Rapportert i Dokument 1 (2023–2024) / Offentliggjort Informasjonssikkerhet og tilgjengeliggjøring av person- og helseopplysninger i helseregistre
Folkehelseinstituttet, Helsedirektoratet og Statens legemiddelverk er dataansvarlig for de lovbestemte helseregistrene. De har ansvaret for informasjonssikkerheten selv om de har avtaler med leverandører om drift. De har ikke oversikt over, eller fulgt opp, sikkerhetsarbeidet som blir gjort hos leverandørene.
- (PDF, 0,93 MB) Last ned fullversjon
-
Ikke tilfredsstillende
-
Kritikkverdig
-
Sterkt kritikkverdig
- Person- og helseopplysninger i helseregistre blir ikke i tilstrekkelig grad behandlet i henhold til kravene til informasjonssikkerhet og personvern i
helseregisterloven og personopplysningsloven. - Helseopplysninger blir ikke gjort tilgjengelige for forskere innen
lovpålagte frister.
Konklusjoner
Person- og helseopplysninger i helseregistre blir ikke i tilstrekkelig grad behandlet i henhold til kravene i helseregisterloven og personopplysningsloven.
- Helsedirektoratet, Folkehelseinstituttet og Statens legemiddelverk har ikke oversikt over sikkerhetsarbeidet som blir gjort hos
driftsleverandørene, og de jobber ikke systematisk med risiko og tiltak. - Viktige informasjonssikkerhetstiltak hos driftsleverandørene er ikke implementert eller fungerer ikke etter hensikten.
- Helsedirektoratet og Folkehelseinstituttet overholder ikke lovpålagte frister for tilgjengeliggjøring av helseopplysninger til forskere.
Anbefalinger
Vi anbefaler at Helse - og omsorgsdepartementet følger opp at virksomhetene i rollen som dataansvarlig vier større oppmerksomhet til sikkerhetstiltak som skal bli gjennomført av driftsleverandør.
Om undersøkelsen
Vi har kontrollert om person- og helseopplysninger i lovbestemte helseregistre underlagt Helse- og omsorgsdepartementet blir behandlet i henhold til kravene til informasjonssikkerhet, personvern og tilgjengeliggjøring i helseregisterloven og personopplysningsloven.