1. Om veilederen

Bakgrunn

Den teknologiske utviklingen har gitt helse- og omsorgstjenesten flere verktøy for å kunne kommunisere med pasienter og brukere. Mye informasjon går fremdeles via telefon og brev, men stadig større mengder med informasjon kan sendes via digitale verktøy. Pasienter har også endrede forventninger til interaksjon og tilgjengelighet på informasjon om sin helsetilstand.

Digital pasientkommunikasjon legger til rette for større grad av pasientmedvirkning, og kan effektivisere toveis og enveis kommunikasjon mellom helsepersonell og pasient/bruker. På denne måten kan både pasient og helsepersonell raskere få informasjon de har behov for, og forenkle kontakten med helsetjenesten.

Samtidig som digitale kommunikasjonsformer kan bidra til at pasienten mottar informasjon raskere, medfører bruk av kommunikasjonsteknologi at det oppstår nye risikoer for personvern og informasjonssikkerheten som virksomhetene må vurdere.

Digital pasientkommunikasjon kan understøtte pasientens eller brukerens rett til informasjon, jf. Pasient- og brukerrettighetsloven § 2-3 Rett til fornyet vurdering (lovdata.no). Pasienten/brukeren har rett på informasjon som er nødvendig for å få innsikt i sin helsetilstand og innholdet i helsehjelpen, det vil si den behandling, pleie, omsorg, diagnostikk eller undersøkelse som tilbys eller ytes. En del av denne informasjonen kan gis gjennom digitale kommunikasjonsformer, forutsatt at taushetsplikten for helsepersonell ikke brytes.

Det finnes mange ulike måter å kommunisere digitalt med pasienter på, for eksempel SMS, e-post, brev til digital postkasse og meldinger via tjenesteportaler som helsenorge.no og private aktører.

Helsenorge er den offentlige kanalen for en samlet og sømløs tilgang til digitale tjenester innen den offentlige helse- og omsorgsektoren. Helsenorge brukes av en rekke virksomheter for å tilby innbygger administrative tjenester (for eksempel timebestilling), dialogtjenester (feks e-konsultasjon med fastlege) og innsynstjenester, som gir innbygger mulighet til å få innsyn i opplysninger om seg i registre og i pasientjournal.

Det finnes også en rekke andre portaler og innloggingsløsninger som pasienter kan benytte seg av for å sende eller motta informasjon fra helse- og omsorgstjenesten.

Tema for veilederen

Tema for denne veilederen er informasjonssikkerhet og personvern ved bruk av digitale midler for kommunikasjon mellom helsetjenesten og pasienter og brukere. Veilederen tar også for seg risiko og risikoscenarier for de ulike kommunikasjonsteknologiene, samt ulike temaer innen personvern og informasjonssikkerhet, juridiske spørsmål og tiltak.

Formålet med veilederens innhold er å belyse grunnleggende spørsmål og prosesser virksomheten må ta stilling til for å oppnå god sikkerhet og ivaretakelse av personvernet, både i løsningen som benyttes og i kommunikasjonen i seg selv.

Veilederen retter seg i hovedsak mot mindre helsevirksomheter, men vil også være relevant for de større aktørene i sektoren.

Kapittel 2 omtaler grunnleggende krav og prosesser som må gjennomføres i arbeidet med digital pasientkommunikasjon. Kapittel 3 tar for seg implementering av nye digitale kommunikasjonsløsninger og krav til slike prosesser.

Kapittel 4 omhandler risikovurdering og inneholder en ikke-uttømmende oversikt over scenarier som kan brukes i risikovurdering. Her vil man i tillegg finne nyttig informasjon til leverandører som utvikler slike kommunikasjonsløsninger.

Veilederens vedlegg inneholder eksempler på innhold i SMS og e-post.

I veilederen benyttes det enkelte uttrykk og definisjoner som er spesifikke for fagdisiplinene informasjonssikkerhet og personvern. Se Normens definisjonskapittel for forklaring.

Veilederens forhold til andre dokumenter og veiledere

Temaer som taushetsplikt, dokumentasjonsplikt og pasient- og brukerrettigheter omtales, men dekkes ikke uttømmende av denne veilederen. For veiledning om slike temaer vises det til følgende veiledninger og rundskriv:

Helsepersonellloven med kommentarer[LENKE - OK]
Pasient- og brukerrettighetsloven med kommentarer[LENKE: OK]
Helsepersonells og forvaltningens taushetsplikt[LENKE: Taushetsplikt og opplysningsplikt - Helsedirektoratet]

Der denne veilederen overlapper eller har tilstøtende innhold med andre dokumenter i Normen:

Veilederen går ikke inn på bruk av videokonsultasjon eller videokommunikasjon, men vil være relevant for systemer for videokonsultasjon der tjenesten har mulighet for chat eller annen skriftlig kommunikasjon mellom pasient og helsepersonell. For temaer innen video kan disse veilederne benyttes:

De kommunikasjonsformer som denne veileder tar for seg, forutsetter videre risikovurdering og selvstendig godkjenning i de enkelte virksomheter. Dette gjelder også for sosiale medier.

Veilederen tar ikke for seg informasjonsutveksling eller kommunikasjon om pasienter mellom virksomheter i helse- og omsorgssektoren.

Veilederen er ikke knyttet opp mot spesifikke leverandører, men det vil være beskrevet risikoscenarier som er spesifikke for en type kommunikasjonsteknologi.

Om Normen

Denne veilederen er et støttedokument under Normen som forvaltes av Styringsgruppen for Normen. Veilederen følger Normens forvaltningsmodell.

Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren skal bidra til tilfredsstillende informasjonssikkerhet og personvern i den enkelte virksomhet og i sektoren generelt. I tillegg skal Normen bidra til å etablere mekanismer og regler som sikrer at virksomhetene kan ha gjensidig tillit til at øvrige virksomheters behandling av helse- og personopplysninger gjennomføres på et forsvarlig sikkerhetsnivå.

Her finner du en komplett oversikt over Normens krav og andre nyttige dokumenter.

Dersom du har spørsmål knyttet til veilederen kan du sende spørsmål og kommentarer til: normen@helsedir.no.

Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 31. januar 2024