Den som har det overordnede ansvaret for virksomheten, skal sørge for at det etableres og gjennomføres systematisk styring av virksomhetens aktiviteter (internkontroll).
Internkontroll skal være formalisert, og det er et krav i Normen at dokumentasjon om internkontrollen til enhver tid skal være oppdatert og lett tilgjengelig for alle ansatte. Det må også etableres rutiner for å sikre at styrende dokumenter til enhver tid er oppdaterte i tråd med krav i gjeldende lovverk, beslutninger, organisatoriske løsninger, rutiner og andre relevante styringsdokumenter. Informasjonssikkerhet og personvern bør inngå som en integrert del av den totale internkontrollen i virksomheten.
Internkontroll i helse- og omsorgssektoren består av planlagte og systematiske tiltak som skal sikre at virksomhetens aktiviteter planlegges, organiseres, utføres og vedlikeholdes i samsvar med krav fastsatt i eller i medhold av lovgivningen. Det inkluderer både helselovgivningen og lovgivning som ikke kun gjelder for helse- og omsorgssektoren, som personopplysningsloven.
I helse- og omsorgssektoren behandles det store mengder opplysninger som grunnlag for gode helse- og omsorgstjenester, helseregistre, forskning og innovasjon. Opplysningene må behandles slik at helse- og omsorgstjenester kan tilbys på en forsvarlig måte og samtidig ivaretar innbyggernes tillit til sektoren.
God informasjonssikkerhet og godt personvern er en forutsetning for digitalisering. Sektoren må bygge og forvalte robust teknologi, organisasjon og sikkerhetskultur Rundskriv I-3/2019 om informasjonshåndtering i spesialisthelsetjenesten (regjeringen.no) Tilstrekkelig internkontroll er en forutsetning for dette.
God pasientsikkerhet krever at opplysninger lagres og deles mellom helsepersonell, at opplysningene er tilgjengelige, korrekte og oppdaterte, samt at pasient, bruker og helsepersonell har tillit til systemer og personell. Mangelfull informasjon og svikt i overganger innad og mellom helsetjenestenivåer er dokumentert som et av de største risikoområdene for god pasientsikkerhet.
Informasjonssikkerhet handler blant annet om å vurdere og håndtere risiko relatert til informasjon, herunder behandling av helse- og personopplysninger. Informasjonens integritet, tilgjengelighet og konfidensialitet skal sikres. God informasjonssikkerhet er viktig for å kunne utøve forsvarlige helsetjenester og internkontroll er et av de mest sentrale verktøyene som understøtter dette målet.
Rundskriv I-3/2019 om informasjonshåndtering i spesialisthelsetjenesten (regjeringen.no)
For å sikre god styring og kontroll av informasjonssikkerhet må man jobbe helhetlig og se informasjonssikkerhet som en del av virksomhetsstyringen. Internkontroll for informasjonssikkerhet og personvern må være en integrert del av virksomhetens øvrige internkontroll.
Ved å se på informasjonssikkerhet og personvern som integrerte deler av virksomhetens øvrige prosesser vil man kunne oppnå balanse og avstemme mellom ulike fagområder på tvers av virksomheten, og blant annet kunne se samspillet mellom informasjonssikkerhet, personvern og pasientsikkerhet.
Virksomhetens ledelse vil gjennom god, helhetlig virksomhetsstyring få en totaloversikt over virksomhetens aktiviteter med sikte på å evaluere og drive kontinuerlig forbedring. For mer om helhetlig styring og kontroll av informasjonssikkerhet som en del av virksomhetsstyringen. Se også Helhetlig styring og kontroll av informasjonssikkerhet (digdir.no)
