Å sikre tilgjengelighet, konfidensialitet og integritet
I løsningen vil Ahus måtte imøtekomme krav til tekniske og organisatoriske tiltak for å sikre konfidensialitet, integritet og tilgjengelighet
Personvernforordningen artikkel 32 setter krav til hvilke vurderinger og tekniske tiltak som må iverksettes for å oppfylle kravet om sikkerhet ved behandlingen. Av hensyn til prosjektets omfang er ikke alle vurderinger og tiltak dekket. Da tjenesten har som formål å tilgjengeliggjøre person- og helseopplysninger har vi valgt å trekke frem tilgangsstyring og sikring av sporbarhet som de viktigste tiltakene.
Sikkerhet ved behandlingen, jf. artikkel 32
Personvernforordningen artikkel 32 stiller krav til sikkerheten ved behandlingen av personopplysninger. Den behandlingsansvarlige skal fastsette «egnede tekniske og organisatoriske tiltak». For å avklare hva som er egnede tekniske og organisatoriske tiltak må dette ses i sammenheng med «den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter». Det er opp til den behandlingsansvarlige å gjøre denne vurderingen, men artikkel 32 kommer med eksempler på tiltak som kan være egnet for å oppnå et «sikkerhetsnivå som er egnet med hensyn til risikoen».
Tilgangsstyring
Tilgangsstyring innebærer plikt til å sikre at personopplysninger bare er tilgengelig etter tjenstlig behov. En god og riktig tilgangsstyring vil bidra til å sikre at konfidensialitet opprettholdes, fordi opplysningene kun er tilgjengelige for de som har blitt gitt tilgang. Den vil sikre integritet fordi brukeren kun har tilgang til å gjøre de endringene som kreves for å gjennomføre oppgaven, og den vil sikre tilgjengelighet fordi brukeren kun får tilgang til de opplysningene som er nødvendige for å gjennomføre oppgaven.
Dette krever at tilganger blir autentisert på en trygg måte. Det krever også at tilganger tildeles, administreres, kontrolleres og fjernes.
Kravet til tilgangsstyring fremkommer ikke eksplisitt av personvernforordningen, men det er en naturlig konsekvens av kravet til at den dataansvarlige skal gjennomføre «egnede tekniske og organisatoriske tiltak» etter personvernforordningen artikkel 32, jf. prinsippet om integritet og konfidensialitet artikkel 5 bokstav f. God tilgangsstyring er for eksempel helt nødvendig for å ivareta krav til taushetsplikt og etter helsepersonelloven § 21, jf. pasientjournalloven §§ 15 flg. og pasientjournalforskriften § 13.
I tilpasningen til NHNs fullmaktsløsning vil Ahus vurdere hvilke roller som skal ha tilgang til strukturerte og ustrukturerte data i sykehusets DHO. Ustrukturerte data – som for eksempel hvordan pasienten føler seg fra dag til dag, opplysninger om seksualitet, rus, mental helse og lignende – krever et annet nivå av konfidensialitet enn strukturerte data som for eksempel måledata om pasientens puls. Dette vil reflektere fullmaktsområdene som pasientene gir tilgang til, slik at det kommer tydelig frem hvem som får tilgang til de respektive områdene.
Tilgangsstyringen i en tenkt løsning vil kreve koordinering og samarbeid mellom helseforetakene, DHO-leverandørene og NHN. Når tilganger skal granuleres over flere nivåer må alle aktørene involveres. Først og fremst må dataansvarlige (helseforetakene) bestemme hvilke tilgangsnivåer som skal benyttes for deres DHO-løsning. Deretter må DHO-leverandørene tilpasse sine systemer basert på dette ønsket. Til slutt må NHN implementere de forskjellige tilgangsnivåene i sin tjeneste.
Gitt at granuleringsnivåene som reflekterer hvilke data de ulike fullmektigene får tilgang til ikke enda er definert, er det ikke klart hva som vil være tilstrekkelig informasjon for at pasientene skal kunne ta et informert valg av fullmaktsnivå.
En ny løsning der assistenter, pårørende og andre hjelpere logger på som seg selv og ikke som pasienten, vil øke pasientens kontroll med egne opplysninger, samt dataansvarliges mulighet til å kontrollere tilgang til helse og personopplysninger.
Krav om innebygd personvern
Ved utvikling av en ny fullmaktsløsning er det krav i personvernforordningen om innebygd personvern, jf. Personvernforordningen artikkel 25. Innebygd personvern og personvern som standard beskriver at den behandlingsansvarlige skal gjennomføre egnede tekniske og organisatoriske tiltak, utformet med sikte på en effektiv gjennomføring av prinsippene for vern av personopplysninger. Dette for å integrere de nødvendige garantier i behandlingen for å oppfylle kravene i forordningen og verne de registrertes rettigheter.
Se gjerne mer i vår veiledning om innebygd personvern og personvern som standard.
Sikring av sporbarhet
Sporbarhet kan oppnås ved at systemet logger hvilke brukere eller identiteter som utfører ulike handlinger i løsningen. Disse handlingene kan for eksempel være lesing, registrering, endring eller sletting – avhengig av hvilke autorisasjoner brukerne har i systemet. For at logging skal være et effektivt tiltak for å sikre konfidensialitet må det også etableres loggkontroll. Logging av handlinger er verktøyet, og en forutsetning for å kunne gjennomføre det kontrollerende tiltaket, nemlig systematisk loggkontroll.
Dagens loggfunksjonalitet har utfordringer. I den fysiske permen kan loggføring enkelt bli glemt eller unngått, og i sykehusets DHO loggføres aktiviteten på pasientens profil. Praksisen gjenspeiler ikke med sikkerhet hvem som faktisk får tilgang til helse- og personopplysninger. Det vil være utfordrende for pasienten å vite hva pårørende, assistenter og andre hjelpere faktisk ser og skriver. En digital fullmaktsløsning vil gi nye muligheter. Til sammenligning vil et pasientjournalsystem ha krav til logging eller sporing av hvem som har hatt tilgang til helseopplysninger. Pasienten vil ha rett til innsyn i loggen, jf. pasientjournalforskriften § 14. Fullmaktsløsningen bør kunne gi de samme mulighetene. Ved å gi pasienten innsyn i denne loggen, vil vedkommende selv kunne ha kunnskap om og kontroll over hvordan den valgte fullmaktsordningen fungerer.
Denne type logging er et avgjørende teknisk eller organisatorisk tiltak for å sikre at konfidensialitet, integritet og tilgjengelighet ivaretas. Dette er fordi alle typer avvik kan spores og at nødvendig korrigering kan iverksettes.
Som et av helseforetakene i Helse Sør-Øst er Ahus pliktig til å etterleve «Norm for informasjonssikkerhet og personvern i helse- og omsorgsektoren» (Normen). Normen er en bransjenorm, utarbeidet og forvaltet av organisasjoner og virksomheter i helsesektoren. Normens kapittel 5.4.4 legger føringer for hva som minimum bør registreres i tilgangslogger ved autorisert bruk av behandlingsrettede helseregisteret. Dette inkluderer:
- Identiteten til den som har lest, rettet, registrert, endret og/eller slettet helse- og personopplysninger
- Organisatorisk tilhørighet (Ikke relevant for privatpersoner)
- Grunnlaget for tilgjengeliggjøringen
- Tidsperiode for tilgjengeliggjøringen
En fullmaktsløsning bør tilpasses på en slik måte at den dataansvarlige ved behov har tilgang på tilstrekkelig logg på alle hendelser som skjer i DHO-tjenesten. NHN vil på sin side loggføre hvilke personer som får hvilke tilganger til DHO-tjenesten.