Ifølge prinsippet om integritet og konfidensialitet skal virksomheten sørge for tilstrekkelig sikring av personopplysningene. Det innebærer at virksomheten må sette inn sikkerhetstiltak for å beskytte personopplysninger mot utilsiktet og ulovlig tilgang, ødeleggelse, tap eller endringer.
Prinsippet må ses i sammenheng med de mer utfyllende kravene til sikkerhet i personvernforordningen Artikkel 32. Der fremgår det at dataansvarlig må sikre et sikkerhetsnivå som er egnet med hensyn til behandlingen av personopplysninger og risikobildet. Artikkel 32 inneholder også konkrete krav til ivaretakelse av personopplysningers integritet, konfidensialitet og tilgjengelighet. Dette er tre grunnpilarer innen informasjonssikkerhet. Kravet bør ses i sammenheng med øvrige krav i Normen, som i stor grad er utarbeidet for å sikre informasjonsverdiers integritet, konfidensialitet og tilgjengelighet.[15 - OK? Kan evt. FJERNES?] I tillegg introduserer Artikkel 32 et krav til robusthet, som er et nytt krav sammenlignet med tidligere lovgivning og standarder for informasjonssikkerhet. Se Normen kapittel 3.2 "Minimumskrav for å sikre konfidensialitet, integritet, tilgjengelighet og robusthet" for mer informasjon om sammenhengen mellom kravene til tilgjengelighet og robusthet.
I lovgivning som regulerer behandling av personopplysninger på særskilte områder i helse- og omsorgssektoren, refereres det også til kravene til sikkerhet i personvernforordningen Artikkel 32. I helseregisterloven § 21 vises det til Artikkel 32., før det utdypes at dataansvarlig og databehandler blant annet må sørge for tilgangsstyring, logging og etterfølgende kontroll. Det stilles også krav til kryptering av direkte personidentifiserende kjennetegn ved lagring i forskriftsregulerte helseregistre. I pasientjournalloven § 22 fremgår det at Artikkel 32. også gjelder for behandlingsrettede helseregistre, i tillegg til en rekke krav til konkrete sikkerhetstiltak som fremgår i pasientjournalforskriften.
For å sikre konfidensialitet bør virksomheten for eksempel kreve brukerautentisering i elektroniske pasientjournalsystemer. Dette skal hindre at uvedkommende får tilgang til personopplysninger i pasientjournalene. Integriteten kan for eksempel ivaretas gjennom å skille mellom leserettigheter og skriverettigheter i tilgangssikringen og logging av endringer. Til slutt kan tilgjengelighet ivaretas ved utarbeidelse av tydelige rutiner som skal sikre at relevant helsepersonell får tilgang til det de trenger i pasientjournaler for å kunne yte forsvarlig helsehjelp.
Eksempel 12 - konfidensialitet
Normsjøklinikken tilbyr behandling til pasienter med alvorlige spiseforstyrrelser. Som følge av et pandemiutbrudd, må klinikken stenge for fysisk oppmøte på poliklinikken. Klinikken har tekniske verktøy som er godt egnet for individuelle konsultasjoner digitalt. Klinikken er imidlertid i tvil om den vil klare å ivareta prinsippet om konfidensialitet og integritet dersom gruppeterapi gjennomføres digitalt. Mange av pasientene har svært godt utbytte av gruppeterapien, og enkelte er svært sårbare for store forandringer i hverdagen. Hensynet til forsvarlig helsehjelp taler derfor for at klinikken bør tilby gruppeterapien digitalt, så lenge poliklinikken er stengt for fysisk oppmøte. Hensynet til ivaretakelsen av personopplysningers integritet og konfidensialitet, taler imidlertid for at klinikken må være varsom med å digitalisere gruppeterapien. Når aktiviteten digitaliseres, blir det vanskelig å sikre at uvedkomne ikke kan skaffe seg tilgang til informasjon som deles under terapien. Normsjøklinikken har gjort en ROS-analyse, og konkludert med at den tekniske sikkerheten er tilstrekkelig. Klinikken har imidlertid ikke mulighet til å sikre at hver enkelt pasient er alene rent fysisk når han deltar i terapien. Det vil ikke være mulig å kontrollere at ikke uvedkomne oppholder seg nært nok på en pasient, til å kunne fange opp deler av terapien (for eksempel ved at uvedkomne sitter i samme rom som pasienten). Det vil også være vanskelig å fange det opp dersom en pasient velger å ta bilder/film/lydopptak av terapien. Dette kan utfordre konfidensialiteten til helse- og personopplysningene til pasientene. Klinikken kan imidlertid til en viss grad avhjelpe dette med god informasjon til deltagerne, der de blir bevisstgjort på behovet for å beskytte opplysninger om de andre i gruppen. For å kunne beslutte hvorvidt de skal gjennomføre gruppeterapien digitalt må klinikken gjøre en avveining mellom hensynet til forsvarlig helsehjelp og hvor strengt den skal tolke prinsippet om integritet og konfidensialitet.
Eksempel 13 - integritet og konfidensialitet
Normdal kommune driver et bosenter for rusavhengige. Bosenteret tilbyr en kombinasjon av behandling for rusavhengighet og oppfølging innen livsmestring. Ifølge bosenterets rutiner skal det registreres daglig at alle pasienter er gjort rede for. I praksis skjer dette ved at hver avdeling har en pasientliste i excel-format, hvor helsepersonell med særskilt ansvar fører inn klokkeslettet og initialene til den som var i kontakt med pasienten. Listene oppbevares på tilgangsstyrte mapper med særskilte sikkerhetstiltak. Påfølgende dag føres informasjonen inn i pasientens journal og listen slettes.
Når bosenteret ansetter en ny kveldsvikar, gjøres det en feil i defineringen av hans rolle i IT-systemene. Han får for vide tilganger, og får blant annet tilgang til pasientlisten med registreringene av når pasientene ble gjort rede for. Kveldsvikaren er ivrig etter å lære, og han åpner diverse mapper og dokumenter for å se om det står noe interessant der som han kan lære noe av. Når behandlende lege kommer på jobb morgenen etter, så ser hun at noen har gjort en endring i pasientlisten og lagret disse kl. 02.14 samme natt. Hun kan se at det er den nye kveldsvikaren som har lagret dokumentet, men hun kan ikke se hvilke endringer som er gjort. Kveldsvikaren beklager og sier at han ikke kan huske å ha endret noe, og at han sikker bare har lagt til et mellomrom et sted.
Denne hendelsen utgjør et brudd på prinsippet om konfidensialitet, fordi opplysningene utilsiktet ble gjort tilgjengelig for en medarbeider i strid med virksomhetens rutiner for tilgangsstyring og uten at medarbeideren hadde et tjenstlig behov. Hendelsen utgjør også et brudd på prinsippet om integritet, fordi bosenteret ikke kan spore om endring av personopplysningene har skjedd, og fordi de ikke har lykkes i å beskytte personopplysningene mot uautoriserte endringer. Behandlende lege må melde hendelsen som et avvik og dette må håndteres umiddelbart i henhold til bosenterets avviksrutiner.
Eksempel 14 - integritet og konfidensialitet
Normvik Fysioterapi er utsatt for et vellykket nettfiskeangrep, der aktøren som står bak angrepet har lykkes i å trenge inn i virksomhetens IT-systemer. Aktøren har kryptert hele personalarkivet, og logger viser at den også har vært inne i det elektroniske pasientjournalsystemet. Aktøren har imidlertid klart å slette loggene som viser hva den gjorde i pasientjournalsystemet, slik at Normvik Fysioterapi ikke kan se om aktøren har endret noen av opplysningene i systemet.
Hendelsen innebærer brudd på personopplysningers integritet og konfidensialitet. I personalarkivet har det også skjedd et brudd på personopplysningenes tilgjengelighet. Virksomheten har brutt prinsippene om tilgjengelighet og integritet, fordi den ikke har lykkes i å sikre seg mot at personopplysninger blir tilgjengelig for uvedkomne og uautoriserte endringer av personopplysninger.
