Styrket egenkontroll med pasienters e-journaler

Av Medvind Media/Context for NTNU/ Nokios-konferansen 2019

Nye løsninger for kjernejournal styrker enkeltpersoners kontroll over egne opplysninger, gjør det enklere å ivareta egne rettigheter og sikrer personvernet, både for den enkelte og for myndighetenes muligheter til å etterleve lover, prinsipper og regler for personvern.

D et sier Elena Kurnosova, personvernkoordinator i Felleskjøpet Agri SA. Elena har mastergrad i jus og ledelse med spesialisering i offentlig forvaltning. Hun er utdannet fra Academy of Public Administration, Hviterussland, og har en bachelorgrad i personvern og informasjonssikkerhet fra det juridiske fakultet ved Universitetet i Oslo.

Studenter løste saken

– Prosjektet vårt er knyttet til systemet for helsemyndighetenes innføring av kjernejournal. I prosjektet har studentene fremmet forslag til hvordan forbedringene kan implementeres i kjernejournal.

Som et resultat av dette ble det laget to nye elementer i eksisterende løsning for kjernejournal:

– Kilde-knappen og informasjonsboksen
– Ny side «Rettslige krav»

Bacheloroppgaven hennes, skrevet i samarbeid med fire andre studenter, har tittel “Systemrutine for gjennomføring av GDPR art. 14 – om informasjon til registrerte”. Oppgaven har nå i år vunnet Datatilsynets studentpris for innebygd personvern i praksis, og oppdragsgiver var Direktoratet for e-helse.

Direktør for Datatilsynet, Bjørn Erik Thon, har karakterisert arbeidet slik:
«– løsningen vil kunne bidra til å gjøre det enklere for enkeltpersoner å bruke sine rettigheter og den styrker kontrollen over egne opplysninger i kjernejournal».

Nyskapende arbeid

Kurnosova gir en beskrivelse av hva som er nyskapende aspekter med hensyn til å ivareta personvern:

  • forbedret design av noen steder i kjernejournal som gjør det enklere for den registrerte å bruke sine rettigheter.
  • klassifiserte informasjon som er gitt fra Direktoratet for e-helse til de registrerte. All informasjon som skal gis etter artikkel 14 har vi gruppert og plassert der det er intuitivt enklere å finne. Vårt forslag er naturlig fortsettelse på eksisterende design.
  • har gitt informasjon som kreves av personvernforordningen, men som manglet i kjernejournal.
  • flere endringsforslag som er knyttet til oppfyllelse av det som registreres og rettigheter ved å bruke innebygd personvern.

– Systemet gir allerede informasjon til de registrerte, men forslagene våre gjør det enklere for de registrerte å finne frem informasjon. Vi har samlet og gruppert informasjon som ble spredt tre ulike steder og har lagd til informasjon som manglet, men kreves å være etter artikkel 14. Det gjelder formål, de berørte kategoriene
og informasjon om lagringstid. Den informasjonen var ikke til stede da vi begynte med prosjektet.

Mer egenkontroll

For det første har gruppen laget oversikt over hva slags typer personopplysninger som behandles i Kjernejournal, hvem som er bruker, hvem som defineres som behandlingsansvarlig, og hvem som mottakere av personopplysningene.

– Det er viktig at de grunnleggende prinsippene for behandling av personopplysninger er oppfylt. Vi vurderte hvilket rettslig grunnlag behandling har, hvilket formål den har, og sjekket om det kun innhentes opplysninger som er nødvendig for at Kjernejournal skal fungere slik det er tenkt. Vi sjekket om Kjernejournal gjør det enkelt for den registrerte å ivareta sine rettigheter. Etter vurdering har vi foreslått korrigeringstiltak.

Gruppen har sørget for at personvernkrav og sikkerhetskrav gjenspeiles i designet.

– Vår løsning gjør det lettere for enkeltpersoner å bruke sine rettigheter. Informasjon som trengs er plassert der det er naturlig å lete etter den. Slik at relevant informasjon gis på et riktig sted. Løsningen ivaretar de registrertes rettigheter som rett til retting, sletting, begrensning, rett til å protestere og rett til informasjon.

Enklere for det offentlige

Med dette er det ikke minst enklere for Direktoratet for e-helse å etterleve personvernregelverket.

Under arbeidet med bacheloroppgaven tenkte studentene hele tiden på om personvernprinsippene er fulgt. For etter artikkel 5 er det viktig å etterleve krav om rettslig grunnlag, formålsbegrensing og at opplysningene må være korrekte. Personvernprinsippene gjelder uansett hvilket krav man skal bygge inn i systemet.

– Oppdraget styrker enkeltpersoners kontroll over egne opplysninger ved at vi omplasserte skjemaer på det stedet hvor det er enklere å finne dem fram. Her snakker vi om rett til å reservere seg mot å ha kjernejournal,
og regulering av tilgang til kjernejournal. Med dette understøtter løsningen kravet om innebygd personvern. Slik løses etterlevelse av kravet om åpenhet, ved å gi informasjon til de registrerte.

Innebygd personvern

Vi kategoriserte, grupperte og plasserte forskjellig informasjon slik at enkeltpersoner har kontroll over egne opplysninger.

– Ved å bruke hvert enkelt skjema som eksisterte fra før, men som på en måte var skjult for de registrerte, så er nå det lettere å endre, rette eller slette opplysninger i Kjernejournal, eller bestemme selv hvem som skal ha tilgang til Kjernejournal. Den registrerte kan lett å finne skjema som gir mulighet å bruke sin rett til å reservere seg mot å ha kjernejournal, og reservere seg mot å ha Kjernejournal.

Det unike studentarbeidet er altså opphavet til e-løsninger som styrker informasjonssikkerhet, ved at de registrerte kan regulere tilgang til Kjernejournal. E-løsningen er nå sikret med et innebygd personvern som ikke fantes inntil studentprosjektet var gjennomført.