Det juridiske grunnlaget

For helsepersonell i Norge gjelder:

  • Personopplysningsloven (med GDPR)
  • Pasientjournalloven og Pasientjournalforskriften
  • Helsepersonelloven § 21 (taushetsplikt)
  • Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen)

Disse pålegger deg konkrete plikter. Brudd kan i prinsippet føre til både erstatningsansvar, tilsynssaker og — i ekstreme tilfeller — tap av autorisasjon.

Minimumstiltak for solo-praksis

Disse er ikke valgfrie. De er minimum.

1. Sikker innlogging

Pålogging til journalsystemet skal ikke være kun brukernavn og passord. BankID eller annen sterk autentisering (multi-faktor) er praktisk standard i 2026. Hvis ditt journalsystem ikke støtter dette, er det et problem.

2. Databehandleravtale

Hvis du bruker et journalsystem fra en leverandør, behandler de pasientdata på dine vegne. Det krever en signert databehandleravtale som regulerer:

  • Hva leverandøren behandler og hvordan
  • Hvor data lagres (geografisk og teknisk)
  • Hvem har tilgang
  • Hvor lenge data oppbevares
  • Hvordan brudd håndteres
  • Retten til å trekke tilbake data ved oppsigelse

Hvis du ikke har en signert avtale, er du teknisk i brudd med GDPR.

3. Tilgangskontroll

Bare du skal ha tilgang til pasientdata, eller andre som er underlagt taushetsplikt og har tjenstlig behov. I praksis betyr det:

  • Lås PCen når du forlater kontoret (selv kort)
  • Ikke bruk delte kontoer
  • Skjermsperre etter inaktivitet (5 min eller mindre)

For solo-praksis er dette enkelt — du er den eneste brukeren.

4. Backup og datatap

Pasientjournalen skal ikke gå tapt. Det betyr:

  • Daglig automatisk backup
  • Backup lagres på et annet sted enn primær-installasjon
  • Du har testet at backup faktisk kan gjenopprettes
  • Backup er kryptert

Hvis du ikke har testet at backup-en fungerer, har du ikke en backup. Du har en antagelse.

5. Lagring og sletting

Pasientjournal skal etter pasientjournalforskriften oppbevares i minst 10 år etter siste pasientkontakt. Pasienten har rett til:

  • Innsyn i egen journal (innen 30 dager)
  • Korrigering av feilaktige opplysninger
  • Sletting av visse opplysninger (med begrensninger)

Sliter ditt system med disse oppgavene, må du ha en manuell prosess som sikrer at de skjer.

6. Logging og sporbarhet

Du skal kunne dokumentere hvem som har sett pasientens data. Det betyr at journalsystemet må logge:

  • Hvem som har logget inn
  • Hvilke pasientjournaler som er åpnet
  • Endringer i journal (versjonering)

Loggene må oppbevares like lenge som journalen.

7. Avvikshåndtering

Hvis det skjer et brudd — uautorisert tilgang, tap av data, e-post sendt til feil mottaker — har du plikt til å varsle Datatilsynet innen 72 timer dersom bruddet kan medføre risiko for de berørte. Ha en kort skriftlig prosedyre for dette før noe skjer.

Hva DocY Solo gjør: BankID via Idura (en del av Stø, tidligere Criipto), lokal database knyttet til din installasjon, daglig kryptert backup, sesjonshåndtering (8t absolutt + 1t inaktivitet), tilgangslogg, profesjonsbasert tilgangskontroll, databehandleravtale før første pasient legges inn. For detaljer — be om sikkerhetsdokumentasjonen via kontakt.

Sjekkliste — gjør dette uansett system

  • Sterk autentisering (BankID eller MFA) — ja/nei
  • Signert databehandleravtale med leverandør — ja/nei
  • Daglig backup som er testet — ja/nei
  • Skjermlås etter 5 min inaktivitet — ja/nei
  • Tilgangslogg som du kan eksportere ved tilsyn — ja/nei
  • Kort prosedyre for avviks- og bruddhåndtering — ja/nei
  • FAQerklæring tilgjengelig for pasientene — ja/nei

Hvis svaret er nei på noen — fiks det. Det er ikke bare god praksis, det er lovkrav.

Kilder