Ledelse og personvern Forenklet sammendrag av de styrende dokumenter for personvern og informasjonssikkerhet ved Oslo universitetssykehus Stab fag og pasientsikkerhet Seksjon for personvern og informasjonssikkerhet
LEDELSE OG PERSONVERN God sikkerhetskultur avhenger av fokus og engasjement fra sykehusets ledelse på alle nivåer. Heftet «Personvern i praksis» er rettet til samtlige ansatte, vikarer og andre som har en funksjon ved sykehuset. Heftet du holder i hånden, berører personvern i praksis på systemnivå og er spesielt rettet til ledere. Noen områder har gjennom sykehusets revisjoner vist seg å være spesielt aktuelle i forhold til leders ansvar. Det må derfor etableres rutiner i avdelingen som sikrer ivaretakelse av de prinsipper som nevnes her, og rutinene må kommuniseres ut i klinikken/avdelingen. Stab fag & pasientsikkerhet v/seksjon for personvern og informasjonssikkerhet står til disposisjon for deg, dersom det er noe som byr på spesielle utfordringer, eller du har behov for rådgivning. OPPLÆRING OPPLÆRING AV NYANSATTE, VIKARER OG ANDRE SOM GIS TILGANG Alle som skal ha tilgang til personopplysninger, skal ha signert på å ha lest og forstått Sikkerhetsinstruksen (Nivå 1), og levert signert taushetserklæring, før de gis tilgang til sykehusnettet. Alle skal gis opplæring i bruk av fagsystemer før de gis tilgang. 3Gjelder også studenter og innleid personell som skal ha tilgang. 3Superbrukere er en viktig ressurs som det anbefales at benyttes til opplæring, spesielt i bruk av kliniske systemer. Alle skal gis opplæring i personvern og informasjonssikkerhet. Ledere på alle nivåer skal i tillegg gis opplæring i styrende dokumenter i ehåndbok for ledere. REPETERENDE OPPLÆRING Leder må ha etablert tiltak for at alle får repetert innholdet i Sikkerhetsinstruksen, og holdes løpende oppdatert på endringer og nyheter som berører personvern og informasjonssikkerhet. Frekvens: Minimum en gang i året. 3Mulige løsninger: 1. Ha personvern og informasjonssikkerhet som punkt på agendaen for faste møter i avdelingen. 2. Oppnevn ansatte med særskilt ansvar for å følge opp dette i avdelingen og som står i løpende kontakt med Personvernombudet. 2
TAUSHETSPLIKTEN TILRETTELEGGING AV GODE FORHOLD FOR OVERHOLDELSE AV TAUSHETSPLIKTEN VED KOMMUNIKASJON direkte med pasient, om pasient med annet helsepersonell som deltar i behandlingen, ved diktering, som skal skje uten påhør av uvedkommende. 3Eksempler på situasjoner som ikke er akseptable: - Helsepersonellet oppfordrer pasienter til å snakke om egen helse i arealer hvor uvedkommende befinner seg, for eksempel i venterom og korridorer. - Diktering foregår med åpen dør til venterom og lignende, slik at overhøring er sannsynlig. SKJERMING AV SENSITIVE OPPLYSNINGER PCer skal være plassert uten mulighet for at uvedkommende får innsyn. Skrivere skal plasseres i rom med begrenset tilgang. Alle ved avdelingen må være kjent med kravet til utlogging eller bruk av skjermlås når man forlater PCen. 3
TILGANGSSTYRING BESTILLING AV TILGANG TIL SYKEHUSNETTET OG FAGSYSTEMER Det er leder som formelt kan bestille tilgang til sykehusnettet og fagsystemer. Ansvaret kan delegeres. Delegering skal skje skriftlig og gjøres kjent i avdelingen og til Sykehuspartner IKT. 3Den som ansvaret blir delegert til, må ha nødvendig opplæring og gis klare rammer for utøvelsen av ansvaret. Tildeling av tilgang skal vurderes individuelt, og kun omfatte det som er nødvendig i den enkeltes arbeidssituasjon. Bestillingen sendes til Sykehuspartner IKT. NÅR EN ANSATT ELLER INNLEID SLUTTER Send melding til Sykehuspartner IKT umiddelbart etter at vedkommende har sluttet. Melding sendes via Personalportalen Den som slutter må selv arkivere det som er arkivverdig. Etter avslutning vil Sykehuspartner IKT slette all informasjon på personlige områder uten ytterligere varsel. 3Det som er arkivverdig må sikres. Det er avdelingens ansvar å ha rutiner for arkivering av relevant informasjon, både underveis i ansettelsesforholdet og ved avslutning av arbeidsforholdet. Brukerens personlige lagringsområde («Mine dokumenter») blir slettet av Sykehuspartner IKT. Hovedregel ved arkivering: - Alt av relevans for pasientbehandling lagres i elektronisk pasientjournal - Informasjon av betydning for virksomheten lagres i ephorte IKT-TJENESTER BESTILLING AV IKT-TJENESTER OG NYTT IKT-UTSTYR Det er bare leder som formelt kan bestille nye eller utvidede IKT-tjenester og nytt IKT-utstyr. Nye eller utvidede IKT-tjenester krever gjennomføring av risikovurdering knyttet til informasjonssikkerhet, og at denne kan godkjennes av Personvernombudet. Gjelder også nytt medisinsk-teknisk utstyr som medfører lagring av helse- og personopplysninger, installasjon av ny programvare i sykehusnettet, eller ønske om ny funksjonalitet i eksisterende fagsystemer. Bestilling av eksisterende tjenester, f.eks. erstatning for gammel PC, eller PC til nyansatt krever ikke risikovurdering. 5Involvér Personvernombudet tidlig i prosessen med å utarbeide kravpesifikasjon. Se egne rutiner på IKT-avdelingens intranettsider. Se instruks i ehåndbok: Bestilling av nye tjenester krever at bestiller stiller med nødvendige økonomiske ressurser for gjennomføring. 4
IKT-TJENESTER SYSTEMEIER/TJENESTEEIER Behov for nye eller utvidede IKT-tjenester bør først drøftes med Systemeier/Tjenesteeier, før det sendes bestilling. 5Systemeier/Tjenesteeier er som oftest ledelsen på Nivå 2, og har bl.a. ansvar for: - at systemet oppfyller lovbestemte krav - at informasjon som behandles i systemet er relevant og nødvendig for formålet - å bidra til at det inngås skriftlige avtaler med leverandør av systemet - å overvåke risiko forbundet med informasjonsbehandling og forestå risikovurdering ved behov Mange systemer har brukere ut over en avdeling eller klinikk. Det er derfor nødvendig å se det samlede behovet for sykehuset når endringer skal vurderes. Se egne rutiner på IKTavdelingens intranettsider. Bestilling av nye tjenester krever at bestiller stiller med nødvendige økonomiske ressurser for gjennomføring. Se instruks i ehåndbok: - Organisering av informasjonssikkerhetsarbeidet LAGRING LAGRING AV HELSE- OG PERSONOPPLYSNINGER Lagres kun i egne fagsystemer. Dersom fagsystemet mangler ønsket funksjonalitet, skal dette adresseres av leder som beskrevet ovenfor. Behov for lagring utenom fagsystemer skal forhåndsmeldes til Personvernombudet. Krever gjennomføring av risikovurdering knyttet til informasjonssikkerhet, og at denne kan godkjennes av Personvernombudet. MINNEPENN Tilkobling av minnepenn eller andre. lagringsmedier i sykehusnettet er ikke tillatt. Personvernombudet kan unntaksvis gi tillatelse til begrenset bruk. 5
SLETTING OG MAKULERING MAKULERING AV HELSE- OG PERSONOPPLYSNINGER PÅ PAPIR Makulering av helse- og personopplysninger på papir skal kun skje v.hj.a. makuleringsmaskiner, eller ved å kastes i avlåste beholdere for makulering. Miljøesker kan ikke benyttes. Det er leders ansvar å sørge for at avdelingen har makuleringsmaskiner eller avlåste beholdere. KASSERING AV GAMLE PCER, MINNEPENNER OG HARDDISKER Ta kontakt med Sykehuspartner IKT. Gammelt IKT-utstyr kan ikke gis bort eller selges til andre. Årsak: Utstyret kan inneholde sensitive opplysninger, som krever forsvarlig sletting. Det er ikke tilstrekkelig at bruker sletter dette selv. Kompetansen til å slette på forskriftsmessig måte ligger hos Sykehuspartner IKT. KOMMUNIKASJON ELEKTRONISK FORMIDLING AV HELSE- OG PERSONOPPLYSNINGER TIL INTERNE OG EKSTERNE Skal kun skje gjennom etablerte og risikovurderte fagsystemer. Dersom fagsystemene mangler slik funksjonalitet, skal det adresseres til IKTavdelingen som beskrevet ovenfor. - Bruk av e-post for kommunikasjon med og om pasienter Telefaks med krypteringsmulighet kan benyttes. Bruk av E-post internt; se egen instruks E-post til eksterne mottakere kan ikke benyttes Telefaks: Opplysningene må anonymiseres før de sendes 6
UTLEVERING UTLEVERING AV HELSE- OG PERSONOPPLYSNINGER Utlevering til eksterne, når formålet er annet enn å yte helsehjelp, forutsetter tilråding fra Personvernombudet. Gjelder selv om opplysningene avidentifiseres. FORSKNING OG KVALITETSSIKRING KVALITETSSIKRING IHHT. HPL 26 Forutsetter: Ledelsesbeslutning. Tilrådning fra Personvernombudet. - Kvalitetssikring - Godkjenning av interne kvalitetsregistre - Tilgang til journal ved kvalitetssikring av diagnostisering og behandling Ved publisering av resultater, se instruks i ehåndbok. FORSKNING Forskning som involverer pasienter, pårørende eller ansatte er underlagt interne krav til registrering og godkjenning. Se egne instrukser. Skal alltid være godkjent av avdelingsleder, i flere tilfeller også forskningsleder i klinikk. 3Se ehåndbok: - Forskningsinstruks - Forskningsprosedyre - Planlegging, gjennomføring og avslutning av medisinske og helsefaglige forskningsprosjekter Tilgang til journal for forskningsformål forutsetter som hovedregel samtykke fra pasient. Utlevering av helse- og personopplysninger for forskningsformål må forelegges Personvernombudet. 7
Grafisk design:møklegaard Print Shop/Eggen Press AS HEFTET ER UTGITT AV PERSONVERNOMBUDET VED OSLO UNIVERSITETSSYKEHUS HF E-post: personvern@oslo-universitetssykehus.no Intranett: Se Organisasjon / Direktørens stab / Stab fag og pasientsikkerhet / Informasjonssikkerhet og personvern Internett: www.oslo-universitetssykehus.no/personvern www.oslo-universitetssykehus.no/personvern Oslo universitetssykehus eies av Helse Sør-Øst og består av blant annet Aker sykehus, Ullevål sykehus, Rikshospitalet og Radiumhospitalet. Post til foretaksledelsen: Oslo universitetssykehus HF, Postboks 4950 Nydalen, 0424 Oslo. Sentralbord: 02770. Oslo universitetssykehus eies av Helse Sør-Øst RHF. 8