Utposten Nr 5 2004 Personvern - en naturlig del av legens kjerneoppgave ? av Leif T Aanensen og Helge Veum

Nr 5 2004- Årgang 33

Personvern
en naturlig del av legens kjerneoppgave?

AV AVDELINGSDIREKTØR LEIF T. AANENSEN OG AVDELINGSINGENIØR HELGE VEUM, DATATILSYNET

Personopplysningsloven og helseregisterloven snakker i sine innledende formålsbestemmelser om hensynet til den og . Personvern handler dermed om aksepten, eller helst også den mer aktive respekten, for den enkeltes selvråderett - til å trekke en beskyttende grense rundt sin egen person. I dette ligger en grense for et psykisk og sosialt territorium, der den enkelte hersker suverent. Helsevesenet står som vi alle vet i en spesiell stilling som tilbyder av helse- og velferdstjenester. Gjennom slike aktiviteter vil det være både naturlig og riktig, innenfor gitte rammer, å trenge innenfor disse naturlig etablerte grenser.

Legens kjerneområde er ganske klart - medisinsk behandling av pasienter. Utover dette må imidlertid legen bruke tid på faglige oppdatering, administrative oppgaver, økonomi m.v. Vi kan definere dette som funksjoner som er nødvendig for forsvarlig drift av en legepraksis. Ivare- takelse av personvern er et annet eksempel på oppgaver legen må ta hensyn til i sin virksomhet. Tilsvarende oppgaver vil gjøre seg gjeldene for nær sagt enhver næringsvirksomhet.

Legene er blant de yrkesgruppene hvor konfidensialitet er en naturlig del av yrkesetikken. Begrepet taushetsplikt føyer seg inn som en naturlig del av legens hverdag. Pasientene som til daglig samhandler med legene legger nettopp til grunn taushetsplikten som en hovedpremiss for samhandlingens form. I dette ligger også utlevering av sensitive personopplysninger, både om vedkommende selv og i noen tilfeller også om pasientens nærmeste.

Personvern reguleres i lov om behandling av personopplysninger. I tillegg til dette generelle lovverket er det gitt bestemmelser om personvern i andre særlover - blant annet helseregisterloven. Utfyllende bestemmelser er gitt i personopplysningsforskriften.

Datatilsynet har gjennomført en del tilsyn mot primærhelsetjenesten i de senere år. Tilsvarende har det også vært gjennomført en rekke tilsyn mot helseforetakene. Tilsynet har også en løpende dialog med helsesektoren for å skaffe seg forståelse omkring de problemstillinger som til enhver tid gjør seg gjeldene.

Vi skal i denne artikkelen fokusere på legens bruk av informasjonsteknologi og hvordan dette kan påvirke forutsetningene for taushetsplikten.

Internkontroll
Hvor omfattende skal et internkontrollsystem være for et lite legekontor? Hva om vi har et legefellesskap?

Spørsmål av denne typen er vanlig i en innledende fase hvor man arbeider med internkontroll. Som de fleste sikkert vet, dreier internkontroll seg om å ha en tilfredsstillende orden i egen virksomhet - i forhold til offentlig regelverk. Internkontroll trenger ikke gjøres mer omfattende enn det som er strengt tatt nødvendig. Det er regelverkets plikter som danner utgangspunkt for hvordan et slikt system skal se ut. Den enkelte lege må selv vurdere hvilke behov som er nødvendig i forhold til egen virksomhet. Begynn med det enkle først - slik som hvem tar seg av de ulike delene av regelverket. Finn ut hvilke bestemmelser som er relevant for egen virksomhet og lag enkle rutiner i forhold til dette. Når det gjelder informasjonssikkerhet vil det også stilles krav til internkontroll, dette omtales noe senere i artikkelen. Ytterlig informasjon om internkontroll kan finnes på Datatilsynets hjemmeside.

Informasjonsteknologi - regelverkets rammer
Regelverket har svært begrenset regelsett om hvordan den enkelte lege (databehandlingsansvarlig) skal bruke informasjonsteknologi. Regelverket stiller bare krav om av personopplysningene. I dette ligger at det er gitt et stort spillerom, men at legen samtidig - avhengig av sine valg - kan sannsynliggjøre at valgene som er foretatt er forsvarlig. Hva innebærer så dette?

De viktige valgene
Datatilsynet får ofte spørsmål om hvilke krav som stilles til sikring av sensitive personopplysninger. Svaret på spørsmålet vi stilte tar alltid utgangspunkt i de valgene legen faktisk har tatt:
oSkal det benyttes fullelektronisk pasientjournalsystem?
oInngår datamaskinen journalsystemet er installert på i et nettverk?
oEr nettverket koblet til andre eksterne nett?
oHvilken datatrafikk skal kunne gå inn og ut av nettverket?
oEr informasjonssystemet koblet til internett?
oEr det lagt til rette for pålogging på nettverket fra eksternt hold, i tilfelle hvilke deler av nettverket?
oHentes det inn prøvesvar, sendes det henvisninger elektronisk? Hva med sykemeldinger?
oStår legekontoret for drift selv eller ivaretas dette av en leverandør?

Listen over kunne vært mye lengre, men understreker et viktig poeng. Legen må, uten at han/hun trenger særlig kjennskap til informasjonsteknologi foreta valg - hva skal tillates og hva er det reelt behov for av tjenester. Hvordan dette skal gjøres trenger ikke nødvendigvis legen vite så mye om. Kunnskaper om dette kan kjøpes inn hos andre - enten det er leverandører, andre legekontorer som har kompetanse på dette eller konsulenter.

Valgene som det tas stilling til i slike prosesser dokumenteres i det regelverket kaller sikkerhetsmål og sikkerhetsstrategi.

Kartet
Sammenkobling av datamaskiner til et nettverk, samt eventuell tilknytning til eksterne nettverk er samlet sett et informasjonssystem. Formålet med sammenkoblingene er ofte å utnytte felles ressurser, samt legge til rette for samhandling innenfor en virksomhet. Tilsvarende kan også informasjonssystemet være åpnet for trafikk inn og ut av nettverket. Hvordan informasjonssystemet er satt sammen må nedtegnes av den som foretar sammenkoblingen - vedkommende må lage et konfigurasjonskart. Dette kartet gir en prinsipiell oversikt over informasjonssystemet og viser hvilke forbindelser det er internt og hvilke forbindelser det er til eksterne nettverk. Slike kart viser også plassering av sikkerhetskomponenter, eventuelle servere og lignende. Et vesentlig poeng er å se at det er samsvar mellom kartet og de rammer som er trukket opp i sikkerhetsmål/sikkerhetsstrategi.
Det må altså foreligge et konfigurasjonskart som viser oppbygningen av informasjonssystemet.

Er det foretatt forsvarlige valg?
Legen fastlegger rammer for bruk av informasjonsteknologi i sikkerhetsmål og sikkerhetsstrategi. Konfigurasjonskartet viser tenkt oppbygning av informasjonssystemet. Hvordan kan legen så vite at det er foretatt forsvarlige valg. Hva innebærer begrepet i praksis? Regelverket stiller krav om at det skal foreligge en risikovurdering - hvor trussel, sårbarhet og konsekvens er vurdert. Datatilsynet har utarbeidet en veiledning som er tilgjengelig på etatens hjemmeside.

En risikovurdering skal på en ryddig måte dokumentere at helseopplysningene som legen forvalter på vegne av sine pasienter er forsvarlig sikret.

Organisasjonen
Et informasjonssystem må vedlikeholdes. Regelverket stiller krav om at det beskrives hvem som har ansvar for at informasjonssystemet vedlikeholdes, og hvem som er den ansvarlige for behandlingen av personopplysningene. For en liten virksomhet kan et organisasjonskart hvor ansvaret er angitt være tilstrekkelig.

Drift og vedlikehold
Det å etablere et informasjonssystem er ikke noe som avsluttes når siste kabel er plugget inn. Informasjonssystemet må også driftes på en forsvarlig måte. Rutiner for drift av informasjonssystemet inngår som en naturlig del av intern- kontroll. Eksempler på rutiner som er nødvendig er oppdatering av viruskontroll, sikkerhetskopiering, skifte av passord - for å nevne noen. Gode råd om sikker drift av et informasjonssystem kan man få ved å anskaffe en liten bok om temaet. Selv om datamaskinene blir stadig mer avanserte, vil som regel rutiner for drift være relativt statiske.

Databehandler eller sikkerhetsleverandør
Databehandler er en virksomhet som behandler personopplysninger på dine vegne. Sikkerhetsleverandør kan være eksterne virksomheter som drifter brannmur eller andre sikkerhetskomponenter på dine vegne. Det skal være skriftlig avtale som regulerer forholdet mellom deg som lege og slike eksterne virksomheter. Det er deg som lege som sitter med ansvaret, men du kan altså la andre hjelpe deg i arbeidet ved å inngå avtale.

Hva er akseptabelt sikkerhetsnivå?
Det er det opp til legen å bedømme hva som er akseptabelt sikkerhetsnivå og
iverksette sikkerhetstiltak i forhold til dette. Men det finnes forventninger til hva som er akseptabelt og ikke, og regelverket gir Datatilsynet myndighet til å overprøve de valg legen har tatt. Generelt kan man si at helseopplysninger skal sikres bedre enn hvordan en virksomhet sikrer sine forretningsmessige data.

Noen forventninger til sikringen av informasjonssystemet:
oInternettkommunikasjon direkte på samme system som helseopplysninger oppbevares er ikke tilrådelig. Det finnes løsninger for å integrere dette på en sikker måte,
oSystemet utformes slik at brukeren verken med overlegg eller uhell utleverer helseopplysninger feilaktig,
oHelseopplysninger krypteres før de sendes i eksterne nettverk,
oTo uavhengige sikkerhetstiltak må brytes før et sikkerhetsbrudd får betydning for helseopplysninger

Hjemmekontor og trådløse nettverk
Datatilsynet får en del spørsmål fra legekontorer om hjemmekontor og trådløse nettverk. Selv om dette er fascinerende muligheter er det viktig å trå svært varsomt. Alle datamaskiner som kobles opp mot et journalsystem må være dedikert for formålet og adgangsbegrenset for uvedkommende. Gruppen av uvedkommende teller også normalt ektefelle og barn i eget hjem. Når det gjelder trådløse nettverk så bør legen opptre med stor varsomhet gitt følsomheten på opplysningene som ligger i journalsystemer. Før slik teknologi i det hele tatt vurderes, må nødvendige sikkerhetstiltak være godt gjennomtenkt og dokumentert. Husk at en basestasjon ikke bare er en inngangsport for autoriserte datamaskiner, men også en inngangsport for de som forsøker å få uautorisert tilgang.

Hjelp på veien
Kvalitetsutvalget for primærmedisin har med støtte fra blant annet Den norske legeforening og Sosial- og helse-direktoratet stått bak utviklingen av et databasert verktøy som skal hjelpe legen til å tilpasse seg ovennevnte regelverk. Verktøyet har fått navnet og er tidligere distribuert ut til legene sammen med foreningens tidsskrift.

Oppsummering - hva forventes
Du bør ha:
o Et system for internkontroll tuftet på de plikter som gjelder for din virksomhet, og som en del av dette,
o Sikkerhetsmål og sikkerhetsstrategi som viser hvilke valg du har tatt,
o Konfigurasjonskart som viser oppbyggingen av informasjonssystemet,
o Risikovurdering som viser at informasjonssystemet ditt er forsvarlig sikret,
o Beskrivelse av ansvars- og myndighetsforhold til informasjonssystemet,
o Rutiner for drift, vedlikehold og sikkerhet,
o Avtale med eventuelle databehandlere og leverandører av sikkerhetstjenester

Referansemateriale
Utfyllende informasjon finner du her:
owww.datatilsynet .no
oTrinnvis - Et verktøy for å bygge opp internkontroll for legesentre. Tilgjengelig frawww.kup.no
oSosial- og Helse direktoratets hjemmesider under s@amspill 2007.
oSosial- og Helse direktoratets veileder
Sosial- og Helsedirektoratet har også under utarbeidelse en bransjenorm for informasjons- sikkerhet i helsesektoren.

Instituttets hovedside
UiBs Hovedside
Institutt for samfunnsmedisinske fag,
Oppdatert 17.11..2004
John Leer