- Vi setter alt inn på å kunne gi alle pasienter forsvarlig helsehjelp i tiden som kommer. Korona-situasjonen er altoverskyggende i media og offentligheten har et stort behov for informasjon. Samtidig må helsepersonell og sykehus også opprettholde kravene til pasientenes personvern og informasjonssikkerheten, sier personvernombud Jens Kristian Jebsen og informasjonssikkerhetsleder Henriette Henriksen i Vestre Viken.

Personvern og forsvarlig helsehjelp

- Åpenhet om våre sykehustjenester er både lovlig og ønsket. Det bidrar til kontroll med at tjenestene vi yter er forsvarlige, at pasientenes sikkerhet ivaretas, at deres rettigheter oppfylles, men også til at offentlige ressurser forvaltes på en god måte. Åpenhet er svært viktig når samfunnet nå settes på prøve, sier Jebsen og Henriksen.

- Selv om situasjonen nå er utfordrende, må personvern og informasjonssikkerhet ivaretas. Dette gjelder i den konkrete pasientoppfølgingen, i informasjonsutveksling internt og med andre helseaktører, i kvalitetssikring og forskning og i dialogen med media, sier de.

- Helsepersonell har taushetsplikten i ryggmargen

- Helsepersonelloven § 21 sier at vi skal hindre at andre får adgang eller kjennskap til opplysninger om folks legems- eller sykdomsforhold eller andre personlige forhold som de får vite om i egenskap av å være helsepersonell. Også informasjon om at en pasient er innlagt på sykehus eller har oppsøkt helsepersonell er som utgangspunkt taushetsbelagt, sier Jebsen og Henriksen.

De forteller at konfidensialiteten mellom behandler og pasient har eldgamle røtter, for å sikre at pasienten gir behandler informasjonen som er nødvendig for å yte forsvarlig helsehjelp. Den hippokratiske ed uttrykker: «Alt som kommer til min viten under utøvingen av mitt yrke eller i daglig samkvem med mennesker, som ikke burde bli kjent for andre, vil jeg holde hemmelig og aldri avsløre».

- Vi opplever nå spenninger mellom å informere utad og ivareta personvern. Det er da viktig å huske at den lovbestemte taushetsplikten innebærer at helsepersonell og sykehus ikke kan dele helseinformasjon om pasienter uten særskilt lovhjemmel, sier Jebsen og Henriksen.

- Vi kan fort komme i skade for å dele slik informasjon selv om ikke pasientnavn oppgis. Ved å avsløre en samlet informasjon om alder, kjønn, hjemstedskommune er det fare for at pasienten blir identifisert. Da har vi brutt vår taushetsplikt.

- Dersom vi i tillegg gir ut informasjon om helsetilstand i form av bakenforliggende sykdom eller hvilken behandling som gis har vi begått et alvorlig brudd på taushetsplikten. Det er straffbart, påpeker de.

Hvorfor fokus på informasjonssikkerhet?

Det er mange rettslige krav rundt informasjonssikkerhet.

- Vi skal ikke gå inn i detaljene her, fokuset må være å forstå risikoer og hendelser i samfunnet og cyberkriminalitet.
Samfunnssikkerhet og generell sikkerhetspolitikk påvirker også kompleksiteten rundt informasjonssikkerhet. Det er kjent problemstilling at ulike sektorer, eksempelvis forsvar, våpenindustri og spesialisthelsetjenesten, er mål for profesjonelle trusselaktører, sier Jebsen og Henriksen.

Det digitale bildet har en økende verdikjede, gamle og nye systemer skal samhandle, ny teknologi og avstandsoppfølging introduseres forløpende, samtidig skal informasjonssikkerheten ivaretas.

- Ved store hendelser og krisesituasjoner øker også hendelser av ondsinnet angrep, både direkte mot ansatte og mot infrastruktur. Ondsinnede angrep skjer ofte gjennom phishing-kampanjer via e-post og SMS. Vi ser at dette nå øker under koronapandemien, sier de.

Flere institusjoner er rammet, eksempelvis ble Brno universitetssykehus i Tsjekkia rammet av løspengevirus. Akuttpasienter måtte derfor til annet sykehus og operasjoner ble utsatt. Falske og reelle nettsider benyttes som lokkemiddel - det interaktive kartet relatert til Covid-19 ved John Hopkins university & medicine ble benyttet som lokkemiddel av kriminelle. En skole i Oslo måtte over på ny kommunikasjonsløsning da en naken mann dukket opp på skjermen til elevene, via undervisningsappen.

- Vi forvalter tillit

- Alvorlige hendelser og kriser kan ofte ta oppmerksomheten bort fra informasjonssikkerheten. Dersom vi benytter teknologiske løsninger som ikke er risikovurderte, kan vi både kompromittere sykehuset digitale infrastruktur, dele sensitiv informasjon med uvedkommende og i verste fall bidra til uriktig informasjon legges til grunn i pasientbehandlingen, sier de.

- Gode og balanserte sikkerhetsmekanismer for ivaretakelse av konfidensialitet, integritet og tilgjengelighet, er ufravikelig, også ved kriser. Cyberkriminaliteten tar aldri pauser, men helseforetaket er pålagt å ha kontroll.

- Vi forvalter pasientenes og ansattes helse- og personopplysninger. Vi forvalter tillit, avslutter personvernombud Jens Kristian Jebsen og informasjonssikkerhetsleder Henriette Henriksen.