Helsesektoren: Slik sender du helsedokumenter til pasienter uten digital postkasse
Helsesektoren: Slik sender du helsedokumenter til pasienter uten digital postkasse
En pasient med demens har vært innlagt. Epikrisen er klar. Pårørende med fullmakt skal ha en kopi. Men pårørende har ikke Helsenorge-tilgang, og pasienten selv kan ikke logge inn noe sted.
Helsesektoren har strenge krav til sikkerhet — men regelverket er mer fleksibelt enn mange tror når standard kanaler ikke er tilgjengelige.
Regelverkets krav
Konfidensialitet, integritet og tilgjengelighet
Helseregisterloven § 21 krever at den dataansvarlige og databehandleren gjennomfører tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå «som er egnet med hensyn til risikoen», med henvisning til GDPR artikkel 32. Loven krever tilgangsstyring, logging og etterfølgende kontroll.
Pasientjournalloven § 22 stiller tilsvarende krav. Pasientjournalloven § 19 bestemmer at opplysninger skal gjøres tilgjengelige «på en måte som ivaretar informasjonssikkerheten».
Kryptering er eksplisitt nevnt
Helseregisterloven § 21 note 2 i Karnov-kommentaren fremhever at kryptering er et relevant teknisk tiltak. I registre etablert med hjemmel i §§ 10 eller 11 skal direkte personidentifiserende kjennetegn lagres kryptert. Prop. 72 L (2013–2014) beskriver kryptering som videreføring av kravene til konfidensialitet.
Taushetsplikt
Alle som får adgang til helseopplysninger har taushetsplikt etter helseregisterloven § 17 og pasientjournalloven § 15. I tillegg gir ekomloven § 3-10 selvstendig taushetsplikt til tilbydere av elektronisk kommunikasjon.
Nasjonale e-helseløsninger: Når er de påkrevd?
For kommunikasjon mellom helseaktører — sykehus, fastleger, kommunale tjenester — kreves bruk av nasjonale meldingsstandarder. Pasientjournalloven § 8 og forskrift om standarder og nasjonale e-helseløsninger §§ 4–6 angir hvilke standarder som gjelder.
Men for direkte utlevering til pasient eller pårørende gir regelverket ikke et forbud mot alternative digitale kanaler. Kravet er at opplysningene gjøres tilgjengelige «på en måte som ivaretar informasjonssikkerheten».
«Annen forsvarlig måte» — nøkkelbestemmelsen
Forskrift om standarder og nasjonale e-helseløsninger § 6 avslutter med en viktig setning: «Er det i enkelttilfeller ikke mulig å sende melding som angitt i første ledd, skal opplysningene sendes på annen forsvarlig måte.»
Denne bestemmelsen åpner for alternative kanaler når standard ikke er tilgjengelig — forutsatt at den alternative kanalen er forsvarlig. Valg av alternativ kanal må være gjenstand for en konkret risikovurdering og sikre tilsvarende konfidensialitet, autentisering og sporbarhet.
Normen: Bransjestandard med rettslig vekt
Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren — Normen — er en bransjestandard som angir forventet nivå for informasjonssikkerhet. Helseregisterloven § 21 note 2 bekrefter at Normen vil tillegges vekt ved vurderinger av hva som er tilfredsstillende informasjonssikkerhet.
Normen er ikke juridisk bindende i seg selv, men Datatilsynet og domstoler vil se hen til den ved tilsyn. Det stilles ikke et absolutt krav om ende-til-ende-kryptering i alle tilfeller — kravene følger risikovurderingen. Men for sensitive helseopplysninger vil risikovurderingen ofte tilsi at kryptering er nødvendig.
Kan en kryptert tredjepartstjeneste brukes?
Ja, med vilkår. En kryptert tredjepartstjeneste kan i prinsippet benyttes dersom den samlede tekniske og organisatoriske sikkerheten er egnet i forhold til risikoen og lovens krav oppfylles.
Krav som må oppfylles:
Dokumenter en risikovurdering i samsvar med pasientjournalloven § 22 og helseregisterloven § 21.
Sørg for kryptering i transitt og i hvile for identifiserbare data.
Implementer sporbar leveranse — logging av hvem som har åpnet og lastet ned.
Avklar databehandleransvar og taushetsplikt. Helseregisterloven § 17 gir taushetsplikt til alle som får adgang til helseopplysninger.
Vurder om nasjonale e-helsekanaler er påkrevd for den aktuelle meldingstypen.
Hva som taler for:
PVN-2021-16 (Sykehuset Østfold, 500 000 kroner i gebyr) viser at helsesektoren sanksjoneres for manglende sikkerhet. Risikoen ved å IKKE bruke en sikker kanal er reell.
En zero-knowledge-tjeneste der leverandøren aldri ser innholdet reduserer risikoprofilen dramatisk — leverandøren kan ikke lekke det den aldri har hatt.
Rettslig usikkerhet
Feltet er delvis uavklart. Det finnes begrenset rettspraksis som presist regulerer bruk av nye krypterte tredjepartstjenester for direkte utsendelse til pasienter. Hver konkret løsning må vurderes opp mot lovens krav og dokumenteres grundig.
For helsevirksomheter som vurderer nye løsninger betyr dette at grundig dokumentasjon — risikovurdering, databehandleravtale, logging — er nøkkelen.
Posisjonering: Supplement, ikke erstatning
En kryptert overføringstjeneste erstatter ikke Helsenorge, Norsk Helsenett eller nasjonale meldingsstandarder. Den supplerer dem — for de tilfellene der mottaker faller utenfor den digitale infrastrukturen.
Forskrift § 6 anerkjenner at slike tilfeller finnes. Spørsmålet er bare hva «annen forsvarlig måte» betyr i praksis.
Rettskilder brukt i denne artikkelen
- Helseregisterloven §§ 17, 21
- Pasientjournalloven §§ 7, 8, 15, 19, 22
- GDPR art. 32
- Ekomloven § 3-10
- Forskrift om standarder og nasjonale e-helseløsninger §§ 4, 5, 6
- Pasientjournalforskriften § 13
- Prop. 72 L (2013–2014) kap. 6-4
- PVN-2021-16 (Sykehuset Østfold)
- PVN-2021-21 (OUS, databehandleravtale)
- Normen (Norm for informasjonssikkerhet i helse- og omsorgssektoren)
Relaterte artikler
- Sikker dokumentoverføring uten BankID
- GDPR og dokumentoverføring: Hva artikkel 32 betyr i praksis
- Det juridiske rammeverket for sikker digital dokumentoverføring
- Zero-knowledge-arkitektur
Håkon Haugen er praktiserende verge og grunnlegger av envei.no.
Håkon Haugen
Praktiserende verge og grunnlegger av envei.no
Trenger du å sende dokumenter sikkert?
Prøv envei gratis →