Selvautorisering gir personell mulighet til å gi seg selv tilgang til helse- og personopplysninger de vanligvis ikke har tjenstlig behov for[, og på denne måten overstyre de vanlige reglene for tilgang.
Selvautorisering er en ordning som kan benyttes der de generelle reglene for tilgangsstyring er til hinder for å yte forsvarlig helsehjelp. Tilgang til funksjoner for selvautorisering skal tildeles personell som en egen rettighet og det bør utarbeides egne rutiner for dette.
Begrepet selvautorisering er et generelt begrep som benyttes i Normen, og ikke et leverandørspesifikt begrep. Leverandører av EPJ-systemer benytter ofte andre begreper som omfatter selvautorisasjon, som for eksempel eksplisitt/begrunnet tilgang eller blålysfunksjon.
All tilgang basert på selvautorisasjon skal begrunnes og registreres før opplysningene aksesseres, logges og i etterkant kontrolleres.
I flere etablerte EPJ-systemer er selvautorisering tilgjengelig funksjonalitet i løsningen. Begrunnelsen for selvautorisering skal dokumenteres ved hver bruk. Rent praktisk vil det si at personell må registrere en begrunnelse i journalsystemet for å få åpnet journalen. Dette kan løses ved forhåndsdefinerte begrunnelser eller at personell beskriver begrunnelsen i prosatekst.
Et eksempel på behov for selvautorisering er at personell må yte helsehjelp i akuttsituasjoner og må ha tilgang utover den allerede tildelte autorisasjonen. Et annet eksempel er at helsepersonell må finne informasjon om pasienten etter at ytelsen av helsehjelp er avsluttet, på bakgrunn av henvendelse fra pasient eller pasientens fastlege.
Eksempel: Eksempel på roller som typisk gis retten til selvautorisering og får tilgang til ovennevnte funksjonalitet i journalsystemet i en virksomhet, kan være
|
Dersom en person bruker selvautorisering for å tilegne seg informasjon vedkommende ikke har rettmessig behov for, regnes det som misbruk av selvautorisering. Misbruk av selvautorisering som avdekkes, for eksempel ved meldinger eller ved kontroll, skal følges opp som et avvik.
For å fange opp misbruk skal det for et hvert behandlingsrettet helseregister loggføres hvem som har hentet opp hvilke opplysninger og når, og være mulighet for å rapportere bruk av selvautorisering. Dette kan for eksempel løses med en intern e-post til ansvarlig for oppfølging av bruken eller ved periodiske uttak av og gjennomgang av rapporter over utført selvautorisering.
Hvis det er nødvendig for å ivareta pasientens liv eller unngå alvorlig helseskade, kan selvautorisering brukes også for informasjon som er underlagt reservasjon mot innsyn.
