Regioner


Fag- og interessegrupper


Tillitsvalgte

Tillitsvalgte

Kontaktpersoner

Kontaktpersoner

Personvern og informasjonssikkerhet angår deg


Av Henriëtta Richter Uitdenbogaardt, seniorrådgiver, NFFs forhandlingsseksjon

Etter at EUs personvernforordning trådte i kraft i Norge, er fokuset på informasjonssikkerhet og personvern blitt skarpere. Det kan være fristende å tenke at dette bare angår store virksomheter – som for eksempel helseforetakene – hvor det daglig behandles mange pasienter, men det angår oss alle som behandlere av sensitive opplysninger om en annen person. 

Denne artikkelen handler om hvordan du selv på en enkel måte kan bidra til å øke personvernet og informasjonssikkerheten akkurat der du er. Til tross for at mange fysioterapeuter opplever dette området som noe vanskelig og fjernt, så handler det i bunn og grunn om en bevisst holdning, noen enkle praktiske grep og gode rutiner. I denne artikkelen vil vi bidra til å avmystifisere området, og å gi konkrete tips og råd om hvordan du på en enkel måte kan øke sikkerheten i din egen praksis. 

Muligheter og sårbarhet
I dagens samfunn har elektronisk samhandling blitt regelen mer enn unntaket. Det gir oss store gevinster i form av økt og bedre kommunikasjon med andre behandlere og tjenesteytere. Samtidig krever det en større bevissthet rundt informasjonssikkerhet og personvern. God informasjonssikkerhet og personvern er en viktig og stadig større del av å drive faglig forsvarlig fysioterapi. Det er et kvalitetsstempel for din praksis at pasienten kan være trygg på at fortrolig informasjon som er gitt deg som fysioterapeut, ikke spres, eller kan spres, til uvedkommende. Første bud er en god databehandleravtale med din EPJ-leverandør, som sikrer taushetsplikt gjennom tilstrekkelig sikring av dataene dine. 

Like viktig som å ha en elektronisk pasientjournal (EPJ) er å bruke de mulighetene som finnes for innebygd personvern. Et eksempel på det er hvilket passord du bruker. Om noen har til hensikt å komme inn på din pc, så er passordet «Vinter2019» kanskje ikke veldig sikkert. Et annet eksempel er fornavnet til barnet ditt og årstall. Som passord kan det gjerne brukes en setning, fra en sang, dikt eller bok. Bruk gjerne en frase som kan relateres til det du trenger passord for. Setninger er mye enklere å huske enn kombinasjoner av enkelte bokstaver og tall. Dessuten er passordet like sikkert, om ikke sikrere, enn tradisjonelle passord med bokstaver. Men setningen må inneholde minst fem ord, kombinere små og store bokstaver, symboler og tall og helst mellomrom. Les mer om dette på https://nettvett.no/passord/#.

Gode rutiner

God informasjonssikkerhet og personvern handler i en hektisk hverdag om enkle praktiske ting og gode rutiner. I en fysioterapipraksis kan dette handle om hvordan du har plassert din pc i forhold til pasientene. Er skjermen rettet mot pasienten, kan pasienten komme til å se navnet på andre pasienter på skjermen. For å forebygge dette kan du enkelt installere et skjermfilter mot innsyn på din pc. Å forlate din pc uten at passordbeskyttet hvilemodus er aktivert, er også noe som lett kan unngås ved riktig innstilling av hvilemodus på maskinen. Dette er også eksempler på innebygd personvern i programvaren.

Til tross for at mye kommunikasjon foregår elektronisk, skriver vi fortsatt ut både journaler og epikriser. Hvor har du plassert din skriver? Sensitiv informasjon skal beskyttes like mye mot pasienter som mot ansatte på samme kontor. Det skal ikke være mulig for andre enn deg selv å hente utskriften. En passordbeskyttet skriver plassert utenfor pasientområdet er en praktisk løsning for å overholde pasientsikkerheten. Husk også at dokumenter med sensitiv informasjon må makuleres på forsvarlig måte.

Beskytt tilgangen!

De fleste selvstendig næringsdrivende har et kontorfelleskap med andre fysioterapeuter eller andre profesjoner. Det er viktig at ingen andre enn behandlende terapeut har tilgang til journalen, og at pasienten kan være trygg på det. Dersom pasienten bytter terapeut, og behov for å dele informasjon oppstår, kan pasientens samtykke innhentes. NFF ser at mange, spesielt store kjeder, ved oppstart av behandlingen ber om et generelt samtykke om innsyn av andre behandlere. NFF mener at det skal innhentes et eksplisitt samtykke. Et generelt samtykke vil uansett ikke frata deg et ansvar for å ha tilfredsstillende informasjonssikkerhet. Du har et ansvar for at ingen andre enn du har tilgang til journalen. Gjennom EPJ-programmet ditt har du muligheter for å sperre for innsyn av andre enn behandlende fysioterapeut. Ved behov for tilgang for andre behandlere kan journalen etter pasientens samtykke åpnes på et senere tidspunkt. 

Sensitiv informasjon
De fleste fysioterapeuter har fått med seg at sensitive opplysninger ikke skal sendes på vanlig e-post. NFF får allikevel stadig spørsmål om ikke et vanlig treningsprogram kan sendes på e-post. Her ønsker fysioterapeuten gjerne at NFF vurderer hvor sensitiv informasjonen er, og om et treningsprogram egentlig ikke kan sendes allikevel. Om informasjonen først er sensitiv, så er den det, og må beskyttes. Et treningsprogram avslører at det eksisterer et pasient-behandler-forhold, i seg selv en sensitiv opplysning. Konsekvensene for personvern dersom informasjon kommer på avveie, må vurderes, og her kan det selvsagt være store forskjeller for pasientene.

Oppbevaring og sletting
Informasjonssikkerhet og personvern handler ikke bare om å beskytte informasjon, men også fortløpende vurderinger om sensitiv informasjon fortsatt skal oppbevares. En bevisst holdning til hvor lenge det er nødvendig å oppbevare sensitiv informasjon, herunder pasientjournaler, er ikke bare viktig når praksisen skal avsluttes eller overdras til andre. Spørsmål om hvordan man avvikler praksisen på en god måte med hensyn til personvern og informasjonssikkerhet er viktig. Det er ikke bare å gi din pc med din EPJ til neste fysioterapeut.

Det følger av pasientjournalforskriften § 14 at journalene skal oppbevares til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for dem, men alltid minst ti år. Avhengig av de konkrete omstendighetene vil journalen til en pasient kunne være oppbevaringspliktig i mange år, mens journalen til en annen pasient vil kunne makuleres etter kort tid. Hvor lenge det må antas å være bruk for pasientjournaler, må vurderes konkret, og kan ikke besvares med en generell tidsangivelse. Dersom man ikke har oppbevaringsplikt, skal journalene slettes, jf. pasientjournalloven § 25. Overdragelse av praksis innebærer også en omfattende jobb for å ivareta den personvern- og informasjonssikkerheten pasientene har krav på. Vær meget nøye med at datautstyr som skal kasseres, ikke inneholder noe sensitiv informasjon lenger. Selv om du har slettet all informasjon, så vil det med litt ekstra utstyr være mulig å hente den ut. Ta kontakt med din EPJ-leverandør for å få vite hvordan du skal gå frem når du bytter maskin.

Er du usikker på regelverket, kontakt NFFs forhandlingsseksjon via kontaktskjemaet på forbundets nettsider.

Fysioterapeuten nr. 3-2019.

Regioner


Fag- og interessegrupper


Tillitsvalgte

Tillitsvalgte

Kontaktpersoner

Kontaktpersoner