Helse- og omsorgssektoren kjennetegnes ved et omfattende og komplekst aktørbilde som strekker seg fra store private og offentlige foretak, til små kommuner og legekontorer. Sektoren er unik når det kommer til omfanget av, og ikke minst beskyttelsesbehovet til, dataene som blir behandlet. Helsedata har høy verdi, og er særlig utsatt for misbruk og uautorisert spredning.
Behovet for å sikre konfidensialitet, tilgjengelighet og integritet til informasjon og systemer er særlig sterkt, fordi det er evnen til å gi forsvarlig helsehjelp og ivareta pasientsikkerhet som står på spill. Å sørge for robusthet der personopplysninger behandles er grunnleggende for å opprettholde tillit til helsevesenet. Dette innebærer at organisasjoner, informasjonssystemer og tjenester tåler endringer og ytre påvirkninger, samtidig som at personvernprinsipper og de registrertes rettigheter og friheter ivaretas.
Informasjonssikkerhet
Informasjon behandles i et samspill mellom mennesker, prosesser og teknologi. Arbeidet med informasjonssikkerhet handler om å sikre informasjonsbehandling som inngår i oppgaver og tjenester. Informasjonssystemene som benyttes skal beskyttes, inkludert digitale tjenester, IKT-systemer og komponenter som inngår i IKT-systemer.
Det er vanlig å si at det handler om å sikre at informasjon i alle former:
- ikke blir kjent for uvedkommende (konfidensialitet)
- ikke blir endret utilsiktet eller av uvedkommende (integritet)
- er tilgjengelig ved behov (tilgjengelighet)
Brudd på et eller flere av disse punktene er et brudd på informasjonssikkerheten.
Det er flere nasjonale fag- og veiledningsmyndigheter som jobber med informasjonssikkerhet. Blant annet:
- Digitaliseringsdirektoratets side om informasjonssikkerhet
- Nasjonal sikkerhetsmyndighet
Personvern
Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger.
Alle mennesker har en ukrenkelig egenverdi. Som enkeltmenneske har du derfor rett på en privat sfære som du selv kontrollerer, hvor du kan handle fritt uten tvang eller innblanding fra staten eller andre mennesker. Dette prinsippet er blant annet forankret i Den europeiske menneskerettighetskonvensjonen (EMK).
Personvernbegrepet refererer ikke bare til vernet av privatlivets fred og den enkeltes personlige integritet. Begrepet innebærer i stor grad også vernet av enkeltpersoners rett til å ha innflytelse på bruk og spredning av personopplysninger om seg selv. Vi skal i størst mulig grad kunne bestemme over egne personopplysninger.
Personopplysningsloven innførte personvernforordningen (GDPR) i norsk rett i 2018. Personvernforordningen innførte styrkede rettigheter for den enkelte som får behandlet personopplysninger om seg, samt flere plikter for virksomheter. Alle bestemmelsene i personvernforordningen bygger på noen grunnleggende prinsipper. Alle som behandler personopplysninger, må opptre i samsvar med disse prinsippene. Les mer om disse prinsippene og om personvern på www.datatilsynet.no.
Med personvernforordningen (GDPR), ble disse rettighetene ytterligere styrket, samt at virksomheter som behandler personopplysninger fikk flere plikter og mer ansvar.
Normen og HelseCert
Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen) er en etablert bransjenorm som stiller en rekke krav til og veileder om hvordan informasjonssikkerhet og personvern skal ivaretas i helse- og omsorgssektoren. Normen har veiledningsmateriell innen en rekke områder på personvern og informasjonssikkerhet, blant annet forskning, risikostyring og personvernrettigheter. Noe spesielt aktuelt veiledningsmateriell for KI er:
- Forskning
- Risikostyring
- Personvernrettigheter
Normen driver også med kurs og kompetanseheving.
Det finnes et eget nasjonalt senter for cybersikkerhet gjennom HelseCERT (nhn.no). Deres oppgave er å øke sektorens evne til å oppdage, forebygge og håndtere alvorlige cyberangrep. HelseCERT skal spre kunnskap om IKT-trusler og beskyttelsesmekanismer og kontinuerlig monitorere trafikken i Helsenettet. HelseCERT ble opprettet i 2011 og er sektorvis responsmiljø (SRM) for helsesektoren.
Informasjonssidene om kunstig intelligens er et samarbeid mellom Helsedirektoratet, FHI, Direktoratet for e-helse, Statens legemiddelverk og Statens helsetilsyn.