Juridisk arbeid i digitaliseringsprosjekter
På denne siden finner du prosesstøtte for å arbeide med juridiske problemstillinger i digitaliseringsprosjekter innen helse- og omsorgssektoren.
Når du arbeider med digitaliseringsprosjekter er det ikke til å unngå at du må forholde deg til en rekke regelverk. Digitaliseringstiltak i helse- og omsorgssektoren innebærer ofte at det skal behandles helseopplysninger i det som utvikles, og at helseopplysninger skal deles mellom ulike aktører.
Behandling av helseopplysninger er underlagt et omfattende regelverk, som inneholder er rekke krav som må oppfylles og vil være styrende for valg av løsning. Manglende bevissthet rundt regelverket kan medføre at prosjektet må stanses og løsningskonsepter må endres når man har kommet langt utviklingen. Det er en rekke krav som må være oppfylt ved behandling av helseopplysninger:
- Løsning og dataflyt
- Juridisk grunnmur
- Personvern og helserett
- Rettslig grunnlag
- Roller og ansvar
- Taushetsplikt
- Sikkerhet
- Rettigheter
- Annet
Virksomhetene som jobber med digitaliseringsprosjekt, må derfor forholde seg til og aktivt arbeide med dette regelverket i det daglige. For å vurdere juridiske forhold må det foreligge beskrivelser av faktum blant annet hvilke opplysninger som skal behandles og dataflyten.
Virksomhetene i sektoren jobber på ulik måte, og vil ha ulike tilnærminger til prosjektarbeid og prosjektmetodikk. Denne prosesstøtten er ment å være generell, slik at veiledningen som gis kan tas opp og integreres i de ulike prosess- og metodeverkene som er i bruk. Mange virksomheter har et forhold til Digitaliseringsdirektoratets anbefalte prosjektmodell for offentlig sektor (Prosjektveiviseren), det gjøres derfor henvisninger til denne i prosesstøtten.
Steg 1: Bli kjent med hvilke regelverk prosjektet ligger under
I den innledende fasen av prosjektet finnes det gjerne få konkrete beskrivelser, men mer overordnede tanker, visjoner eller planer. Allerede i denne fasen må det avklares om det skal behandles person- eller helseopplysninger. I Prosjektveiviseren er de første to prosjektfasene omtalt som hhv. idèfasen og konseptfasen.
Selv med fravær av konkrete problemstillinger er det allerede her viktig å knytte de innledende tankene i prosjektet til relevant regelverk. Start derfor med å få oversikt over spesielt relevante lover og bestemmelse som kan være relevant for prosjektet slik det er utformet på et tidlig stadium.
Steg 2: Les relevante deler av regelverkene
Les de relevante delene av lovene og bestemmelsene på denne siden. Ved gjennomlesing oppdager man ofte bestemmelser og momenter som kan være relevante for prosjektet. Utdypende informasjon finnes i lovenes forarbeider. Forarbeidene består av utredninger (NOU), høringer lovproposisjoner (regeringen.no) og dokumenter fra lovens behandling i Stortinget (stortinget.no).
I mange tilfeller finnes det også veiledere til lovene og forskriftene, så forsøk gjerne å finne slike. Eksempler på dette er:
- Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (ehelse.no)
- Ledelse og kvalitetsforbedring i helse- og omsorgstjenesten (helsedirektoratet.no)
- Datatilsynets veileder om virksomhetens plikter etter personvernregelverket (datatilsynet.no)
- Nasjonal sikkerhetsmyndighets grunnprinsipper innenfor fagområdene digital sikkerhet, fysisk sikkerhet, personellsikkerhet og sikkerhetsstyring (nsm.no)
Steg 3: Identifiser mulige utfordringer
Mens du leser lover, forskrifter og eventuelt forarbeider og øvrig veiledning, noterer du deg forhold og momenter du tenker kan være relevant for prosjektet ditt, og i særlig grad dersom du tenker at regelverket på en eller annen måte kan utfordre prosjektbeskrivelsen i nåværende fase.
Juridiske forhold må avklares så tidlig som mulig. Kan den foreslåtte løsningen etableres innenfor gjeldende rett eller er det behov for å justere på løsningsbeskrivelsen? For å vurdere dette må det helsefaglige behovet, formålet og løsningen beskrives konkret nok til å gjøre juridiske vurderinger.
Å jobbe smidig er dagens praksis i mange miljøer som arbeider med digitalisering. Smidig utvikling må imidlertid skje innen rammen av gjeldende regelverk.
Jussen er faktumsensitiv og små nyanser i løsningen kan ha stor betydning juridisk sett. Blant annet er dataflyten av vesentlig betydning. Hvor lagres det opplysninger, og hvem skal de deles med? Foreligger det rettslig grunnlag etter gjeldende regelverk for å behandle (blant annet lagre) de aktuelle opplysningene til det aktuelle formålet, og er det adgang til å gjøre opplysningene tilgjengelige for dem det er ønskelig å dele dem med?
Det må vurderes hvilke tiltak er aktuelle. Fordeler, ulemper og eventuelle dilemmaer ved hvert alternativ må da vurderes.
Dokumenter gjerne dine funn i prosjektets arkiv.
Steg 4: Drøft utfordringene
Ta med notatene dine til ressurser i din virksomhet som jobber med juridiske spørsmål, eventuelt personer som kan bidra til å skape klarhet rundt relevansen og aktualiteten av de forhold du har oppdaget opp mot prosjektbeskrivelsen og prosjektets formål.
De fleste virksomheter skal ha et personvernombud som skal ha kjennskap til blant annet personvernregelverket, og oversikt over hvilket handlingsrom virksomheten har til å behandle personopplysninger. Sammen med eventuelle ansatte eller innleide jurister i virksomheten vil dette være sentrale ressurser å oppsøke.
Dersom dere ikke har slik kompetanse i prosjektet kan det være lurt å leie inn noen som kan gjøre dette arbeidet for dere.
I tillegg til interne drøftinger med personvernombud og jurister kan du:
- undersøke om problemstillingen er drøftet av andre virksomheter dere samarbeider eller har dialog med
- undersøke om andre prosjekter i virksomheten gjør lignende arbeid.
- undersøke om det finnes tilsynsrapporter, (eksempelvis hos Datatilsynet, Helsetilsynet eller Riksrevisjonen), dommer eller nemdsavgjørelser (eksempelvis Personvernnemda) som omhandler lignende problemstillinger
Det sentrale i dette steget er å få vurdert og avklart i hvilken grad dine funn har betydning for prosjektet. Dersom funnet kan ha betydning skal disse adresseres og implementeres i prosjektets videre plan, tas hensyn til i forankringen og ved eventuelle faseoverganger.
Dersom du og de du har søkt råd hos er usikre på hvordan regelverket er å forstå, og dermed om prosjektet kan realiseres innenfor gjeldende regelverk, kan du be de respektive myndighetene som har ansvar for å fortolke de ulike regelverk om en tolkningsuttalelse, se myndigheters ansvar for ulike regelverk.
Steg 5: Oppsummer
Etter gjennomgått trinn 1-5 skal du ha avklart:
- hvilke regelverk og paragrafer som er relevante for ditt prosjekt
- orientert prosjektledelsen om eventuelle relevante funn og i hvilken grad funnene har betydning for prosjektbeskrivelsen og formålet med prosjektet
- sørget for at funn blir behandlet ved faseoverganger i prosjektet
- innhentet nødvendige råd og vurderinger for å sørge for at beslutningsgrunnlaget er best mulig opplyst
Underveis i alle steg er det lurt å dokumentere prosessen og veivalgene som er tatt – i innledende steg kan du dokumentere uformelt, mens i senere steg vil det være påkrevd å benytte virksomhetens ordinære arkiveringsprosedyrer.