Tilgang til og videreformidling av helseopplysninger : regulering og kontroll på tvers av IT-systemer og organisatoriske grenser
Metadata
Show metadataAppears in the following Collection
- Det juridiske fakultet [9303]
Abstract
Avhandlingen er en tverrfaglig analyse av mulighetene for å kontrollere tilgang til helseopplysninger, med særlig vekt på de sammenhengene der ulike aktører har behov for de samme opplysningene. Hovedperspektivet er berettiget tilgang og videreformidling, altså den bruk av opplysninger som normalt skal eller bør finne sted. Det innebærer også at analysens mål først og fremst er å vurdere mulighetene for hensiktsmessig kontroll av de store datavolumene. Atypiske tilfeller og særskilt kompliserte gråsoner vies mindre oppmerksomhet.Det sentrale forskningsspørsmålet er ”hvilke teknologiske representasjoner er best egnet til å uttrykke og håndheve ulike sider ved reguleringen av tilgang til og videreformidling av helseopplysninger”? Denne reguleringen har to hovedkomponenter. Den ene er generelle krav til tilgangskontroll som en del av virksomhetens informasjonssikkerhetsarbeid, den andre er konkrete regler om når det kan gjøres unntak fra taushetsplikten, og på hvilke betingelser. Kravene til informasjonssikkerhet er forankret i personopplysningsretten, og basert på internkontroll som reguleringsmetode. Denne formen for regulering gir prosessregler som er svært fleksible, og gir virksomhetene stort handlingsrom. Taushetsplikten, som primært er regulert i helsepersonelloven, er i utgangspunktet individuell. Den binder hver enkelt som behandler helseopplysninger. Unntakene er i prinsippet uttømmende regulert, selv om det i praksis ligger noe fleksibilitet i at det ofte er en skjønnsmessig vurdering hvorvidt en unntakssituasjon faktisk har inntruffet. I avhandlingen legges det vekt på å tydeliggjøre forskjellene mellom disse to hovedkomponentene i reguleringen, selv om det også trekkes frem enkelte forhold som minsker avstanden mellom dem. Et forhold som minsker denne avstanden er at virksomhetene er pålagt å sørge for å legge til rette for at taushetsplikten blir overholdt. Et annet slikt forhold er at det både innen personopplysingsretten og helseretten finnes begrensede, men viktige, rettigheter til kontroll og medvirkning for pasienten. Likevel er det avstanden mellom disse to hovedkomponentene som er mest slående.
Den teknologiske innfallsvinkelen i avhandlingen er en drøfting av autorisasjonsprinsipper, og av hvordan de ulike trekkene ved reguleringen kan representeres i tilgangskontrollmekanismer. Beskrivelsene av representasjonsmåter er lagt på et relativt generelt nivå, og ikke knyttet til konkrete produkter eller implementasjoner. Autorisasjonsprinsippene er vurdert og sammenlignet ut fra kriterier som er utarbeidet og begrunnet gjennom avhandlingens innledende deler. Hvert av prinsippene har sterke og svake sider, ingen av dem peker seg ut som overlegent bedre enn de andre.