GDPR KOMMER - OG OPUS DENTAL ER KLAR!


Hva er GDPR?

EU’s forordning for personvern GDPR (The General Data Protection Regulation), blir norsk og svensk lov 25.mai 2018. Det betyr at vi får nye regler for personvern i Norge og i Sverige. Formålet med GDPR er et felles regelverk for Europa for å styrke borgernes rettigheter.

Hva blir nytt?

Det nye regelverket gir virksomheter nye plikter og enkeltpersoner nye rettigheter. Det legger flere plikter på den databehandlingsansvarlige, den åpner for strengere sanksjoner (20 M Euro / 4 % av årlig omsetning) og skjerpede varslingsrutiner ved brudd på regelverket (72 timer etter at bruddet ble oppdaget).


Krav til Internkontrollsystem

Det er et lovpålagt krav at internkontrollsystemet skal være dokumentert. Ledelsen må iverksette internkontroll, herunder sørge for tilfredsstillende informasjonssikkerhet. Dokumentasjonen bør deles i følgende hoveddeler:

  • Styrende elementer som i hovedsak retter seg mot ledelsen, herunder hvilke beslutninger og føringer de legger for internkontroll.
  • Gjennomførende elementer som i hovedsak retter seg mot ansatte. Her finner man beskrivelse av rutiner som er tilpasset den enkeltes arbeidssituasjon.
  • Kontrollerende elementer som bidrar til å fange opp avvik fra systemet og til at det gjennomføres periodiske gjennomganger. 

Pasientjournalsystemet (EPJ) – en liten del av bedriftens styringssystem

Pasientjournalsystemet er en liten del av de styringssystemene som databehandlingsansvarlig må implementere i den daglige driften.

  • Tilgangsstyring – omfatter alle bedriftens systemer, men også EPJ
  • Autorisasjonsregister – omfatter alle bedriftens systemer, men også EPJ
  • Hendelsesregistrering – omfatter alle bedriftens systemer, men også EPJ
  • Teknisk sikkerhetsløsning – ligger utenfor EPJ
  • Sikkerhets- og tilbakekopiering – omfatter også EPJ men ligger på utsiden
  • SMS og e-post - omfatter også EPJ men ligger både i og på utsiden
  • Flyttbare medier - ligger utenfor EPJ
  • Plassering av utstyr - ligger utenfor EPJ
  • Sikkerhetsrisikovurdering - ligger utenfor EPJ

Det stilles krav til å benytte systemer med innebygd personvern (Data protection by design and by default).

Opus Dental ønsker GDPR velkommen – har innebygget personvern

Med vårt moderne og driftssikre system Opus Dental, kan du være trygg på at DU er i stand til å etterkomme alle kravene som det eksisterende og nytt regelverk stiller til informasjons-sikkerheten i tannhelsen.

Opus Dental godkjent av sikkerhetsrevisorer

Med korrekt bruk og oppsett av Opus Dental, har vi i flere år etterkommet de kravene som i dag stilles både i Norge (personregisterloven) og Sverige (personuppgiftslagen). For å være i toppen av sikkerhetsarbeidet har Opus vært en av hovedaktørene i det offentlige prosjektet ElinT, som hadde krav om at elektroniske pasientjournalprogrammer etterkommer kravene til pasientsikkerheten og tilgjengelighet for tannhelsen. Opus Dental ble derfor sikkerhetsrevidert og godkjent av sikkerhetsrevisorer engasjert av myndighetene. Dette er et kvalitetsstempel, som vi er meget stolte av, og vi forsikrer våre kunder at det pågår kontinuerlig arbeid, som sørger for at pasientsikkerheten blir ivaretatt i Opus Dental.


Tilgangsstyring – på plass i Opus Dental

  • Rolletildeling
    • Verktøy>Tilgangssystem>Brukerinnstillinger
  • Rollen gir autorisasjon
    • Verktøy>Tilgangssystem>RolleinnstillingerTilgang tildeles etter tjenstlig behov
      • Lese-, skrive-, rette-, slette rettigheter
  • Bruker logger inn personlig
    • via PKI
    • sikkert brukernavn og passord
    • Via AD(katalogtjeneste)


Autorisasjonsregister – på plass i Opus Dental

  • Lister> Autorisasjonstildeling
  • Etterkommer kravene til oppbevaring i 5 år

Hendelsesregistrering /logging – på plass i Opus Dental

  • Lister>Aktivitetslogg
    • entydig identifikator for den autoriserte brukeren
    • rollen den autoriserte brukeren har ved tilgangen
    • virksomhetstilhørighet
    • hvilke typer opplysninger det er gitt tilgang til
    • hvem som har fått utlevert helseopplysninger
      (fremgår av henvisninger/epikriser)
    • tidspunkt og varighet for tilgangen

Samtykke - på plass i Opus Dental

  • Personalia
    • avkrysning for avgitt samtykke til å motta tilbud på SMS
    • Tilgang til pasienter på tvers av virksomheter klinikkfellesskap/samholden journalføring – samtykke angis og journalføres før tilgang gis – bruker avkreves autentisering via brukernavn og passord.
  • krever på forhånd inngåelse av databehandleravtale mellom virksomhetene
  • nødrettstilgang

Pasientens rettigheter ivaretatt

  • Innsyn - Pasienten kan få utlevert data registrert på seg
  • Pasienten kan få en utskrift av loggen som forteller hvem som har vært inne på sine pasientopplysninger
  • Retting, sletting
  • Sperring og opphevelse sperring -  av journalrad
  • Sperring og opphevelse av sperring - hele journalen
  • Permanent sletting av journalrad
  • Reservasjon av innsyn - VIP pasient

Hva har Opus Systemer AS gjort og hva skjer fremover

  • Opus Dental er forberedt for GDPR
  • Databehandleravtaler med alle kundene til Opus skal kvalitetssikres/oppdateres/opprettes
  • Vi oppdaterer programmet fortløpende på nye funksjoner og ivaretar regelverket
  • Vi sørger for løpende oppdatering når nye punkter blir klargjort fra myndighetene