Innledning
Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen) skal gjøre det enklere for dataansvarlige og helsepersonell i små virksomheter å kjenne til og forstå hvilke krav til informasjonssikkerhet og personvern, som gjelder for dem.
Behandler virksomheten helse- og personopplysninger, innebærer det at virksomheten må følge lover og forskrifter og ha tilfredsstillende rutiner for behandling, bruk og beskyttelse av opplysningene. Normen samler alle krav og plikter til personvern og informasjonssikkerhet.
Veiledere er tilpasset ansvarlig ledelse i små helsevirksomheter, med bakgrunn i Normens krav.
Økt elektronisk samhandling og bruk av IKT-systemer i behandlingen av helse- og personopplysninger preger arbeidsdagen for virksomhetene, både i det offentlige og det private. Virksomhetene må derfor ha informasjonssikkerhet og personvern på agendaen, og tenke gjennom relevante problemstillinger for å unngå uønskede hendelser og være forberedt dersom uhellet likevel skulle inntreffe. Den som er ansvarlig bør for eksempel reflektere over:
- Vil klinikken kunne fortsette virksomheten dagen derpå hvis det oppstår brann på klinikken og datamaskinen ødelegges?
- Vil det være mulig for andre å komme inn på PCen din og lese opplysninger om pasientene hvis du mister din bærbare PC på vei hjem fra jobb?
- Hva er konsekvensene for din virksomhet om helse- og personopplysninger kommer på avveie?
Det er virksomhetens ledelse som er dataansvarlig for at informasjonssikkerhet og personvern ivaretas. Det vil si at den dataansvarlige skal sørge for at:
- kravene til konfidensialitet, integritet, tilgjengelighet og robusthet blir ivaretatt
- taushetsplikten ivaretas i virksomheten
- pasientens rettigheter blir ivaretatt
Om Normen
Normen skal bidra til tilfredsstillende informasjonssikkerhet og personvern hos den enkelte virksomhet, og i helse- og omsorgssektoren generelt. I tillegg skal Normen bidra til at den som utleverer helse- og personopplysninger kan være trygg på at mottaker har tilfredsstillende informasjonssikkerhet og personvern.
Normen bygger på gjeldende bestemmelser om informasjonssikkerhet og personvern, bl.a. reglene i personopplysningsloven og helselovgivningen. . Disse kravene gjelder uavhengig av Normen, og aktuelle tilsynsmyndigheter (særlig Datatilsynet og Helsetilsynet) kan kontrollere den enkelte virksomhets etterlevelse av det til enhver tid gjeldende regelverk. Normen stiller enkelte krav som supplerer gjeldende regelverk.
Normen er til for alle virksomheter som ved avtale har forpliktet seg til å følge Normen – i praksis de fleste av sektorens mer enn titusen virksomheter, deres leverandører og databehandlere.
Normen styres av en bredt sammensatt styringsgruppe. Det daglige arbeidet koordineres av sekretariatet, som er plassert i Helsedirektoratet med fast representasjon fra Norsk Helsenett.
