Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

6.5. Normens historikk

1. UTGAVE

Stadig mer av arbeidet i helsesektoren er basert på elektronisk behandling av pasientenes opplysninger. Likeledes foregår en stadig større andel av kommunikasjonen mellom virksomhetene elektronisk.

Den økende elektroniske behandlingen av opplysninger gir muligheter, men skaper også utfordringer for informasjonssikkerheten hos virksomhetene. Elektronisk behandling medfører blant annet at opplysningene enklere og raskere kan gjøres tilgjengelig både internt i en virksomhet og eksternt utenfor virksomheten. Dette er en fordel, forutsatt at opplysningene kun gjøres tilgjengelig for rett vedkommende til rett tid. Det kan imidlertid oppstå utilsiktede konsekvenser for opplysningenes konfidensialitet, og særskilte tiltak må etableres for å sikre at uvedkommende ikke får tilgang til opplysninger som er lagret elektronisk. Det er behov for mekanismer som gir tillit til at alle aspekter ved informasjonssikkerhet er tilfredsstillende ivaretatt hos de aktuelle virksomhetene.

Dette er bakgrunnen for Sosial- og helsedirektoratets initiativ til at helsesektoren utarbeider sin egen norm for informasjonssikkerhet. Normen er utarbeidet av representanter for sektoren, herunder fra Den norske legeforening, representanter for de regionale helseforetakene, Norsk Sykepleierforbund, Norges Apotekerforening og Kommunenes Sentralforbund. I tillegg har Datatilsynet, Helsetilsynet, Rikstrygdeverket og Sosial- og helsedirektoratet deltatt i arbeidet.

Formålet med normen er å bidra til tilfredsstillende informasjonssikkerhet i helsesektoren. Normen er også ment å være et hjelpemiddel i den enkelte virksomhets arbeid med informasjonssikkerhet. I tillegg til tilfredsstillende informasjonssikkerhet stiller helseregisterloven, personopplysningsloven og øvrig regelverk en rekke andre krav til behandling av pasienters opplysninger. Disse kravene er ikke omhandlet i denne normen.

28. juni 2006.

2. UTGAVE

Styringsgruppen for Normen besluttet sommeren 2008 å innarbeide endringer i Normen som følge av lov- og forskriftsendringer og ønske om økt elektronisk samhandling mellom aktørene i sektoren. Nytt er også at Norsk Helsenett, private laboratorier, Den norske tannlegeforening, Den offentlige tannhelsetjenesten og Norges Farmaceutiske Forening deltar i styringsgruppen for Normen. I tillegg er Helse- og omsorgsdepartementet og Direktoratet for forvaltning og IKT (Difi) observatører i arbeidet.

Helsetilsynet har, etter eget ønske, trådt ut av styringsgruppen.

Styringsgruppen besluttet høsten 2009 å utvide Normens virkeområde. Normen gjelder nå både helse-, omsorgs- og sosialsektoren.

Samtidig ble det vedtatt at problemstillinger knyttet til de ansattes personvern skal inkluderes i Normen så langt det passer.

I juni 2009 vedtok Stortinget endringer i helseregisterloven. Dette åpner for å gi forskrifter om

  • tilgang til helseopplysninger på tvers av virksomheter
  • etablering av virksomhetsovergripende behandlingsrettede helseregistre
  • etablering av virksomhetsovergripende behandlingsrettede helseregistre for helsepersonell med formalisert arbeidsfellesskap

Slike forskrifter er ikke gitt, og ovennevnte temaer behandles ikke i Normen.

2. juni 2010.

2. UTGAVE, VERSJON 2.1

Styringsgruppen for Normen besluttet 29. november 2012 å endre kravet til sikkerhetsnivå 4, slik at det er mulig med alternative løsninger under forutsetning av at risikovurdering dokumenterer og bekrefter at alternativ løsning har tilstrekkelig sikkerhet.

3. UTGAVE

Styringsgruppen for Normen besluttet 5. desember 2013 å innarbeide endringer som følge av forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap. I tillegg er ansvaret for autorisasjonsregister i kjernejournal presisert, regler for tilgjengeliggjøring av helseopplysninger til kvalitetssikring og læring innarbeidet, og det er referert til dokumentet «Kravspesifikasjon for PKI i offentlig sektor» for minimumskrav til krypteringsstyrke.

4. UTGAVE

Styringsgruppen for Normen besluttet 5. juni 2014 å innarbeide endringer som følge av at sosialtjenesteloven fra 1991 (LOV-1991-12-13-81) er opphevet. Virkeområdet for Normen er samtidig endret til helse- og omsorgstjenesten. I tillegg er det tydeliggjort at Normen gjelder for tjenester i Arbeids- og velferdsetaten som er tilknyttet Helsenettet og for de kommunale tjenester i lokalt NAV-kontor som er tilknyttet Helsenettet.

5. UTGAVE

Styringsgruppen for Normen besluttet 12. februar 2015 å innarbeide endringer som følge av ny helseregisterlov, pasientjournalloven og forskrift om tilgang til helseopplysninger mellom virksomheter.

5. UTGAVE, VERSJON 5.1

Styringsgruppen for Normen besluttet 4. juni 2015 å endre ordlyden for sikring av dokumentasjon av tiltak (kapittel 3.3) som følge av krav i offentleglova.

5. UTGAVE, VERSJON 5.2

Styringsgruppen for Normen besluttet 9. juni 2016 å tydeliggjøre teksten iht. lovverk for felles journal. Videre er enkelte formuleringer endret for å gi en bedre forståelse av kravene.

5. UTGAVE, VERSJON 5.3

Styringsgruppen for Normen besluttet 31. mai 2018 flere endringer som var første skritt på veien i et større revisjons- og utviklingsarbeid av Normen.

EUs personvernforordning (EU) 2016/679 av 27. april 2016 implementeres i Norge som lov ved ny personopplysningslov i 2018. Dette førte også til enkelte endringer og tilpasninger i helselovgivningen.

Formålet med versjon 5.3 var å sikre at Normens krav var i overenstemmelse med nytt lovverk, utvide Normens område til å omfatte mer personvern og oppdatere Normen med nye krav tilpasset den teknologiske utviklingen. Normen fikk ny struktur, den var gjennomgått for å sikre at det ikke er motstrid mellom Normen og nytt lovverk, og enkelte artikler fra forordningen var spesielt innarbeidet:

  • Art 30 - Protokoller over behandlingsaktiviteter
  • Art 32 - Sikkerhet ved behandlingen
  • Art 33 og 34 - Melding og underretning om avvik
  • Art 35 - Personvernkonsekvensvurdering
  • Art. 24 og 28- Databehandlingsansvarlig og databehandler
  • Art. 37 og 38- Personvernombud

6. UTGAVE, VERSJON 6.0

Styringsgruppen for Normen vedtok 4. februar 2020 en større revisjon av Normen.

Denne versjonen av Normen er resultatet av et langvarig revisjons- og utviklingsarbeid. Hovedmålene har vært å sikre at Normens krav er dekkende for nye krav i personvernforordningen og samtidig teknologinøytral og tilpasset nåtidens teknologi. Det har også vært et viktig mål å forenkle fremstillingene og gjøre Normen mer leser- og brukervennlig. Det er blant annet tatt inn nye krav, tekst er slettet og krav er presisert eller endret. Normens virkeområde er endret, og kravet til forholdsmessighet kommer tydeligere frem. Det er gjort en gjennomgang og forenkling av teksten, samtidig som noe tekst er tatt ut og flyttet til veiledningsmateriellet. Versjon 6.0 var gjenstand for en bred høring.

6. UTGAVE, VERSJON 6.1

Styringsgruppen for Normen besluttet 21. november 2022 endringer i Normens omtale av risiko. Normen gikk over til å benytte akseptkriterier for risiko i stedet for nivåer for akseptabel risiko. Videre besluttet styringsgruppen at Normen skulle benytte begrepet «skadelig» i stedet for «ondsinnet» programvare. Definisjonen på «personlig kvalifisert sertifikat» ble tatt ut.

Samtidig ble det gjennomført en gjennomgang av hele dokumentet og utdaterte referanser ble oppdatert.


Normen

Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 22. november 2022