Ofte stilte spørsmål

«PIIP - personvern og informasjonssikkerhet i praksis» er et e-læringskurs som er utviklet for å sikre at alle med tilgang til sykehusnettet får jevnlig opplæring i personvern og informasjonssikkerhet. Kurset er obligatorisk og skal gjennomføres minst én gang i året. Estimert gjennomføringstid er 15 minutter.
Målet for kurset er at du skal:
• kjenne til de viktigste reglene for informasjonssikkerhet og personvern
• kjenne til hvordan du forhindrer at sensitiv informasjon kommer på avveie
• få en innføring i lovlig journalbruk
• kjenne til hvor du skal henvende deg om du er usikker

Hvordan gjennomfører jeg kurset?

1. Kurset ligger i Læringsportalen. Du finner lenken til innloggingssiden til Læringsportalen på hovedsiden på Intranett under Tjenester litt ned og til høyre.
2. Gå til Kurskatalogen.
3. Søk opp kurs med søkeord PIIP.
4. Meld deg opp til kurset. 

Særlige kategorier av personopplysninger som ikke lagres i fagsystemer, skal kun lagres på forhåndskjente, dedikerte filområder. Det vil si:

• K:\Sensitivt\Forskning
• K:\Sensitivt\Kvalitetsregistre
• K:\Sensitivt\Klinikk
• Registerstøtteløsningene Medinsight og e-Reg
• Viedoc (for legemiddelstudier)
• Tjenester for sensitive data (TSD) ved UiO.
Eventuelle andre løsninger krever godkjenning av leder, risikovurdering og sikkerhetsmessig godkjenning av informasjonssikkerhetsleder før bruk. Det er ikke tillatt å lagre særlige kategorier av personopplysninger på minnepenner, eksterne harddisker eller privat utstyr. For mer informasjon, se følgende prosedyre i Ehåndboken: Lagring, arkivering og sletting av helse- og personopplysninger.

I korte trekk er hovedforskjellen at avidentifiserte personopplysninger kan knyttes til enkeltpersoner, mens anonyme opplysninger ikke kan knyttes til enkeltpersoner. Anonymiserte opplysninger regnes ikke som personopplysninger forutsatt at de er innsamlet på lovlig vis, og de reguleres ikke av personvernlovgivningen.

At opplysningene er avidentifisert innebærer at navn og andre direkte identifiserende faktorer erstattes med en kode. Identifisering skjer ved at man slår opp i en fysisk adskilt kodeliste. Merk her at alle direkte identifiserende faktorer må fjernes for at opplysningene skal regnes som avidentifiserte. Eksempler på slike faktorer er navn, fødselsnummer, pasientnummer, osv.

Anonymisering er ofte nødvendig for å kunne publisere opplysningene, eller utlevere dem. Merk at det i flere tilfeller ikke vil være nok å slette kodelisten og identifiserende opplysninger. Ved sjeldne sykdommer vil det i enkelte tilfeller ikke være mulig å anonymisere da det f.eks. bare er en mann mellom 30-50 år som har denne sykdommen i Norge.

Det skal lite til for å vurdere noe som en personopplysning. En generell tommelfingerregel er at det skal være umulig for vedkommende selv å si med sikkerhet at opplysningene gjelder vedkommende. I vurderingen av hva som er anonymt, må man ta høyde for all eksisterende teknologi og påregnelig fremtidig teknologi som kan knytte opplysningene til en enkeltperson. Videoopptak og lydopptak vil i en slik sammenheng være vanskelig å anonymisere. Du kan lese mer om anonymisering her. Dersom du er usikker på om opplysningene er anonymisert, ta kontakt med Personvernombudet.

Tittelen for personvernombud på engelsk er "Data Protection Officer", og vi bruker "The hospital's Data Protection Officer".
Merk at vi ikke godkjenner helseforskningsprosjekter, og at vi tilråder (engelsk: recommendation in prosessing personal data or health information) kvalitetsstudier/forskning utenfor REKs mandat og interne kvalitetsregistre. Man kan mao. ikke skrive i artikler eller lignende at prosjekter, registre eller studier er godkjent av personvernombudet.

Utlevering av helse- og personopplysninger krever gyldig grunnlag for utlevering. Samtykke fra pasient er et eksempel på gyldig grunnla, så fremt prosjektet er godkjent av enten REK eller Personvernombudet. Kravet om gyldig grunnlag gjelder også dersom man skal utlevere avidentifiserte opplysninger, altså opplysninger som kan knyttes til en enkeltperson gjennom en kode, et nummer eller liknende. I tillegg må det gjøres en kontroll av informasjonssikkerheten i utleveringsløsningen. Ønsker man for eksempel å bruke en web-løsning, for eksempel en e-CRF, må både løsningens sikkerhet og krypteringsfunksjoner være oppdaterte. For mer informasjon om dette, se prosedyren Utlevering av helse- og personopplysninger i Ehåndboken.

Her må det skilles mellom prosjekter innenfor og utenfor REKs mandat:
1. Hvis det er snakk om et helseforskningsprosjekt, skal prosjektleder ha et formelt vedtak fra REK. Prosjektet skal også meldes til oss, men vi vurderer i utgangspunktet informasjonssikkerheten, det vil si hvordan data behandles, lagres og utleveres. Vi skriver ikke noen formell tilråding, men gir kun tilbakemelding på e-post. Det er i tilfelle denne e-posten du må vise til ditt universitet hvis de krever dokumentasjon utover REK-godkjenning. Vi skriver ikke noe ytterligere formelt brev.

 2. For prosjekter utenfor REKs mandat er det vi som er formell godkjenningsinstans. Dersom prosjektet godkjennes, vil prosjektleder få en formell tilråding som du kan vise til universitetet.

REK avslår prosjekter som faller utenfor helseforskningslovens definisjon av medisinsk og helsefaglig forskning: virksomhet som utføres med vitenskapelig metodikk for å skaffe til veie ny kunnskap om helse og sykdom. Den spesifikke begrunnelsen for dette skal komme frem av REK-vedtaket.

Et avslag fra REK gir deg ikke gyldig grunnlag til å iverksette prosjektet. Med mindre ditt prosjekt kun benytter seg av lovlig innsamlede og fullstendig anonyme opplysninger, det vil si opplysninger som det er umulig* å knytte til enkeltpersoner, må det godkjennes av Personvernombudet. For informasjon om hvordan slike studier meldes og formaliseres, se følgende prosedyre i Ehåndboken: Kvalitetsstudie, helsetjenesteforskning og annen forskning utenfor REKs mandat – formalisering.

*Merk at indirekte (også kalt avidentifiserte opplysninger), dvs opplysninger der navn, personnummer og andre personidentifiserbare kjennetegn er erstattet med en kode, ikke er anonyme opplysninger.

Brukerrollen «Forsker» i DIPS gir tilgang til pasientjournaler som er meldt inn i en bestemt arbeidsgruppe. Behandlende lege, eller ansatte med brukerroller i DIPS med lovlig tilgang til pasientjournalene, må legge journalene inn i arbeidsgruppa. Det forutsetter pasientens samtykke, dispensasjon eller annet lovlig grunnlag for oppslag i journal.  Fremgangsmåte for å bestille forskertilgang til DIPS er beskrevet i følgende prosedyre i Ehåndboken: Tilgang til DIPS for forsknings- og kvalitetsregistre. For mer informasjon om lovlig grunnlag for oppslag i journal, se følgende instruks i Ehåndboken.

«PIFF - personvern og informasjonssikkerhet i forskning», er et elæringskurs med eksamen utarbeidet i samarbeid mellom OUS og Universitetet i Oslo. Kurset gir en grundig gjennomgang av korrekt behandling av helse- og personopplysninger i helseforskning og annen forskning, samt i interne kvalitetsregistre og registre med bredt formål. Kursets mål er å sikre at forskere har god kjennskap til disse temaene, slik at de følger regler både i planleggingsfasen og i gjennomføringen av forskningsprosjekter og registre.

Kurset er obligatorisk for alle ansatte ved OUS som er involvert i forskning. Det er tilstrekkelig å ta kurset én gang, men man må ta eksamen årlig. Eksamen består av en multiple choice- prøve som tar ca. ti minutter å gjennomføre. Kurset skal tas i tillegg til «PIIP (personvern og informasjonssikkerhet i praksis)».

 Hvordan gjennomfører jeg kurset?

Du finner kurset i Læringsportalen.

1. Logg inn i Læringsportalen (du finner link til innloggingssiden på intranett)

2. Gå til kurskatalogen

3.  Søk med søkeordet PIFF

4. Melde deg opp til kurset.

Ja, iPad kan brukes til å samle inn forskningsdata, gitt visse forutsetninger:

1. Dersom OUS er forskningsansvarlig stilles det krav om at iPaden må være eid av OUS. Dette fordi OUS er forpliktet til å ha kontroll over de personopplysningene som behandles som en del av vår virksomhet. At verktøyet som benyttes til å behandle personopplysningene er eid av OUS, er en forutsetning for slik kontroll. Det er ikke anledning til å benytte privateid utstyr som nettbrett, lydopptakere, kamera, mobiltelefoner osv. til å behandle personopplysninger i regi av OUS.

2. Innholdet på iPaden skal være beskyttet med skjermkode. OUS stiller like strenge krav til skjermkoden som til passord, OUS' passordpolicy kan du finne her.

 3. iPaden skal være under OUS' kontroll til enhver tid. En iPad på avveie med personopplysninger er like kritisk som om en journal på avveie. iPaden må således behandles som ethvert annet medium med personopplysninger på, den skal oppbevares på en sikker måte, i et låst skap eller tilsvarende.

4. Dersom man som del av studien ønsker å benytte seg av en applikasjon (det være seg en tredjeparts-app eller en egenutviklet app) eller en nettskjemaløsning, skal løsningen risikovurderes. Du må derfor legge ved all dokumentasjon som er relevant ved henvendelsen, for at vi skal kunne ta en vurdering av informasjonssikkerheten i løsningen.

 Se informasjon om dette her.

Dersom dere ønsker å gjøre endringer av betydning i et allerede godkjent prosjekt eller register utenfor REKs mandat, skal det sendes inn en ny melding til Personvernombudet. Endringer av betydning kan for eksempel være endring i formål, varighet, utvidelse av prosjektet eller tilsvarende. Er du usikker på om studien skal remeldes kan du ta kontakt med Personvernombudet. Merk at helseforskningsprosjekter skal sende endringsmelding til REK, ikke Personvernombudet.

Endringsmelding følger de normale prosedyrene for melding om behandling av personopplysninger, og endringene krever godkjenning fra avdelingsleder. Endringer av betydning i samtykkebaserte studier krever normalt nytt samtykke fra pasientene. Endringene kan ikke iverksettes før Personvernombudet har godkjent endringene.

I nye prosjekter skal kodelisten oppbevares i Medinsight. Denne funksjonen er gratis, og man behøver ikke å benytte Medinsight for lagring av data selv om kodelisten lagres i Medinsight. For mer informasjon, se Registerstøtte OUS her.

Det er tilstrekkelig å skrive personvernombudet ved OUS, telefonnummeret til sentralbordet (+47) 915 02 770, og e- postadresse:  personvern@ous-hf.no. Det er også viktig at det presiseres at det er prosjektleder som skal svare på spørsmål knyttet til selve behandlingen av personopplysninger (prosjektspesifikke spørsmål). Personvernombudet kan bistå med generelle spørsmål knyttet til bruk og behandling av personopplysninger i forskning, samt kan kontaktes dersom man er usikker på om opplysningene behandles i tråd med hva som er beskrevet i samtykket.

En Ironkey er en kryptert, passordbeskyttet minnepinne med innebygget antivirus. Ironkey er den eneste formen for minnepinner som er godkjent for bruk i sykehusnettet. Den kan administreres av sykehuset, noe som blant annet vil si at man ved å henvende seg til OUS brukerstøtte kan få bistand dersom man har glemt passordet, eller kan fjernslette innholdet dersom den er på avveie. Ironkey bestilles i de elektroniske bestillingssystemene. For bistand kontakt OUS brukerstøtte på telefon: 32 23 53 30.

Alle elektroniske løsninger som benyttes ved OUS skal være anskaffet på rett måte. Hvis du har behov for en elektronisk løsning, må dette meldes ordinær linjevei. Ta kontakt med din IKT-kontakt i klinikk. Oversikt over hvem dette er, finnes på intranettet. Se også rutinen Melding og behandling av nye og endrede IKT-behov i Ehåndboken.

Ved alle nye og endrede IKT-behov/databehandlinger hvor sensitive personopplysninger håndteres, er det lovpålagt å gjennomføre risikovurdering. Denne risikovurderingen skal avklare om nødvendig sikkerhetsnivå er etablert, og om gjenværende risiko kan aksepteres. Føringene for dette er dels nasjonale, dels regionale. Se rutinen Risikovurdering ved nye og endrede IT-løsninger og databehandlinger.

En funksjonsbruker er en ikke-personlig bruker som benyttes for automatisk pålogging på arbeidsstasjoner som deles av flere brukere. Funksjonsbrukeren bestilles via «Min sykehuspartner».
En ikke-personlig funksjonsbruker har følgende spesifikasjoner:

• Brukeren er knyttet til én spesifikk arbeidsstasjon.
• Det er ikke direkte tilgang til internett fra PCer med funksjonsbruker. For tilgang må man logge på sentral arbeidsflate (Citrix), med personlig brukeridentitet.
• Funksjonsbrukeren har ikke tilgang til dataområder (det vil si hjemmeområde, profilområde eller fellesområde). Dataområder for personlige brukeridentiteter er tilgjengelig via sentral arbeidsflate (tilsvarende som for tilgang til internett).
• Funksjonsbrukeren har ikke tilgang til e-post via Outlook/Outlook Web Access. Personlig e-post er tilgjengelig via sentral arbeidsflate.
• Brukeren får tilgang til standard Windows 7-applikasjoner.
• Øvrige applikasjoner som gjøres tilgjengelig for funksjonsbrukeren må tilby egen autentisering. Autentisering i applikasjonene skal skje med personlig brukeridentitet.

Ingen skal ha tilgang til sky- eller fildelingstjenester i sykehusnettet. Årsaken er at slike løsninger gir høy risiko for tap og lekkasje av data. Bruk av skytjenester involverer ofte tredjeparter som kan få tilgang til data lagret i løsningen. Videre er det umulig å vite hvor lagringsserverne befinner seg. Sky- og fildelingstjenester anses derfor for å være usikre lagrings- og delingsmedier. For mer informasjon om hva som regnes som sikker lagring av data ved OUS, se følgende prosedyre.  

Tilgang til sosiale medier gis i egenskap av rollen OUSHF-620100 DST Kommunikasjon. Det vil si at kun ansatte i kommunikasjonsavdelingen får tilgang. Det gis ingen andre unntak. Skadelig programvare og virus kan lett spres via disse kanalene. I tillegg muliggjør sosiale medier spredning av sensitive personopplysninger, enten ved at ansatte ved et uhell publiserer sensitive opplysninger, eller ved at pasienter publiserer opplysninger om seg selv. Det er derfor nødvendig å begrense tilgangene til disse kanalene til et absolutt minimum.

Ja, iPad kan brukes til å samle inn forskningsdata, gitt visse forutsetninger:

1. Dersom OUS er forskningsansvarlig stilles det krav om at iPaden må være eid av OUS. Dette fordi OUS er forpliktet til å ha kontroll over de personopplysningene som behandles som en del av vår virksomhet. At verktøyet som benyttes til å behandle personopplysningene er eid av OUS, er en forutsetning for slik kontroll. Det er ikke anledning til å benytte privateid utstyr som nettbrett, lydopptakere, kamera, mobiltelefoner osv. til å behandle personopplysninger i regi av OUS.

2. Innholdet på iPaden skal være beskyttet med skjermkode. OUS stiller like strenge krav til skjermkoden som til passord, OUS' passordpolicy kan du finne her.

 3. iPaden skal være under OUS' kontroll til enhver tid. En iPad på avveie med personopplysninger er like kritisk som om en journal på avveie. iPaden må således behandles som ethvert annet medium med personopplysninger på, den skal oppbevares på en sikker måte, i et låst skap eller tilsvarende.

4. Dersom man som del av studien ønsker å benytte seg av en applikasjon (det være seg en tredjeparts-app eller en egenutviklet app) eller en nettskjemaløsning, skal løsningen risikovurderes. Du må derfor legge ved all dokumentasjon som er relevant ved henvendelsen, for at vi skal kunne ta en vurdering av informasjonssikkerheten i løsningen.

Nei, dette er ikke tillatt. Du har kun lov til å gå inn i en pasients journal når du har tjenstlig behov for det. Ytelse av helsehjelp er et eksempel på tjenstlig behov, men nysgjerrighet eller egen opplæring er det ikke. Dersom du for egen lærings skyld ønsker opplysninger om en pasient du har behandlet, kan du med hjemmel i helsepersonelloven § 29c ta kontakt med vedkommende som overtok behandlingsansvaret for å få utlevert relevant og nødvendig informasjon. Det forutsetter at pasienten ikke motsetter seg utlevering av informasjonen, og at det dokumenteres i journal hvilke opplysninger som har blitt utlevert, og hvem de har blitt utlevert til. For mer informasjon om grunnlag i journal, se følgende instruks i Ehåndboken.

Nei, bortlån er ulovlig og brudd på sykehusets sikkerhetsinstruks. Din tilgang til DIPS er gitt til deg og ingen andre. Du er ansvarlig for at ingen andre bruker din tilgang, og du har ansvaret dersom du låner bort din tilgang til noen som gjør ulovlige oppslag i journal med de konsekvenser det kan medføre for ditt arbeidsforhold. Det er etablert rutiner som skal sørge for at vikarer og andre har tilgang. Din leder er ansvarlig for å følge disse. Dersom vikarer, nyansatte eller studenter på din enhet ikke har tilgang, har ikke disse rutinene blitt fulgt.

Brukerrollen «Forsker» i DIPS gir tilgang til pasientjournaler som er meldt inn i en bestemt arbeidsgruppe. Behandlende lege, eller ansatte med brukerroller i DIPS med lovlig tilgang til pasientjournalene, må legge journalene inn i arbeidsgruppa. Det forutsetter pasientens samtykke, dispensasjon eller annet lovlig grunnlag for oppslag i journal.  Fremgangsmåte for å bestille forskertilgang til DIPS er beskrevet i følgende prosedyre i Ehåndboken: Tilgang til DIPS for forsknings- og kvalitetsregistre. For mer informasjon om lovlig grunnlag for oppslag i journal, se følgende instruks i Ehåndboken.