Tidligere juridisk rådgiver og innholdsansvarlig i TrinnVis
Sist oppdatert 24. april 2023
Denne artikkelen har ikke blitt oppdatert på mer enn et år, og kan inneholde informasjon som ikke lenger stemmer.
Denne artikkelen har ikke blitt oppdatert på mer enn et år, og kan inneholde informasjon som ikke lenger stemmer.
Opplæring i datasikkerhet gir ansatte kunnskapen de trenger for å beskytte virksomhetens data og systemer. Kunnskapen gjør de ansatte mer oppmerksomme på potensielle sikkerhetstrusler og hvordan de bør håndteres for å redusere risikoen for angrep.
Med et stadig økende trusselbilde vil virksomheter som gir sine ansatte opplæring i datasikkerhet være bedre rustet mot angrep. Hvor datasikre er dine ansatte?
Undersøkelser viser at over 80 prosent av datasikkerhetsbrudd skyldes utilstrekkelig kompetanse om datasikkerhet hos ansatte. Dette kjenner angriperne til, og de fleste angrepsmetoder retter seg derfor direkte mot de ansatte i virksomheten.
Ofte starter et angrep med at en ansatt åpner en epost som inneholder en skadelig lenke eller et vedlegg og klikker på denne. For å bli offer for et slikt dataangrep er det nok at bare én av de ansatte åpner en slik epost.
Lav kompetanse kan føre til at ansatte
bruker svake passord eller gjenbruker samme passord på flere forskjellige brukerkontoer
besøker usikre sider eller laster ned skadelig innhold fra upålitelige kilder
gjør feil i konfigureringen av sikkerhetsverktøy, f.eks ved å deaktivere antivirusprogramvare eller brannmur
er uforsiktige i sin håndtering av sensitive opplysninger
Regelmessig opplæring er nøkkelen
Regelmessig opplæring av ansatte i datasikkerhet vil gi virksomheten bedre beskyttelse mot sikkerhetsbrudd. Ansatte blir en del av virksomhetens forsvar mot dataangrep fordi de i større grad vil forstå
hva som utgjør trusler mot datasikkerheten
hvordan de kan bidra til å unngå dataangrep
hva de skal gjøre hvis et dataangrep skjer
hvorfor det er viktig å gjøre seg kjent med og følge virksomhetens datasikkerhetsrutiner i det daglige
Virksomheter som har gode rutiner for jevnlig sikkerhetsopplæring opplever at frekvensen av sikkerhetsbrudd går ned.
Studier viser at det er fem ganger høyere sannsynlighet for at en ansatt som har gjennomført opplæring i datasikkerhet både vil oppdage og la være å klikke på skadelige lenker.
I tillegg vil potensielle sårbarheter raskere bli avdekket og innrapportert som avvik slik at virksomheten kan lukke disse før et eventuelt angrep skjer.
Gjør dine ansatte datasikre
Det er viktig å påpeke at det ikke er mulig å helgardere seg mot sikkerhetsangrep og at menneskelige feil kan skje uansett hvor godt opplært man er. Opplæring i datasikkerhet er likevel en av de mest effektive metodene man kan bruke for å forebygge at virksomheten blir utsatt for et vellykket angrep. Jo mer dine ansatte vet om sikkerhetstrusler og hvordan disse kan forebygges, jo mindre er sannsynligheten for at de blir lurt.
For å styrke kunnskapen og øke den generelle datasikkerheten i helsevirksomheter, har TrinnVis sammen med Legeforeningen og Tannlegeforeningen laget kurset Daglig datasikkerhet for helsepersonell. Kurset er innebygget i TrinnVis og gratis for alle TrinnVis-brukere.
Kurset var nyttig. Selv for meg som ikke har interesse eller særlig forståelse for data, ga det mening. Passe langt og omfattende. Fint at det var krydret med eksempler.
Lone Eriksdatter Wilberg, fastlege ved MedVest legesenter
Kurset tar for seg det aller viktigste helsepersonell trenger å vite for å sikre seg mot angrep:
Passord
Epost
Sikkerhetsoppdateringer
Taushetsplikt
Sikkerhetsavvik
Kurset tar under en halv time å gjennomføre, og bestått kurs blir dokumentert i TrinnVis.
På kurssiden kan du lese mer om innholdet, og melde på deltakere. Du kan også sette en frist for gjennomføring. Deltakerne får en epost med invitasjon til kurset, og TrinnVis følger opp med påminnelser til kurset er gjennomført.
Tidligere juridisk rådgiver og innholdsansvarlig i TrinnVis
Sist oppdatert 2. mai 2023
Denne artikkelen har ikke blitt oppdatert på mer enn et år, og kan inneholde informasjon som ikke lenger stemmer.
Denne artikkelen har ikke blitt oppdatert på mer enn et år, og kan inneholde informasjon som ikke lenger stemmer.
Løsepengevirus er et av de mest skadelige datavirusene som kan ramme helsevirksomheten din. De siste årene har antallet løsepengeangrep mot helsesektoren mer enn doblet seg, og som nettavisen.no skriver rammes også små norske helsevirksomheter. God datasikkerhet er viktigere enn noensinne.
Hva er løsepengevirus?
Løsepengevirus, også kjent som ransomware, er en skadelig programvare som tar kontroll over virksomhetens datasystemer. Viruset krypterer alle filer på datamaskinen, og gjør dem utilgjengelig for brukerne. Som regel vil du ikke være klar over at viruset har rammet deg før det er for sent. For mange er låst datamaskin og en melding som dette første tegn på noe er gått alvorlig galt:
Ooops, filene dine er blitt kryptert. Vennligst betal 3000 dollar i bitcoin for å låse opp datamaskinen. Du har tre dager på deg før kravet dobles. Hvis du ikke betaler innen syv dager så er filene tapt for alltid. – WannaCry
Viruset sprer seg videre
Løsepengevirus er designet for å spre seg videre til andre datamaskiner og systemer. Blir én datamaskin infisert vil andre maskiner og enheter i samme nettverk også rammes. Da blir hele virksomheten lammet.
– Det er som å slippe en granat inn på kontoret som eksploderer, uttalte professor i informasjonssikkerhet ved Universitetet i Oslo, Audun Jøsang, til ifinnmark.no etter at Vadsø kommune ble rammet av dataangrep i februar 2023.
Fare for pasienters liv og helse
For å kunne yte riktig behandling må helsevirksomheter ha tilgang til oppdatert og korrekt pasientinformasjon. Manglende tilgang som følge av hackerangrep og løsepengevirus kan føre til at pasientbehandlingen må utsettes, eller at pasientene får feil behandling. I verste fall kan konsekvensene av et hackerangrep utgjøre fare for pasientenes liv og helse.
Datainnbruddet hos finske Vastaamo fikk stor oppmerksomhet i media. Artikkel fra nrk.no
Pasientdata kan komme på avveie
I tillegg til å ta kontroll over data og systemer, vil virus kunne stjele pasient- og virksomhetsdata. Med dette legger hackerne ytterligere press på deg og virksomheten din. Betaler du ikke, vil sensitiv informasjon publiseres på nettet. Pasienter, brukere og leverandører kan også motta løsepengekrav etter et angrep mot din virksomhet. Dette skjedde da det finske psykoterapisenteret Vastaamo ble angrepet av hackere i 2020. Da virksomheten selv nektet å imøtekomme løsepengekravet, kontaktet hackerne pasientene direkte og truet med å offentliggjøre deres journaler med mindre de betalte. Hackerne la til slutt ut flere hundre pasientjournaler på nettet.
Store konsekvenser for driften
Uten tilgang til systemer og data er resultatet som regel full stans i driften. Det blir vanskelig å levere tjenester, inntektene uteblir, og opprydningsarbeidet som trengs for å komme tilbake til normal drift er tidkrevende og kostbare. I tillegg kan omdømmetap få store konsekvenser for fremtidig drift og økonomi.
Ikke betal løsepenger!
Med slike konsekvenser kan det være fristende å betale løsepengekravet. Det bør du ikke gjøre!En studie fra Cybereason i 2022 viser at 80 % av virksomhetene som betalte løsepenger ble angrepet på nytt. Har du først vist betalingsvillighet er du et attraktivt offer for nye angrep. Og du er heller ikke garantert å få tilbake dataene dine selv om du skulle betale hackerne.
Falske eposter lurer deg til å klikke på lenker eller vedlegg som installerer løsepengevirus på din datamaskin.
Det starter med et klikk
Et ubetenksomt øyeblikk i en hektisk arbeidshverdag er alt som skal til for å slippe løsepengevirus inn i virksomhetens datasystemer. Angriperne bruker flere metoder for å spre viruset, men som oftest går de direkte på ansatte. Et typisk eksempel er at hackere sender deg epost eller SMS som ser ut til å komme fra en troverdig kilde, f.eks. en bank. Målet er å lure deg til å klikke på en lenke eller åpne et vedlegg som installerer viruset på din datamaskin. Derfra sprer det seg videre til alle virksomhetens systemer. Det er viktig å gi god opplæring slik at ansatte og kolleger kan skille mellom reelle henvendelser og hackeres angrepsforsøk.
Utnytter sikkerhetshull og svake passord
Hackere kan også utnytte sårbarheter i operativsystem og programvare. Utdaterte systemer på datamaskiner kan ha sikkerhetshull som hackerne bruker for å installere løsepengeviruset. En annen metode er å bryte seg inn på bruker- og epostkontoer, og å spre viruset videre til kolleger, samarbeidspartnere og leverandører via disse. Hackerne har verktøy som kan knekke svake passord på minutter.
Viktige tiltak for økt sikkerhet
Alle helsevirksomheter må være oppmerksom på den økte sikkerhetsrisikoen vi i dag står overfor. Hvis det ikke allerede er gjort, må virksomheten din iverksette tiltak som forebygger hackerangrep. Tiltak som reduserer konsekvensene hvis virksomheten rammes av et angrep er like viktig. Her er fire anbefalte grep som gir økt datasikkerhet:
Sørg for at ansatte og kolleger får opplæring slik at de gjenkjenner mistenkelige eposter og falske henvendelser
Ha oversikt over hvem som har tilgang til virksomhetens forskjellige datasystemer, og hvilke tilgangsnivå som er nødvendig for hver ansatt. Etabler gode passordrutiner, og bruk tofaktorautentisering der det er mulig
Sikre at virksomheten har gode rutiner for sikkerhetskopiering (backup) av alle viktige data, og at sikkerhetskopier lagres slik at hackere ikke får tilgang til disse
Slå på automatisk oppdateringer av programvare og operativsystem
Økt datasikkerhet med TrinnVis
TrinnVis har i samarbeid med Legeforeningen og Tannlegeforeningen laget datasikkerhetskurs for helsepersonell. Det er også utviklet veileder med tilhørende verktøy som gjør det enklere å iverksette tiltakene som forhindrer at din helsevirksomhet rammes av hackerangrep og løsepengevirus. Datasikkerhetskurs og veileder med verktøy er tilgjengelig for alle helsevirksomheter som bruker TrinnVis.
Under koronapandemien må alle helsevirksomheter ha målrettede tiltak som verner pasienter og ansatte mot smitte. Flere av disse tiltakene innebærer innsamling og annen behandling av personopplysninger og er derfor underlagt personvernlovgivningen. Mange mangler kunnskap og fokus på dette. Hvordan er det hos dere?
Tidligere juridisk rådgiver og innholdsansvarlig i TrinnVis
Sist oppdatert 17. juni 2020
Denne artikkelen har ikke blitt oppdatert på mer enn et år, og kan inneholde informasjon som ikke lenger stemmer.
Denne artikkelen har ikke blitt oppdatert på mer enn et år, og kan inneholde informasjon som ikke lenger stemmer.
Regelverket knyttet til personvern og smittevern er omfattende og kan være vanskelig å få oversikt over. Og selv om smittevern nå har mest fokus, er det viktig å sørge for å følge loven også når det gjelder personvern.
TrinnVis har oppdatert innhold som forenkler dette arbeidet. Nederst i denne artikkelen finner du en oversikt over hva som er nytt. TrinnVis-brukere som allerede har brukt personverndelen kan enkelt oppdatere denne med ferdiglagde tekster. For de som ikke har jobbet med personvern og GDPR er det på tide å begynne.
Krav ved behandling av koronarelaterte personopplysninger
Å behandle personopplysninger betyr all bruk av opplysningene – som innsamling, lagring, utlevering, endring, sletting osv. For helsevirksomheter er det spesielt viktig å være oppmerksom på hvilke regler som gjelder for innsamling og utlevering av personopplysninger. Dette gjelder både for pasienter og ansatte som er eller kan være smittet av koronaviruset. Det er også viktig å ha oversikt over hvordan behandlingen av personopplysninger skal sikres og dokumenteres for å være i samsvar med personvernlovgivningen.
Oversikt over behandlingen av personopplysninger må dokumenteres
For å forebygge smittespredning på arbeidsplassen og sikre et forsvarlig arbeidsmiljø under koronapandemien kan det være nødvendig å få oversikt over ansatte og deres situasjon. Ofte er det opplysninger som dette som bør innhentes:
Smittestatus
Karantene/isolasjon
Nærkontakter i virksomheten
Reiser til risikoområder
Risikogrupper og tilretteleggingstiltak
Andre opplysninger som er nødvendige for å sikre et trygt arbeidsmiljø
Flere av disse opplysningene regnes som helseopplysninger, og det stilles derfor strenge krav til hvordan de behandles og sikres.
Personvernlovgivningen krever at dere skal ha skriftlig og dokumenterbar oversikt over all behandling av personopplysninger som utføres i virksomheten. Det betyr at dere må kartlegge hvilke personopplysninger som behandles i forbindelse med koronapandemien, og dokumentere hvordan opplysningene behandles.
Det samme gjelder personopplysninger for pasienter eller andre smittede når dere yter smittevernhjelp etter smittevernloven, gir personlig smittevernveiledning eller utleverer personopplysninger til pasienters lege, kommunelegen eller andre.
Lovligheten av behandlingen må dokumenteres
I tillegg til oversikt over behandling av personopplysninger må dere dokumentere at dette gjøres i samsvar med de grunnleggende prinsipper for lovlig behandling av personopplysninger. Disse prinsippene krever blant annet at det etableres et gyldig behandlingsgrunnlag for hvert formål som personopplysningene brukes til. Det kreves også at det ikke samles inn flere personopplysninger enn strengt nødvendig og at personopplysningene slettes når formålet med behandlingen er oppfylt.
Informer om hvordan personopplysninger behandles
Det må gis informasjon til pasienter og ansatte om hvordan personopplysninger behandles. Informasjonen skal være utformet slik at det er lett å forstå:
hva som gjøres med personopplysningene
hvilke rettigheter ansatte/pasienter har
hva de skal gjøre for å utøve sine rettigheter
Informasjonen skal være lett tilgjengelig og utformet på et enkelt, klart og forståelig språk.
Krav ved utlevering av personopplysninger
Hvis pasienter får påvist koronasmitte må dere handle raskt for å hindre videre smittespredning. En viktig del av dette er å informere myndighetene slik at smitten kan begrenses. Ved utlevering av taushetsbelagte personopplysninger må det foreligge lovhjemmel eller samtykke fra den det gjelder.
Helsepersonell som mistenker eller påviser smittetilfeller av koronaviruset skal varsle kommuneoverlegen. Dette er viktig for å sikre at smitteverntiltak og kontaktsporing kan iverksettes så raskt som mulig
Leger og laboratorium som påviser eller diagnostiserer et tilfelle av koronasmitte skal melde dette samme dag til MSIS gjennom vanlige meldingsrutiner
I tilfeller hvor ansatte blir smittet må det gjøres en konkret vurdering om utlevering av opplysninger til kolleger og ansatte. Arbeidsgivere har plikt til å sikre et forsvarlig arbeidsmiljø for alle ansatte, og kan dele informasjon internt om en smittet ansatt dersom det ansees som nødvendig.
Det skal imidlertid ikke utleveres mer informasjon enn nødvendig, og så langt det er mulig bør man unngå å indentifisere den som er smittet.
TrinnVis forenkler arbeidet med behandling av personopplysninger
Regelverket knyttet til person- og smittevern er omfattende og kan være vanskelig å få oversikt over. Likevel er det viktigere enn noensinne å sørge for at riktige smitteverntiltak etableres samtidig som den enkeltes personvern respekteres. TrinnVis har en oppdatert Personvern-del som forenkler dette.
TrinnVis-brukere som allerede har dokumentert hvordan ikke-koronalrelaterte personopplysninger behandles kan enkelt oppdatere eksisterende dokumentasjon med ferdiglagde tekster. Disse ligger tilgjengelige i en ny rutine.
TrinnVis har rutine for hvordan ansatte skal informeres om behandling av deres personopplysninger under koronapandemien, pluss en personvernerklæring som skal fylles ut. Den utfylte erklæringen deles enkelt med kolleger og ansatte via TrinnVis.
Det er også lagt til nye rutiner i TrinnVis for hvordan pasienter skal informeres når deres personopplysninger behandles og utleveres i forbindelse med melding- eller varsling om smittsom sykdom.
Personvernerklæring og rutiner vedrørende smittevern og personvern finner du på temasidene Smittevern og Personvern og IKT i TrinnVis.
Det kan være vanskelig å vite hva som menes med behandling av personopplysninger, hva som må gjøres av risikovurderinger, hvordan alt skal dokumenteres og akkurat hvilken informasjon som er riktig å gi til ansatte og pasienter. Dette er den viktigste jobben TrinnVis gjør – nemlig å gjøre lover og regler forståelige, og ha ferdiglagde forslag som sparer tid og sikrer at dere driver lovlig.
Etter at GDPR ble innført i 2018 har det vært stort fokus på personvern, og kravene til hvordan helsevirksomheter skal behandle og sikre personopplysninger er strenge. Men, uansett hvor godt man sikrer og hvilke forholdsregler man tar kan uhell skje. Og hva skal du egentlig gjøre ved sikkerhetsbrudd hvor personopplysninger kan ha kommet på avveie?
Tidligere juridisk rådgiver og innholdsansvarlig i TrinnVis
Sist oppdatert 14. januar 2020
Denne artikkelen har ikke blitt oppdatert på mer enn et år, og kan inneholde informasjon som ikke lenger stemmer.
Denne artikkelen har ikke blitt oppdatert på mer enn et år, og kan inneholde informasjon som ikke lenger stemmer.
Som hovedregel skal helsevirksomheter varsle Datatilsynet innen 72 timer ved sikkerhetsbrudd som involverer personopplysninger. I noen tilfeller har du også plikt til å informere pasienter som er berørt av sikkerhetsbruddet.
Et sikkerhetsbrudd kan være en hendelse som medfører at personopplysninger kommer på avveie.
Hva er et sikkerhetsbrudd?
Ifølge GDPR artikkel 4 nr. 12 defineres et sikkerhetsbrudd (dvs. «brudd på personopplysningssikkerheten») som:
«…brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet».
Et sikkerhetsbrudd er altså ikke kun når personopplysninger er kommet på avveie, men også tilfeller hvor opplysninger kan ha blitt forandret (integritet) eller ikke lenger er tilgjengelige for autorisert personell når de behøver dem.
Ifølge Datatilsynet ble det i perioden januar-september 2019 sendt inn 1.401 avviksmeldinger om brudd på personopplysningssikkerheten. Av disse kom 126 (ca. 9%) fra helsesektoren. De vanligste typene avvik var:
Sending av post/epost til feil mottaker eller feil vedlegg i post/epost
Mangler eller feil i tilgangsstyringen
Utilsiktet publisering av personopplysninger
Hacking (datainnbrudd)
Phishing (når uvedkomne leter etter sensitiv informasjon i systemer)
Papirdokumenter som er gått tapt, blitt stjålet eller etterlatt
Epost/brev som har gått tapt eller blitt åpnet av feil person
Muntlig utlevering av personopplysninger som ikke skulle ha skjedd
Tapt eller stjålet enhet (smarttelefon, datamaskin, back-up harddisk etc)
E-avfall (personopplysninger lagret på gamle enheter som kastes)
Feilaktig avhending eller makulering av papirdokumenter
Datavirus/malware/skadelig kode (f.eks. programmer som låser datamaskin, og hvor man må betale for at den skal låses opp igjen)
De fleste sikkerhetsbrudd skyldes menneskelige feil.
Menneskelige feil viktigste årsak
Ifølge opplysningene fra Datatilsynet skjer 81% av sikkerhetsavvikene som følge av feil eller uhell begått av ansatte – dvs. menneskelige feil. Kun 6% av avvikene skyldes såkalte tilsiktede feil, som hacker- eller phishing-angrep utført av eksterne angripere.
Dette viser hvor viktig det er å arbeide med gode interne rutiner og ha fokus på personvern og sikkerhet internt i virksomheten.
Hva skal du gjøre ved et sikkerhetsbrudd?
Hvis dere opplever et sikkerhetsbrudd skal dere registrere dette som et avvik. For TrinnVis-brukere kan dette gjøres direkte i kvalitetssystemet. Ved å legge inn informasjon om hva som har skjedd og hvilken typer opplysninger som er berørt vil systemet fortelle deg hvilke tiltak som er nødvendige med tanke på rapportering til Datatilsynet og eventuelt berørte parter. I Trinnvis finnes det også lenker til de skjema som skal brukes ved rapportering.
Instruksjonene i TrinnVis bygger på GDPR artikkel 33 som sier at sikkerhetsbrudd skal meldes til Datatilsynet innen 72 timer hvis:
Sikkerhetsbruddet omfatter personopplysninger Et brudd på sikkerheten er ikke alltid et brudd på personopplysningssikkerheten. Sikkerhetsbruddet må omfatte personopplysninger for at sikkerhetsbruddet skal utløse varslingsplikt.
Sikkerhetsbruddet innebærer personvernrisiko Sikkerhetsbruddet må medføre moderat eller høy risiko for pasientenes rettigheter eller friheter for å utløse varslingsplikt til Datatilsynet. Dette betyr at det gjøres unntak fra varslingsplikten dersom helsevirksomheten vurderer at sikkerhetsbruddet har lav personvernrisiko.
En risikovurdering er viktig for å finne ut om og eventuelt hvem som skal varsles ved et sikkerhetsbrudd.
Risikovurdering
For å vurdere om og hvem det er nødvendig å varsle skal det gjøres en risikovurdering. Også denne kan gjøres med de verktøy som er tilgjengelig i TrinnVis, og du vil da dokumentere at vurderingen er gjort – og på hvilket grunnlag den er gjort.
Ved hjelp av riskovurderingen skal du vurdere hvilke konsekvenser sikkerhetsbruddet kan få for pasientene, og sannsynligheten for at disse konsekvensene inntreffer.
Konsekvensene for pasientene kan være fysiske, materielle eller ikke-materielle som:
Tap av kontroll over egne helseopplysninger
Forskjellsbehandling
Skade på pasientens omdømme
Identitetstyveri eller -bedrageri
Økonomiske tap
Tap av fortrolighet for taushetsbelagte personopplysninger
Andre betydelige økonomiske eller sosiale ulemper
Det er også viktig å se på omstendighetene rundt sikkerhetsbruddet når personvernrisikoen skal vurderes, for eksempel:
Hva slags type sikkerhetsbrudd har skjedd?
F.eks. tyveri, hacking, snoking, tap av papirdokumenter, brudd på interne rutiner etc.
Har det skjedd et brudd på konfidensialitet, integritet eller tilgjengelighet?
Medfører sikkerhetsbruddet brudd på andre bestemmelser i GDPR?
Hvilken typer personopplysninger er berørt av bruddet?
Hvor lett er det å identifisere pasientene ut fra opplysningene som er kommet på avveie?
(Er opplysningene kryptert, og har virksomheten i så fall kontroll på krypteringsnøkkelen?)
Berører sikkerhetsbruddet sårbare grupper – som barn, psykisk syke, rusavhengige eller andre utsatte grupper som bruddet kan ha spesielt store konsekvenser for?
Hvor mange pasienter er berørt av sikkerhetsbruddet – en, få eller mange?
Resultatet av risikovurderingen er avgjørende for om det skal varsles og hvem som eventuelt skal varsles om sikkerhetsbruddet:
Ingen eller lav risiko: Ingen varsling er påkrevd
Middels risiko: Datatilsynet skal varsles
Høy risiko: Datatilsynet og pasientene skal varsles
Selv om du kommer frem til at det ikke er nødvendig å varsle Datatilsynet eller pasientene – dvs. at det foreligger lav personvernrisiko – er det viktig å dokumentere de vurderinger som er gjort. Avviket skal også behandles i samsvar med virksomhetens interne rutiner for avviksbehandling.
Når man skal informere Datatilsynet om et sikkerhetsbrudd er det viktig å gi relevant informasjon om når, hvor og hvordan bruddet oppstod – og hvilken konsekvenser det kan ha for berørte parter.
Hva skal en melding til pasienter inneholde?
Hvis du kommer fram til at det foreligger høy personvernrisiko skal berørte pasienter som hovedregel varsles omgående (uten ugrunnet opphold). Dette bør gjøres ved å ta kontakt direkte med de berørte og ikke via nyhetsbrev eller lignende. Dette er svært viktig da varselet skal gi de berørte pasientene mulighet til å ta nødvendige forhåndsregler og iverksette tiltak som måtte være nødvendige for å ivareta egne rettigheter og interesser. I meldingen til pasientene må du gi en klar og tydelig beskrivelse av:
Hva som har skjedd og hva slags type sikkerhetsbrudd det er snakk om
Hvilke konsekvenser sikkerhetsbruddet kan ha for pasientene (f.eks. identitetstyveri, svindel etc.)
Hvilke tiltak helsevirksomheten har iverksatt for å håndtere sikkerhetsbruddet og redusere eventuelle skadevirkninger det måtte ha for pasienten
Det skal også opplyses om navn og kontaktopplysninger til personvernombudet eller annen person i virksomheten som kan gi mer informasjon om sikkerhetsbruddet.
Hva skjer hvis du ikke varsler…?
Hvis Datatilsynet oppdager at du ikke har sendt inn varsel om brudd på personopplysningssikkerheten når du etter kravene skulle ha gjort dette, kan Datatilsynet ilegge gebyr på inntil 10 millioner Euro eller 2% av virksomhetens årsomsetning.
Slik oppfyller du dine pasienters rett til innsyn i pasientjournal
Pasientene dine har rett til innsyn i egen pasientjournal. Et innsyn kan gi pasienten kontroll over sine helseopplysninger, og gjøre det mulig å avdekke uriktige eller ufullstendige opplysninger som bør korrigeres eller slettes. Dette kan blant annet bidra til å sikre at helsepersonell har fullstendig og korrekt grunnlag for behandling.
Tidligere juridisk rådgiver og innholdsansvarlig i TrinnVis
Sist oppdatert 4. juni 2019
Denne artikkelen har ikke blitt oppdatert på mer enn et år, og kan inneholde informasjon som ikke lenger stemmer.
Denne artikkelen har ikke blitt oppdatert på mer enn et år, og kan inneholde informasjon som ikke lenger stemmer.
Hva har dine pasienter rett til innsyn i? Pasientene har rett til innsyn i sin egen journal og å få utlevert en kopi av journalen. Dette inkluderer alle bilag, som røntgenbilder, prøvesvar og annet som ikke er registrert direkte i pasientjournalen. Innsynsretten gjelder også logger om hvem som har hatt tilgang til journalen, og hvem som faktisk har fått utlevert opplysninger fra journalen.
I tillegg til denne innsynsretten kan pasientene også be om forklaring på faguttrykk og lignende som kan være vanskelig å forstå.
Unntak fra innsynsretten I noen tilfeller kan det være nødvendig å begrense en pasients innsynrett. Eksempler på dette kan være situasjoner hvor det er påtrengende for å hindre fare for liv eller alvorlig helseskade for pasienten, eller når det er klart utilrådelig av hensyn til pasientens nærstående.
Vilkårene for å begrense innsynsrett er strenge, og det forutsettes at det gjøres en vurdering for hvert enkelt tilfelle. Det er bare de konkrete opplysningene som kan utgjøre fare for pasienten eller pasientens nærstående som kan unntas fra innsyn, ikke hele journalen.
Eventuelle begrensninger i innsynsretten skal alltid skrives ned i pasientjournalen med en begrunnelse på hvorfor pasienten nektes innsyn.
Hvem kan be om innsyn? Alle pasienter over 16 år har som utgangspunkt rett til å be om innsyn. Andre personer kan også be om innsyn på vegne av pasienten, for eksempel nærmeste pårørende eller andre som kan fremlegge fullmakt fra pasienten.
Barn mellom 12 og 16 år har også rett til innsyn dersom barnets alder, modenhet og omstendighetene tilsier det. For barn under 12 år er det foreldrene som utøver innsynsretten på vegne av barnet.
Slik behandler du innsynsforespørsler Når du mottar en innsynsforespørsel er det viktig å være godt forberedt med rutiner som sikrer at den håndteres effektivt og i samsvar med regelverket. Forespørselen skal besvares uten ugrunnet opphold og senest innen 30 dager.
Gode kjøreregler du kan bruke når en pasient ber om innsyn i sin journal:
1. Viktig med god informasjon i forkant
For å sikre at alle innsynsforespørsler fanges opp, er det viktig at du gir pasientene klar og tydelig informasjon om hvordan de skal gå frem for å begjære innsyn og hvem forespørselen skal rettes til. Dette kan for eksempel gjøres i en personvernerklæring på helsevirksomhets nettsider eller ved å henge opp en synlig plakat på venteværelset.
2. Tilrettelegg for særlige behov
Det er viktig å legge til rette for at personer med nedsatt funksjonsevne, fremmedspråklige og samiskspråklige også kan utøve sin rett til innsyn.
3. Avklar hva pasienten ønsker innsyn i
I noen tilfeller kan det oppstå behov for å be pasienten om å spesifisere hva vedkommende ønsker innsyn i før du og helsevirksomheten din behandler forespørselen. Fristen på 30 dager begynner først å løpe når du har mottatt tilleggsinformasjon. Dersom pasienten ikke svarer må innsynsretten likevel oppfylles innen en måned beregnet fra tidspunktet du mottok begjæringen.
4. Utlevering må skje til rett person
Du og helsevirksomheten din må sikre at journalen og andre opplysninger utleveres til rett person. Det er viktig at dere gjennomfører grundige risikovurderinger i forkant og iverksetter rutiner og tiltak som reduserer risikoen for at opplysningene kommer på avveier.
Dersom det foreligger rimelig tvil om pasientens identitet skal opplysningene ikke utleveres før vedkommende fremlegger ytterligere opplysninger som er nødvendige for å bekrefte identiteten, for eksempel ved å fremvise gyldig legitimasjon.
Hvis pasientjournalen skal sendes i posten er det viktig at virksomheten sikrer at den sendes til rett person. Risikovurderingene bør også klarlegge behovet for sikker forsendelse av pasientjournalen, for eksempel om det er behov for å benytte rekommandert post i visse situasjoner.
5. Avslag skal begrunnes
Det må alltid vurderes om innsyn kan gis. Eventuelle begrensninger i innsynsretten skal skrives ned i pasientens journal med begrunnelse på hvorfor pasienten nektes innsyn. Pasienten skal informeres om årsaken til avslaget og om retten til å klage.
6. Saksbehandlingsregler
Forespørsler om innsyn skal behandles uten ugrunnet opphold og senest innen 30 dager. Det skal være gratis å gjøre innsyn, men dersom pasienten ber om flere kopier av de samme dokumentene kan det kreves et rimelig administrasjonsgebyr.
Vi registrerer opplysninger om deg, og bruker egne og tredjeparts informasjonskapsler (cookies) til å
understøtte nettstedets funksjonalitet til eksempelvis å gi deg en bedre og raskere tjeneste
utarbeide statistiske analyser av din bruk av nettstedet for å forbedre brukeropplevelsen
vise deg målrettet markedsføring på andre nettsteder
Hvis du vil vite mer om disse formålene og hvordan dine opplysninger blir delt med andre, trykk på «Les mer».
Du kan når som helst endre eller trekke tilbake ditt samtykke ved å gå inn på Personvernerklæring.
Les mer
Aksepter alle
Nødvendige
Nødvendige informasjonskapsler inneholder grunnleggende informasjon for at siden skal fungere. Disse lagres derfor uten samtykke.
Funksjonelle
Funksjonelle informasjonskapsler lagrer opplysninger som endrer måten hjemmesiden ser ut eller oppfører seg på, f.eks. ditt foretrukne språk eller den regionen du befinner deg i.
Statistiske
Statistiske informasjonskapsler samler informasjon som hjelper oss i TrinnVis med å forstå hvordan besøkende samhandler med hjemmesiden.
Markedsføring
Disse informasjonskapslene brukes til å spore besøkende på tvers av hjemmesider. Hensikten er å vise relevante annonser for den enkelte brukeren, fra TrinnVis og tredjepartsannonsører.
