Foreløpig tittel for avhandlingen:
Autorisasjon og tilgangskontroll i helsesektoren
– rettslig og faktisk regulering av hvem som får tilgang til pasientopplysninger ved komplekse, flerinstansers helsehjelpforløp
Avhandlingen er tverrfaglig, den skal ha en noenlunde jevn fordeling av juridiske, teknologiske og samfunnsfaglige perspektiver.
De samfunnsfaglige utgangspunktene er institusjonsteori og forvaltningspolitikk. Området som undersøkes/beskrives er helsepolitikk og helseadministrasjon, betraktet som spesialtilfelle av den generelle forvaltningspolitikken. I snevrere forstand vil jeg undersøke sammenhengen mellom ny organisering av helsetjenestene og endringer i behovet for å utveksle helseopplysninger om den enkelte pasient innen og mellom helseforetak.
De rettslige reglene som har betydning for tilganger til helseopplysninger er omfattende, jeg har antatt at det er hensiktsmessig å dele inn i to hovedgrupper. Den ene hovedgruppen er kravene til virksomheter om hvordan de skal ivareta personvern og informasjonssikkerhet. I hovedsak dreier det seg om helseregisterlovens § 16 og utdypende krav i personopplysningsforskriftens kapittel 2, som blant annet omfatter krav til internkontroll for å sikre operasjonalisering og etterlevelse av den rettslige standarden ”tilstrekkelig informasjonssikkerhet”. Grunnlaget for å føre tilsyn med at virksomhetene faktisk har IT systemer og organisatoriske rutiner som er gode nok til å gjennomføre reell tilgangskontroll ligger i denne gruppen av regler.
Den andre hovedgruppen er de reglene som styrer den konkrete utvekslingen og bruken av helseopplysninger, og som forplikter både helsepersonellet individuelt og virksomhetene. Kjernen er helsepersonellovens regler om taushetsplikt, særregler om informasjonsplikter og unntak fra taushetsplikten, krav til samtykke for utlevering og bruk av opplysninger, samt pasientrettighetslovens regler blant annet om innsyn og medbestemmelse. Ambisjonen er å systematisere autorisasjonsreglene for tilgang til helseopplysninger. Det vil væreautorisasjonsreglene som, i hvert fall ideelt sett, skal realiseres i praksis av de tekniske mekanismene for tilgangstyring i IT systemene.
Det teknologiske perspektivet er teori om hvordan regler og prinsipper for autorisert tilgang kan representeres i formelle/deterministiske språk, og den teknisk gjennomtvingbarheten av autorisasjonsregler. I den grad og i de situasjoner der en sterk gjennomtvinging av tilgangskontroll ikke er ønskelig eller forsvarlig (fordi det gjør helsepersonellets jobb overdrevent tungvinn eller eventuelt setter pasientens helse i fare), er det aktuelt å undersøke hvordan unntak fra autorisasjonsreglene kan behandles på betryggende og etterprøvbar måte.
De viktigste konklusjonene vil ventelig være en begrunnet analyse av hvor godt samsvar det er mulig å oppnå mellom teknisk tilgangskontroll og den rettslige reguleringen på området.