GDPR og Extensor

Extensor jobber nå med følgende ift. innføring av GDPR:

  • Vi vil ila den nærmeste tiden sende ut databehandleravtale til våre kunder som enda ikke har dette.
  • Som kunde vil man ila kort tid motta e-post hvor vi trenger at du bekrefter og samtykker til at vi har informasjon/data lagret om deres virksomhet i våre styringssystemer.
  • Som kunde vil man ila kort tid motta e-post hvor vi trenger at du bekrefter og samtykker til å motta informasjon via nyhetsbrev eller pr e-post fra oss.
  • Det vil igangsettes rutiner for sletting av «ikke aktiv» informasjon i våre styringssystemer på data som ikke er relevant for oss pr d.d.

Vi får mange spørsmål om hvordan vi ivaretar blant annet sletting av data/informasjon i våre journalsystemer. Det vesentlige her er å etterleve pasientjournalforskriften med dens føringer for lagring og oppbevaring av pasientsensitive data. Det er viktig å merke seg at innholdet i selve journalsystemet i all hovedsak speiles opp mot normen og de reguleringer/lovpålegg som foreligger her. Innhold i selve journalsystemet kan ikke knyttes til selve reguleringer som GDPR gir, da pasientsensitive data er i en særstilling.

Når det gjelder våre interne rutiner er det viktig å påpeke at Extensor ikke benytter underleverandører som gis tilgang til kundeinformasjon. Vi flytter heller ingen data over til eksterne leverandører som holder til utenfor EU/EØS land.

Pasientjournalsystemet er en liten del av de styringssystemene som databehandlingsansvarlig må implementere i den daglige driften.

Viktige fakta vedrørende GDPR:

  • Tilgangsstyring – omfatter alle bedriftens systemer, men også EPJ
  • Autorisasjonsregister – omfatter alle bedriftens systemer, men også EPJ
  • Hendelsesregistrering – omfatter alle bedriftens systemer, men også EPJ
  • Teknisk sikkerhetsløsning – ligger utenfor EPJ
  • Sikkerhets- og tilbakekopiering – omfatter også EPJ men ligger på utsiden
  • SMS og e-post – omfatter også EPJ men ligger både i og på utsiden
  • Flyttbare medier – ligger utenfor EPJ
  • Plassering av utstyr – ligger utenfor EPJ
  • Sikkerhetsrisikovurdering – ligger utenfor EPJ

Det stilles krav til å benytte systemer med innebygd personvern (Data protection by design and by default). Med Extensor kan man være trygg på at virksomheten er i stand til å etterkomme alle kravene som det eksisterende og nye regelverk stiller til informasjons-sikkerheten. Med korrekt bruk og oppsett av Extensor, har vi i flere år etterkommet de kravene som i dag stilles i Norge. Dette ved: tilgangsstyring, rollen som gir autorisasjon, innlogg via personlige bruker, autorisasjonsregister, hendelsesregistrering/logging, samtykke ved mottakelse på SMS og E-post, bruk av databehandleravtale mellom partene, pasientrettigheter er ivaretatt ved innsyn, utskrift, retting/sletting, sperring og oppheving av sperring, permanent sletting (i tilfeller hvor dette er påkrevd) og reservasjon av innsyn.

Har du spørsmål vedrørende GDPR utover dette kan dere kontakte oss på support@extensor.no