Helse- og omsorgssektoren kjennetegnes ved et omfattende og komplekst aktørbilde som strekker seg fra store private og offentlige foretak, til små kommuner og legekontorer. Sektoren er unik når det kommer til omfanget av, og ikke minst beskyttelsesbehovet til, dataene som blir behandlet. Helsedata har høy verdi, og er særlig utsatt for misbruk og uautorisert spredning.
Behovet for å sikre konfidensialitet, tilgjengelighet og integritet til informasjon og systemer er særlig sterkt, fordi det er evnen til å gi forsvarlig helsehjelp og ivareta pasientsikkerhet som står på spill. Å sørge for robusthet der personopplysninger behandles er grunnleggende for å opprettholde tillit til helsevesenet. Dette innebærer at organisasjoner, informasjonssystemer og tjenester tåler endringer og ytre påvirkninger, samtidig som at personvernprinsipper og de registrertes rettigheter og friheter ivaretas.
Informasjonssikkerhet
Informasjon behandles i et samspill mellom mennesker, prosesser og teknologi. Arbeidet med informasjonssikkerhet handler om å sikre informasjonsbehandling som inngår i oppgaver og tjenester. Informasjonssystemene som benyttes skal beskyttes, inkludert digitale tjenester, IKT-systemer og komponenter som inngår i IKT-systemer.
Det er vanlig å si at det handler om å sikre at informasjon i alle former:
- ikke blir kjent for uvedkommende (konfidensialitet)
- ikke blir endret utilsiktet eller av uvedkommende (integritet)
- er tilgjengelig ved behov (tilgjengelighet)
Brudd på et eller flere av disse punktene er et brudd på informasjonssikkerheten.
Det er flere nasjonale fag- og veiledningsmyndigheter som jobber med informasjonssikkerhet. Blant annet:
- Digitaliseringsdirektoratets side om informasjonssikkerhet
- Nasjonal sikkerhetsmyndighet
Personvern
Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger.
Alle mennesker har en ukrenkelig egenverdi. Som enkeltmenneske har du derfor rett på en privat sfære som du selv kontrollerer, hvor du kan handle fritt uten tvang eller innblanding fra staten eller andre mennesker. Dette prinsippet er blant annet forankret i Den europeiske menneskerettighetskonvensjonen (EMK).
Personvernbegrepet refererer ikke bare til vernet av privatlivets fred og den enkeltes personlige integritet. Begrepet innebærer i stor grad også vernet av enkeltpersoners rett til å ha innflytelse på bruk og spredning av personopplysninger om seg selv. Vi skal i størst mulig grad kunne bestemme over egne personopplysninger. Med de nye personvernreglene som er innført i hele EU/EØS fra 2018 (GDPR), har disse rettighetene blitt ytterlige styrket.
Personopplysningsloven inneholder både rettigheter og plikter. Felles for alle reglene er at de bygger på noen grunnleggende prinsipper. Alle som behandler personopplysninger må opptre i samsvar med disse prinsippene. Les mer om disse prinsippene og om personvern på www.datatilsynet.no.
Strategi for digital sikkerhet i helse- og omsorgssektoren
Målet er å skape en felles helsetjeneste med bedre kvalitet i leveranser, økt pasientsikkerhet og god kompetanse- og ressursutnyttelse. En forutsetning for å få til dette, er at tjenestene vi tilbyr er trygge. En sammenhengende tjeneste krever en helhetlig tilnærming til den digitale sikkerheten, med tydelige rammebetingelser og retning.
Sektoren står ovenfor et komplekst trussel- og risikobilde der antallet cyberangrep har hatt en markant økning de siste årene. Utstrakt digitalisering fører til lange verdi- og leverandørkjeder med tilhørende avhengigheter. For å kunne redusere potensialet for nye sårbarheter og svakheter, må man tilrettelegge for bedre samarbeid og samhandling på tvers av sektoren, enten gjennom krav eller styrkede insentiver.
Det utarbeides nå en strategi for digital sikkerhet i helse- og omsorgssektoren som skal være et felles grunnlag for å kunne håndtere identifiserte utfordringer og bidra til godt personvern. Befolkningen skal ha tillit til at sensitive opplysninger blir behandlet på en trygg måte der tiltakene omfatter både teknologi, mennesker og prosesser.
Normen og HelseCert
Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen) er en allerede etablert bransjenorm som stiller en rekke krav til og veileder om hvordan informasjonssikkerhet og personvern skal ivaretas i helse- og omsorgssektoren. Normen har veiledningsmateriell innen en rekke områder på personvern og informasjonssikkerhet, blant annet forskning, risikostyring og personvernrettigheter.
Det finnes et eget nasjonalt senter for cybersikkerhet gjennom HelseCERT.
Informasjonssidene om kunstig intelligens er et samarbeid mellom Helsedirektoratet, Direktoratet for e-helse, Statens legemiddelverk og Statens helsetilsyn.