Informasjonssikkerhet og juss - gammel artikkel

I bunnen av alt sikkerhetsarbeid ligger risikovurderinger og analyser.

Shoulder surfing Juridiske problemstillinger og spørsmål vedrørende informasjonssikkerhet er et gjennomgående tema når nye telemedisinske tjenester skal utvikles og/eller tas i bruk. En vesentlig del av informasjonen som følger pasienten i en behandlingssituasjon er sensitiv. Denne informasjonen må sikres mot innsyn fra uvedkommende og mot uautoriserte endringer (sikring av informasjonens konfidensialitet og integritet).

I januar 2009 utarbeidet NST rapporten:

Juridiske aspekter ved bruk av telemedisin i desentralisering av spesialisthelsetjenester (NST-rapport nr 1-2009, pdf)

Nasjonalt senter for samhandling og telemedisin har jurister som vurderer juridiske problemstillinger og spesialrådgivere innen informasjonssikkerhet som utfører risikoanalyser i tilknytning til utviklingsprosjekt, implementering av telemedisin og elektronisk samhandling i helsevesenet.

Informasjonssikkert i helsesektoren

Informasjonssikkerhet og kunnskap om dette emnet er et sentralt anliggende i helsevesenet. Det er særlig viktig ettersom elektronisk samhandling og telemedisin er i ferd med å bli en integrert del av helsetjenesten på alle nivåer.

Ved Nasjonalt senter for samhandling og telemedisin (NST) har våre rådgivere innenfor informasjonssikkerhet og juss lang erfaring i å vurdere juridiske problemstillinger og gjennomføre risikoanalyser ved bruk av IKT i helsevesenet.

Sikkerhetsarbeid ved NST

NST har to ansatte med hovedfokus på sikkerhet: Eva Henriksen (eva.henriksen@telemed.no) og Eva Skipenes (eva.skipenes@telemed.no). Vi har et tett samarbeid med NSTs to jurister, som har spesialisert seg på jus relatert til telemedisin og e-helse.

Vår kompetanse på informasjonssikkerhet (datasikkerhet) er spesielt rettet mot helsesektorens krav og behov. Vi har god kjennskap til lovgivningen og til tekniske løsninger. Vi har også god kjennskap til juridiske aspekter som er relatert til sikkerhet (for eksempel knyttet til overholdelse av taushetsplikten ved kommunikasjon på tvers av virksomheter). For tiden er vi spesielt opptatt av utfordringer relatert til roller, ansvar og pasientmedivirkning når spesialisthelsetjenester flyttes ut i kommunene. Vi er også opptatt av juridiske og sikkerhetsmessige spørsmål knyttet til løsninger for elektronisk samhandling mellom ulike instanser i helsetjenesten, og til løsninger for elektronisk kommunikasjon hjem til pasienten.

Seminarserie om sikkerhet og juss i relasjon til delinga av pasientinformasjon på tvers av ulike virksomheter og nivåer

NST har i samarbeid med HIT Nord-Norge tatt initiativ til en serie med årlige møteplasser i Tromsø. Formålet med disse har vært å belyse og debattere problemstillinger relatert til sikkerhet og juss i forbindelse med tilgang til og deling av pasientopplysninger på tvers av virksomheter og nivåer innen helse- og omsorgssektoren. Målgruppen for seminarene er nasjonale og regionale beslutningstakere, kommuner, helsepersonell, leverandører og utviklere, forskningsmiljøer og pasienter/brukere.

Følgende seminar har blitt arrangert:

1. juni 2006: Tilgang på tvers og deling av pasientopplysninger (http://www.telemed.no/tilgang-paa-tvers-og-deling-av-pasientopplysninger.321557-39275.html)
13. juni 2007: Tilgang på langs – Informasjonsdeling og sammenhengende pasientforløp: Juridiske og sikkerhetsmessige aspekter (http://www.telemed.no/index.php?id=519922). En oppsummeringsrapport fra denne workshopen kan leses nederst på siden til seminaret.
23. - 24. april 2008: Med kommunene i fokus: Deling av pasientopplysninger og sammenhengende pasientforløp. Juridiske og sikkerhetsmessige aspekter (http://www.telemed.no/kommunefokus)
15. - 16. juni 2009: Fri flyt av pasientinformasjon - fiksjon eller faktum? (http://www.telemed.no/friflyt2009)

1. - 2. nov. 2010: Ut med pasienten! En konferanse om telemedisin, samhandling og desentralisering - med fokus på etiske, juridiske og sikkerhetsmessige aspekter - (http://www.telemed.no/utmedpasienten)

Det fjerde og femte seminaret i rekken erstattet NSTs årlige internasjonale konferanser disse årene. Konferansene var ikke forskerkonferanser, men hadde i stedet fokus på praktiske, juridiske, sikkerhetsmessige og etiske utfordringer ved deling av pasientinformasjon mellom ulike virksomheter og nivå i de skandinaviske landene. Vi baserte oss kun på inviterte foredragsholdere. Konferansen i 2009 ble arrangert i samarbeid med Tromsø kommune, MedCom og Norsk sykehus- og helsetjenesteforening (NSH), i tillegg til HIT Nord-Norge.

Presentasjoner fra seminarene finnes under linken til hvert enkelt seminar.

Lovpålagte krav

Det er et lovpålagt krav at alle virksomheter som behandler personopplysninger har dokumentert sikkerheten i informasjonssystemet, at man har organisatoriske rutiner og prosedyrer for å ivareta sikkerhet, har utført risikoanalyse og utarbeidet opplegg for systemrevisjoner/-vedlikehold og versjonskontroll. I praksis faller dette ansvar på dataansvarlig i virksomheten, men det skal også forankres i ledelsen (styre eller ansvarlig eier).

Eksempel på oppfylling av lovpålagte krav

NST har i samarbeid med Sentrum legekontor i Tromsø laget et eksempel på nødvendig sikkerhets-dokumentasjon og prosedyrer/rutiner (et såkalt styringssystem for informasjonssikkerhet). Dette eksempelet vil kunne hjelpe legekontor til å etablere nødvendige rutiner, mekanismer, planer og dokumentasjon for å oppfylle lovpålagte krav til informasjonssikkerhet.

Gjennomføring av risikovurdering er også påkrevd. Et eksempel på risikovurdering av sikkerheten ved et legekontor med tilknytning til helsenett finnes på siden med styringssystem for informasjonssikkerhet.

Norm for informasjonssikkerhet i helsesektoren.

Etter initiativ fra Sosial- og helsedirektoratet er det utarbeidet en norm for informasjonssikkerhet i helsesektoren. Normen skal gi konkrete føringer for hvordan samsvar med regelverket skal oppnås. Formålet med utarbeidelsen av normen er å oppnå en tilfredsstillende informasjonssikkerhet i den enkelte virksomhet i helsesektoren samt en velfungerende, sikker elektronisk samhandling innen helsesektoren. Normen ble lansert i september 2006. Her er lenke til norm for informasjonssikkerhet i helsesektoren.

Risikovurdering

NST har kompetanse på risikoanalyse for avdekking av sikkerhetsmessig risikonivå. Vi vil kunne være behjelpelig med råd og veiledning ved gjennomføring av risikoanalyser/risikovurderinger. Vi har laget en presentasjon med innføring i risikoanalysemetodikk som kan lastes ned Risikoanalysemetodikk.pdf, og et faktaark med en kort presentasjon av metodikken vi benytter - se NST_Faktaark_nr_1_2011_web.pdf.

Vi har utarbeidet en enkel veiledning for gjennomføring av risikovurdering og en enkel rapportmal til bruk for dokumentasjon av risikovurderingen.

Relevante lover

Lov om helsepersonell m.v. (helsepersonelloven), 1999-07-02-64
Lov om behandling av personopplysninger (personopplysningsloven), 2000-04-14-31
Lov om helseregistre og behandling av helseopplysninger (helseregisterloven), 2001-05-18-24.

Relevante linker

Datatilsynet
KITH (Kompetansesenter for IT i helse- og sosialsektoren AS - overført til Helsedirektoratet fra 1.1.2012).

Juss- og sikkerhetsteamet ved NST består av

Jurist Ellen Kari Christiansen, telefon 416 84 705 og epost Ellen.Christiansen@telemed.no

Jurist Leif Erik Nohr, telefon 901 43 166 og epost Leif.Erik.Nohr@telemed.no

Sikkerhetsrådgiver Eva Henriksen, telefon 957 31 836 og epost Eva.Henriksen@telemed.no

Sikkerhetsrådgiver Eva Skipenes, telefon 911 77 515 og e-post Eva.Skipenes@telemed.no

Share on Facebook

Share on Twitter