Gå til hovedinnhold
Veileder for elektronisk meldingsutveksling

Organisering, krav og politiske føringer

Her finner du overordnede føringer og forskrifter for utveksling av helse- og personopplysninger. Du kan også lese om hvilke krav til informasjonssikkerhet som gjelder for deling av slike opplysninger i sektoren.

Hopp til innhold

Statlig organisering

I Norge er det Helse- og omsorgsdepartementet som har det overordnede ansvaret for at befolkningen får gode og likeverdige helse- og omsorgstjenester. Helsedirektoratet og Direktoratet for e-helse er underlagt Helse- og omsorgsdepartementet.

Norsk Helsenett SF (NHN) er et statsforetak, eid av Helse- og omsorgsdepartementet. NHN sitt oppdrag er å levere og videreutvikle en sikker, robust og hensiktsmessig nasjonal IKT-infrastruktur for effektiv samhandling mellom alle aktører i helse- og omsorgstjenesten.

Føringer

Man må være bevisst at å utveksle meldinger er å dele pasientopplysninger med andre. Meldingene lagres ordrett i pasientjournalen hos avsender og mottaker. Det viktigste grunnlaget for utveksling av helseopplysninger er samtykke fra den informasjonen gjelder. I tillegg kan utveksling og annen behandling av informasjon være lovpålagt, eller det kan være anledning til å utveksle informasjon i visse situasjoner. Helsepersonelloven,[6] og helseregisterloven,[7] regulerer bruken av og tilgang til helseopplysninger. Det er helsepersonells tjenstlige behov som ligger til grunn for slik tilgang og bruk. Helsepersonelloven sier at helsepersonell som skal yte helsehjelp, skal ha tilgang til nødvendige og relevante helseopplysninger for å kunne gi forsvarlig helsehjelp. Dette gjelder med mindre pasienten motsetter seg dette. Pasient- og brukerrettighetsloven,[8] beskriver hvordan pasienter og brukere har rett til innsyn i journalen sin og deres rett til å motsette seg utlevering av journal eller opplysninger i journal. Forskrift om pasientjournal legger ytterligere føringer for håndtering av tilgang og organisering av pasientens journal.

Ny personvernforordning (GDPR) fra 2018.

Bruk av IKT i helse- og omsorgssektorene er også regulert i Helse- og omsorgstjenesteloven,[9] og der spesifiseres det at aktører i helse- og omsorgssektoren skal ta hensyn til behovet for effektiv elektronisk samhandling ved anskaffelse og videreutvikling av sine journalsystem. Obligatorisk bruk av EPJ er regulert i forskrift om IKT-standarder i helse- og omsorgstjenesten.[10] Forskriften regulerer også bruk av standarder for å fremme sikker og effektiv elektronisk samhandling. Den gjelder for både private og offentlige virksomheter. Virksomhetene skal bruke programvare som tilfredsstiller obligatoriske krav for sikring av informasjon i EPJ og for å bedre elektronisk samhandling.

Informasjonssikkerhet er en av forutsetningene som skal ligge til grunn ved utveksling av helse- og personopplysninger. Tilfredsstillende informasjonssikkerhet vil si at virksomhetene må sørge for opplysningenes konfidensialitet, integritet, kvalitet og tilgjengelighet i sin meldingsutveksling. Alle som skal utveksle helseopplysninger har et ansvar for å sikre at det benyttes korrekt meldingstype, at det faglige innholdet er tilfredsstillende og at meldingen blir sendt til riktig mottaker.[4] Elementer som blant annet krav om faglig forsvarlighet, tydelig ansvarsplassering, taushetsplikt og vern om pasientens integritet må ivaretas.[1] Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren (normen) er et omforent sett av krav til informasjonssikkerhet basert på lovverket, og er utarbeidet for å sikre et felles minimumsnivå for informasjonssikkerhet i sektoren.[5] Alle virksomheter som er tilknyttet Helsenettet, har forpliktet seg til å følge Normen gjennom sin kundeavtale med NHN. I tilknytning til Normen er det utarbeidet ulike veiledere og støttedokumentasjon. Dette inkluderer krav til meldingsutveksling. Denne inneholder en oversikt over de mest sentrale kravene som må være på plass for at elektronisk meldingsutveksling skal være forsvarlig.