I helse- og omsorgssektoren handler risiko i ytterste konsekvens om liv og død. For å yte helsehjelp og levere forsvarlige helse- og omsorgstjenester må risiko håndteres på tvers av ulike fagområder som informasjonssikkerhet, personvern og pasientsikkerhet. Disse områdene er imidlertid tett knyttet, og bidrar sammen til forsvarlige helse- og omsorgstjenester for pasienter og brukere.
Gode helsetjenester forutsetter at relevante pasientopplysninger kan deles. God pasientsikkerhet krever at opplysninger lagres og deles mellom helsepersonell, at opplysningene er korrekte og oppdaterte, samt at pasient/bruker og helsepersonell har tillit til systemer og personell. Mangelfull informasjon og svikt i overganger innad og mellom helsetjenestenivåer er dokumentert som et av de største risikoområdene for god pasientsikkerhet. Se Rundskriv I-3/2019 om informasjonshåndtering i spesialisthelsetjenesten (regjeringen.no)
Informasjonssikkerhet handler om å håndtere risiko relatert til informasjon og behandling av personopplysninger. Informasjonens integritet, tilgjengelighet og konfidensialitet skal sikres. Systemer og organisasjoner som behandler informasjonen må være robuste. Det vil si at de må ha en tilstrekkelig evne til å gjenopprette normaltilstand etter en uønsket hendelse.Se personvernprisnippene (faktaark 57) Informasjonssikkerhet er ikke et formål i seg selv, men har som formål å støtte opp under virksomhetens andre formål. God informasjonssikkerhet er viktig for å kunne levere forsvarlige helsetjenester.
Videre skal vi sikre pasienter og brukeres personvern, ved å behandle de registrertes helse- og personopplysninger etter personvernprinsippene. Slik oppfyller vi deres rettigheter etter personvernforordningen. Pasient- og brukerperspektivet er viktig i arbeidet med risiko, informasjonssikkerhet og personvern. Ulike pasienter eller pasientgrupper kan ha ulike behov og forventninger, og det vil ofte være nyttig å være i dialog med disse for å søke å ivareta deres interesser på best mulig måte.
Normen foreskriver at virksomhetene, innenfor lovverkets rammer, skal søke en balansert tilnærming til konfidensialitet, tilgjengelighet, integritet og robusthet. Risikostyring er blant de viktigste verktøyene for å søke en slik balansert tilnærming, inkludert risikovurderinger av informasjonssikkerhet og vurderinger av personvernkonsekvenser.
En sentral del av risikostyringen i sektoren handler med andre ord om å veie ulike viktige hensyn opp mot hverandre og avgjøre hvilken risiko virksomheten kan akseptere både totalt sett og i enkeltprosesser. Dette beskrives blant annet i Helse- og omsorgsdepartementets rundskriv om informasjonshåndtering fra 2019 Se Rundskriv I-3/2019 om informasjonshåndtering i spesialisthelsetjenesten (regjeringen.no)
Vi må ha disse perspektivene med oss i ulike deler av den helhetlige risikostyringen, samt før, under og etter at man har gjennomført en risikovurdering.
