Personvern og informasjonssikkerhet

Personvern

Hva er personvern?

Begrepet personvern er ikke gitt noen legaldefinisjon i lovgivningen, og blir tillagt ulikt innhold i ulike sammenhenger. Det nærmere innholdet i personvernet følger av internasjonale traktater om menneskerettigheter og er bl.a. beskrevet i Personvernkommisjonens rapport fra januar 2009.

Et vesentlig element i personvernet er at personer i utgangspunktet skal kunne bestemme hva andre skal få vite om deres personlige forhold. Retten til å bestemme hva andre skal få vite er begrenset når andre hensyn tillegges større vekt. Dette kan være samfunnshensyn eller pasientinteresser.

Hensynet til personvernet tilsier at det alltid må foretas en grundig avveining av de ulike interessene som grunnlag for konklusjon om at samfunnshensyn må tillegges større vekt enn personvernet til den enkelte. I følge Personvernkommisjonens rapport kan det derfor være nyttig å forstå personvernet som et knippe av interesser knyttet til den enkelte og til samfunnet og det offentlige:

Eksempler på interesser som er knyttet til den enkelte er:

  • Interessen i selvbestemmelse: Den enkeltes interesse i selv å bestemme over opplysninger knyttet til ens person
  • Interessen i diskresjon: Den enkeltes interesse i å ha kontroll med opplysninger om seg selv, herunder hvilke opplysninger som samles inn (og av hvem), hvem som har tilgang til opplysningene, og hva disse skal brukes til.
  • Interessen i innsyn og kunnskap: Den enkeltes interesse i å ha kjennskap til hvilken behandling av opplysninger om dem som skjer, og hvordan.
  • Interessen i fullstendighet: Den enkeltes interesse i at avgjørelser som treffes på grunnlag av personopplysninger, bygger på et fullstendig og korrekt grunnlag (opplysnings- og behandlingskvalitet).
  • Interessen i privatlivets fred: Den enkeltes interesse i å være i fred for andre.

Eksempler på interesser som knytter seg til samfunnet og offentlige interesser:

  • Interessen i en brukervennlig og borgervennlig forvaltning: Borgernes interesse i at forvaltningen opptrer på en bruker- og borgervennlig måte (nært knyttet til rettssikkerhetsvurderinger).
  • Interessen i vern mot maktmisbruk og overdreven kontroll (beskyttelse av den private sfære): Overvåkingsnivået i samfunnet bør være begrenset og kontrollen fra det offentlige bør ikke være så omfattende at det ikke er rom for et tillitsforhold mellom samfunnet og den enkelte.
  • Interessen i et robust samfunn: Borgernes interesse i å ha et samfunn som er så lite sårbart som mulig.

 

Informasjonssikkerhet

Informasjonssikkerhet er tiltak for å ivareta de grunnleggende personvernhensyn. Den som behandler personopplysninger skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, kvalitet og tilgjengelighet ved behandling av helseopplysninger. Bestemmelsene om informasjonssikkerhet finnes i helseregisterloven § 21, personopplysningsloven § 13 og tilhørende forskrifter.

Kravene til informasjonssikkerhet bygger på fire hovedprinsipper:

  1. Tilgjengelighet: at tilstrekkelige og relevante opplysninger er til stede i en behandlingssituasjon
  2. Integritet: at opplysningene er korrekte, komplette og beskyttet mot utilsiktet endring
  3. Konfidensialitet: at opplysningene er beskyttet mot innsyn fra uvedkommende
  4. Sporbarhet: at all bruk av opplysningene blir logget

Arbeidet med å sørge for tilfredsstillende informasjonssikkerhet er en del av virksomhetens internkontroll. Den som behandler personopplysninger har plikt til å etablere og ivareta internkontroll for å sikre at lovens krav ivaretas. Plikten til internkontroll er hjemlet i helseregisterloven § 22, personopplysningsloven § 14 og personopplysningsforskriften kapittel 3.

For nærmere omtale av rutiner for informasjonssikkerhet og internkontroll, se rapporten «Gode helseregistre – bedre helse», punkt 12.5 – 12.7 og Norm for informasjonssikkerhet i helsetjenesten.