være i overensstemmelse med personopplysningslovens 2-1 vedr forholdsmessig sikring og resultatet fra gjennomført risikovurdering bruk av databehandler (f.eks. gjennom vertskommune eller interkommunale selskap) 3.1.3 Definere ansvar og roller Rådmannen / øverste administrative leder er hovedansvarlig for personvernet og informasjonssikkerheten i kommunen. Oppgavene blir imidlertid normalt delegert. Ved innføring av et fagsystem må det derfor defineres hvem som i det daglige er ansvarlig for de ulike oppgavene i tilknytning til fagsystemet. Ved innføring av et fagsystem må kommunen definere ansvar og roller, herunder hvem som er databehandlingsansvarlig. I sjekklisten i pkt. 5.4 er det gitt plass til å nedtegne ansvaret. Faktaark 1 - Ansvar og organisering gir mer veiledning 3.1.4 Identifisere og beskrive formålet med behandling av helse- og personopplysninger Når kommunen skal etablere et nytt fagsystem, er det viktig å identifisere og beskrive lovgrunnlaget for behandlingen(e) som skal skje i fagsystemet. Lovgrunnlaget kan finnes i helse- og omsorgstjenesteloven, helsepersonelloven mv. og ut fra lovbestemmelsen, må den konkrete behandlingen beskrives. På etats-/avdelingsnivå må kommunen beskrive formålet med behandlingen(e) av helse- og personopplysninger som det aktuelle fagsystemet skal brukes til. Eksempler på formål fremgår av tabellen under pkt. 5.4. I kommunens komplekse hverdag er et konkret fagsystem ofte brukt til flere behandlinger. Dette kan medføre at det er flere lovgrunnlag for ett og samme fagsystem. I så fall et det meget viktig at tilgangsstyring sikrer at personvernet og taushetsplikten blir ivaretatt (se nærmere under pkt. 3.1.8). Kommunen kan ikke benytte helse- og personopplysninger registrert for en behandling til andre behandlinger, hvis formålene med behandlingene er forskjellig. Kommunen skal føre oversikt over alle behandlinger av helse- og personopplysninger. Det kan være et omfattende arbeid. Eksempelet i tabellen i pkt. 5.4 gir hjelp til kartleggingen. Kommunen kan imidlertid ha ikke-lovpålagte tjenester i tillegg til de som fremkommer av tabellen i pkt. 5.4. Disse tjenestene må i så fall også føyes til i oversikten. Ved innføring av et nytt fagsystem skal oversikten oppdateres med følgende informasjon: Tjenesteområde (eller tjenesteområdene om fagsystemet skal brukes til flere behandlinger) Formål(ene) med behandlingen Kategorier av personopplysninger (sensitive/ikke-sensitive) Ansvarlig for fagsystemet Veileder for helse- og omsorgstjenester i kommuner V2 Side 19 av 45

Navn på fagsystem/typebetegnelse (leverandørnavn, kommunens interne navn på fagsystemet mv.) Evt. melde- eller konsesjonsplikt Evt. databehandler 3.1.5 Fastsette akseptkriterier og gjennomføre risikovurdering av fagsystemet Kommunen skal på forhånd ha fastsatt kriterier for akseptabel risiko. Med akseptabel risiko menes hvor stor risiko kommunen kan akseptere for at det inntreffer en hendelse som kan forårsake brudd på konfidensialitet, tilgjengelighet, integritet eller kvalitet for helse- og personopplysninger. Risikoens størrelse avhenger av sannsynligheten for at hendelsen inntreffer og konsekvensene av hendelsen. Ved utarbeidelse av nivå for akseptabel risiko bør en ta utgangspunkt i en skala for konsekvens og sannsynlighet. Gjennom en vurdering av hvilke type konsekvenser virksomheten ikke kan akseptere fastsettes betydningen av skalaen (for eksempel 1 til 4 - ubetydelig til kritisk). Samme vurdering gjøres for sannsynlighetsskalaen (for eksempel 1 til 4 - usannsynlig til sannsynlig). Faktaark 5 Fastsettelse av akseptkriterier for tilgjengelighet, konfidensialitet, integritet og kvalitet gir mer veiledning. Det nye fagsystemet skal risikovurderes opp mot fastlagte akseptkriterier. Om risikovurderingen viser at fagsystemet har uakseptabel risiko skal fagsystemet ikke etableres før risikoreduserende tiltak er iverksatt. Gjennom risikovurderingen må kommunen vurdere hensynet til personvernet opp mot hensynet til å kunne yte helse- og omsorgstjenester på en effektiv måte. Ofte vil det være en konflikt mellom hensynet til tilgjengelighet for helse- og personopplysninger og hensynet til konfidensialitet for de samme opplysningene. Begge hensyn er legitime, og den konkrete avveiningen mellom dem må være hensiktsmessig; ytterligheter i begge retninger er uheldig. Ut fra risikovurderingen må kommunen iverksette tiltak ut fra prinsippene om forholdsmessig sikring. Selv om kommunen har satt enkelte oppgaver/tjenester ut til en databehandler eller en driftsleverandør, er kommunen ansvarlig for å risikovurdere også disse områdene. Men kommunen kan gjerne få databehandleren/driftsleverandøren til å gjennomføre risikovurderingen, f.eks. ved at dette er tatt inn som et krav i avtale med databehandler og/eller driftsleverandør. Se kapittel 5.3 med eksempel på risikovurdering. Faktaark 7 Risikovurderinger gir mer veiledning. 3.1.6 Etablere tekniske løsninger Når et fagsystem for behandling av helse- og personopplysninger skal etableres må kommunen ivareta en rekke krav til tekniske løsninger. Fagsystemene bør ligge på sikker sone i samsvar med anbefalingene i Datatilsynets Veileder i sikkerhetsarkitektur. Veileder for helse- og omsorgstjenester i kommuner V2 Side 20 av 45

Overføring av helse- og personopplysninger i åpne nett skal krypteres. Krypteringen skal gjøres fra kommunens sikre sone til kommunikasjonspartnerens nettverkssone hvor helse- og personopplysninger behandles. Eksempler på områder som krever kryptering: når kommunen benytter datalinjer som den selv ikke har full kontroll over sending av elektroniske meldinger til kommunikasjonsparter, f.eks. gjennom helsenettet uttrekk av opplysninger som skal sendes til IPLOS-registeret bruk av mobilt utstyr (f.eks. i hjemmesykepleie) hjemmekontor med tilgang til helse- og personopplysninger Følgende dokumenter gir mer veiledning: Datatilsynets veileder i sikkerhetsarkitektur Faktaark 24 Kommunikasjon over åpne nett Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veileder for fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet 3.1.7 Oppdatere konfigurasjonskontroll og dokumentasjon Kommunen skal gjennom konfigurasjonskontroll ha oversikt over alt utstyr og programvare som benyttes i behandlingen av helse- og personopplysninger. Når fagsystemet etableres må det innlemmes i konfigurasjonsoversikten. Kommunen må etablere en prosedyre for godkjenning av konfigurasjonsendringer og oppdatering av dokumentasjonen når det gjøres endringer. Når en vertskommune eller et interkommunalt selskap benyttes, skal konfigurasjonskartet vise dette. Dokumentasjonen bør inneholde: et konfigurasjonskart som bør ha et detaljeringsnivå som viser: fysiske/logiske nettverk og deres inndeling i ulike nettverkssoner, TCP/IP-adresser, VLAN, brannmurer, rutere, servere (logiske og/eller fysiske), eksterne kommunikasjonslinjer, kryptering og evt. VPN i konfigurasjonskartet bør det klart fremkomme hvor det aktuelle fagsystemet er plassert i tilknytning til konfigurasjonskartet bør det utarbeides en tekstlig beskrivelse som viser logiske elementer og konfigurasjonsparametre som er vanskelig å visualisere i en tegning 3.1.8 Etablere prinsipper og prosedyrer for tilgangsstyring Prinsippene for tilgangsstyringen til fagsystemet skal baseres på at tilgang skal tildeles medarbeiderne etter roller og arbeidsoppgaver. Medarbeiderens rolle skal likevel ikke alene gi tilgang til helse- og personopplysninger og bruk av fagsystemet. Tilgang til helse- og personopplysninger skal i utgangspunkt kun gis i den grad dette er nødvendig for å yte tjenesten og i den grad den registrerte ikke motsetter seg det. Tilgangsstyringen skal baseres på de beslutninger som tas om helse- eller omsorgstjenester til den registrerte. En slik beslutningsstyrt tilgang skiller seg fra den tradisjonelle rollebaserte tilgangsstyringen. Forskjellen ligger i at det konkrete engasjementet overfor den registrerte avgjør omfanget av tilgangen som skal gis - og ikke rollen til helse- og omsorgspersonellet. Personellets rolle i kommunen er imidlertid avgjørende for hvilke tiltak om helse- eller omsorgstjeneste vedkommende medarbeider kan ta del i. Veileder for helse- og omsorgstjenester i kommuner V2 Side 21 av 45

For kommunen kan det være en utfordring å etablere riktig tilgangsstyring når det er flere behandlinger/formål i samme fagsystem. Ut fra prinsippene om forholdsmessig sikring skal kommunen, basert på en risikovurdering, etablere tiltak og prosedyrer for tildeling, administrasjon og kontroll av tilgangsrettigheter (autorisasjon) ved bruk av fagsystemet. Faktaark 14 - Tilgangsstyring gir mer veiledning. 3.1.9 Etablere prosedyrer for elektronisk samhandling med eksterne Det er behov for samhandling med eksterne parter, f.eks. for å få til et helhetlig og godt diagnostiserings-, behandlings- og oppfølgningsforløp. Dette vil vanligvis innebære tilgjengeliggjøring av helse- og personopplysninger til eksterne, enten ved utlevering eller ved tilgang til helse- og personopplysninger mellom virksomheter Kommunen må etablere prosedyrer for å sikre at personvernet og taushetsplikten blir ivaretatt når helse- og personopplysninger fra kommunens fagsystem utleveres til andre. I prosedyrer skal det fremkomme hvem som er ansvarlig for den enkelte elektroniske samhandlingen. Ansvaret bør følge de samme ansvarslinjene som for behandlingene. Taushetspliktsbestemmelsene vil være førende for i hvilken grad opplysninger kan gjøres tilgjengelige for andre.. Når det gjelder helseopplysninger vil det kun være anledning til å gjøre disse tilgjengelig for annet helsepersonell, og dersom opplysningene er nødvendig for å kunne yte helsehjelp. Aktuelle eksterne samhandlingspartnere: Andre kommuner Pårørende Offentlige helseforetak (f.eks. somatiske sykehus, distriktspsykiatrisk senter (DPS), barnehabilitering og rusinstitusjoner) Private helseforetak (f.eks. rehabilitering og opptrening) Laboratorier Asyl- og flyktningemottak (UDI) Politiet NAV Fylkeskommunale organer Røntgeninstitutter Fysikalske institutter Apotek Hjelpemiddelsentral (som organisatorisk er en del av NAV) Ved samhandling gjennom Norsk Helsenett (f.eks. med elektroniske meldinger) skal alle samarbeidspartnere følge Normen. Mer informasjon finnes i Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet og på Norsk Helsenetts hjemmeside (www.nhn.no). 3.1.10 Etablere prosedyrer for intern samhandling Kommunen vil ofte ha behov for samhandling internt mellom kommunens ulike tjenester og fagsystemer. Eksempler kan være barneverntjeneste, pedagogisk psykologisk rådgivningstjeneste (PPT), skoler, fysioterapitjeneste, helsestasjonstjeneste og legevakttjeneste. Veileder for helse- og omsorgstjenester i kommuner V2 Side 22 av 45

Taushetsplikten vil være førende for samhandlingen. Helsepersonelloven har ingen unntaksbestemmelse som åpner for utlevering av helseopplysninger i forbindelse med samhandling internt mellom kommunens ulike tjenester. Slik samhandling må bygge på den enkelte pasients samtykke. På samme måte som for eksterne samarbeidspartnere (se pkt. 3.1.9), skal det etableres prosedyrer der det fremkommer hvem som er ansvarlig for den enkelte elektroniske samhandlingen. Ansvaret bør følge de samme ansvarslinjene som for behandlingene. 3.1.11 Etablere hendelsesregistrering Kommunen skal ha etablert hendelsesregistre og prosedyrer for hendelsesregistrering, slik at den har en overordnet oversikt over aktiviteten i fagsystemet. Dermed kan avvik oppdages. Ved etablering av et nytt fagsystem må kommunen sikre at hendelsesregistrering blir iverksatt iht. kommunens prosedyrer. Følgende hendelser bør registreres: Tildeling av tilganger Bruk av tilganger Uautorisert eller forsøk på uautorisert bruk av tilganger Bruk av nødrettstilgang Hendelsesregistret skal oppbevares i minst 2 år i elektronisk form. Faktaark 15 - Hendelsesregistrering og oppfølging gir mer veiledning. 3.1.12 Etablere prosedyrer for håndtering av utskrifter Utskrifter fra fagsystemet vil ofte inneholde helse- og personopplysninger. Det må derfor allerede ved etableringen utarbeides prosedyrer for hvordan utskrifter håndteres. Dette kan også løses med tekniske virkemidler (bruk av magnetkort/pinkode, utskriftskøer slettes etter en viss periode e.l.) eller at skrivere plasseres i separate rom med tilgang kun for autorisert personell. I forbindelse med utskrifter bør det etableres prosedyrer og tekniske hjelpemidler for makulering. 3.1.13 Etablere prosedyrer for å ivareta sentrale rettigheter for den registrerte Kommunen må etablere enkle og praktiserbare prosedyrer for å etterleve sine plikter knyttet til den registrertes personvern og rettssikkerhet. Prosedyrene skal: ivareta taushetsplikten ivareta informasjonsplikten (f.eks. ved å legge ut informasjon på kommunenes hjemmesider) ivareta informert samtykke ivareta retten til reservasjon, herunder sørge for at det enkelte personell gir opplysning om den reservasjonsretten som den registrerte måtte ha ivareta retten til innsyn ivareta retten til retting og sletting 3.1.14 Gjennomføre opplæring Veileder for helse- og omsorgstjenester i kommuner V2 Side 23 av 45