Når utstyr eller systemer behandler helse- og personopplysninger stilles det en rekke krav til håndtering av helse- og personopplysninger. I de tilfellene helse- og personopplysninger lagres i et system, blir det ofte ansett som et behandlingsrettet helseregister eller et fagsystem.
Behandlingsrettet helseregister er definert i Lov om behandling av helseopplysninger ved ytelse av helsehjelp, pasientjournalloven § 2 Definisjoner (lovdata.no), “pasientjournal- og informasjonssystem eller annet register, fortegnelse eller lignende, der helseopplysninger er lagret systematisk, slik at opplysninger om den enkelte kan finnes igjen, og som skal gi grunnlag for helsehjelp eller administrasjon av helsehjelp til enkeltpersoner”
Behandlingsrettede helseregistre skal være lette å bruke og å finne frem i og de skal være utformet og organisert slik at lovkrav kan oppfylles. Dette gjelder blant annet regler om
- taushetsplikt,
- forbud mot urettmessig tilegnelse av helseopplysninger
- retten til å motsette seg behandling av helseopplysninger
- retten til informasjon og innsyn
- helsepersonells dokumentasjonsplikt,
- tilgjengeliggjøring av helseopplysninger
- informasjonssikkerhet og internkontroll
Litt om tilgangsstyring
For å sikre at uvedkommende ikke får tilgang til helse- og personopplysninger, er det viktig at systemer har løsning for autentisering og autorisering
De fleste kunder har IAM-løsninger, som kan integreres mot. IAM står for Identity and Access Management, og det er en teknologi som brukes til å administrere og kontrollere tilgang.
Ved å integrere mot kundenes IAM-løsninger, kan man dra nytte av allerede etablerte sikkerhets- og identitetsstyringsprosesser. Man unngår prosesser som ofte manuelle og tidkrevende, i tillegg sikrer at hvem som har tilgang er oppdatert. Det anbefales at man benytter seg av IAM-løsningene når det er mulig.
Les mer om tilgangsstyring i Normens veileder for tilgang til helse- og personopplysninger og Normens faktaark for tilgangsstyring (faktaark 14)
Litt om logging
For å redusere risikoen for uautorisert tilgang helse- og personopplysninger er et av tiltakene logging. Når helseopplysninger aksesseres, skal tilgangen loggføres.
Det anbefales at systemer settes opp på en slik måte at logger blir tilgjengelig for logganalyseverktøyer som kunden har i bruk i sin organisasjon. Flere kunder har automatiske løsninger for analyse av logger.
Loggen skal oppbevares til det forventes å ikke lengre antas være bruk for den, og deretter slettes.
Les mer om logging i Normens faktaark for logging og innsyn i logg (faktaark 15)
