IT-sikkerhet og personvern i fremtidens journalsystem

fremtidens journalsystem

Et moderne og fremtidsrettet journalsystem må ta hensyn til strenge krav for it-sikkerhet, effektiv autentisering og brukertilganger.

Se for deg at du som sykepleier ved en omsorgsbolig kommer på jobb mandag morgen. Du hilser pent på fru Olsen, som allerede har fått hjelp til å komme seg opp av sengen og sier hei til kolleger idet du går inn på vaktrommet. Lukten av nytrukket kaffe fyller neseborene dine og du finner frem en kopp fra midterste hylle i skapet på kjøkkenet. Du fyller koppen og setter deg til rette i en kontorstol foran en pc. 

Foran deg ser du nå en påloggingsskjerm til pasientjournalen dere bruker. I dag skal du jobbe i avdeling grønn ved omsorgsboligen. Du velger rolle sykepleier, avdeling grønn og fyller inn din påloggingsinformasjon. Opp på skjermen foran deg dukker dagens gjøremål og pasienter du som sykepleier har ansvar for. Og kun disse. Pasienter ved andre avdelinger og gjøremål som ikke er relevant for ditt arbeid, og som du ikke trenger å se eller skal ha tilgang til, er skrelt bort. På denne måten får du informasjonen du trenger – oversiktlig og lett tilgjengelig.

Mange vil nok oppleve at dagens løsninger er relativt uoversiktlige og ser frem til mer moderne brukergrensesnitt. Det er også grunnen til at Visma nå jobber målrettet, sammen med flere av våre kunder, for å lage et journalsystem som er brukervennlig og tilrettelagt for de behov som finnes i dagens, og i morgendagens omsorgstjeneste.

Bruker du Visma Profil i dag, og er community-bruker, kan du få en sniktitt fra utviklingen av Visma Flyt Omsorg om temaet tilgangssytring her.

En forutsetning for digitalisering

En moderne og fremtidsrettet pasientjournal må ta hensyn til strenge krav til sikkerhet, effektiv autentisering og brukertilganger. Gode og gjennomtenkte løsninger for dette legger også tilrette for å tilpasse løsningen til ulike brukergrupper. På denne måten vil journalen fremstå som trygg, relevant og brukervennlig for hver enkelte bruker.

I behovsanalysen til utviklingen av en ny pasientjournal skriver Direktoratet for e-helse at videreutvikling av journalløsninger som ivaretar informasjonssikkerhet og personvern, vil være en forutsetning for digitalisering av helse- og omsorgssektoren. Dette for å levere moderne helsetjenester og dra nytte av utviklingen innenfor medisin og teknologi.

Sikkerhet og personvern står naturligvis i høysetet når Visma nå utvikler fremtidens kommunale pasientjournal – Visma Flyt Omsorg. Som en av Europas ledende leverandører av skytjenester, følger et stort ansvar for å også være ledende på personvern og sikkerhet. Kunder skal kunne stole på at vi gjør alt som står i vår makt for å beskytte dem og deres data, og alltid sier ifra hvis noe galt skulle skje. 

I Visma gir vi våre kunder den tryggheten ved å være åpne om hvordan vi jobber med IT-sikkerhet, og har blant annet plattformen Visma Trust Center, som gir oversikt over hvordan data og informasjon lagres og beskyttes. 

– Skytjenester er mer robuste

I rapporten Utviklingstrekk fra 2018 viser Direktoratet for e-helse til at bruk av skytjenester innenfor visse rammer ivaretar personvern og informasjonssikkerhet på en bedre måte enn dagens løsninger med lokale installasjoner. Dette videreføres naturligvis videre inn arbeidet med fremtidens pasientjournaler.

«Skyløsninger som er bygget for det profesjonelle markedet er ofte mer robuste enn løsninger rettet mot forbrukere, også innenfor sikkerhet og personvern. Selskapene bak profesjonelle skyløsninger tilfredsstiller ofte flere regulatoriske krav, har høy transparens og innbyr til høy tillit, for eksempel ved å la vedlikeholdsarbeidere kun ha utvidede tilganger til maskiner, tjenester og data i bestemte tidsrom, hvor all aktivitet logges,» skriver Direktoratet.

Allerede i 2016 startet Visma arbeidet med plattformen for å lage den nye generasjonen skybasert pasientjournal for kommunal sektor. Hvis du vil lese mer om våre planer for kommune-Norges nye pasientjournal – Visma Flyt Omsorg – kan du gjør det her.

Ansvarsforhold

Veien mot skyen medfører en rekke endringer og utfordringer i måten vi alle arbeider på. Målet er at alt skal bli mer brukervennlig, intuitivt, sikrere, og samtidig mer tilgjengelig. En kombinasjon som krever mye av en ny og moderne pasientjournal.

Når pasientjournalene flyttes opp i skyen endres ansvarsforholdet mellom leverandørene og kundene. Det oppstår et klart skille mellom hva leverandøren av pasientjournalen som databehandler har ansvar for, og hva kunden som dataansvarlig har ansvar for. Dette ansvaret reguleres gjennom databehandleravtalen. Avtalen regulerer begge parters ansvar, hvor leverandøren har ansvar for å besørge tilgang til data, sikker oppbevaring og forsvarlig drift. Avtalen regulerer i tillegg en rekke forhold knyttet til GDPR, rettigheter og plikter, samt behandling av personopplysninger.

Direktoratet for e-helse har i denne forbindelse laget et vedlegg, basert på Normen 6.0, som både dataansvarlig og databehandler skal forholde seg til. Dataansvarlig skal sammen med databehandler gå gjennom dette vedlegget ved innføring av pasientjournalen, for å sikre at alle krav ivaretas. 

Normen 6.0 er siste versjon og er nå harmonisert opp mot GDPR, og har tydelige referanser til GDPR-artikler og aktuelle norske lover. Normen skal bidra til å understøtte gode helsetjenester, god pasientsikkerhet, kvalitetssikring, helsepersonellets læring, godt personvern og pasientens helsetjeneste.

Visma vil i samarbeid med våre kunder følge disse kravene, og ta ansvar for at Norman ivaretas ved innføring av Visma Flyt Omsorg. Flyt Omsorg er underlagt helselovgivningen og kjøres via Norsk Helsenett. 

Pålogging/Autentisering

Helsepersonell må ofte forholde seg til mange systemer, og flere ulike – ofte tidkrevende – pålogginger for å få tilgang til nødvendig informasjon. Dette gjelder også for bruk av pasientjournalen. 

Det har derfor blitt identifisert et behov for å redusere antall pålogginger og påloggingsmetoder, og legge til rette for en mer helhetlig arbeidsflate med færre systemer/vinduer å forholde seg til. Dette har blitt gjort gjennom den nasjonale standarden HelseID, en tjeneste som også Visma Flyt Omsorg legger til rette for som standard. 

HelseID tilbyr pålogging som en tjeneste, og er tilrettelagt for bruk i nasjonale e-helseløsninger. 

Gjennom bruk av Visma Connect og ID-porten tilbyr Visma sikker pålogging og autentisering.
Visma Connect er den sentrale identitetsleverandøren og katalogtjenesten for Visma som muliggjør enkel pålogging til ett eller flere systemer som operatørene har tilgang til. 

kodeverkfortjenester

Tilgangsstyring

I eksempelet med sykepleieren i starten av denne artikkelen kunne du lese hvordan påloggingen til journalsystemet gjør at pleieren kun får tilgang til pasienter han skal ha tilgang til. I Visma Flyt Omsorg benyttes denne formen for pålogging, kalt rollebasert pålogging. Det innebærer at den ansatte velger rolle (i vårt eksempel sykepleier), i tillegg må den ansatte angi hvilken organisatorisk enhet han skal jobbe i. 

Dersom den organisatoriske enheten gjenspeiler en tjeneste, vil den ansatte med sin rolle kun få tilgang til pasienter som har denne tjenesten. På denne måten unngås vide tilganger og man kan enkelt fordele nøyaktige og korrekte autorisasjoner.

I Flyt Omsorg er det også mulig å opprette grupper og team hvor man knytter grupper av pasienter mot team av ansatte sammen. På den måten fordeles utvidet tilganger trygt og effektivt. 

I arbeid med pasientjournaler er det virksomheten selv som er ansvarlig for at autorisasjoner tildeles, administreres og kontrolleres. Ved tildeling av autorisasjon skal lovbestemt taushetsplikt vurderes og ivaretas. Tildelt autorisasjon skal sikre at medarbeideren kan få tilgang til nødvendige og relevante helse- og personopplysninger i samsvar med ansvar og oppgaver, så langt lovbestemt taushetsplikt ikke er til hinder for det.

Som et siste element i denne artikkelen er det viktig å nevne at alle pasienter har rett til innsyn i sin egen journal, og de har også rett til å få vite hvem andre som har hatt tilgang til journalopplysningene. I Visma Flyt Omsorg løses dette med å tilby integrasjon mot den nasjonale Kjernejournalen.

Det å lage en god og brukervennlig løsning henger tett sammen med it-sikkerhet. Visma har et stort fokus på brukervennlighet, samtidig som kravet til sikkerhet og personvern skal være godt ivaretatt i kommune-Norges nye pasientjournal. 

Vil du vite mer om utviklingen av Visma Flyt Omsorg? I vår arrangerte vi et gratis nettseminar hvor vi delte siste nytt fra utviklingen, samt hadde en live demo av løsningen.

Se nettseminaret her

6