Hopp over båndkommandoer
Hold Ctrl-tasten nede. Trykk på
+ for å forstørre,
- for å forminske
eller 0 for å gå tilbake til standard tekststørrelse.
For mobilbrukere: bruk telefonens innebygde zoome-funksjonalitet.
Skip Navigation LinksHovedside > Presserom > Nyheter > Tilgangskontroll med helseopplysninger i helseforetakene

Tilgangskontroll med helseopplysninger i helseforetakene

​Opplysninger om helseforhold er definert som sensitive personopplysninger i lov om behandling av personopplysninger (personopplysningsloven). Det stilles i en rekke lover krav til helseforetakenes håndtering av taushetsbelagte helse- og personopplysninger. De samme kravene gjelder overfor eventuelle leverandører som gis tilgang til slike opplysninger.

Publisert 12.12.2017 13:00

Riksrevisjonen har de siste årene gjennomført flere undersøkelser av helseforetakenes styring av tilgang til helseopplysninger, og disse har vist at det er svakheter ved informasjonssikkerheten i spesialisthelsetjenesten.

Riksrevisjonens merknader

Riksrevisjonen merker seg at departementet har fulgt opp avvik avdekket i Riksrevisjonens rapporter gjennom eierkrav i foretaksmøter og på egne
oppfølgingsmøter med de regionale helseforetakene, men at det ikke er stilt krav om helhetlig og systematisk tilnærming til forvaltning av helseopplysninger.

Departementet vil vurdere behovet for ytterligere oppfølging, basert på
statusrapportering fra helseforetakene og rapport fra Direktoratet for e-helse om foretakenes bruk av private leverandører. Riksrevisjonen merker seg samtidig at arbeidet har pågått over relativt lang tid og at flere tiltak har blitt utsatt, og at det er uvisst når de planlagte tiltakene vil være gjennomført og få effekt. Etter Riksrevisjonens vurdering er det uklart når de dokumenterte svakhetene ved informasjonssikkerhet vil være rettet opp.

Videre merker Riksrevisjonen seg at regionenes innsats er lite samordnet, og at det innad i enkelte regioner også ser ut til å være tilfeller av at helseforetak gjør egne vurderinger/tolkninger av krav til datasikkerhet. Brudd på personopplysningsloven er svært alvorlig for den enkelte og for omdømmet til helseforetakene. Utvidet adgang til å dele helseopplysninger mellom helseforetak vil, sammen med varslede endringer i ny personopplysningslov, i framtiden stille høyere krav til aktsomhet i håndtering av informasjonssikkerhet for virksomheter som skal forvalte helseopplysningsdata. Riksrevisjonen mener at det på et så vesentlig område som helseopplysninger bør stilles nasjonale krav til løsninger for tilgangsstyring og tilgangskontroll.

Det er kritikkverdig at Helse- og omsorgsdepartementet etter ååpekninger over flere år ennå ikke har sørget for at helseforetakene har fått kontroll med tilganger til helseopplysninger. Departementet har etter Riksrevisjonens vurdering et ansvar for aktivt å påse at det etableres helhetlige og systematiske løsninger for styring av tilgang til helseopplysninger. Dette vil kreve tettere oppfølging og mer vekt på samordning av løsninger enn det som har vært praktisert til nå.

Riksrevisjonen, Storgata 16, Postboks 6835 St. Olavs plass, 0130 Oslo, Norway

Telefon: +47 22 24 10 00

Org.nr: 974 760 843