Regioner


Fag- og interessegrupper


Tillitsvalgte

Tillitsvalgte

Kontaktpersoner

Kontaktpersoner

Personvern og informasjonssikkerhet angår deg


Av Forhandlingsseksjonen ved seniorrådgiver Henriëtta Richter Uitdenbogaardt

Etter at EUs personvernforordning trådte i kraft i Norge har det vært økt fokus på informasjonssikkerhet og personvern. Det kan være fristende å tenke at dette bare angår store virksomheter som for eksempel helseforetakene hvor det daglig behandles mange pasienter, men det angår oss alle som behandlere av sensitive opplysninger om en annen person. Denne artikkelen handler om hvordan du selv på en enkel måte kan bidra til å øke personvern og informasjonssikkerhet akkurat der du er.

 

I dagens samfunn har elektronisk samhandling blitt regelen mer enn unntaket. Det gir oss store gevinster i form av økt og bedre kommunikasjon med andre behandlere og tjenesteytere. Samtidig krever det en større bevissthet rundt informasjonssikkerhet og personvern. God informasjonssikkerhet og personvern er en viktig og stadig større del av å drive faglig forsvarlig fysioterapi. Det er et kvalitetsstempel for din praksis at pasienten kan være trygg på at fortrolig informasjon som er gitt deg som fysioterapeut, ikke spres eller kan spres, til uvedkommende. Første bud er en god databehandleravtale med din EPJ-leverandør, som sikrer taushetsplikt gjennom tilstrekkelig sikring av dataene dine.

Like viktig som en elektronisk pasientjournal (EPJ), er å ta i bruk de muligheter som finnes for innebygd personvern. Et eksempel på det er hvilket passord du bruker. Om noen har til formål å komme inn på din pc, så er passord «Vinter2019» kanskje ikke veldig sikker. Et annet eksempel er fornavnet til barnet ditt og årstall. Som passord kan det gjerne brukes en setning, fra en sang, dikt eller bok. For å gjøre det enkelt, gjerne en frase som kan relateres til det du trenger passord for. Setninger er mye enklere å huske enn kombinasjoner av enkelte bokstaver og tall. Dessuten er passordet like sikkert, hvis ikke mer sikkert enn tradisjonelle passord med bokstaver. Men setningen må inneholde: minst 5 ord, variasjon av små og store bokstaver, symboler og tall og helst mellomrom. https://nettvett.no/passord/#

God informasjonssikkerhet og personvern handler i en hektisk hverdag om enkle praktiske ting og gode rutiner. I en fysioterapipraksis kan dette handle om hvordan du har plassert din pc i forhold til pasientene. Er skjermen rettet mot pasienten, kan pasienten komme til å se navnet på andre pasienter på skjermen. For å forbygge dette kan du enkelt installere et skjermfilter mot innsyn på din pc. Å forlate din pc uten at passord-beskyttet hvilemodus er aktivert, er også noe som lett kan unngås ved riktig innstilling av hvilemodus på maskinen. Dette er også eksempler på innebygd personvern i programvaren.

 

Til tross for at mye kommunikasjon foregår elektronisk, printer vi fortsatt ut både journaler og epikriser. Hvor har du plassert din skriver? Sensitiv informasjon skal beskyttes like mye mot pasienter som ansatte på samme kontor. Det skal ikke være mulig for andre enn deg selv å hente utskriften. En passord-beskyttet skriver plassert utenfor pasientområdet er en praktisk løsning for å overholde pasientsikkerheten. Husk også at dokumenter med sensitiv informasjon må makuleres på forsvarlig måte.

 

De fleste selvstendig næringsdrivende har et kontorfelleskap med andre fysioterapeuter eller andre profesjoner. Det er viktig at ingen andre enn behandlende terapeut har tilgang til journalen og at pasienten kan være trygg på det. Dersom pasienten bytter terapeut og behov for informasjonsutveksling oppstår kan pasientens samtykke innhentes. NFF ser at mange, spesielt store kjeder, ved oppstart av behandlingen, ber om et generelt samtykke om innsyn av andre behandlere. NFF mener at det skal innhentes et eksplisitt samtykke. Et generelt samtykke vil uansett ikke frata deg et ansvar for å ha tilfredsstillende informasjonssikkerhet. Du har et ansvar for at ingen andre enn du har tilgang til journalen. Gjennom EPJ-programmet ditt har du muligheter for å sperre for innsyn av andre enn behandlende fysioterapeut. Ved behov for tilgang av andre behandlere kan journalen etter pasientens samtykke åpnes på et senere tidspunkt.

 

De fleste fysioterapeuter har fått med seg at sensitive opplysninger ikke skal sendes på vanlig e-post. NFF får allikevel stadig spørsmål om ikke et vanlig treningsprogram kan sendes på e-post. Her ønsker fysioterapeuten gjerne at NFF vurderer hvor sensitiv informasjonen er og om et treningsprogram egentlig ikke kan sendes allikevel. Om informasjonen først er sensitiv så er den det og må beskyttes. Et treningsprogram avslører at det eksisterer et pasient- behandler forhold som i seg selv er en sensitiv opplysning. Konsekvensene for personvern dersom informasjon kommer på avveie må vurderes og her kan det selvsagt være store forskjeller for pasientene.

Informasjonssikkerhet og personvern handler ikke bare om å beskytte informasjon, men også fortløpende vurderinger om sensitiv informasjon fortsatt skal oppbevares. En bevisst holdning om hvor lenge det er nødvendig å oppbevare sensitiv informasjon, herunder pasientjournaler, er ikke bare viktig når praksisen skal avsluttes eller overdras til andre. Spørsmål om hvordan man avvikler praksisen på en god måte med hensyn til personvern og informasjonssikkerhet er viktig. Det er ikke bare å gi din pc med din EPJ til neste fysioterapeut.

Avvikling av praksis innebærer også en omfattende jobb for å ivareta den personvern- og informasjonssikkerheten pasientene har krav på. Oppbevaringstiden følger av pasientjournalloven § 25 helseopplysninger "skal oppbevares til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for dem. Det samme gjelder opplysninger om hvem som har hatt tilgang til opplysningene eller fått utlevert helseopplysninger som er knyttet til pasienten eller pasientens eller brukerens navn eller fødselsnummer."   Avhengig av de konkrete omstendighetene vil journalen til en pasient kunne være oppbevaringspliktig i mange år, mens journalen til en annen pasient vil kunne makuleres etter kort tid. Hvor lenge det må antas å være bruk for pasientjournaler må vurderes konkret, og kan ikke besvares med en generell tidsangivelse. Dersom man ikke har oppbevaringsplikt, skal journalene slettes, jf. Pasientjournalloven § 25

Overføring av pasientjournaler til ny behandler kan din EPJ leverandør være behjelpelig med.

Vær meget nøye med at datautstyr som skal kasseres ikke inneholder noe sensitiv informasjon lenger. Selv om du har slettet all informasjon så vil det med litt ekstra utstyr være mulig å få informasjonen tilbake. Ta kontakt med din EPJ leverandør for hvordan du skal gå frem når du bytter maskin.

Til tross for at mange fysioterapeuter opplever informasjonssikkerhet og personvern som noe vanskelig og fjernt så handler dette i bunn og grunn om en bevisst holdning, noen enkle praktiske grep og gode rutiner. Artikkelen er et forøk til å bidra til å avmystifisere område og å få konkrete tips og råd på hvordan man på en enkel måte kan øke sikkerhet i egen praksis.  

Er du usikker på regelverket, kontakt forhandlingsseksjonen via kontaktskjema på våre nettsider.

Oppdatert 15. juli 2020

Regioner


Fag- og interessegrupper


Tillitsvalgte

Tillitsvalgte

Kontaktpersoner

Kontaktpersoner