Det kan ikke utledes rettigheter eller plikter av definisjonene alene. De må leses i den sammenheng de benyttes i Normen.
-A-
Med «administratorrettighet» menes i Normen øverste tilgangsnivå til system, server, database og sikkerhetsbarrierer. Tilgangsnivået har som oftest rettigheter til å utføre alle operasjoner.
Med «akseptabel risiko» menes i Normen hvor stor risiko virksomheten kan akseptere for at det inntreffer en hendelse som kan forårsake brudd på kravene til konfidensialitet, integritet og tilgjengelighet/robusthet i et konkret tilfelle. Risikoens størrelse avhenger av hvor stor sannsynlighet det er for at hendelsen skal inntreffe, og av konsekvensen av en slik hendelse. Hver enkelt virksomhet må vurdere konkret hvordan akseptabel risiko for vedkommende virksomhet skal oppnås, ved hjelp av akseptkriterier for risiko.
Med «akseptkriterier for risiko» menes i Normen ledelsens føringer for når en risiko er akseptabel. Akseptkriterier beskriver hvordan risiko skal aksepteres, og kan bestå av beslutningsprosesser, hvem som kan akseptere risiko av ulik størrelse innenfor gitte rammer, og/eller nivåer som beskriver hvor stor risiko som er akseptabel.
Med «annen informasjon med betydning for informasjonssikkerheten» menes i Normen informasjon der uautorisert tilgang eller andre sikkerhetsbrudd vil medføre en risiko for virksomheten, f.eks. konfigurasjonsfiler, resultat av risikovurderinger, beredskapsplaner, passordfiler, nettverkskart mv.
Med «anonymisert» menes i Normen en prosess som håndterer eller behandler helse- og personopplysninger slik at de ikke lengre kan knyttes til en identifisert eller identifiserbar fysisk person. Anonymisering skal være en irreversibel prosess, slik at det ikke er mulig å re-identifisere den registrerte når man tar i betraktning de virkemidler som med rimelighet kan tenkes brukt.
Definisjonen bygger på artikkel 29-gruppens analyse av personopplysningsbegrepet, herunder omtalen av anonyme opplysninger, jf. opinion 4/2007 WP 136 s 20. Begrepet omtales også i deres uttalelse om anonymiseringsteknikker, WP 216.
Med «autentisering» menes i Normen prosessen som gjennomføres for å bekrefte en påstått identitet.
Med «autorisasjonsregister» menes i Normen et register over utstedte autorisasjoner som føres av den dataansvarlige.
Med «avvik» menes i Normen enhver håndtering av helse- og personopplysninger som ikke utføres i henhold til gjeldende regelverk, retningslinjer og/eller rutiner, samt andre sikkerhetsbrudd. Et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.
-B-
Med «behandling» menes i Normen enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, tilgjengeliggjøring ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.
Med «behandlingens art» menes i Normen virksomhetens spesifikke type behandlinger.
Med «behandlingsgrunnlag» menes i Normen et rettslig grunnlag for å behandle personopplysninger. Dette kan for eksempel være samtykke eller hjemmel i lov. Hva som er et gyldig behandlingsgrunnlag, fremgår av personvernforordningens artikkel 6 og 9.
Med «behandlingsrettet helseregister» menes i Normen pasientjournal og informasjonssystem eller annet register, fortegnelse eller lignende, der helseopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen, og som skal gi grunnlag for helsehjelp eller administrasjon av helsehjelp til enkeltpersoner, jf. pasientjournalloven § 2 d.
Med «bruker» menes i Normen en person som anmoder om eller mottar tjenester omfattet av helse- og omsorgstjenesteloven som ikke er helsehjelp, jf. pasient- og brukerrettighetsloven § 1-3 bokstav f.
-D-
Med «dataansvarlig» menes i Normen en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes. Hvis ikke dataansvaret er særskilt angitt i loven eller i forskrift i medhold av loven, jf. helseregisterloven § 2 e), pasientjournalloven § 2 e) og personvernforordningen Artikkel 4) (her benyttes begrepet «behandlingsansvarlig»). Det presiseres at det er virksomheten som er dataansvarlig for behandling av helse- og personopplysninger. Ansvaret skal ivaretas av den daglige ledelsen av virksomheten, og virksomheten er pliktsubjekt.
Med «databehandler» menes i Normen en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den dataansvarlige. Det presiseres at en databehandler er en ekstern person eller virksomhet utenfor den dataansvarliges virksomhet. Det vil si at den dataansvarliges egne medarbeidere ikke er dennes databehandlere.
-E-
Med "egnet sikkerhetsnivå" menes det sikkerhetsnivå som oppnås ved gjennomføring av egnede sikringstiltak (tekniske og organisatoriske). Hvilke tiltak som anses egnede vil bero på risikoen, og det skal tas hensyn til den tekniske utvikling, gjennomføringskostnader, behandlingens art, omfang, formål og sammenhengen behandlingen utføres i. Egnet sikkerhetsnivå må ivareta konfidensialitet, integritet, tilgjengelighet og robusthet i informasjonssystemene på en balansert måte, der det legges stor vekt på risikoen for pasient/bruker og ytelse av forsvarlig helsehjelp.
-H-
Med «helsehjelp» menes i Normen handlinger som har forebyggende, diagnostisk, behandlende, helsebevarende, rehabiliterende eller pleie- og omsorgsformål, og som utføres av helsepersonell.
Med «helse- og personopplysninger» menes i Normen en fellesbetegnelse for helseopplysninger og/eller personopplysninger innenfor Normens virkeområde.
Med «helseopplysninger» menes i Normen personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om helsetilstand, jf. personvernforordningen artikkel 4 nr. 15.
Med «helseregister» menes i Normen registre, fortegnelser, mv. der helseopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen, jf. helseregisterloven § 2 d).
Med «herunder elektronisk» menes i Normen at data (for eksempel dokumenter, logger, diagrammer mv.) som er lagret i en datamaskin, også omfattes av sammenhengen.
Med «hjemmekontor» menes i Normen behandling av helse- og personopplysninger på PC som virksomheten har stilt til disposisjon, fra f.eks. hjem, hytte, hotellrom eller lignende. Bruk av PC som virksomheten ikke har stilt til disposisjon (for eksempel PC på internettkafé, hotell-PC, flyplass-PC), er ikke definert som hjemmekontor.
-I-
Med «informasjonssystemer» menes i Normen et system for innsamling, lagring, behandling, overføring og presentasjon av informasjon. Eksempler på informasjonssystemer i helse- og omsorgstjenesten er: saks- og dokumentasjonssystem, arkivsystem, behandlingsrettet helseregister, e-post, sikkerhetssystemer, nettverksoperativsystemer, databasesystemer, lagringssystemer, backupsystemer, infrastruktur, medisinske støttesystemer, medisinsk utstyr og laboratoriesystemer.
Med «infrastruktur» menes i Normen den tekniske løsningen (komponenter og basis-programvare) som benyttes til innhenting, lagring, behandling, presentasjon og overføring av helse- og personopplysninger (f.eks. stasjonære og bærbare datamaskiner, mobiltelefoner, servere, nettverksutstyr (brannmurer og rutere), skrivere, lagringsnettverk, apper mv.).
Med «integritet» menes i Normen at helse- og personopplysninger må være sikret mot utilsiktet eller uautorisert endring eller sletting.
Med «internkontroll» menes i Normen planlagte og systematiske tiltak som skal sikre at virksomhetens aktiviteter planlegges, organiseres, utføres og vedlikeholdes i samsvar med krav fastsatt i eller i medhold av lovgivningen.
-K-
Med «kommune» menes i Normen en juridisk enhet som kommune og fylkeskommune.
Med «konfigurasjon» menes i Normen informasjonssystemets utforming inklusive både teknisk utstyr og programvare.
Med «konfigurasjonsendring» menes i Normen en endring av informasjonssystemets utforming som følge av installasjon, oppgradering eller fjerning av utstyr eller programvare.
-L-
Med «leverandør» menes i Normen juridisk enhet som yter tekniske og/eller administrative tjenester til virksomheten. Eksempler er EPJ-leverandør, røntgenleverandør, leverandør av løsning for SMS-meldinger, IKT-leverandør mv.
Med «logg» menes i Normen et logisk register der hendelser i informasjonssystemet er nedtegnet, se neste definisjon.
Med «logging» menes i Normen registrering av hendelser i et informasjonssystem, bl.a. med sikte på å forebygge, avdekke og hindre gjentagelse av sikkerhetsbrudd.
-M-
Med «mottaker» menes i Normen en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som personopplysninger tilgjengeliggjøres til, enten det dreier seg om en tredjepart eller ikke. Offentlige myndigheter som kan motta personopplysninger innenfor rammen av en særskilt undersøkelse i samsvar med unionsretten eller medlemsstatenes nasjonale rett, skal imidlertid ikke anses som mottakere; nevnte offentlige myndigheters behandling av slike opplysninger skal være i samsvar med gjeldende regler for vern av personopplysninger i henhold til formålet med behandlingen.
-N-
Med «Norsk Helsenett» menes i Normen Norsk Helsenett SF.
Med Norm/Normen» menes dette dokumentet. Andre dokumenter i tilknytning til Normen, for eksempel faktaark og veiledninger, er ikke omfattet av begrepet.
-O-
Med «organisatoriske tiltak» menes i Normen ikke-tekniske tiltak. Eksempler på slike tiltak er rutiner, opplæring og endringer av organisasjon og funksjoner for å ivareta oppgaver.
-P-
Med «pasient» menes i Normen en person som henvender seg til helse- og omsorgstjenesten med anmodning om helsehjelp, eller som helse- og omsorgstjenesten gir eller tilbyr helsehjelp i det enkelte tilfelle, jf. pasient- og brukerrettighetsloven § 1-3 bokstav a.
Med «pasientsikkerhet» menes i Normen vern mot unødig skade som følge av helsetjenestens ytelser eller mangel på ytelser.
Med «personopplysninger» menes i Normen enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.
Med «personopplysningssikkerhet» menes i Normen vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade ved bruk av egnede tekniske eller organisatoriske tiltak.
Med «personvernkonsekvensvurdering» menes i Normen en systematisk prosess som identifiserer og evaluerer potensielle personvernkonsekvenser fra alle interessenters synsvinkel i et prosjekt, initiativ, foreslått system eller en prosess.
Med «personvernombud» menes i Normen en formelt oppnevnt kontakt for personvern og informasjonssikkerhet internt mot dataansvarlig (virksomhetens ledelse) og ansatte og eksternt mot Datatilsynet og den registrerte (pasienter, inkluderte i studier og egne ansatte).
Med «protokoll over behandlingsaktiviteter» menes oversikt over behandlingsaktiviteter etter reglene i personvernforordningens art. 30.
-R-
Med «register» menes i Normen enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, enten samlingen er plassert sentralt, er desentralisert eller spredt på et funksjonelt eller geografisk grunnlag. En database eller et regneark er en teknisk løsning for et register.
Med «registrert / den registrerte» menes i Normen det individet som opplysninger kan knyttes til. Eksempler og begreper som brukes om den registrerte, er søker, pasient/bruker, deltager i forskningsprosjekt, pårørende og tjenestemottaker. En ansatt kan være omfattet av begrepet.
Med «robusthet» menes i Normen organisasjonen og informasjonssystemers evne til å gjenopprette normaltilstand etter f.eks. en fysisk eller teknisk hendelse. Dette oppnås gjennom egnede tekniske og organisatoriske tiltak som muliggjør forebygging, deteksjon, skalerbarhet, håndtering og gjenoppretting av personopplysningssikkerheten og informasjonssikkerheten for øvrig.
-S-
Med «samtykke» menes i Normen enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende.
Med «sektor/sektoren» menes i Normen helse- og omsorgstjenesten eller en eller deler av de nevnte.
Med «selvautorisering» menes i Normen en autorisasjon gitt til helsepersonell for å kunne få tilgang til helse- og personopplysninger de vanligvis ikke har tjenstlig behov for.
Med «sensitive personopplysninger / særlige kategorier» menes i Normen opplysninger om
- rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning
- at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling
- helseforhold (helseopplysninger)
- seksuelle forhold
- medlemskap i fagforeninger
Med «sikker autentiseringsløsning» menes i Normen en autentiseringsløsning som for eksempel er basert på personlig kvalifisert sertifikat, eller annen autentiseringsløsning som gjennom en risikovurdering viser at den har tilstrekkelig sikkerhet.
-T-
Med «taushetsplikt» menes i Normen lovpålagt eller avtalt plikt til å hindre at andre får adgang eller kjennskap til helse- og personopplysninger, jf. helsepersonelloven § 21, helseregisterloven § 17, pasientjournalloven § 15, helse- og omsorgstjenesteloven § 12-1, spesialisthelsetjenesteloven § 6-1 og forvaltningsloven §§ 13 til 13e, samt annen informasjon med betydning for informasjonssikkerheten. Taushetsplikt innbefatter både en passiv plikt til å tie og en plikt til aktivt å hindre uvedkommende i å få kunnskap om taushetsbelagte opplysninger.
Med «tekniske tiltak» menes i Normen tiltak av teknisk karakter som ikke kan påvirkes eller omgås av medarbeidere, og ikke er begrenset av handlinger som den enkelte forutsettes å utføre. Eksempler på slike tiltak kan være autentisering ved personlig kvalifisert sertifikat eller konfigurering av en brannmur slik at den kun tillater bestemt trafikk, eller en meldingstjeneste som er laget slik at alle meldinger automatisk blir kryptert.
Med «tilgang» menes i Normen at helse- og personopplysninger om en eller flere bestemte pasienter/brukere er eller gjøres tilgjengelig for autorisert personell. Beslutning om tilgang til behandlingsrettede helseregistre skal treffes etter en konkret vurdering basert på at det ytes helsehjelp til pasienten. Tilgang til fagsystemer i forbindelse med ytelser til pasient/bruker skal etableres basert på tjenstlig behov. Tilgang i forbindelse med kvalitetssikring og administrative oppgaver skal også besluttes ut fra tjenstlig behov.
Med «tilgjengelighet» menes i Normen at helse- og personopplysninger som skal behandles, er tilgjengelig til den tid og på det sted det er behov for opplysningene.
Med «tjenstlig behov» menes i Normen at personer med nærmere bestemte arbeidsoppgaver trenger nødvendige helse- og personopplysninger for å yte helsehjelp, omsorgstjeneste og/eller utføre administrasjon i forbindelse med dette. Dersom pasienten har sperret hele eller deler av helse- og personopplysningene, kreves særskilt hjemmel for tilgang til disse.
Med «tredjepart» menes i Normen enhver annen fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ enn den registrerte, den dataansvarlige, databehandleren og de personer som under den dataansvarlige eller databehandlerens direkte myndighet har fullmakt til å behandle personopplysninger.
-U-
Med «underleverandør» menes i Normen en virksomhet som inngår en kontrakt om å utføre hele eller deler av forpliktelsene til en databehandlers avtale.
-V-
Med «virksomhet» menes i Normen juridisk enhet som helseforetak, helseforvaltning, kommune, sykehus, legepraksis, tannklinikk, apotek, apotekkjede, røntgeninstitutt, frittstående laboratorium, universitet, høyskole, stiftelse mv., eller databehandler/leverandør som ved avtale er forpliktet til å følge Normen.
