Lover og retningslinjer

Elektroniske systemer som benyttes i helsetjenesten inneholder ofte mye sensitiv data. Det er viktig at disse dataene blir behandlet på en sikker måte som forhindrer spredning. Den norske stat har derfor innført flere lover og retningslinjer som skal beskytte pasienters data og rettigheter når det kommer til sin egen helseinformasjon.

Helsepersonelloven

Personopplysninger må beskyttes både fra personer som ikke har tilgang til systemene, for eksempel ved bruk av kryptering og brannmurer, men også fra personer med tilgang til systemene. Dette dekkes av helsepersonelloven §21a om taushetsplikt, som sier at helsepersonell kun har lov til å finne helseinformasjon dersom det er medisinsk nødvendig. (1). Denne loven er enklere å overholde når man benytter digitale systemer, da alle handlinger spores og kan knyttes til ansattes bruker-ID.

Personopplysningsloven

Personopplysningsloven er enda en lov som regulerer personopplysninger i helsevesenet. Forskjellen fra helsepersonelloven, er at personopplysningsloven skal forhindre misbruk på et systematisk nivå, ikke fra enkeltindivider. Loven skal begrense uønsket bruk og utveksling av personopplysninger mellom- og innad i en virksomhet. Alle datasystemer er nødt til å bruke og lagre sensitiv informasjon på en måte slik at denne loven følges. (2)

Pasient- og brukerrettighetsloven

Pasient- og brukerrettighetsloven er en lov som sikrer pasienters rettigheter i helse- og omsorgstjenesten. Loven handler blant annet om hvilke rettigheter pasienter har når det kommer til sin egen behandling, transport til behandling og vilkårene for å få brukerstyrt personlig assistent. I tillegg så sikrer den også pasienters rett til innsyn i sine egne journaler (3). De vil dermed kunne undersøke hvem som har vært inne i sin journal og fått tilgang til sine personlige data. Dette er mye enklere å oppfylle når journalene er digitalisert. 

Normen

Som du ser, finnes det mange lover som regulerer IKT i helsetjenesten. Dette kan være utfordrende å forholde seg til i praksis, derfor har helsedirektoratet utviklet «Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren», bedre kjent som Normen. Normen stiller en rekke krav virksomhetene som bygger på- og supplerer lovverket. Blant annet finnes det krav om hvordan ansvar skal fordeles, hvordan autorisasjon skal foregå, og i hvilke situasjoner helseopplysninger kan behandles. Normen er ikke lovpålagt; i stedet kan virksomheter velge om de ønsker å inngå en avtale om å forplikte seg til å følge Normen. (4) St. Olavs hospital er blant sykehusene som har inngått en slik avtale.

Referanser:

  1. Lov om helsepersonell m.v. (helsepersonelloven) – Kapittel 5. Taushetsplikt og opplysningsrett – Lovdata [Internett]. [sitert 28. april 2025]. Tilgjengelig på: https://lovdata.no/dokument/NL/lov/1999-07-02-64/KAPITTEL_5#KAPITTEL_5
  2. Lov om behandling av personopplysninger (personopplysningsloven) – Avsnitt 2 Informasjon og innsyn i personopplysninger – Lovdata [Internett]. [sitert 18. mars 2025]. Tilgjengelig på: https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-2#KAPITTEL_gdpr-3-2
  3. Lov om pasient- og brukerrettigheter (pasient- og brukerrettighetsloven) – Kapittel 5. Rett til journalinnsyn – Lovdata [Internett]. [sitert 18. mars 2025]. Tilgjengelig på: https://lovdata.no/dokument/NL/lov/1999-07-02-63/KAPITTEL_6#KAPITTEL_6
  4. Helsedirektoratet [Internett]. [sitert 3. mai 2025]. Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren versjon 6.1. Tilgjengelig på: https://www.helsedirektoratet.no/normen/norm-for-informasjonssikkerhet-og-personvern-i-helse-og-omsorgssektoren