Pasientens rett til innsyn
Pasientens innsynsrett er en viktig del av kontrollen av tilgangsstyring, og bidrar til å hindre misbruk av tilgangsrettigheter og sikre etterlevelse av prinsippet for tjenstlig behov.
En pasient har rett til innsyn i opplysninger registrert om seg selv i behandlingsrettet helseregister og fagsystem. Innsynet gjelder også loggen over hvem, og fra hvilken virksomhet, som har tilegnet seg hvilke opplysninger og på hvilket tidspunkt.
Enhver virksomhet som behandler helse- og personopplysninger, er pliktig til å tilrettelegge for at den registrerte får innsyn i opplysningene på forespørsel. Det bør utarbeides egne rutiner for å sikre at den registrertes rettigheter til innsyn blir ivaretatt, samt rutiner for å vurdere påstander fra pasienter om mistenkt misbruk.
Les mer om retten til innsyn i eget veiledningsmateriell.
Pasientens reservasjonsrett
En pasient har rett til å motsette seg helsepersonells tilgang til sine helseopplysninger, samt rett til å nekte informasjonsutveksling mellom helsepersonell, selv om opplysningene er nødvendige for å yte helsehjelp. Kun dersom tungtveiende grunner taler for det kan utlevering likevel skje. Det kan for eksempel være dersom det er fare for liv eller alvorlig helseskade.
Når en pasient benytter seg av reservasjonsretten, skal helsepersonellet nedtegne kravet fra pasienten i journalen. Det skal i journalsystemet kunne håndteres og være funksjonalitet som tilrettelegger for sperringen for hele eller deler av journalen ved tilgang eller utlevering.
Journalen skal kunne sperres for enkeltpersonell, en gruppe av helsepersonell eller virksomheter. Reservasjonsretten skal også ivaretas ved tilgang mellom virksomheter.
Ønsker pasienten å gjøre unntak fra sperringen, skal det være mulig. Det må da være mulig å registrere at pasienten har samtykket til at det gis tilgang til sperrede opplysninger og at kravet om sperring midlertidig er trukket tilbake eller ikke gjelder en bestemt situasjon eller behandling.
Flere nasjonale e-helsetjenester har lovhjemmel for å behandle og lagre helse- og personopplysninger digitalt, uten at pasienten må samtykke på forhånd.
Dette gjelder for eksempel Kjernejournal og Kommunalt pasient- og brukerregister (KPR). For disse løsningene har pasienten iht. lovverket rett til å reservere seg mot en slik behandling og lagring. Virksomheter som forvalter tjenestene, må ha en løsning for å administrere og håndheve slike reservasjoner.
