Ledelse og personvern. Forenklet sammendrag av de styrende dokumenter for personvern og informasjonssikkerhet ved Oslo universitetssykehus



Like dokumenter
Lovlig journalbruk Oppslag i og bruk av pasientjournalen

Lovlig journalbruk Oppslag i og bruk av Pasientjournalen

Personvern i praksis. Forenklet sammendrag av de styrende dokumenter for personvern og informasjonssikkerhet ved Oslo universitetssykehus

Studenters tilgang til elektronisk pasientjournal

oppgaver og kompetanse

Elektronisk pasientjournal -

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

Studenters tilgang til elektronisk pasientjournal

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Kompetansesenter for personvern og sikkerhet

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Personvern, taushetsplikt og sosiale medier

SIKKERHETSINSTRUKS - Informasjonssikkerhet

Erstatter tidligere tilsvarende dokumenter i hhv Aker, Rikshospitalet og Ullevål, inkludert databrukerkontrakt.

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Plikt- og rettssubjekter. Den som har krav på noe, den som har rett på noe. Den som er pålagt noe, den som har ansvaret for å se til at noe blir gjort

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

1. Endringer siden siste versjon. 2. Hensikt og omfang. 3. Ansvar. Instruks Forskningsinstruks. Oslo universitetssykehus HF

1. Endringer siden siste versjon. 2. Hensikt og omfang

Personvern i praksis, GDPR personvernforordningen erfaringer

Personvernerklæring Stendi

AVTALE OM TILGANG TIL INFORMASJONSSYSTEM FOR MEDARBEIDER SOM IKKE ER ANSATT I ELLER LØNNET AV VIRKSOMHETEN mellom

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

HVEM ER JEG OG HVOR «BOR» JEG?

2.4 Bruk av datautstyr, databehandling

Norsk kvalitetsregister for LEPPE - KJEVE - GANESPALTE. Informasjon til foreldre og foresatte

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer

Personvernerklæring for Vesterålsprodukter AS

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Nye tilganger og ny pålogging

Sikkerhetskrav for systemer

Kjære tidligere pasient ved Radiumhospitalet.

Forskningsprosedyre. Prosedyre. Oslo universitetssykehus HF

IT-reglement Aurskog-Høland kommune for ansatte og politikere

Protokoll; Gjennomgå feltene og vurder fremstilling Protokoll; rettslig grunnlag

Felles datanett for kommunene Inderøy, Verran og Steinkjer

IKT-reglement for Norges musikkhøgskole

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

Brukermedvirkning. Brukermedvirkning Handlingsplan Handlingsplan

SAK NR INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

RETNINGSLINJER FOR ANSATTES BRUK AV IKT-TJENESTER I NORMISJON

Informasjonssikkerhet

Sikkerhetsinstruks bruker

Brukerinstruks Informasjonssikkerhet

Databehandleravtale for NLF-medlemmer

Introduksjon - Opplæring i regional elektronisk pasientjournal for ansatte ved Sykehuset Telemark

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Forbedring av funksjonalitet og arbeidsrutiner for elektronisk pasientjournal

Datasikkerhet internt på sykehuset

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

Nye tilganger og ny pålogging

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

Det må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning.

Rapport informasjonssikkerhet Helgelandssykehuset 2015

LEPPE - KJEVE - GANESPALTE

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Juridisk regulering av helseregistre brukt til kvalitetssikring og forskningsformål

Informasjonssikkerhet og personvern Definisjoner

Oslo universitetssykehus HF

VEILEDER GDPR PERSONVERN DEL 1 ANSATTE OG TILLITSVALGTE

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Utfylt skjema sendes til personvernombudet for virksomheten. 1 INFORMASJON OM SØKEREN 2 PROSJEKTETS NAVN/TITTEL

Ansvar og organisering

Lovfortolkning - Helsepersonelloven 29c - Opplysninger til bruk i læringsarbeid og kvalitetssikring

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

Pasientjournalloven - endringer og muligheter

Styresak Orienteringssak - Informasjonssikkerhet

Introduksjon. Én pasientjournal i Helse Sør-Øst - tryggere, enklere, raskere

Formidling av pasientinformasjon ny lovgivning (i forbindelse med pasientbehandling) NSH

Opplæringsplan i DIPS for ansatte ved Sykehuset i Vestfold

Instruks for bruk av ITsystemer, Internett og e-post i Hedmark fylkeskommune (IT-instruks for HFK)

Ledelsens gjennomgang av kvalitets- og HMS -systemet ved St. Olavs Hospital HF 2009

Krav til informasjonssikkerhet

Håndtering av dokumentasjon i pleie- og omsorgstjenesten. Kirsti O.Sletten

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Mal for Vedtekter for nasjonale medisinske kvalitetsregistre

Betydningen av personvern i helsesektoren. Cecilie L. B. Rønnevik, seniorrådgiver Tromsø 16. juni 2009

Ny pasientjournallov endringer og muligheter

Mønstergjenkjenningsprosjektet ved Oslo universitetssykehus

KF Brukerkonferanse 2013

Lagring av forskningsdata i Tjeneste for

Introduksjon. Én pasientjournal i Helse Sør-Øst - tryggere, enklere, raskere

Oslo universitetssykehus HF

Hvordan kan personvernet ivaretas i helsesektoren?

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Opplysninger om nyresviktbehandling i Norge Norsk Nyreregister

Selvbetjening i EPJ også for forskningsformål - hva da med personvern?

Hvilken rolle spiller sikkerhetspolicy for UUS? Heidi Thorstensen IKT-sikkerhetssjef/Personvernombud

Etablering av felles journal i Helse Midt-Norge

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

LÆRINGS- og GJENNOMFØRINGSPLAN

Fagkurs for kommuner Personvern og taushetsplikt (75 minutter)

1. Endringer siden forrige versjon Instruksen er revidert i samarbeid med UiO. Ny mal for annonse i Webcruiter og kortversjon av prosessen er vedlagt.

Transkript:

Ledelse og personvern Forenklet sammendrag av de styrende dokumenter for personvern og informasjonssikkerhet ved Oslo universitetssykehus Stab fag og pasientsikkerhet Seksjon for personvern og informasjonssikkerhet

LEDELSE OG PERSONVERN God sikkerhetskultur avhenger av fokus og engasjement fra sykehusets ledelse på alle nivåer. Heftet «Personvern i praksis» er rettet til samtlige ansatte, vikarer og andre som har en funksjon ved sykehuset. Heftet du holder i hånden, berører personvern i praksis på systemnivå og er spesielt rettet til ledere. Noen områder har gjennom sykehusets revisjoner vist seg å være spesielt aktuelle i forhold til leders ansvar. Det må derfor etableres rutiner i avdelingen som sikrer ivaretakelse av de prinsipper som nevnes her, og rutinene må kommuniseres ut i klinikken/avdelingen. Stab fag & pasientsikkerhet v/seksjon for personvern og informasjonssikkerhet står til disposisjon for deg, dersom det er noe som byr på spesielle utfordringer, eller du har behov for rådgivning. OPPLÆRING OPPLÆRING AV NYANSATTE, VIKARER OG ANDRE SOM GIS TILGANG Alle som skal ha tilgang til personopplysninger, skal ha signert på å ha lest og forstått Sikkerhetsinstruksen (Nivå 1), og levert signert taushetserklæring, før de gis tilgang til sykehusnettet. Alle skal gis opplæring i bruk av fagsystemer før de gis tilgang. 3Gjelder også studenter og innleid personell som skal ha tilgang. 3Superbrukere er en viktig ressurs som det anbefales at benyttes til opplæring, spesielt i bruk av kliniske systemer. Alle skal gis opplæring i personvern og informasjonssikkerhet. Ledere på alle nivåer skal i tillegg gis opplæring i styrende dokumenter i ehåndbok for ledere. REPETERENDE OPPLÆRING Leder må ha etablert tiltak for at alle får repetert innholdet i Sikkerhetsinstruksen, og holdes løpende oppdatert på endringer og nyheter som berører personvern og informasjonssikkerhet. Frekvens: Minimum en gang i året. 3Mulige løsninger: 1. Ha personvern og informasjonssikkerhet som punkt på agendaen for faste møter i avdelingen. 2. Oppnevn ansatte med særskilt ansvar for å følge opp dette i avdelingen og som står i løpende kontakt med Personvernombudet. 2

TAUSHETSPLIKTEN TILRETTELEGGING AV GODE FORHOLD FOR OVERHOLDELSE AV TAUSHETSPLIKTEN VED KOMMUNIKASJON direkte med pasient, om pasient med annet helsepersonell som deltar i behandlingen, ved diktering, som skal skje uten påhør av uvedkommende. 3Eksempler på situasjoner som ikke er akseptable: - Helsepersonellet oppfordrer pasienter til å snakke om egen helse i arealer hvor uvedkommende befinner seg, for eksempel i venterom og korridorer. - Diktering foregår med åpen dør til venterom og lignende, slik at overhøring er sannsynlig. SKJERMING AV SENSITIVE OPPLYSNINGER PCer skal være plassert uten mulighet for at uvedkommende får innsyn. Skrivere skal plasseres i rom med begrenset tilgang. Alle ved avdelingen må være kjent med kravet til utlogging eller bruk av skjermlås når man forlater PCen. 3

TILGANGSSTYRING BESTILLING AV TILGANG TIL SYKEHUSNETTET OG FAGSYSTEMER Det er leder som formelt kan bestille tilgang til sykehusnettet og fagsystemer. Ansvaret kan delegeres. Delegering skal skje skriftlig og gjøres kjent i avdelingen og til Sykehuspartner IKT. 3Den som ansvaret blir delegert til, må ha nødvendig opplæring og gis klare rammer for utøvelsen av ansvaret. Tildeling av tilgang skal vurderes individuelt, og kun omfatte det som er nødvendig i den enkeltes arbeidssituasjon. Bestillingen sendes til Sykehuspartner IKT. NÅR EN ANSATT ELLER INNLEID SLUTTER Send melding til Sykehuspartner IKT umiddelbart etter at vedkommende har sluttet. Melding sendes via Personalportalen Den som slutter må selv arkivere det som er arkivverdig. Etter avslutning vil Sykehuspartner IKT slette all informasjon på personlige områder uten ytterligere varsel. 3Det som er arkivverdig må sikres. Det er avdelingens ansvar å ha rutiner for arkivering av relevant informasjon, både underveis i ansettelsesforholdet og ved avslutning av arbeidsforholdet. Brukerens personlige lagringsområde («Mine dokumenter») blir slettet av Sykehuspartner IKT. Hovedregel ved arkivering: - Alt av relevans for pasientbehandling lagres i elektronisk pasientjournal - Informasjon av betydning for virksomheten lagres i ephorte IKT-TJENESTER BESTILLING AV IKT-TJENESTER OG NYTT IKT-UTSTYR Det er bare leder som formelt kan bestille nye eller utvidede IKT-tjenester og nytt IKT-utstyr. Nye eller utvidede IKT-tjenester krever gjennomføring av risikovurdering knyttet til informasjonssikkerhet, og at denne kan godkjennes av Personvernombudet. Gjelder også nytt medisinsk-teknisk utstyr som medfører lagring av helse- og personopplysninger, installasjon av ny programvare i sykehusnettet, eller ønske om ny funksjonalitet i eksisterende fagsystemer. Bestilling av eksisterende tjenester, f.eks. erstatning for gammel PC, eller PC til nyansatt krever ikke risikovurdering. 5Involvér Personvernombudet tidlig i prosessen med å utarbeide kravpesifikasjon. Se egne rutiner på IKT-avdelingens intranettsider. Se instruks i ehåndbok: Bestilling av nye tjenester krever at bestiller stiller med nødvendige økonomiske ressurser for gjennomføring. 4

IKT-TJENESTER SYSTEMEIER/TJENESTEEIER Behov for nye eller utvidede IKT-tjenester bør først drøftes med Systemeier/Tjenesteeier, før det sendes bestilling. 5Systemeier/Tjenesteeier er som oftest ledelsen på Nivå 2, og har bl.a. ansvar for: - at systemet oppfyller lovbestemte krav - at informasjon som behandles i systemet er relevant og nødvendig for formålet - å bidra til at det inngås skriftlige avtaler med leverandør av systemet - å overvåke risiko forbundet med informasjonsbehandling og forestå risikovurdering ved behov Mange systemer har brukere ut over en avdeling eller klinikk. Det er derfor nødvendig å se det samlede behovet for sykehuset når endringer skal vurderes. Se egne rutiner på IKTavdelingens intranettsider. Bestilling av nye tjenester krever at bestiller stiller med nødvendige økonomiske ressurser for gjennomføring. Se instruks i ehåndbok: - Organisering av informasjonssikkerhetsarbeidet LAGRING LAGRING AV HELSE- OG PERSONOPPLYSNINGER Lagres kun i egne fagsystemer. Dersom fagsystemet mangler ønsket funksjonalitet, skal dette adresseres av leder som beskrevet ovenfor. Behov for lagring utenom fagsystemer skal forhåndsmeldes til Personvernombudet. Krever gjennomføring av risikovurdering knyttet til informasjonssikkerhet, og at denne kan godkjennes av Personvernombudet. MINNEPENN Tilkobling av minnepenn eller andre. lagringsmedier i sykehusnettet er ikke tillatt. Personvernombudet kan unntaksvis gi tillatelse til begrenset bruk. 5

SLETTING OG MAKULERING MAKULERING AV HELSE- OG PERSONOPPLYSNINGER PÅ PAPIR Makulering av helse- og personopplysninger på papir skal kun skje v.hj.a. makuleringsmaskiner, eller ved å kastes i avlåste beholdere for makulering. Miljøesker kan ikke benyttes. Det er leders ansvar å sørge for at avdelingen har makuleringsmaskiner eller avlåste beholdere. KASSERING AV GAMLE PCER, MINNEPENNER OG HARDDISKER Ta kontakt med Sykehuspartner IKT. Gammelt IKT-utstyr kan ikke gis bort eller selges til andre. Årsak: Utstyret kan inneholde sensitive opplysninger, som krever forsvarlig sletting. Det er ikke tilstrekkelig at bruker sletter dette selv. Kompetansen til å slette på forskriftsmessig måte ligger hos Sykehuspartner IKT. KOMMUNIKASJON ELEKTRONISK FORMIDLING AV HELSE- OG PERSONOPPLYSNINGER TIL INTERNE OG EKSTERNE Skal kun skje gjennom etablerte og risikovurderte fagsystemer. Dersom fagsystemene mangler slik funksjonalitet, skal det adresseres til IKTavdelingen som beskrevet ovenfor. - Bruk av e-post for kommunikasjon med og om pasienter Telefaks med krypteringsmulighet kan benyttes. Bruk av E-post internt; se egen instruks E-post til eksterne mottakere kan ikke benyttes Telefaks: Opplysningene må anonymiseres før de sendes 6

UTLEVERING UTLEVERING AV HELSE- OG PERSONOPPLYSNINGER Utlevering til eksterne, når formålet er annet enn å yte helsehjelp, forutsetter tilråding fra Personvernombudet. Gjelder selv om opplysningene avidentifiseres. FORSKNING OG KVALITETSSIKRING KVALITETSSIKRING IHHT. HPL 26 Forutsetter: Ledelsesbeslutning. Tilrådning fra Personvernombudet. - Kvalitetssikring - Godkjenning av interne kvalitetsregistre - Tilgang til journal ved kvalitetssikring av diagnostisering og behandling Ved publisering av resultater, se instruks i ehåndbok. FORSKNING Forskning som involverer pasienter, pårørende eller ansatte er underlagt interne krav til registrering og godkjenning. Se egne instrukser. Skal alltid være godkjent av avdelingsleder, i flere tilfeller også forskningsleder i klinikk. 3Se ehåndbok: - Forskningsinstruks - Forskningsprosedyre - Planlegging, gjennomføring og avslutning av medisinske og helsefaglige forskningsprosjekter Tilgang til journal for forskningsformål forutsetter som hovedregel samtykke fra pasient. Utlevering av helse- og personopplysninger for forskningsformål må forelegges Personvernombudet. 7

Grafisk design:møklegaard Print Shop/Eggen Press AS HEFTET ER UTGITT AV PERSONVERNOMBUDET VED OSLO UNIVERSITETSSYKEHUS HF E-post: personvern@oslo-universitetssykehus.no Intranett: Se Organisasjon / Direktørens stab / Stab fag og pasientsikkerhet / Informasjonssikkerhet og personvern Internett: www.oslo-universitetssykehus.no/personvern www.oslo-universitetssykehus.no/personvern Oslo universitetssykehus eies av Helse Sør-Øst og består av blant annet Aker sykehus, Ullevål sykehus, Rikshospitalet og Radiumhospitalet. Post til foretaksledelsen: Oslo universitetssykehus HF, Postboks 4950 Nydalen, 0424 Oslo. Sentralbord: 02770. Oslo universitetssykehus eies av Helse Sør-Øst RHF. 8

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding