Gode helsetjenester forutsetter at relevante pasientopplysninger kan deles. Opplysningene trengs for å gi helsehjelp, til kvalitetssikring av helsehjelpen og til læring. Forskere har behov for opplysningene for å utvikle bedre helsetjenester.
God pasientsikkerhet krever at opplysninger lagres og deles mellom helsepersonell, at opplysningene er korrekte og oppdaterte, samt at pasient/bruker og helsepersonell har tillit til systemer og personell. Mangelfull informasjon og svikt i overganger innad og mellom helsetjenestenivåer er dokumentert som et av de største risikoområdene for god pasientsikkerhet.
Se også "Rundskriv I-3/2019 om informasjonshåndtering i spesialisthelsetjenesten" (regjeringen.no)
Informasjonssikkerhet handler om å beskytte helse- og personopplysninger, samt sikre nettverk og informasjonssystemer som er nødvendige for å kunne tilby trygge og forsvarlige helse- og omsorgstjenester. Dette omfatter både tekniske, organisatoriske, fysiske, personellmessige og juridiske tiltak for å ivareta informasjonens integritet, tilgjengelighet og konfidensialitet – uavhengig av hvor og hvordan informasjonen behandles.
Et sentralt mål er å bygge robuste systemer og prosesser som tåler både kjente og uforutsette trusler. Informasjonssikkerhet skal bidra til å redusere risiko og forebygge, oppdage og håndtere uønskede hendelser – enten de skyldes menneskelige feil, teknisk svikt eller tilsiktede angrep.
Med «integritet» menes i Normen at helse- og personopplysninger må være sikret mot utilsiktet eller uautorisert endring eller sletting. Integritet er en forutsetning for god og forsvarlig helsehjelp.
Med «tilgjengelighet» menes i Normen at helse- og personopplysninger som skal behandles, er tilgjengelig til den tid og på det sted det er behov for opplysningene. Tilgjengelig informasjon for helsepersonell er en forutsetning for god og forsvarlig helsehjelp.
Med «konfidensialitet» menes i Normen at helse- og personopplysninger må være sikret mot at uvedkommende får kjennskap til opplysningene. Konfidensialitet bidrar til ivaretakelse av taushetsplikt og personvern, noe som er viktig for innbyggernes tillit til helse- og omsorgstjenesten.
Med sikkerhetstiltak menes tekniske, organisatoriske, fysiske og personellmessige tiltak som anses egnet for å oppnå tilfredsstillende informasjonssikkerhet og personvern i sektoren basert på risikovurdering.
Personvernforordningen bruker også begrepet robusthet i tillegg til integritet, tilgjengelighet og konfidensialitet. Med «robusthet» menes i Normen organisasjonens og informasjonssystemenes evne til å gjenopprette normaltilstand etter for eksempel en fysisk eller teknisk hendelse. Robusthet oppnås gjennom egnede tekniske og organisatoriske tiltak som muliggjør forebygging, deteksjon, skalerbarhet, håndtering og gjenoppretting av personopplysningssikkerheten og informasjonssikkerheten for øvrig.
Personvern kan defineres og beskrives på ulike måter. Uansett hvilken innfallsvinkel som velges, står det enkelte menneskets ukrenkelighet og krav på respekt fra andre mennesker, respekt for egen integritet og privatlivets fred sentralt. Personvern er derfor nær knyttet til enkeltindividers muligheter for privatliv, selvbestemmelse og selvutfoldelse.1
Tema for Normen er den delen av personvernet som handler om personopplysningsvern. Personvernforordningen (GDPR) regulerer personopplysningsvernet. Personopplysninger skal behandles etter prinsippene i personvernforordningen art. 5, se kap 2.2, og de registrertes rettigheter skal sikres.
En viktig del av dette er det personvernforordningen art. 32 kaller personopplysningssikkerhet. Det er det samme som informasjonssikkerhet for personopplysninger.
Normen skal, innenfor lovverkets rammer, søke en balansert tilnærming til konfidensialitet, tilgjengelighet, integritet og robusthet.
