Dette vedlegget gir en oversikt over virksomhetens regulatoriske forpliktelser. Pliktene er forankret både i regelverk for informasjonssikkerhet og i helselovgivningen, og må forstås i sammenheng. Manglende etterlevelse kan føre til brudd på integritet, redusert datakvalitet og i verste fall utilstrekkelig eller uforsvarlig helsehjelp. Kunnskap om disse forholdene er viktig, da virksomheten har ansvaret for å sikre forsvarlig pasientbehandling i alle ledd.
Plikten til å yte helse- og omsorgstjenester
I Norge har kommunene hovedansvar for primærhelsetjenesten, mens de regionale helseforetakene har ansvar for spesialisthelsetjenestene. Sammen skal de sikre at innbyggere mottar nødvendig helsehjelp – uavhengig av bosted og økonomi.
Relevante bestemmelser
- Spesialisthelsetjenesteloven § 2-1 a De regionale helseforetakenes ansvar for spesialisthelsetjenester (lovdata.no)
- Helse- og omsorgstjenesteloven § 3-1 Kommunens overordnede ansvar for helse- og omsorgstjenester (lovdata.no)
Plikten til forsvarlighet
Både helsepersonell og virksomheten har ansvar for at helsehjelpen er faglig forsvarlig.
- Virksomhetsplikten innebærer at tjenesten skal organiseres slik at helsepersonell kan oppfylle sine plikter, blant annet ved å sikre tilgang til oppdatert og korrekt pasientinformasjon.
- Helsepersonellplikten stiller krav til forsvarlig yrkesutøvelse og omsorgsfull hjelp.
Relevante bestemmelser
Virksomhetsplikten
- Personopplysningsloven, artikkel 5.Prinsipper for behandling av personopplysninger bokstav d og f (lovdata.no)
- Helsepersonelloven § 16. Organisering av virksomhet som yter helse- og omsorgstjenester (lovdata.no)
- Spesialisthelsetjenesteloven § 2-2. Plikt til forsvarlighet (lovdata.no)
- Helse- og omsorgstjenesteloven § 4-1. Forsvarlighet (lovdata.no)
Helsepersonellplikten
Plikten til å etablere forsvarlige journal- og informasjonssystem
Virksomheten har ansvar for at helsepersonell har tilgang til brukervennlige og forsvarlige journalsystemer. Dette inkluderer krav om elektronisk journalføring, bruk av standarder, godkjent programvare og korrekt kodeverk. Slike systemer skal støtte sikker og effektiv samhandling internt og mellom omsorgsnivåer. Helsepersonells dokumentasjonsplikt er også en sentral del av helhetlig informasjonsforvaltning.
Relevante bestemmelser
- Pasientjournalloven § 7. Krav til behandlingsrettede helseregistre (lovdata.no)
- Pasient-journalforskriften § 12.Generelle systemkrav (lovdata.no)
- Helse- og omsorgstjenesteloven § 5-10.Journal- og informasjonssystemer (lovdata.no)
- Spesialisthelsetjenesteloven § 3-2. Journal og informasjonssystemer (lovdata.no)
- Helsepersonelloven Kapittel 8. Dokumentasjonsplikt (lovdata.no)
Plikt til samarbeid, samhandling og deling av informasjon
Digitaliseringen i helse- og omsorgstjenesten har lagt til rette for bedre samhandling på tvers av organisasjoner og profesjoner. Samtidig har økt teknologisk kompleksitet og mer omfattende samhandlingsmønstre medført større risiko for svikt i informasjonsflyten, tap av datakvalitet eller brudd på dataintegritet.
Uklare ansvarsforhold og manglende rolleavklaring mellom aktørene i samhandlingskjeden kan skape usikkerhet og svekke kvaliteten på samarbeidet. For å sikre forsvarlig helsehjelp må aktørene ha tydelige rammer for hvordan informasjon skal deles, brukes og beskyttes.
Relevante bestemmelser
- Pasientjournalloven § 19 Helseopplysninger ved helsehjelp (lovdata.no)
- Spesialisthelsetjenesteloven § 2-1 e. Samarbeid (lovdata.no)
- Helse- og omsorgstjenesteloven § 3-4. Kommunens plikt til samarbeid og samordning (lovdata.no)
- Helsepersonelloven § 25.Opplysninger til samarbeidende personell (lovdata.no)
- Forskrift om standarder og nasjonale e-helseløsninger
- Helse- og omsorgstjenesteloven, Kapittel 6. Samarbeid mellom kommuner og regionale helseforetak mv. (lovdata.no)
- Spesialisthelsetjenesteloven § 2-1 e, Samarbeid (lovdata.no)
Plikten til å etablere internkontroll
Manglende internkontroll ble i arbeidet med veilederen identifisert som en mulig underliggende årsak til flere sårbarheter. Den datansvarlige (øverste ansvarlige for virksomheten) skal sikre at det er etablert et system for internkontroll, og at virksomheten styres på en systematisk og dokumentert måte.
Relevante bestemmelser
- Personvernforordningen artikkel 24. Den behandlingsansvarliges ansvar (lovdata.no)
- Personvernforordningen artikkel 32. Sikkerhet ved behandlingen av personopplysninger (lovdata.no)
- Pasientjournalloven § 22. Informasjonssikkerhet (lovdata.no)
- Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten § 2. Virkeområde (lovdata.no)
- Spesialisthelsetjenesteloven § 3-4 a Kvalitetsforbedring og pasientsikkerhet (lovdata.no)
- Helse- og omsorgstjenesteloven § 4-2.Kvalitets-forbedring og pasient- og brukersikkerhet (lovdata.no)
- Helsepersonelloven § 16. Organisering av virksomhet som yter helse- og omsorgstjenester (lovdata.no)
