Det stilles krav til Helse Nord-Trøndelag om organisering og systemer som personopplysningene behandles i. Helse Nord-Trøndelag behandler personopplysninger hovedsakelig i elektroniske systemer. Helseforetakene i Midt-Norge har inngått avtale om felles pasientjournalsystem.
Helseforetakene i Midt-Norge bruker i hovedsak leverandører og underleverandører innenfor EU/EØS.
Det er pr. i dag få leverandører utenfor EU/EØS.
Helse Midt-Norge IT, som er HNTs databehandler i de fleste sammenhenger, har fått gjennomført en ekstern vurdering av IT-sikkerheten i forbindelse med etablering og drift av nytt logistikk og økonomisystem i Helse Midt-Norge.
Det vises til Helse Midt-Norge RHFs pressemelding av 21.6.2018.
Det forgår også manuell behandling av personopplysninger. Behandling av personopplysninger gjøres i følgende sammenhenger:
Registrering
Personopplysninger registreres for eksempel ved at helseopplysninger dokumenteres i pasientjournal.
Korrigering/endring
Personopplysninger kan korrigeres og/eller endres etter henvendelse fra den opplysningene gjelder (pasient, ansatt eller andre).
Lesing
I forbindelse med oppgaveløsning i Helse Nord-Trøndelag blir personopplysninger lest. Eksempel: Før pasientbehandling leser helsepersonell i pasientens journal.
Bearbeiding / sammenstilling
Utvalgte personopplysninger bearbeides og sammenstilles i virksomhetsinterne kvalitetsregistre for internkontroll og kvalitetssikring av helsehjelp til de enkelte pasienter. Dette er primærbruk av personopplysningerene. Bearbeiding / sammenstilling av anonymiserte personopplysninger kan også skje i forsknings- og statistikkøyemed, og er da sekundærbruk av personopplysningene.
Oppbevaring / arkivering
Oppbevaring/arkivering av personopplysninger skjer i ulike typer systemer.
Ulevering av personopplysninger - pasienter
Bestemmelser i helsepersonelloven regulerer utlevering av helseopplysninger til samarbeidende personell. Helse Nord-Trøndelag har opplysningsplikt etter helsepersonelloven, for eksempel til å utlevere personopplysninger til tilsynsmyndighetene. Det er opplysningsplikt til barneverntjeneste, sosialtjeneste og nødetater. Til dem utleveres kun de personopplysninger som er nødvendig for å dekke deres formål. Helse Nord-Trøndelag overfører personopplysninger til andre etter samtykke / anmodning fra pasient.
Utlevering av personopplysninger - ansatte
Personopplysninger om ansatte utleveres for eksempel til skattemyndighetene og NAV.
Offentliggjøring
Offentlighetsprinsippet gjelder for helseforetakenes virksomhet. Det innebærer at enhver har rett til innsyn i Helse Nord-Trøndelags virksomhet, for eksempel i opplysninger i saksdokumenter. Det kan bes om innsyn i personopplysninger i saksdokumenter uavhengig av det opprinnelige formålet med å behandle opplysningene. Retten til å be om innsyn i personopplysninger gjelder ikke dersom personopplysningene er underlagt lovpålagt taushetsplikt. Da er Helse Nord-Trøndelag forpliktet til å unnta personopplysningene fra innsyn etter offentlighetsloven.
Sletting
Arkivloven gjelder for helseforetakets virksomhet. Derfor skal opplysninger i din pasientjournal ikke slettes. Saker og saksdokumenter som er arkivverdige skal oppbevares etter at sakene er avsluttet og ikke lenger er nødvendig for helseforetakets løpende virksomhet. Dette innebærer at personopplysninger i saksdokumenter blir arkivert lenger enn hva som er nødvendig for det opprinnelige formålet.
Ekstern rapport om IT-sikkerhet (pressemelding 21.6.2018 på helse-midt.no)