Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren

Fra Wikipedia, den frie encyklopedi

Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren er et rammeverk som regulerer elektronisk behandling av sensitive opplysninger i helse-, omsorgs- og sosialsektoren. Normen ble utarbeidet på initiativ fra Sosial- og helsedirektoratet og ble lansert i september 2006.

Normen ble opprinnelig utarbeidet som Norm for informasjonssikkerhet i helsesektoren, men ble i 2009 utvidet til også å omfatte omsorgs- og sosialsektoren.

Formål og område[rediger | rediger kilde]

Den økende bruken av elektronisk behandling av informasjon i helsesektoren medførte samtidig økende risiko for at sensitive helseopplysninger kommer uvedkommende i hende. Man så derfor behovet for en norm som i tilpasning til den teknologiske utvikling kunne supplere og utdype øvrig regelverk som berører personvernet og behandling av helseopplysninger.

Normen er juridisk bindende for alle virksomheter i helsesektoren som gjennom avtale med Norsk Helsenett har forpliktet seg til å følge den, samt alle aktører som gjennom kontakt med slike virksomheter kan få tilgang til pasientopplysninger. For øvrig anses normen å være et veiledende dokument.

Normen beskriver tiltak og forsiktighetsregler som anses som nødvendige for å ivareta pasientenes informasjonssikkerhet. Herunder reguleres både begrensning av tilgang til sensitive opplysninger og retningslinjer for å behandle disse på en slik måte at personvernet ikke krenkes.

En av utfordringene ved utarbeidelse av normen var balansen mellom overvåking av pasientenes personvern parallelt med ivaretakelse av de ansattes personvern.

Deltakende parter[rediger | rediger kilde]

Sosial- og helsedirektoratet var initiativtaker for å få definert normen. I arbeidet deltok også representanter fra forskjellige fagmiljøer. De viktigste er:

Disse aktørene opprettet også en styringsgruppe som skulle sørge for kontinuitet i arbeidet med å opprettholde normens innhold i takt med den teknologiske utviklingen. Helsetilsynet trakk seg senere fra styringsgruppen, mens nye aktører er kommet inn.

Oppbygging[rediger | rediger kilde]

Det er utarbeidet en rekke veiledere, støtteark og faktaark som konkretiserer normens innhold innenfor adskilte virkeområder, og som praktisk beskriver hvordan normen kan oppfylles innenfor disse områdene.

Plikter som pålegges av normen omfatter bl.a.:

  • Ansvarsplassering
  • Dokumentasjon av omfanget av elektronisk behandling av pasientopplysninger
  • Utarbeidelse av sikkerhetsstrategi
  • Risikovurdering
  • Regulering av tilgang
  • Sikring av utstyr som benyttes til behandling av pasientopplysninger

Eksterne lenker[rediger | rediger kilde]