1. Om veilederen

Bakgrunn

Digitaliseringen i helse- og omsorgstjenesten skyter fart, og nasjonale samhandlingsløsninger har gjort det enklere å samarbeide på tvers av organisasjoner og profesjoner. Informasjon deles i lange digitale verdikjeder både mellom enheter i egen virksomhet og mellom virksomheter/omsorgsnivå.

Økende kompleksitet, duplisering av informasjon og variable integrasjoner (koblinger mellom IT-systemer som gjør at data automatisk overføres mellom systemene, ofte via API-er) skaper sårbarheter (og risiko) for brudd på integritet og tap av datakvalitet, med konsekvenser for pasientsikkerhet og økt arbeidsbelastning på helsepersonell. Samtidig skjerpes krav gjennom Normen og relevant lovverk til forsvarlige journal- og informasjonssystemer, risikovurderinger og internkontroll.

Hendelser som feil i e-reseptkjeden, feilsendte eller ufullstendige meldinger, upresis koding og informasjonstap ved konvertering mellom kodeverk, viser et behov for bedre styring, systemtesting og forvaltning av data i pasientens journal og av informasjon som deles på tvers av omsorgsnivå.

Tema for veilederen og formål

Veilederens hovedtema er risikouvurderinger av uønskede hendelser der systemutformingen gir dårlig datakvaliet som kan føre til mangelfull eller uforsvarlig helsehjelp eller skade på pasient/bruker.

I veilederen legges det til grunn at dårlig datakvalitet omfatter situasjoner der helseopplysninger ikke er relevante, adekvate og korrekte og der dette kan påvirke pasientbehandlingen negativt.

Veilederen skal gi støtte i å identifisere og vurdere uønskede hendelser som kan føre til fare for pasientsikkerheten på grunn av brudd på informasjonens integritet, eller fordi egenskaper ved informasjonssystemene fører til bruk av opplysninger med for dårlig kvalitet.

Målet er å sikre at opplysninger om pasienter og brukere i de digital løsningene er relevante, adekvate og korrekte og tilgjengelige for brukerne i rett tid og format.  Dette for at at helsehjelp og oppfølging kan ytes forsvarlig og ikke utgjøre en fare for pasientssikkerheten.

Veilederen omhandler også risiko forbundet med kopier av informasjon som formidles mellom systemer, og beskriver tiltak som skal hindre at slike kopier blir en kilde til utdatert eller feil informasjon. Veilederen tar utgangspunkt i scenarier der informasjon kan bli feil, mangelfull eller utdatert som følge av hvordan systemene er utformet og brukt, med årsaker som kan være tekniske, organisatoriske eller knyttet til hvordan informasjonen forstås og anvendes (semantikk).

Formålet er å støtte helsetjenestene i å sikre at opplysninger om pasienter og brukere er riktige og pålitelige, slik at helsehjelp og oppfølging kan ytes forsvarlig

Målgruppe

Målgruppen for veilederen er

• ledere og beslutningstakere med ansvar for informasjonssikkerhet
• personell som jobber med IKT-løsninger i helsesektoren
• leverandør av IKT-tjenester til helsesektoren
• Sluttbrukere av IKT-systemer (helsepersonell)

Veilederen kan også være nyttig for systemleverandører og andre samarbeidspartnere til helse- og omsorgssektoren, som på grunn av sin leveranse eller engasjement er omfattet av Normen gjennom avtale med virksomheten eller Norsk Helsenett SF.

Krav i Normen

Veilederen er forankret i følgende kapittel i Normen 

• Kapittel 1.1 Hva er informasjonssikkerhet og personvern?
• Kapittel 2.2 Dataansvarliges ansvar
• Kapittel 3.2 Minimumskrav for å sikre konfidensialitet, integritet, tilgjengelighet og robusthet 
• Kapittel 3.4 Risikovurdering og risikohåndtering 
• Kapittel 5 Informasjonssikkerhet

Relevante lov- og forskriftsbestemmelser, standarder og andre rammeverk

Den enkelte virksomhet har ansvar for å sikre at helsepersonell I sin virksomhet kan yte forsvarlig helsehjelp. I 2019 ble det lovpålagt å bruke elektroniske pasientjournaler (lovdata.no) ved dokumentasjon av helsehjelp og siden 2021 ble alle virksomheter som yter helsehjelp pålagt å ta i bruk helsenettet og de nasjonale e-helseløsningene (lovdata.no).

I Vedlegg 1 til veilederen finnes en oversikt over relevante regulatoriske forpliktelser som gjelder for helsevirksomheter. Disse pliktene er forankret både i regelverk for informasjonssikkerhet og i helse- og omsorgslovgivningen, og må forstås i sammenheng. 

• Plikt til å yte helse- og omsorgstjenester 
• Plikt til forsvarlighet 
• Plikt til å etablere forsvarlige journal- og informasjonssystemer 
• Plikt til samarbeid, samhandling og informasjonsdeling 
• Plikt til å etablere internkontroll 

Definisjoner og avgrensninger

Integritet

Med «integritet» menes i Normen at helse- og personopplysninger må være sikret mot utilsiktet eller uautorisert endring eller sletting.

For å avdekke og oppklare integritetsbrudd er det nødvendig med tilstrekkelig logging av hvem som har foretatt endring og sletting av informasjonen.

I veilederen bruker vi også begrepet dataintegritet som i denne sammenhengen er synonymt med integritet.

Datakvalitet

Data anses å ha god kvalitet når de er er relevante, adekvate og korrekte – og tilgjengelige for brukerne i rett tid og format. Hva som er tilstrekkelig datakvalitet vil variere med bruksformålet, herunder hvor detaljert eller oppdatert informasjonen må være.

God kvalitet forutsetter at

• informasjonen må være korrekt og om nødvendig oppdatert
• informasjon er registrert på rett person
• informasjon er ført i henhold til relevant kodeverk og terminologi

Sammenhengen mellom dataintegritet og datakvalitet

God datakvalitet forutsetter at dataintegriteten er ivaretatt. Mens dataintegritet handler om at data ikke endres eller ødelegges på uautorisert måte, handler datakvalitet om at informasjonen er er er relevante, adekvate og korrekte for formålet.

Pasientsikkerhet

Pasient- og brukersikkerhet defineres som «vern mot unødig skade som følge av helse- og omsorgstjenestenes tjenester eller mangel på ytelser». (Meld. St. 9 (2023–2024) (regjeringen.no))

Risikovurdering

Risikovurderinger skal gjennomføres før behandling av helse- og personopplysninger startes, og ved endringer av behandlinger som kan påvirke sikkerheten.(Normens kapittel 2.3. Risikovurdering) For veiledning, se veileder risikostyring for informasjonssikkerhet og personvern.

Uønsket hendelse

Som en del av arbeidet med risikovurdering kartlegges farer og trussler og uønskede hendelser identifiseres. Uønskede hendelser omfatter både tilsiktede og utilsiktede hendelser.

Vurdering av uønskede hendelser

Denne veilederen beskriver scenarioer for uønskede hendelser. For hvert scenario er det identifisert en rekke mulige årsaker til at hendelsen inntreffer. Tiltak er så gruppert etter sin virkningsmekanisme:

• sannsynlighetsreduserende tiltak som har til hensikt å forhindre – oppdage – forsinke – stoppe (forebygge)
• konsekvensreduserende tiltak som har til hensikt å respondere – begrense – gjenoppta (skadebegrense, beredskap)

Noen av tiltakene/barrierene påvirker flere årsaker eller konsekvenser.

I denne veilederen presenteres  8 ulike scenarioer med fokus på den uønskede hendelsen. 

Omfang og avgrensninger

Innoldet i denne veilederen er avgrenset til situasjoner og hendelser der utformingen av systemene for digital informasjonsbehandling herunder også samhandlingsløsninger og infrastruktur kan gi integritetsbrudd eller redusert datakvalitet. Når dette påvirker beslutningsgrunnlaget eller den videre oppfølgingen av pasienter og brukere, kan det medføre mangelfull eller uforsvarlig helsehjelp og i verste fall føre til skade på pasient eller bruker. Veilederen omhandler også risiko forbundet med kopier av informasjon som formidles mellom systemer og tiltak som skal hindre at kopier av data blir en kilde til utdatert informasjon.

Utvikling av veilederen

Utviklingen av veilederen bygger på rapporter fra Riksrevisjonen og Helsetilsynet, samt innspill fra en representativ arbeidsgruppe fra sektoren. Gruppen besto av fagpersoner som leger, jurister, farmasøyter og sykepleiere, i tillegg til representanter fra leverandørsiden og Helsetilsynet. Veilederen har også vært gjenstand for gjennomlesning og kvalitetssikring hos Norsk Helsenett og flere divisjoner i Helsedirektoratet.

Leseveiledning

Veilederen er rettet mot de som skal vurdere risiko knyttet til helseopplysningenes integritet og datakvalitet.

Veilederen er omfattende, men kan brukes som et oppslagsverk og som støtte i arbeidet med risikovurderinger. Bruk gjerne innholdsfortegnelsen aktivt for å finne frem til relevant informasjon.Veilederen inneholder grå bokser med sitater fra arbeidsgruppen, rapporter og publikasjoner. For tiltak er det gjennomgående vist til annet veiledningsmateriale.

Veilederen består av et innledende kapittel og et hovedkapittel der en går i dybden på uvalgte scenario og uønsked hendelser, og i tillegg finnes det 3 vedlegg til veilederen:

• Vedlegg 1 - Regulatoriske rammer ved bruk av digitale verktøy
• Vedlegg 2: Tiltakskatalog
• Vedlegg 3 - Brukerhistorier 

Om utvalgte scenario og uønskede hendelser

Valg av scenarioene er basert på funn fra Riksrevisjonen og Helsetilsynet, samt innspill fra en representativ arbeidsgruppe fra sektoren. Hvert scenario tar for seg ulike uønskede hendelser. Temaet er omfattende, og veilederen vil  ikke gi uttømmende oversikt over alle aktuell scenario og uønsked hendelser.

Temaet er omfattende og utvalgte scenarioene er ikke uttømmende, men skal hjelpe virksomheten til å gjenkjenne egne risikoområder, og til å gjennomføre mer målrettede risikovurderinger og forbedringstiltak.

Scenarier:

1. Når kopier av data blir kilde til utdatert informasjon
2. Når elektroniske helseopplysninger overføres manuelt mellom pasientjournaler
3. Når det oppstår feil i elektronisk meldingsutveksling
4. Når det brukes upresis kode i pasientjournalen
5. Når det konvertering mellom kodeverk fører til informasjonstap
6. Når de digitale løsninger ikke er tilpasset arbeidsprosesser og samhandlingsbehov
7. Opplevelse av dårlig brukervennlighet i de digitale løsningene
8. Når det ikke blir gjennomført ende til ende-tester  ved innføring, oppdateringer eller endringer av digitale løsninger

Om vedleggene til veilederen

Vedlegg 1 - Virksomhetenes regulatoriske rammer ved bruk av digitale verktøy

Vedlegg 1 gir en samlet og strukturert oversikt over de regulatoriske rammene som virksomheter må forholde seg til når de bruker digitale verktøy i helse- og omsorgstjenesten. Dette omfatter både krav i helselovgivningen og i regelverk for informasjonssikkerhet.

Vedlegg 2: Tiltakskatalog

Vedlegg 2 er en tiltakskatalog som samler forslag til konkrete tiltak for å sikre bedre integritet og datakvalitet i digitale løsninger som brukes i pasientbehandling. Katalogen er et verktøy for å gå fra identifiserte risikoer og uønskede hendelser til praktiske og gjennomførbare tiltak.

Tiltakene er ment å kunne brukes på tvers av fagområder – av ledelse, klinikere, IKT-, sikkerhet– og kvalitetsmiljø – og skal gjøre det enklere å ha en felles, strukturert tilnærming til forbedringsarbeid.

Tiltakene er gruppert i temaområder og merket med tiltakskoder:

• S* = Styring/ledelse og internkontroll (Styring)
• IF* = Informasjonsforvaltning og datakvalitet (Informasjonsforvaltning)
• AI* = Arkitektur og integrasjon (Arkitektur/Integrasjon)
• BO* = Brukervennlighet og kliniske arbeidsflater (Brukeropplevelse)
• TE* = Test, endringsstyring og utrulling (Test/Endring)
• DR* = Drift, robusthet, logging og overvåking (Drift)
• AA* = Leverandør og avtaler (Anskaffelser/Avtaler)
• OP* = Opplæring og kultur (Opplæring)
• AH* = Avvik, hendelser og skadebegrensning (avvik/hendelser)

Kodene som er benyttet er inspirert av typiske ledelse, kjerne- og støtteprosesser i en virksomhet, for å sikre gjenkjennelig struktur og helhetlig tilnærming.

I tillegg er hvert tiltak merket med type:

• F = forebyggende (reduserer sannsynligheten for uønskede hendelser)
• S = skadebegrensende (reduserer konsekvensene når noe først har gått galt)

Dette gjør det mulig både å:

• styrke grunnsikring og internkontroll, og
• planlegge beredskap og håndtering når feil likevel oppstår.

Vedlegg 3 – Brukerhistorier til hvert scenario

Vedlegg 3 presenterer konkrete brukerhistorier som er direkte utledet fra scenarioene i kapittel 2. Hver historie viser hvordan svikt i informasjonens integritet og datakvalitet kan ramme pasienter, og hvordan tekniske, organisatoriske og menneskelige forhold spiller sammen. Brukerhistoriene er ment å gjøre det lettere å jobbe tverrfaglig mellom helse, IT, sikkerhet, ledelse og andre støttefunksjoner. De gir et felles, forståelig utgangspunkt for å diskutere risiko, årsaker og tiltak på tvers av fagområder.