veileder i informasjonssikkerhet ved bruk av …...eus nye personvernforordning vil innføres i...

Veileder i informasjonssikkerhet ved bruk av velferdsteknologi

Veilederen er et støttedokument til Norm for informasjonssikkerhet

Utgitt med støtte av:

Versjon 2.0

www.normen.no

Merknad 24.03.2019: Dokumentet er ikke oppdatert fra siste versjon av Normen (5.3), ny personopplysningslov, endringer i helselovgivningen, eller EUs personvernforordning

http://www.normen.no/

Veileder for velferdsteknologi

Veileder ved bruk av velferdsteknologi Ver 2.0 side 2 av 41

INNHOLDSFORTEGNELSE

1 INNLEDNING ............................................................................................................. 5

1.1 BAKGRUNN ...................................................................................................................... 5

1.2 OM VEILEDEREN ............................................................................................................... 6

1.3 AVGRENSNING ................................................................................................................. 7

1.4 VEILEDERENS FORHOLD TIL EUS NYE PERSONVERNFORORDNING ................................................. 7

2 RISIKOVURDERING .................................................................................................... 9

3 SENTRALE PROSESSESSER ........................................................................................ 11

4 INFORMASJONSSIKKERET IFM. UTPRØVING ............................................................. 12

4.1 BEHANDLES DET HELSE- OG PERSONOPPLYSNINGER? .............................................................. 13

4.2 GJENNOMFØR RISIKOVURDERING FØR UTPRØVING ................................................................. 14

4.3 GJENNOMFØR TILTAK SOM I DRIFTEN .................................................................................. 14

4.4 AVSLUTTENDE AKTIVITET ETTER UTPRØVING ......................................................................... 14

4.5 FORSLAG TIL SJEKKLISTE VED UTPRØVING ............................................................................. 15

5 INFORMASJONSSIKKERHET IFM. ANSKAFFELSE ........................................................ 16

5.1 GJENNOMFØR FORBEREDELSE OG DIALOG MED LEVERANDØR ................................................... 16

5.2 ANBEFALTE KRAV TIL LEVERANDØRER VED KJØP AV UTSTYR ...................................................... 17

5.3 ANBEFALTE KRAV TIL LEVERANDØRER VED KJØP TJENESTE ........................................................ 20

5.4 GJENNOMFØR RISIKOVURDERING VED ANSKAFFELSE ............................................................... 23

5.5 ETABLER DATABEHANDLERAVTALE ...................................................................................... 23

5.6 FORSLAG TIL SJEKKLISTE VED ANSKAFFELSE............................................................................ 25

6 INFORMASJONSSIKKERHET IFM. DRIFT .................................................................... 26

6.1 PLASSER ANSVAR OG ETABLER ROLLER ................................................................................. 26

6.2 OPPDATER STYRINGSSYSTEMET FOR INFORMASJONSSIKKERHET ................................................. 27

6.3 OPPDATER OVERSIKTEN OVER BEHANDLINGER AV PERSONOPPLYSNINGER ................................... 27

6.4 GI OPPLÆRING ............................................................................................................... 27

6.5 ETABLER / VEDLIKEHOLD TILGANGSSTYRING .......................................................................... 28

6.6 VURDER OG SLETT OVERSKUDDSINFORMASJON ..................................................................... 29

6.7 LAGRINGSTID FOR OPPLYSINGENE ....................................................................................... 29

6.8 ETABLER OG FØLG OPP LOGGING ........................................................................................ 29

6.9 INFORMASJONSSIKKERHETSTILTAK ...................................................................................... 30

6.10 GJENNOMFØR AVVIKSBEHANDLING MELLOM VIRKSOMHETEN OG LEVERANDØR............................ 31

6.11 INFORMASJONSSIKKERHET IFM. Å AVSLUTTE TJENESTEN HOS BRUKER ......................................... 31

6.12 FORSLAG TIL SJEKKLISTE VED DRIFT ...................................................................................... 31

6.13 NÅR BLIR LØSINGER FOR PRIVATE FORMÅL VIRKSOMHETENS ANSVAR? ....................................... 32

7 EKSEMPLER ............................................................................................................. 33

7.1 EKSEMPEL 1: TRYGGHETSSKAPENDE TEKNOLOGIER ................................................................ 33

7.2 EKSEMPEL 2: MESTRINGSTEKNOLOGIER .............................................................................. 34

7.3 EKSEMPEL 3: UTREDNINGS- OG BEHANDLINGSTEKNOLOGIER ................................................... 35

7.4 EKSEMPEL 4: VELVÆRETEKNOLOGIER .................................................................................. 36



8 VEDLEGG ................................................................................................................. 37

8.1 ANBEFALING TIL AUTENTISERING FRA NASJONALT VELFERDSTEKNOLOGIPROGRAM ........................ 37

8.2 REFERANSER .................................................................................................................. 40

8.3 DELTAGERE I REFERANSEGRUPPEN ...................................................................................... 41

Figurer og eksempler Figur 1: Sentrale prosesser ....................................................................................................... 11

Figur 2: Prosesskart - informasjonssikkerhet ifm. utprøving ................................................... 12

Figur 3: Prosesskart - informasjonssikkerhet ifm. anskaffelse ................................................. 16

Figur 4: Prosesskart - informasjonssikkerhet ifm. drift ............................................................ 26

Figur 5: Bruker anskaffer selv velferdsteknologi ...................................................................... 32

Figur 6: Eksempel 1: Trygghetsskapende teknologier ............................................................. 33

Figur 7: Eksempel 2: Mestringsteknologier .............................................................................. 34

Figur 8: Eksempel 3: Utrednings- og behandlingsteknologier ................................................. 35

Figur 9: Eksempel 4: Velværeteknologier ................................................................................ 36



Endringshistorikk for og godkjenning av dokumentet

Versjon Endringer Godkjent av styringsgruppen for Normen (dato)

1.0 Første utgave av veilederen 02.03.15

2.0 Andre utgave av veilederen med følgende endringer: - Behandler kun informasjonssikkerhet som er spesielt for

velferdsteknologi. - Personvern er tatt ut - Veilederen dekker ikke veiledning i juridiske problemstillinger

(dokumentasjon, samtykke, avstandsoppfølging mv.). Se kapittel 1.3 Avgrensning

- Veiledren struktureres som en tenkt prosess fra ide til anskaffelse i kap. 2

- Det er gitt fire nye eksempler - Tekst er skrevet om for å rendyrke det som er spesielt for

velferdsteknologi pg gi referanser til mer informasjon i faktaark og veildere

- Risikovurdering er framhevet - Personvernforordningen (GDPR) omtales. Se kap. 3 - Endret layout: Kursiv og definisjoner er borte ny font, økt

bruk av bilder og illustrasjoner

08.06.17



1 INNLEDNING

1.1 Bakgrunn

Stortinget vedtok ved behandlingen av revidert nasjonalbudsjett 2013 en nasjonal satsing på velferdsteknologi – nasjonalt velferdsteknologiprogram. Vedtaket er en oppfølging av Meld. St 29 (2012-2013) «Morgendagens omsorg». I begrepet velferdsteknolog inngår det: Trygghetsskapende teknologier som muliggjør at mennesker kan føle trygghet og ha mulighet til å bo lengre hjemme. I dette inngår løsninger som gir mulighet for sosial deltakelse og motvirker ensomhet. Av teknologiske løsninger kan nevnes trygghetsalarm, fallsensor, GPS lokalisering, videosamtaler, komfyrvakt, brannalarm mv.

Mestringsteknologier (medisinske målinger) som skal muliggjøre at mennesker bedre kan mestre egen helse. I dette inngår teknologiske løsninger til personer med kronisk sykdom/lidelser, personer med behov for rehabilitering/opptrening og vedlikehold av mobilitet. Av teknologiske løsninger kan nevnes elektronisk pilledispenser, utstyr for personlig måling av kroppsfunksjoner (f.eks. oksygenopptak, blodsukker, blodtrykk, metning mv.), videospill for å trene mobilitet og stimulere til aktivitet, kroppssensorer som måler og stimulerer til opptrening/styrke mv. Utrednings- og behandlingsteknologier som muliggjør avansert medisinsk utredning og behandling i hjemmet som følges opp av spesialisthelsetjenesten. Området dekker også avanserte helsemålinger som utføres av fastleger og kommunehelsetjenesten, f.eks. 24-timers blodtrykksmåling, mekanisk ventilasjonsstøtte og smertepumpe.

Velværeteknologier som bidrar til at mennesker blir mer bevisst på egen helse og avhjelper hverdagslige gjøremål uten at nedsatt helsetilstand er årsak til bruken av teknologi. Teknologien kan bidra til folkehelsefremmende arbeid. Av teknologiske løsninger kan nevnes skritteller, kaloriforbrenningsmåler, løsninger for automatisk lysregulering, persiennestyring, varmestyring mv. Dette området dekkes primært via det private konsumentmarkedet.

Momentene nedenfor viser noen områder ved planlegging og innføring av velferdsteknologiske tjenester som kan være utfordrende for personvernet og informasjonssikkerheten: Mange aktører overvåker internettbruk for å framskaffe detaljerte opplysninger om brukere til bruk i direkte salg og markedsføring. Opplysninger om helse- og omsorgsbehov er spesielt

https://www.regjeringen.no/nb/dokumenter/meld-st-29-20122013/id723252/?docId=STM201220130029000DDDEPIS&ch=1&q=

https://www.regjeringen.no/nb/dokumenter/meld-st-29-20122013/id723252/?docId=STM201220130029000DDDEPIS&ch=1&q=



verdifulle. Det ville derfor være meget uheldig om løsninger for velferdsteknologi benyttes slik at tjenestenes opplysninger gjøres tilgjengelig for slike tjenester og aktører. Det kan genereres mye informasjon som det ikke er behov for. Det kan være en utfordring å sortere ut informasjonen virksomheten har behov for og ikke. Virksomheten må hindre at opplysningene som lagres er uforenelig med det formålet velferdsteknologien er tiltenkt brukt overfor brukeren, og som brukeren gitt sitt samtykke til.

Flere av løsningene innen velferdsteknologi kan medføre bevisst/ubevisst kontroll (overvåking) av bruker. Det kan for eksempel være lagring av bevegelsesmønster gjennom geografisk sporing, helseovervåking gjennom kroppssensorer og overvåking av atferdsmønster gjennom smarthusteknologi i form av kamera og bevegelsessensorer. Dette kan oppleves som krenkende for den enkelte. Målsetningen med god informasjonssikkerhet er å sikre at opplysninger kun behandles der det er nødvendig.

Det kan være mange aktører involvert. Helse- og personopplysninger kan bli overført til ulike aktører som for eksempel virksomheten, alarmsentraler, utstyrs- og kommunikasjonsleverandører for oppfølging og bistand. Dette medfører at det må etableres klare ansvarslinjer. Aktørene kan være både synlige og ikke synlige for bruker.

I de velferdsteknologiske løsningene kan deler av teknologien være i hjemmet, i en institusjon og festet på bruker. Dette innebærer at det stilles krav om sikring av helse- og personopplysninger på flere steder og nivåer innen en og samme tjeneste. Truslene ved å knytte løsningene til Internett gjør det påkrevet med sikring.

1.2 Om veilederen

Fokus for denne veilederen er informasjonssikkerhet ifm. utprøving, anskaffelse, drift og avvikling av velferdsteknologiske løsninger. Veilederen tar opp informasjonssikkerhetstema som er spesielle for velferdsteknologi. For generelle informasjonssikkerhetstema vises det i veilederen til øvrig materiell under Normen. Denne veilederen er et støttedokument under Normen som forvaltes av styringsgruppen for Normen. Gjeldende utgave av Normen bygger på regelverket og er à jour i forhold til dette regelverket. Veilederen er utarbeidet for styringsgruppen for Normen

med støtte av Helsedirektoratet og deltagere fra sektoren. Se kapittel 8.3 for deltagerne i referansegruppen. Sekretariatet for normen anmoder leser om å sende spørsmål og kommenterer om veilederen til: [email protected]. Målgruppen for veilederen er virksomheter som omfattes av Normen og som gjør bruk (eller planlegger å gjøre bruk) av løsninger for velferdsteknologi. De som kan ha nytte av

https://ehelse.no/personvern-og-informasjonssikkerhet/norm-for-informasjonssikkerhet/styringsgruppe-for-norm-for-informasjonssikkerhet

mailto:[email protected]



veilederen vil være personell fra virksomheten og leverandøren innen IKT-arkitektur, prosjektledelse innen velferdsteknologi, anskaffelse av velferdsteknologi, IKT-drift og informasjonssikkerhet inne de ulike prosessene slik de framkommer av Figur 1: Sentrale prosesser. Mange av begrepene som benyttes i veilederen er begrep som benyttes i Normen og støttedokumentene. Begrepene er definert i kapittel 1.1 i Normen I forbindelse med velferdsteknologien benyttes det definisjoner fra i KS sitt læringsmateriell for virksomhetene "Velferdsteknologiens ABC".

1.3 Avgrensning

Som nevnt ovenfor er fokus for denne veilederen informasjonssikkerhet. Ved planlegging, beslutningsprosesser for å gi tiltak til pasient/bruker, etablere tiltaket og i driften er det en rekke andre forhold som virksomheten må ta stilling til og etablere tiltak for. Dette er forhold som virksomheten må avklare før tjenesten tas i bruk og før denne veilederen kommer til anvendelse. Noen relevante forhold er gitt med referanse til hvor veiledning kan forespørres. I denne veilederen som omhandler informasjonssikkerhet er ikke disse forholdene behandlet. Rundskriv IS-8/2012 Helsepersonelloven med kommentarer Rundskriv IS-8/2015 Pasient- og brukerrettighetsloven med kommentarer Rundskriv IS-6/2010 Helsepersonells taushetsplikt Veileder IS-2442 Veileder for saksbehandling av tjenester etter helse- og omsorgstjenesteloven Se for øvrig https://helsedirektoratet.no/

1.4 Veilederens forhold til EUs nye personvernforordning

EUs nye personvernforordning vil innføres i norsk lov i mai 2018. Dette vil medføre endringer i den norske personvernlovgivningen og dermed endringer i kravene til den behandling av helse – og personopplysninger som denne veilederen omtaler. Denne veilederen forholder seg til kravene som følger av dagens personvern- og helselovgivning. De nye kravene fra forordningen omtales kun sporadisk. Når det er klart hva konsekvensene av den nye personvernforordningen blir for denne veilederen vil den oppdateres med de nye kravene.

https://ehelse.no/Documents/Normen/2%20Normen%20prosessdok/Norm%20for%20informasjonssikkerhet%205.2%20%20utgave.pdf

http://www.ks.no/fagomrader/utvikling/innovasjon/velferdsteknologi/velferdsteknologiens-abc/

https://helsedirektoratet.no/Lists/Publikasjoner/Attachments/207/Helsepersonelloven-med-kommentarer-IS-8-2012.pdf

https://helsedirektoratet.no/Lists/Publikasjoner/Attachments/945/IS-%208%202015%20Rundskrivpasientogbrukerrettighetsloven.pdf

https://helsedirektoratet.no/Lists/Publikasjoner/Attachments/209/Helsepersonells-taushetsplikt-vern-av-pasientens-integritet-i-helsepersonells-samtaler-med-pasienten-IS-6-2010.pdf

https://helsedirektoratet.no/Lists/Publikasjoner/Attachments/1149/Veileder-for-saksbehandling-IS-2442.pdf

https://helsedirektoratet.no/Lists/Publikasjoner/Attachments/1149/Veileder-for-saksbehandling-IS-2442.pdf

https://helsedirektoratet.no/



Bildet indikerer at det på dette området vil komme vesentlige endringer som følge av nye personvernregler i 2018..

Oppdatert informasjon om personvernforordningen fins på:

• Datatilsynet side: https://datatilsynet.no/Regelverk/EUs-personvernforordning/

• KMDs side: https://www.regjeringen.no/no/tema/statlig-forvaltning/personvern/nye-personvernregler-i-eu/id2340094/

• Eu’s side: http://www.eugdpr.org/

https://datatilsynet.no/Regelverk/EUs-personvernforordning/

http://www.eugdpr.org/



2 RISIKOVURDERING All behandling av helse – og personopplysninger skal risikovurderes. Det er risikovurderingen som ligger til grunn for alle de videre vurderingene og beslutningene; blant annet om man vil ta i bruk en velferdsteknologisk løsning, for hvordan behandlingen av opplysningene skal foregå og hvilke tiltak som settes i verk. For metode vises det til Normens faktaark 7, veiledning fra Datatilsynet, veiledning fra Difi eller standeren NS-ISO/IEC 27005:2011 - Risikostyring av informasjonssikkerhet. Nedenfor gis eksempler på områder som kan inngå i risikovurderingen av velferdsteknologi. Tilgjengelighet: - Tilgjengelighet for helseopplysninger ved å vurdere den tekniske løsningen (f.eks. ved

trygghetsalarm), herunder alternative løsninger - Ødeleggende programvare (f.eks. om løsningen er tilknyttet Internett) Integritet - Bruk av nettbrett (f.eks. at uautoriserte ikke kan endre helse- og personopplysningene) - Tilgangsstyring i virksomheten for å hindre uautorisert endring av helse- og

personopplysninger og konfigurasjonen (f.eks. responssenterløsning, fagsystem, EPJ-systemet)

- Opplæring for å hindre brukerfeil ved registrering av opplysninger - Feil i ustyr og programvare som kan medføre at helse- og personopplysninger ikke er

korrekte - Uautorisert endring av helse- og personopplysninger og konfigurasjon ved tilgang fra

eksterne nett (f.eks. Internett, trådløse nett og mobilnett) Konfidensialitet: - Tilgangsstyring hos bruker (f.eks. nettbrettet, rapporteringsløsninger, dørlåser, mv.) - Databehandlers behandling av helse- og personopplysninger - Bruk av nettbrett (f.eks. at uautoriserte får tilgang til helse- og personopplysninger, bruk

av nettbrettet til Internett-baserte apper som kan eksponere helse- og personopplysninger, kryptering av helse- og personopplysninger om nettbrettet bringes ut av hjemmet)

- Tilgangsstyring i virksomheten (f.eks. responssenterløsing, fagsystem, EPJ-system) - Leverandørs løsning for fjernaksess - Utstyr skal knyttes til Internett eller benytte Internett som bærer (f.eks. at det kan

etableres en kanal inn i utstyret og mot virksomhetens sikre sone) - Sikring av trådløse nett

https://ehelse.no/faktaark-07-risikovurdering

https://www.datatilsynet.no/Sikkerhet-internkontroll/Risikovurdering/

http://internkontroll.infosikkerhet.difi.no/risikovurdering

http://www.standard.no/



Personvernkonsekvensvurdering

Den nye personvernforordningen innfører et krav om å utrede personvernkonsekvensene i tillegg til å gjennomføre risikovurderinger for enkelte behandlinger. Dette gjelder i de tilfellene der tiltaket utgjør et stort inngrep i personvernet. Les mer om dette hos Datatilsynet, https://www.datatilsynet.no/Regelverk/EUs-personvernforordning/hva-betyr/alle-skal-vurdere-risiko-og-personvernkonsekvenser/?showContentList=true&showDetailedContentList=false&readMode=false

https://www.datatilsynet.no/Regelverk/EUs-personvernforordning/hva-betyr/alle-skal-vurdere-risiko-og-personvernkonsekvenser/?showContentList=true&showDetailedContentList=false&readMode=false






3 SENTRALE PROSESSESSER Figuren nedenfor viser prosessbokser i et tenkt løp fra utprøving til drift av velferdsteknologi. I den enkelte virksomhet kan det være andre og flere typer løp. Som nevnt under avgrensning i kap. 1.3 vil det være andre prosesser som virksomheten må ivareta, men som ikke dekkes av denne veilederen.

4.1 Behandles det helse- og personopplysninger?

4.2 Gjennomfør risikovurdering før utprøving 4.3 Gjennomfør tiltak som i driften 4.4 Avsluttende aktivitet etter utprøving 4.5 Forslag til sjekkliste ved utprøving

5.1 Gjennomfør forberedelse og dialog med leverandør

5.2 Anbefalte krav til leverandører ved kjøp av utstyr

5.3 Anbefalte krav til leverandører ved kjøp tjeneste

5.4 Gjennomfør risikovurdering ved anskaffelse 5.5 Etabler databehandleravtale

6.1 Plasser ansvar og etabler roller 6.2 Oppdater styringssystemet for

informasjonssikkerhet 6.3 Oppdater oversikten over behandlinger av

personopplysninger 6.4 Gi opplæring 6.5 Etabler / vedlikehold tilgangsstyring 6.6 Vurder og slett overskuddsinformasjon 6.7 Lagringstid for opplysingene 6.8 Etabler og følg opp logging 6.9 Informasjonssikkerhetstiltak 6.10 Gjennomfør avviksbehandling mellom

virksomheten og leverandør 6.11 Informasjonssikkerhet ifm. å avslutte

tjenesten hos bruker 6.12 Forslag til sjekkliste ved drift

Figur 1: Sentrale prosesser

Bruk av veilederen

Ja

Nei

Anskaffelse

Drift

Utprøving

Behandles det person-

opplysninger?



4 INFORMASJONSSIKKERET IFM. UTPRØVING Før virksomheten gjør valg om anskaffelse kan det være aktuelt å prøve ut ulikt utstyr og/eller tjenester fra en/eller flere leverandører. Hensikten kan for eksempel være å komme frem til riktige teknologiske løsninger for brukerne. Det er ikke denne veileders intensjon å anbefale at kommunene har en utprøvingsfase før anskaffelse. Men en rekke kommuner skisserer at dette er praksis. Det understrekes at det er ikke nødvendig med utprøvingsfase i forbindelse med utredning av informasjonssikkerhetsaspektene ved velferdsteknologien. Ved å prøve ut nye løsninger, før de tas i «vanlig» bruk, reduseres risiko knyttet til skjulte feil og mangler. Dette øker sjansen for å avdekke og løse uforutsette problemer. Hensikten med utprøvingen er å sjekke hva som fungerer og ikke fungerer i praksis, og så foreta nødvendige justeringer, om mulig, for å ivareta kravene til personvern og informasjonssikkerhet. I heftet ”Velferdsteknologiens ABC Utprøving og vurdering av bruk” behandles det andre forhold ved utprøvingen. Figuren nedenfor viser en tenkt prosess for informasjonssikkerhet ifm. utprøving av velferdsteknologi.

Figur 2: Prosesskart - informasjonssikkerhet ifm. utprøving

Gjennomfør tiltak som i

driften

Gjennomfør risiko-

vurdering

Behandles det person-

opplysninger?

Avsluttende aktivitet

Overføres til drift

Avslutte eller overføre til

Drift?

Avslutt bruk av veilederen

Nei

Ja

http://www.ks.no/contentassets/a920496503954698b773aa3c70667c28/ks_velferdsteknologiens-abc_del-d_f41_skjerm.pdf



4.1 Behandles det helse- og personopplysninger?

De samme kravene som følger av lov og av Normen gjelder uansett om det er i utprøving eller drift. Det er ikke mulig å lempe på tiltakene selv om det er under utprøving av velferdsteknologi. Når det behandles helse- og personopplysninger i utprøvingen skal alle tiltak gjennomføres som om det er normal drift (jf. Kap. 6). Dette gjelder uansett om utprøvingen er kortvarig eller går over år.

I velferdsteknologiske løsninger kan det av og til være vanskelig å avgjøre om opplysningene som avgis av velferdsteknologien er personopplysninger eller ikke. Personopplysning er en opplysning eller vurdering som kan knyttes til en enkeltperson, slik som for eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer). Helseopplysninger er sensitive personopplysninger om helseforhold. Opplysninger om atferdsmønstre er også regnet som personopplysninger. Opplysninger om personens handlinger, om og hvor personen beveger seg i løpet av en dag og hva han/hun søker etter på nettet er alt sammen personopplysninger. I noen velferdsteknologiske løsninger kan overføring av data knyttes til en identitet (ID) (pseudonym) som forteller hvem opplysingene kommer fra. IDen knyttes først til personen når opplysingene er registrert i responssenterløsningen. IDen i seg selv er ingen personopplysning, men det at den finnes gjør at dataene er identifiserbare og dermed personopplysninger. Bruk av ID kan lette på typen tiltak og omfanget av dem, for sikring av opplysningene, om løsingen er etablert slik at det kreves uforholdsmessig mye å få tak i koblingslisten mellom ID og personen. Bruk av velferdsteknologi uten at det skjer i forbindelse med ytelse av helse- og omsorgstjenester kan f.eks. forekomme ved bruk av utstyr som ikke generer helseopplysninger, f.eks. komfyrvakt eller dørsensor, eller ved bruk av velferdsteknologisk utstyr fra private leverandører, f.eks. trygghetsalarm fra et vaktselskap. Slikt utstyr kan generere opplysninger av forskjellige art og det kan være vanskelig å forutse om det kommer til å genereres sensitive personopplysninger (herunder helseopplysninger) eller personopplysninger generelt. Det er derfor viktig at man i forkant av bruken av slikt utstyr gjennomfører grundige vurderinger av hvilke typer opplysninger utstyret kan komme til å generere, og se dette opp mot hvilke hjemmelsgrunnlag som gjelder for behandling av disse opplysningene.



Om utprøvingen ikke skal skje i samarbeid med pasienter/brukere anbefales det at utprøvingen skjer uten bruk av personopplysninger ved bruk av fiktive personopplysninger (for eksempel Testaktører hos Norsk Helsenett) eller anonyme datasett. Faktaark 43 - Bruk av testdata i systemer som inneholder helse- og personopplysninger vil gi ytterligere hjelp.

Om det ikke behandles personopplysninger i utprøvingen kan bruk av denne veilederen avsluttes ifm. utprøvingen.

4.2 Gjennomfør risikovurdering før utprøving

Det anbefales å gjennomføre risikovurderingen før utprøvingen som om det er en anskaffelse. I kap. 2 gis det forslag til scenarioer som kan inngå i risikovurderingen. Et mål med utprøvingen kan være å teste ut forskjellig utstyr (for eksempel en aktivitetsmåler av en annen type fra en ny leverandør) og programvare. Like scenarier og resultater kan med fordel gjenbrukes.

4.3 Gjennomfør tiltak som i driften

Virksomheten kan ikke velge å etablere eller ikke etablere tilstrekkelig informasjonssikkerhet ifm. utprøving der det inngår helse- og personopplysninger. Se innledningsvis. Informasjonssikkerhetstiltakene og nivået som skal innføres vil bla. vil kunne utledes av punktene nedenfor: - Resultatet av risikovurderingen - Flere typer modeller og leverandører av velferdsteknologi kan øke omfanget - Graden av gjenbruk av virksomhetens eksisterende teknologiske tiltak og styringssystem

for informasjonssikkerhet (internkontroll) - Likheter og gjenbruk fra tidligere utprøvinger av velferdsteknologi

Først når tiltakene som er besluttet satt i verk, kan utprøvingen starte.

4.4 Avsluttende aktivitet etter utprøving

Om det gjennom utprøvingen er behandlet helse- og personopplysninger og disse var en del av helsehjelpen eller omsorgstjenesten skal disse lagres iht. det regelverket som gjelder for de aktuelle opplysningene. Dette gjelder også logger som er en del av disse opplysningene.

https://nhn.no/oppgaver-og-prosjekter/digital-samhandling/Sider/Testsenter.aspx

https://ehelse.no/faktaark-43-bruk-av-testdata-i-systemer-som-inneholder-helse-og-personopplysninger



Om helse- og personopplysningene kun var brukt til testformål og ikke kommer inn under punktet ovenfor må alle helse- og personopplysninger slettes. Virksomheten må selv eller ved hjelp av leverandøren påse at helse- og personopplysninger som er lagret i utstyret blir forsvarlig og fullstendig slettet. Om virksomheten velger å anskaffe velferdsteknologien som har vært til utprøving kan en gå direkte til kap. 6) og fase dette inn i driften.

4.5 Forslag til sjekkliste ved utprøving

Tabellen nedenfor viser de viktigste områdene å ivareta ifm. utprøving:

Nr. Tema Ref. Kap.

Sjekk

1. Vurder om det skal behandles helse- og personopplysninger 4.1 Ja Nei

2. Det er vurdert at det ikke behandles helse- og personopplysninger

3. Gjennomfør risikovurdering 4.2 Ja Nei

4. Om det skal behandles personopplysninger må alle tiltak for behandling av helse- personopplysninger gjennomføres

4.3 og Kap. 6

Ja Nei

5. Når utrøvingen er over skal alle data vurderes for sletting i systemer og i utstyr

4.4 Ja Nei



5 INFORMASJONSSIKKERHET IFM. ANSKAFFELSE

Dette kapittelet gir veiledning for anskaffelsesprosessen med anbefalinger til innhold i kravspesifikasjon og gjennomføring av risikovurdering av tilbud fra leverandør. Til slutt i kapittelet gis det noen konkrete forslag til innhold i en eventuell databehandleravtale. Om utstyr / tjeneste som er benyttet under utprøvingen kjøpes av virksomheten og ytterligere anskaffelse ikke er relevant kan en gå direkte til informasjonssikkerhet i driften i kap. 5. Figuren nedenfor viser en tenkt prosess for å ivareta informasjonssikkerheten ifm. anskaffelse av velferdsteknologi.

Figur 3: Prosesskart - informasjonssikkerhet ifm. anskaffelse

5.1 Gjennomfør forberedelse og dialog med leverandør

Virksomheter som har erfaringer fra informasjonssikkerhet i anskaffelsesprosesser for velferdsteknologi anbefaler at det gjennomføres et godt forarbeid i dialog med leverandørene av velferdsteknologien før kravspesifikasjonen sendes ut. En årsak til denne anbefalingen er at informasjonssikkerhet i velferdsteknologi er relativt nytt i virksomheten og hos leverandørene. Gjennom dialogen vil en kunne få drøftet mulighetene for innspill til informasjonssikkerhet i kravspesifikasjonen. Nedenfor er det gitt noen forslag til underlag som kan benyttes i forarbeidet med å spesifisere krav og tiltak innen informasjonssikkerhet:

Ja

Nei

Tilbudt løsning på akseptabelt

nivå?

Utarbeid Kravspec - tjeneste

Gjennomfør forarbeid og

dialog

Anskaffe utstyr og /

eller tjeneste

Etabler eventuelt databehandler-

avtale og gå i drift

Utarbeid kravspec -

utstyr

Gjennomfør risikovurder

ing av av tilbud



- Normens Faktaark 38 - Sikkerhetskrav for systemer er et hjelpemiddel for å sikre at systemene inneholder løsninger iht kravene i Normen. Faktaarket har 38 krav som kan være aktuelle for den aktuelle anskaffelsen

- I tilknytning til Faktaark 38 er det utarbeidet et sett med veiledningsdokumenter der et enkelte krav i faktaarket er tolket og eksemplifisert i anbefalte løsinger av kravet

- Datatilsynet har utarbeidet1 en sjekkliste for innebygd personvern. Innebygd personvern vil bli et krav ved innføring av den nye personvernforordningen.

For å kunne verifisere at et bestemt krav i Normen er ivaretatt er det viktig å se hele verdikjeden under ett. Fra utstyrtet som brukeren anvender, gjennom responssenterløsningen/mottaket og virksomhetens fagsystem (f.eks, PLO-system, EPJ-system mv.) sentralt. For eksempel om logging ikke er mulig direkte på det enkelte utstyr kan sum av funksjonalitet i verdikjeden være tilstrekkelig for at krav til logging er ivaretatt.

5.2 Anbefalte krav til leverandører ved kjøp av utstyr

Med utstyr menes i denne sammenhengen fysisk utstyr og programvare for konfigurasjon og overvåkning av utstyret.

Leverandører av teknologi til virksomheten har ikke et selvstendig ansvar for at teknologien ivaretar kravene i det samlete lovverket. Det anbefales derfor at

virksomheten stiller krav til leverandøren om etterlevelse av krav i Normen i kravspesifikasjoner, avtaler mv. og at løsningen blir dokumentert. Virksomheten bør stille krav til leverandøren om det som kalles for innebygd personvern. Innebygd personvern i forbindelse med velferdsteknologi (privacy by design and by default) betyr at det tas hensyn til personvern og informasjonssikkerhet i alle utviklingsfaser av velferdsteknologien. Dette innebærer for eksempel at forhåndsdefinerte standardinnstillinger i teknologisk utstyr, systemer og programmer settes til det mest personvernvennlige nivået. På denne måten er brukeren sikret et best mulig personvern selv om vedkommende ikke gjør noen endringer i forhåndsdefinerte brukerinnstillinger.

For utfyllende informasjon vises det til Datatilsynet nettsted for innebygd personvern.

Tabellen på neste side2 er ment som er hjelpemiddel for å ta inn krav til informasjonssikkerhet i kravspesifikasjoner. Tabellen baserer seg på underlagene som er stilt

1 På basis av: 7 foundational principles for privacy by design by Ph. D. Ann Cavoukian, Information & Privacy

Commissioner in Ontario, Canada. 2 Tabellen kan lastes ned som en mal i redigerbart format på http://www.normen.no

https://ehelse.no/faktaark-38-sikkerhetskrav-for-systemer

https://ehelse.no/dokumenter-for-selvdeklarering-informasjonssikkerhet

http://www.datatilsynet.no/Teknologi/Innebygd-personvern/Sjekkliste-for-innebygd-personvern/

https://datatilsynet.no/Regelverk/EUs-personvernforordning/

https://www.datatilsynet.no/Teknologi/Innebygd-personvern/

http://www.datatilsynet.no/Global/english/7foundationalprinciples_AnnCavoukian.pdf

http://www.datatilsynet.no/Global/english/7foundationalprinciples_AnnCavoukian.pdf




opp i kap. 5.1. Det er tatt med og tilpasset krav fra faktaark 38, som er vurdert relevant for utstyr.

Nr. Basis i Krav i FA 38

Krav Kapittel

i Normen

Ivaretatt Kommentarer

Autorisering

1.

1 Tilgangsstyring skal etableres for alt utstyr

5.2 Ja Nei IR

2. 4

All tildeling av autorisasjon skal registreres i et autorisasjonsregister

5.5.2 Ja Nei IR

3.

8

Tildelt autorisasjon skal sikre at den enkelte kan få tilgang til relevante og nødvendige helse- og personopplysninger

5.2.2 Ja Nei IR

4.

11

Kun teknisk personell med særskilt behov for tilgang, kan autoriseres for større mengder helse- og personopplysninger

5.2.2 Ja Nei IR

5.

13

Systemet som administrerer autorisasjon skal skille mellom rettigheter til å lese, registrere, redigere, rette, slette og/eller sperre helse- og personopplysninger

5.5.2 Ja Nei IR

6.

18

Virksomhetens ledelse skal påse at det jevnlig gjennomføres kontroll av hvem som har hatt elektronisk tilgang til helseopplysninger i velferdsteknologien

6.5 Ja Nei IR

Autentisering

7. 19

Autentisering må sikre identifisering i korrekt rolle i hvert enkelt tilfelle.

5.2.1 Ja Nei IR

8.

22

Flere personer skal ikke benytte samme autentiseringskriteria. Utdypning av kravet: Passordet skal kunne byttes Passordets kvalitet og varighet

skal kunne konfigureres

5.2.1 Ja Nei IR

9.

23

Tekniske tiltak skal iverksettes slik at personer i eller utenfor virksomheten ikke skal kunne endre opplysninger uten at det registreres i velferdsteknologien

5.5.2 Ja Nei IR

10. 24

Alle systemer skal ha mekanismer som hindrer uautoriserte endringer av helse- og personopplysninger

5.5.2 Ja Nei IR

Logging

11.

25

Logger med sikkerhetsmessig betydning, herunder registrering av autorisert bruk og forsøk på uautorisert bruk skal tas vare på til det av helsehjelpens karakter ikke

3.3.4 5.2.8

Ja Nei IR




Krav Kapittel

i Normen


lenger antas å bli bruk for.

12. 26

Det skal registreres i velferdsteknologien hvem som har hatt tilgang til loggene

4.4.1

Ja Nei IR

13.

28

For å oppdage brudd eller forsøk på å bryte regelverket skal det som minimum føres logger over: - autorisert bruk - alle forsøk på uautorisert bruk

5.5.2 Ja Nei IR

14.

29

Følgende skal som minimum registreres i logger: - entydig identifikator for den

autoriserte brukeren - hvilke type opplysninger det er

gitt tilgang til - hvem som har fått utlevert

helseopplysninger som er knyttet til pasientens eller brukerens navn eller fødselsnummer

- grunnlaget for tilgangen - tidspunkt og varighet for

tilgangen

5.5.2 Ja Nei IR

Integritet

15. 36

Helse- og personopplysninger skal henføres til rett identifisert person

4.4.2 Ja Nei IR

Tilgjengelighet

16. Ingen

Batteritid skal varsles slik at batteri kan byttes tidsnok

Ja Nei IR

17. Ingen

Utstyret sender ”Heart-Beat” – for nedetidsovervåkning

Ja Nei IR

18. Ingen

Kabler og tilkoblinger skal være sikret for utilsiktet frakobling

Ja Nei IR

Innebygget personvern

19.

Systemets standardinnstillinger er på forhånd satt til å være mest mulig personvernvennlig

Ja Nei IR

20.

Utstyret innhenter kun nødvendige personopplysninger iht. det besluttede formålet

Ja Nei IR

21.

Metoder for å begrense mengden personopplysninger kan være: - Sensitive personopplysninger

er utelatt - Fødselsnummer er utelatt - Informasjon som registreres

kan kun indirekte identifisere en person (en person vil være indirekte identifiserbar dersom det er mulig å identifisere vedkommende gjennom bakgrunnsopplysninger som

Ja Nei IR




Krav Kapittel

i Normen


for eksempel bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, diagnose og lignende)

- Navn er erstattet med pseudonym

22.

Sletterutiner er etablert, informasjon slettes automatisk etter et bestemt tidsintervall, eller når formålet ved behandlingen er opphevet. Dette forutsette at opplysingene ikke er journalført. Da gjelder andre regler

Ja Nei IR

23.

Brukergrensesnittet begrenser muligheten til å oppgi unødvendig personlig informasjon.

Ja Nei IR

24.

Lagret informasjon er kryptert for å begrense tilgangen til hva for eksempel systemadministrator kan se av personopplysninger.

Ja Nei IR

25.

Det er etablert kryptert kommunikasjon over Internett, i databaser og på mobile enheter

Ja Nei IR

5.3 Anbefalte krav til leverandører ved kjøp tjeneste

I dette kapitelet beskrives anbefalte krav til informasjonssikkerhet som virksomheten bør stille gjennom kravspesifikasjon til leverandør ved kjøp av velferdsteknologi som tjeneste (tjenesteutsetting).

Eksempler på tjenester er: - Hele verdikjeder (for eksempel

trygghetsalarmer, overføringsnett, responssentertjeneste og ulike fagsystemer)

- Utplassering og konfigurasjon av utstyr og opplæring av brukere

- Service på utstyr - Responssentertjeneste

Om tjenesten vurderes som en skytjeneste anbefales det at momentene i dokumentet ”Veileder i bruk av skytjenester til behandling av helse- og personopplysninger” legges til grunn ved anskaffelse. Se også DIFIs veiledning i anskaffelse av skytjenester, https://www.difi.no/artikkel/2017/03/anskaffelse-av-skytjenester.

https://ehelse.no/veileder-i-bruk-av-skytjenester-til-behandling-av-helse-og-personopplysninger



Tabellen nedenfor3 er ment som er hjelpemiddel for å ta inn krav til informasjonssikkerhet i kravspesifikasjoner ved kjøp av tjenester. Tabellen baserer seg på dokumentet ”Eksempel på databehandleravtale”, men er tilpasset velferdsteknologi. Virksomheten må gjøre en konkret vurdering av omfanget av hvilke krav som skal være med. For eksempel vil kjøp av en hel verdikjede (f.eks trygghetsalarm, overføringstjeneste og responssenter) blir langt mer omfattende enn kjøp av service på utstyr.

Nr Krav Ivaretatt Kommentar

Generelle krav

1. Leverandøren plikter å følge Normen og oppfylle kravene i denne

Ja Nei IR

2. Leverandøren skal til enhver tid oppfylle de krav til informasjonssikkerhet som følger av databehandleravtalen og databehandlingsansvarliges sikkerhetsstrategi. Resultat fra gjennomført risikovurdering skal fremlegges av databehandler som dokumentasjon av egen og eventuelle underleverandørers sikkerhet

Ja Nei IR

3. Leverandøren skal, i tilbudet, vedlegge sikkerhetsmål, sikkerhetsstrategi og ansvar for informasjonssikkerheten

Ja Nei IR

4. Leverandøren plikter å behandle all informasjon i henhold til databehandleravtalen

Ja Nei IR

5. Leverandøren kan ikke benytte underleverandører i forbindelse med velferdsteknologien uten at det er skriftlig avtalt med virksomheten

Ja Nei IR

6. Leverandøren skal sikre at informasjon som behandles på vegne av virksomheten holdes adskilt fra egne og andre virksomheters informasjon og tjenester

Ja Nei IR

7. Leverandøren plikter å dokumentere sitt system for behandling av helse- og personopplysninger i forbindelse med databehandleravtalen. Med dokumentasjon menes bl.a. beskrivelse av prosedyrer for autorisasjon, autentisering og bruk, samt tekniske og organisatoriske sikkerhetstiltak. Dokumentasjon skal være tilgjengelig for virksomheten, Datatilsynet og Helsetilsynet.

Ja Nei IR

Krav til logging

8. Leverandøren skal sikre at all tilgang og bruk av velferdsteknologien logges

Ja Nei IR

9. Loggene skal samles inn og tilgjengeliggjøres for virksomheten

Ja Nei IR

10. Loggene skal oppbevares så lenge avtalen med kunder spesifiserer det

Ja Nei IR

11. Følgende skal som minimum registreres i loggene:

• entydig identifikator for den autoriserte brukeren

• rollen den autoriserte brukeren har ved tilgangen

• virksomhetstilhørighet

• organisatorisk tilhørighet til den som er

Ja Nei IR

3 Tabellen kan lastes ned som en mal i redigerbart format på http://www.normen.no

https://ehelse.no/faktaark-10-bruk-av-databehandler






autorisert

• hvilke type opplysninger det er gitt tilgang til

• grunnlaget for tilgangen

• tidspunkt og varighet for tilgangen

Leverandøren skal sikre at følgende minimumskrav til teknisk sikkerhet er oppfylt

12. Tilgang til tjenester og opplysninger i nettverket og IKT-systemet skal være basert på individuelle brukernavn og passord

Ja Nei IR

13. Opplysninger overlevert av virksomheten skal sikres, slik at kun autoriserte medarbeidere har tilgang

Ja Nei IR

14. Tilgang til eksterne nett/Internett/helsenett, inkludert leverandørens åpne nettverk, skal sikres med sikkerhetstiltak som ikke kan påvirkes eller omgås av eksterne og egne ansatte, og som forhindrer uforvarende eksponering av sensitive personopplysninger til nettverk med lavere sikkerhet

Ja Nei IR

15. Ved bruk av fjernaksess skal alle sikkerhetstiltak og avtale innføres iht. til dokumentet ”Veileder for fjernaksess”

Ja Nei IR

16. Hvis leverandøren behandler helse- og personopplysninger for flere virksomheter skal leverandøren ved hjelp av tekniske tiltak som ikke kan overstyres av brukerne ivareta at det er etablert skiller mellom virksomhetene i henhold til gjennomført risikovurdering. Dette gjelder både hvor data er lagret og i kommunikasjon

Ja Nei IR

Krav til tilgangsstyring

17. Leverandøren skal ha prosedyrer for å autorisere kun de av leverandørens medarbeidere som har et reelt behov for tilgang til velferdsteknologien og opplysninger for å gjennomføre leveransen/tjenesten

Ja Nei IR

18. Leverandøren skal til enhver tid ha oversikt over eget personell som er autorisert for tilgang til velferdsteknologien og informasjon. På forespørsel skal slik oversikt forelegges virksomheten

Ja Nei IR

19. Det skal benyttes personlig brukerkonto for all tilgang knyttet til gjennomføring av leveransen

Ja Nei IR

20. Dersom leverandøren benytter mobilt utstyr til drift, skal leverandøren ha prosedyrer som sikrer at disse bare benyttes av driftspersonell og til driftsrelaterte oppgaver

Ja Nei IR

21. Dersom tredjepart eller underleverandør, i forbindelse med support eller tilsvarende, skal ha tilgang til velferdsteknologien, skal alle sikkerhetstiltak iht. til dokumentet ”Veileder for fjernaksess” ivaretas

Ja Nei IR

Taushetsplikt

22. Leverandørens ansatte og andre som opptrer på leverandørens vegne i forbindelse med velferdsteknologien er underlagt taushetsplikt, jf. pasientjournalloven § 15, helsepersonelloven og forvaltningsloven. Det samme gjelder eventuelle underleverandører. Leverandøren skal påse at alle som behandler helse- og personopplysninger er kjent med taushetsplikten

Ja Nei IR

https://ehelse.no/veileder-for-fjernaksess







23. Alle ansatte og andre som opptrer på leverandørens vegne i forbindelse med velferdsteknologien skal ha undertegnet taushetserklæring. Bestemmelsen gjelder tilsvarende for eventuelle underleverandører

Ja Nei IR

24. Taushetsplikten gjelder også etter databehandleravtalens opphør

Ja Nei IR

Tilbakerapportering

25. Leverandøren skal jevnlig gi statusrapporter om resultater fra sine ansvarsområder. Eksempler på hva som skal inngå i rapportering fra databehandler: - Driftsstatus på kritiske systemer - Oppetid på systemer - Planlagte avbrudd og tidslengde på avbrudd - Planlagte endringer, forventet effekt og

tidspunkt de skal utføres - Forsøk på uautorisert bruk - Sikkerhetsoppdateringer - Feilsituasjoner/ -rettinger - Manglende oppfyllelse av tjenesteavtale og

mulige årsaker

Ja Nei IR

Avvikshåndtering

26. Leverandøren skal gjennomføre avvikshåndtering på informasjonssikkerhet (se personopplysningsforskriften) etter en fastlagt rutine. Ved alvorlige hendelser skal leverandøren melde avviket til virksomheten uten opphold

Ja Nei IR

5.4 Gjennomfør risikovurdering ved anskaffelse

Det skal gjennomføres en fullstendig risikovurdering av det konkrete tilbudet for å vurdere om leverandørens foreslåtte løsing er innenfor virksomhetens akseptabel risiko.

Risikovurderingen skal være et hjelpemiddel (verktøykasse) for virksomheten til å fastslå om tilbudt løsing er innenfor det som virksomheten definerer som akseptabel risiko. Et resultat av risikovurderingen vil være hvilke tiltak som må iverksette, hvilke som kan vurderes ut fra kost/nytte og hva som det ikke er nødvendig med tiltak for.

5.5 Etabler databehandleravtale

Om virksomhet setter ut hele eller deler av behandlingen av personopplysninger til andre virksomheter, vil den andre virksomheten være en databehandler.

https://lovdata.no/dokument/SF/forskrift/2000-12-15-1265?q=personoppl#KAPITTEL_2



Forholdet mellom virksomheten og databehandleren skal være regulert i en avtale – databehandleravtale.

En databehandleravtale kan være en frittstående avtale mellom partene, eller en integrert del av annet avtaleverk.

En databehandler kan ikke behandle personopplysninger på en annen måte enn det som er skriftlig avtalt med virksomheten.

I forbindelse med velferdsteknologi kan virksomheten benytte en eller flere databehandlere. Eksempler på situasjoner kan være: - Databehandler som yter support på utstyret etter avtale og får automatisk oversendt

statusmeldinger om utstyrets funksjon og eventuelle feil knyttet til en bruker - Databehandlerens alarmsentral er reserve om virksomhetens blir utilgjengelig - Databehandler drifter virksomhetens løsninger - Tjenesteutsetting (f.eks. responssenterløsning) Følgende momenter kan være hensiktsmessig å ha med i en avtale om velferdsteknologiske løsninger:

- Sikring av konfidensialitet for lagrede data - Sikring av integritet til lagrede data - Sikring av kommunikasjon mellom databehandler og virksomheten - Hvilke data som overføres (f.eks. feilstatus, lokasjonsnummer, måleverdier, navn,

adresse) - Hvordan dataene i responssenterløsningen4 til databehandler blir knyttet til bruker - Hvem hos databehandleren som har tilgang - Krav om sletting (f.eks. når feilen er løst) - Krav om avidentifisering om databehandler vil oppbevare statusmeldingene, om de

inneholder personopplysninger, for egen rapportering og statistikk - Underleverandørs plikt til avviksbehandling og gjennomføring av revisjoner

Faktaark 10 gir mer veiledning i bruk av databehandler og etablering av databehandleravtale. I tillegg til materiellet under Normen har Datatilsynet sine nettsider en veileder for databehandleravtaler med maler.

4 I veilederen er det benyttet begrepet "mottakssystem". Dette systemet skiller seg fra fagsystem og EPJ-

system ved at systemet er spesialisert for velferdsteknologiske løsninger.


http://datatilsynet.no/Sikkerhet-internkontroll/Databehandleravtale/



5.6 Forslag til sjekkliste ved anskaffelse

Tabellen nedenfor viser de viktigste områdene å ivareta ifm. anskaffelse:

Nr. Tema Ref. Kap.

Sjekk

1. Gjennomfør forberedende dialog med leverandør 5.1 Ja Nei

2. Framskaff underlag ifm. krav til informasjonssikkerhet 5.1 Ja Nei

3. Ved kjøp av utstyr: Utarbeid kravspesifikasjon med utgangspunkt i mal som kan lastes ned på www.normen.no

5.2 Ja Nei

4. Ved kjøp av tjeneste: Utarbeid kravspesifikasjon med utgangspunkt i mal som kan lastes ned på www.normen.no

5.3 Ja Nei

5. Gjennomfør vurdering og risikovurdering av valgt tilbud 5.4 Ja Nei

6. Etabler eventuelt databehandleravtale 5.5 Ja Nei



6 INFORMASJONSSIKKERHET IFM. DRIFT I dette kapitelet beskrives tiltak som må ivaretas i driften. Driftsoppgavene kan være knyttet til oppstart av driften eller ved endringer og oppfølging underveis.

Figur 4: Prosesskart - informasjonssikkerhet ifm. drift

6.1 Plasser ansvar og etabler roller

Virksomheten må definere roller ifm. velferdsteknologi og oppdatere internkontrollen iht. til dette. Om det etableres et interkommunalt samarbeid etter kommuneloven eller etter lov om interkommunale selskap må partene avklare databehandlingsansvaret seg i mellom.

Om virksomheten leier velferdsteknologien fra en leverandør eller at bruker selv anskaffer teknologien fra leverandøren, etter kravspesifikasjon fra virksomheten, er virksomheten databehandlingsansvarlig

For eksempel om det er virksomheten som kjøper løsningen av en privat alarmsentral, f.eks. etter anbud, er det virksomheten som er databehandlingsansvarlig.

Gi

opplæring

Behandle person-

opplysninger

Oppdater oversikten behandling av person-

opplysninger

Oppdater styrings-

systemet for informasjons

sikkerhet

Gjennomfør

Logging

Etabler /

vedlikehold tilgangs-styring

Plasser

ansvar og etabler roller

Etabler og følg opp

informasjons-sikkerhets-

tiltak

Gjennomfør

avviksbehandling

Oppdater det aktuelle trinnet ved behov (for eksempel endringer)

http://lovdata.no/dokument/NL/lov/1992-09-25-107/KAPITTEL_5#KAPITTEL_5

http://lovdata.no/dokument/NL/lov/1999-01-29-6?q=interkommunale+selskap

http://lovdata.no/dokument/NL/lov/1999-01-29-6?q=interkommunale+selskap



6.2 Oppdater styringssystemet for informasjonssikkerhet

Den etablerte internkontrollen etter personopplysningsforskriften (styringssystemet for informasjonssikkerhet) må oppdateres og vedlikeholdes ifm. innføring av velferdsteknologi med relevant dokumentasjon. Ifm. bruk av velferdsteknologi anbefales det å utarbeide nye eller oppdatere eksiterende dokumentasjon i styringssystemet. Punktene nedenfor gir en anbefaling (listen er ikke utfyllende liste): - Håndtering av velferdsteknologien på mobilt

datautstyr - Autorisasjon av bruker og pårørende - Prosedyre for sletting av data - Håndtering og sletting av

overskuddsinformasjon - Tilbakestilling til fabrikkinnstillinger - ”Enkle driftsrutiner” for bruker (ladning, batteri, kabler, koblinger, reset, osv) - Avklare hvilke rutiner databehandler ivaretar (i og med at dette er komplekst vil det

være nyttig at databehandlingsansvarlig vet hvilke rutiner databehandler ivaretar i den komplette løsningen)

- Håndtering av feilmeldinger fra bruker - Driftsrutiner teknisk løsning (mange rutiner)

6.3 Oppdater oversikten over behandlinger av personopplysninger

Virksomheten må oppdatere den eksisterende oversikten over behandling av helse- og personopplysninger. Nedenfor er vist et eksempel på en behandling:

Behandling: Gi borger trygghetsalarm

Formål: Kommunikasjon med responssenterløsning med hvem som har hvilken alarm og hvilken alarmsone de tilhører, registrering/ dokumentasjon av utløste alarmer og utrykninger, aktivitetsbaserte inntekter statistikk og styringsinformasjon

Hjemmel: Helse- og omsorgstjenesteloven § 3-2, første ledd nr. 6 bokstav b

Databehandler: Nei

Type opplysninger: Helse- og personopplysninger

6.4 Gi opplæring

Nedenfor følger noen temaer det anbefales å legge særskilt vekt på: Medarbeideren: - Taushetsplikt - Helse- og personopplysninger kan kun benyttes til det formålet

som er bestemt

https://lovdata.no/dokument/SF/forskrift/2000-12-15-1265?q=personoppl#KAPITTEL_3



- Kun tjenstlig tilgang i forbindelse med medarbeiderens rolle Bruker/pårørende: - Konfigurasjonen i velferdsteknologien skal ikke endres av bruker eller pårørende - Riktig bruk - ”Drift” bruker kan utføre (se rutine ovenfor) - Hvordan melde om feil og feil bruk - Prosedyre for nedkobling - Pårørendes urettmessige bruk av personopplysninger - overvåking

6.5 Etabler / vedlikehold tilgangsstyring

Å etablere tilgangsstyring på virksomhetens interne systemer, slikt som f.eks. responssenterløsingen, vil følge av de prinsipper for tilgangsstyrig virksomheten alt har etablert. Innføring av løsinger for velferdsteknologi skal følge de samme prinsippene. For eksempel bør rollen "teknisk personell" ikke ha tilgang til brukers lokasjonsdata for å oppgradere systemet. Et annet eksempel kan være at rollen "leverandør" ikke trenger tilgang til lokasjonsdata for å vedlikeholde utstyret. Nedenfor er det gitt noen eksempler på områder der det bør etableres tilgangsstyring ifm. velferdsteknologi: - Teknologi i hjemmet til bruker (f.eks.

nettbrett, sentralenhet (HUB) mv.) - Roller og tilganger i responssenterløsning All tildeling av autorisasjon skal registreres i et autorisasjonsregister. Pårørende som gis tilgang skal også framgå av autorisasjonsregisteret. For utdypende omtale av autorisasjonsregister vises det til faktaark 47. Ved at bruker tar i bruk velferdsteknologisk utstyr skal utstyret sikres med adekvat tilgangsstyring. For eksempel skal bruker ha sin personlige autentisering når det benyttes nettbrett eller mobiltelefon til å registrere verdier og være i dialog med helsetjenesten. Etter Normen kreves det sikker autentisering som for eksempel kan være basert på personlig kvalifisert sertifikat (For eksempel BankID, Buypass, Confides mv.) eller annen autentiseringsløsning som gjennom en risikovurdering viser at den har tilstrekkelig sikkerhet. Veileder for tilgangsstyring under Normen gir ytterligere veiledning. Autentiseringsmekanismene som er beskrevet ovenfor er problematisk om bruker har kognitiv svikt eller nedsatt funksjonsevne. Virksomheten må sammen med sin leverandør finne løsninger som må risikovurderes. I den sammenhengen kan biometri være en løsning ved at bruker autentisere seg med fingeravtrykk på nettbrettet eller smarttelefonen.

https://ehelse.no/faktaark-47-autorisasjonsregister

https://ehelse.no/personvern-og-informasjonssikkerhet/norm-for-informasjonssikkerhet



I vedlegg i kap. 8.1 er det gitt en anbefaling til autentisering fra Nasjonalt velferdsteknologiprogram.

6.6 Vurder og slett overskuddsinformasjon

Overskuddsinformasjon skal unngås. Innsamlede data som ikke lenger er nødvendige for det angitte formål må slettes eller anonymiseres, om ikke annet følger av lov f.eks. journalføringsplikt for helsepersonell.

6.7 Lagringstid for opplysingene

Det grunnleggende utgangspunktet er at personopplysninger ikke skal oppbevares lenger enn det som er nødvendig for å oppnå formålet med behandlingen av opplysningene. Behandlingsrettet helseregister/journalopplysninger Helseopplysninger i et behandlingsrettet helseregister skal oppbevares inntil det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for dem, jf. pjl. § 25 første ledd, jf. også pasientjournalforskriften § 14. Helseopplysningene skal deretter slettes, med mindre arkivloven eller annen lovgivning pålegger videre oppbevaring. Andre helseopplysninger Personopplysningene skal på tilsvarende måte bare oppbevares inntil formålet med behandlingen er oppnådd, jf. personopplysningsloven § 28. Deretter skal opplysningene slettes, med mindre videre oppbevaring er pålagt i annet regelverk.

6.8 Etabler og følg opp logging

Etter Normen, se faktaark 15, skal det logges en rekke data knyttet til behandling av helse- og personopplysninger.

https://ehelse.no/faktaark-15-hendelsesregistrering-og-oppfolging



Eksempler på hvor det kan logges er: - I utstyr som er utplassert hos bruker - Autentiseringsinformasjon i responssenterløsningen - Sikkerhetsbarrierer som er utplassert hos bruker (for eksempel HUB) Virksomheten må ta stilling til hvor i den komplette løsningen det skal logges. Det er ikke nødvendig å logge i hver enkelt komponent i verdikjeden. For ytterlige informasjon om logging vises det til faktaark 15.

6.9 Informasjonssikkerhetstiltak

Sikre datakommunikasjonen All datakommunikasjon med helse- og personopplysninger, som skjer i nettverk som virksomheten ikke selv har kontroll over, skal krypteres. Virksomheten må påse at datakommunikasjonen med helse- og personopplysninger er krypterte ende til ende. Kryptering fra ende til ende betyr at det ikke skal være en mellomstasjon hvor data behandles (for eksempel avleses eller lagres) i «klartekst». Dette kan f.eks. løses ved at data krypters i velferdsteknologien og dekrypteres i tilknytning til virksomhetens responssenterløsning (f.eks. i sikker sone5). Om utstyret ikke kan kryptere kan en løsing være å avidentifisere opplysingene før de oversendes. For krav til krypteringsmetode og styrke vises det til dokumentet NSM Cryptographic requirements.

Mer hjelp til sikkerhetsarkitektur og datakommunikasjon fins i: - Faktaark 24 - Kommunikasjon over åpne nett - Faktaark 26 - Sikring av trådløs teknologi

Oppdater konfigurasjonsoversikten Ved bruk av velferdsteknologiske løsninger kan løsningene fjernstyres fra smarttelefoner, nettbrett og såkalte smart-TV løsninger med tilhørende apper. Slike enheter er normalt tilknyttet Internett med trådløst nett eller mobilkommunikasjon. Konfigurasjonskontroll av slike tilknytninger må vises ekstra oppmerksomhet fordi nettverkstilknytningen kan gi uautorisert tilgang til helse- og

5 Mer om sonedelt infrastruktur i Datatilsynets veileder for sikkerhetsarkitektur


https://nsm.stat.no/globalassets/dokumenter/veiledninger/systemteknisk-sikkerhet/ncr3.1.pdf

https://nsm.stat.no/globalassets/dokumenter/veiledninger/systemteknisk-sikkerhet/ncr3.1.pdf

https://ehelse.no/faktaark-24-kommunikasjon-over-apne-nett

https://ehelse.no/faktaark-26-sikring-av-tradlos-teknologi

http://www.datatilsynet.no/Sikkerhet-internkontroll/Sikkerhetsarkitektur/



personopplysninger og konfigurasjoner.

6.10 Gjennomfør avviksbehandling mellom virksomheten og leverandør

Det skal utarbeides prosedyrer som sikrer at avviksbehandlingen er operativ mellom virksomheten og databehandler.

Tema å ta med i avviksprosedyrene er: - Driftsstans på utstyr hos bruker som har betydning for

leveranse av tjenesten - Personopplysninger på avveie - Forsøk på og uautorisert bruk

6.11 Informasjonssikkerhet ifm. å avslutte tjenesten hos bruker

I dette kapitelet beskrives tiltak ved å avslutte tjenesten hos bruker.

Når de velferdsteknologiske løsningene skal frakobles bruker og/eller brukested må virksomheten etablere prosedyrer som sikrer at: - Alle helse- og personopplysninger som er lagret i utstyret slettes - Eventuelle pseudonymer slettes - Krypteringsnøkler slettes - Ved eventuell gjenbruk av sensorer og måleutstyr hos annen bruker er det viktig at alle

data slettes. En anbefalt metode er å tilbakestille utstyret til "fabrikkinnstillinger"

6.12 Forslag til sjekkliste ved drift

Tabellen nedenfor viser de viktigste områdene å ivareta ifm. drift:

Nr. Tema Ref. Kap.

Sjekk

1. Plasser ansvar og etabler roller 6.1 Ja Nei

2. Oppdater styringssystemet for informasjonssikkerhet 6.2 Ja Nei

3. Oppdater oversikten over behandling av personopplysninger 6.3 Ja Nei

4. Gi opplæring 6.4 Ja Nei

5. Etabler / vedlikehold tilgangsstyring 6.5 Ja Nei

6. Vurder å slette overskuddsinformasjon 6.6 Ja Nei

7. Vurder lagringstid påopplysningene 6.7 Ja Nei

8. Gjennomfør logging 6.8 Ja Nei

9. Etabler og følg opp informasjonssikkerhetstiltak 6.9 Ja Nei

10. Gjennomfør avviksbehandling 6.10 Ja Nei

11. Rydd opp ifm. avvikling hos bruker 6.11 Ja Nei



6.13 Når blir løsinger for private formål virksomhetens ansvar?

Om en person selv anskaffer velferdsteknologi og behandler personopplysningene selv, er dette å regne som et privat formål dersom velferdsteknologien kun benyttes til et privat formål som bruker selv bestemmer. Om bruker ønsker at denne velferdsteknologien skal knyttes opp til en virksomhet må virksomheten avklare hvor grensene går når en behandling ikke lenger er å regne som et privat formål. Det vil si på hvilket tidspunkt virksomheten blir databehandlingsansvarlig og dermed blir ansvarlig for løsningen.

Figur 5: Bruker anskaffer selv velferdsteknologi

Case: En person føler seg uttrygg og har selv anskaffet seg en blodtrykksmåler som tilkobles et nettbrett. På et senere tidspunkt anbefaler helsetjenesten at personen knytter løsningen til en responssenterløsning slik at kvalifisert personell kan overvåke kritisk hypertensjon.

Viktige ting å ivareta: - Er det ukjent utstyr skal det gjennomføres en risikovurdering - Konfigurasjonen av nettbrettet blir korrekt satt opp og styres av virksomheten - Bruker må læres opp i generelle regler for bruk av nettbrettet slik at det

ikke oppstår uønskede hendeler med betydning for informasjonssikkerheten



7 EKSEMPLER Eksempler på velferdsteknologi følger eksemplene i KS sitt læringsmateriell for virksomhetene "Velferdsteknologiens ABC".

7.1 Eksempel 1: Trygghetsskapende teknologier

Case: Anna har demens. Hun er en sprek dame og liker og gå på lange spaserturer. Men hun har problemer med hukommelse og orientering, og Bjørn er bekymret. Bjørn

kontakter pleie- og omsorgstjenesten i kommunen for å få råd om hva han kan gjøre. Kommunens ergoterapeut kommer på hjemmebesøk for å kartlegge situasjonen og gi råd.

Løsning: Ergoterapeuten og Bjørn er enige om at en GPS kanskje kan være nyttig og kan gjøre Bjørn tryggere når Anna er på tur. Når

GPSen kommer og Anne får se den, godtar hun å ta den med for Bjørn sin skyld. Da kan han føle seg trygg og hun får fortsette med turene sine.

Figur 6: Eksempel 1: Trygghetsskapende teknologier

Risiko og tiltak

Nr. Problemstilling Antatt risiko

Forslag til tiltak

1. Medarbeider i responssenteret er ikke kjent med når kan de kan gå inn og sjekke koordinatene?

Lav Opplæring av medarbeiderne i korrekt uthenting av koordinater

2. Hvem skal sjekke koordinatene? Middels Definer roller i responssenteret og før rollene opp i autorisasjonsregisteret

3. Koordinatdata lagres til all tid

Høy Erfaring tilsier at koordinater skal slettes etter 30 dager




7.2 Eksempel 2: Mestringsteknologier

Case: Petra har nettopp flyttet hjemmefra og inn i en tilpasset leilighet i samlokaliserte boliger. Petra har cerebral parese og bruker elektrisk rullestol. Hun betjener rullestolen selv. For at Petra skal bli mer selvstendig, utføre gjøremål på egen hånd og oppleve mestring er det installert

velferdsteknologiske løsninger i form av omgivelseskontroll i leiligheten. Før Petra fikk omgivelseskontroll klarte hun ikke å åpne dørene, trekke for gardiner, slå på radio eller TV, åpne vinduer, eller senke og heve skapene på kjøkkenet.

Løsning: Når det ringer på døren hennes, trykker hun på en knapp, slik at den som står utenfor kan komme inn. Hun kan åpne verandadøren og gå ut på verandaen hvis hun vil det. Blir hun tørst kan hun enkelt ta seg til kjøkkenet, senke kjøkkenskapene til sin høyde og ta ut et glass. Blir det for

varmt i leiligheten bruker hun omgivelseskontrollen til å åpne vinduer. Også TV, radio og musikkanlegget betjener hun ved hjelp av omgivelseskontrollen. Virksomheten kan koble seg opp å gi service på utstyret.

Figur 7: Eksempel 2: Mestringsteknologier

Risiko og tiltak


Forslag til tiltak

1. Omgivelseskontrollen til å åpne vinduer virker ikke

Lav Gode rutiner for å fange opp nedetid på utstyr

2. Servicemedarbeider kjenner ikke utstyrt som er plassert i boligen

Middels God konfigurasjonskontroll med dokumentasjon og prosedyrer for det enkelte utstyret

3. Uautorisert kobler opp via responssenteret til boligen og åpner ytterdøren

Høy God kontroll på tilgangsstyringen og adgang til responssenteret



7.3 Eksempel 3: Utrednings- og behandlingsteknologier

Case:

Virksomheten skal gjennomføre utprøving av nye måter å gi helsetjenester til hjemmeboende pasienter med kroniske sykdommer for å forbedre tjenestetilbudet. Pasientene registrerer

informasjon om sin helsetilstand og sender dette via nettbrett til helsepersonell i virksomhetens vaktsentral (responssenter).

Løsing De hjemmeboende svarer blant annet på enkle spørsmål om vekt, blodtrykk og puls. Målet er at pasienten skal få tilgang til helsehjelp og oppfølging av sykdommen hjemmefra. På denne måten vil tjenesten

kunne sette i verk tiltak og behandling på tidligst mulig tidspunkt for å forebygge sykdomsforverring og sykehusinnleggelser.

Figur 8: Eksempel 3: Utrednings- og behandlingsteknologier

Risiko og tiltak


Forslag til tiltak

1. Kabelen til blodtrykksmåler faller av Lav Opplæring av bruker i håndtering av utstyret

2. Medarbeider i responssenteret leser av målinger uten at det foreligger saklig grunn

Middels Utarbeide prosedyrer for tilgangstyring, logging og oppfølging av logger

3. Nettbrettet og det trådløse nettet er ikke sikret slik at uautoriserte kan koble seg opp til nettbrettet

Høy Løsningen må sikres slik at uautorisert tilgang hindres. Tilgang til virksomhetens nett og responssenterløsingen må sikres slik at uautorisert tilgang til nettbrettet ikke får konsekvenser



7.4 Eksempel 4: Velværeteknologier

Case:

Aktivitetshuset har flere personer som ønsker å kunne komme seg ut og i aktivitet enten alene eller i fellesskap med andre. Dette er ikke alltid like lett. Mange

av dem mangler initiativ og er i dårlig fysisk form på grunn av inaktivitet. Noen av dem kan ikke orientere seg ute alene.

Løsning: For å møte disse behovene tok Aktivitetshuset i bruk geocaching. Det kan sammenlignes med orientering, men man finner frem ved hjelp av GPS i stedet for kart og kompass. De som deltar laster ned en app til en smarttelefon med GPS-mottager. Appen brukes til å finne poster

ute i nærmiljøet. Eksempler på noen andre løsninger ved hjelp av teknologi kan være små bokser med en hilsen eller en liten ting inni. Ved å trykke på ønsket geocach får brukeren en beskrivelse og en veiviser til stedet. Når geocachen blir loggført på telefonen, får de opp et smilefjes.

Figur 9: Eksempel 4: Velværeteknologier

Risiko og tiltak


Forslag til tiltak

1. Bruker deler smilefjes av geocachen med sine venner på Facebook

Lav Uproblematisk

2. Logg i telefonen benyttes av personalet for å spore vedkommende

Middels Opplæring i at App for geocach er et privat anliggende for bruker

3. Geocach logg blir sendt til leverandør og benyttes i kommersiell sammenheng for å rette markedsføringstiltak til bruker

Høy Kvalitetssikre App slik at disse ikke sender data til leverandøren



8 VEDLEGG

8.1 Anbefaling til autentisering fra Nasjonalt velferdsteknologiprogram

Alle klienter som skal kommunisere med en tjener må autentiseres på en hensiktsmessig måte. For enkelte typer enklere maskinvare er det ikke mulig å autentisere brukeren, men selve maskinvaren må gjenkjennes på grunnlag av serienummer, sertifikater eller lignende. Utdrag fra Normen Faktaark 24: 1. Autentisering og korrekt adressering av kommunikasjonspartner

Ved kommunikasjon mellom to parter over et åpnet nett er det viktig at partene på en

sikker måte kan autentisere seg for hverandre. Sikker autentisering er viktig for å verifisere

at kommunikasjonsparten faktisk er den som den utgir seg for å være. Dette kan for

eksempel gjøres ved å bruke PKI og virksomhetssertifikater. Adressering skal være sikret.

Det vil si at man skal være sikker på at benyttet adresse er korrekt.

2. Autentisering av personer/brukere

Ved autentisering av personer som kommuniserer helseopplysninger over et åpent nett

anbefales det sikkerhetsnivå 4 for autentisering.

Hovedkategorier klienter:

• Nettleser

• Smarttelefon/nettbrett med app

• Avansert maskinvare

Programmeringsmulighet. Kan ha skjerm eller være koblet mot TV. Enkel eller ingen

mulighet for brukergrensesnitt for oppsett beregnet på brukeren, men mulig for

tjenesteeier. Brukernavn/passord, men bruk av sertifikat mulig på noen løsninger.

Eksempler er «set top»-bokser, smarthusteknologi og enkle mobiltelefoner.

• Enkel maskinvare

Ingen eller enkle programmeringsmuligheter. Ikke brukergrensesnitt for oppsett

beregnet på innbygger. Eksempel er mobil trygghetsalarm.

Hovedkategorier tjenere:

• Nettskjemaløsninger

• Servere med kommunikasjonsgrensesnitt

(HL7 FHIR, PCD-01, SCAIP etc.)

• Andre tredjepartsløsninger, som proprietære skyløsninger

Under følger tre alternativer til autentisering, og så en anbefaling per klientkategori. ❖ Hovedanbefalingen er at man skal vurdere alternativ 1 før alternativ 2 og alternativ 2

før alternativ 3.



Alternativ 1- Sikkerhetsnivå 3/4 For portalløsninger anbefaler Normens veileder Personvern og informasjonssikkerhet i kontakten med pasient/bruker (1):

Autentisering for bruk av kun administrative funksjoner uten helseopplysninger (som for

eksempel bestilling og avbestilling av time uten at grunnen for timebestilling oppgis) skal

gjøres med minimum sikkerhetsnivå 3.

Autentisering for tilgang til og kommunikasjon av helseopplysninger i nasjonale løsninger

(for eksempel helsenorge.no) eller løsninger levert av helsepersonell (inklusive

timebestilling der pasient/bruker oppgir grunnen for bestilling av time og reseptfornying)

skal gjøres med personlig kvalifisert sertifikat eller en annen sikker autentiseringsløsning.

For løsninger til private formål (helsepersonell er ikke involvert) anbefales autentisering

med sikkerhetsnivå 3

Se også Normens Faktaark 14 og 49. ❖ Det anbefales sikkerhetsnivå 3 for innrapportering av helseopplysninger.

❖ Det anbefales sikkerhetsnivå 4 for tilgang til egne helseopplysninger.

Det anbefales å benytte ID-porten6 driftet av Direktoratet for Forvaltning og IKT (Difi). Ikke alle brukerne av velferdsteknologi har forutsetninger for å benytte sikkerhetsnivå 3 eller 4. Alternativ 2 – Brukernavn/passord og offentlig/privat nøkkel. Passord er noe brukeren må huske. Passordet kan ha svak styrke slik at den er lett å huske. Inntasting av brukernavn og passord kan erstattes i det daglige med biometri. Det benyttes en offentlig og privat nøkkel som kan genereres på utstyret. Den offentlige nøkkelen må deles med tjenesten ved oppsett. Den private nøkkelen brukes til å signere autoriseringsforespørsel sammen med brukernavn og passord. Tjenesten bruker den offentlige nøkkelen til å verifisere forespørselen. Nøkkelparet skal være forskjellige per bruker og utstyr. Alternativ 3 – Unik identifikator på utstyr Hvis alternativ 2 er uhensiktsmessig for brukeren/tjenesten er en tredje løsning personlig overlevering av utstyret. ❖ Det må registreres og loggføres nøyaktig hvilket utstyr som er utlevert og til hvem

Utstyret må ha en unik identifikator innenfor sitt domene, fortrinnsvis en universell unik identifikator (UUID). Eksempler på identifikatorer er:

• IMEI-nummer7 på mobiltelefoner og andre enheter

• Serienummer

• Andre maskinvareidentifikatorer, som MAC-adresse

6 http://eid.difi.no/nb/id-porten 7 International Mobile Equipment Identity

http://eid.difi.no/nb/id-porten



Identifikatoren skal benyttes som en del av kommunikasjonen inn til tjenesten. En kobling mellom utstyrs-identifikatoren og brukeren gjøres i systemet til tjenesteeier, for eksempel i en responssenterløsning.

Alt

ern

ativ

1

A

lter

nat

iv

2

Alt

ern

ativ

3

Nettleser mot portalløsning ✓ Smarttelefon/nettbrett med app ✓ ✓ ✓ Avansert maskinvare ✓ ✓ Enkel maskinvare ✓

Anbefaling – Nettleser Følgende autentiseringsmetoder anbefales: ❖ Alternativ 1 – Sikkerhetsnivå 3/4 (foretrukket)

For portalløsninger for kun innrapportering av helseopplysninger (ikke tilgang til egen helseinformasjon) kan det benyttes en løsning som vurderes som tilstrekkelig autentisering av brukeren ovenfor tjenesten. Anbefaling – Smarttelefon/nettbrett med app Følgende autentiseringsmetoder anbefales: ❖ Alternativ 1 – Sikkerhetsnivå 3/4 (foretrukket)

❖ Alternativ 2 – Brukernavn/passord og offentlig/privat nøkkel

❖ Alternativ 3 – Unik identifikator på utstyr

Gjentagende autentisering kan gjøres lettere for brukeren med biometri, for eksempel fingeravtrykksleser på smarttelefon/nettbrett. Anbefaling – Avansert maskinvare Følgende autentiseringsmetoder anbefales: ❖ Alternativ 2 – Brukernavn/passord og offentlig/privat nøkkel (foretrukket)

❖ Alternativ 3 – Unik identifikator på utstyr

Anbefaling – Enkel maskinvare Enkel maskinvare har få eller ingen innstillingsmuligheter og må konfigureres av tjenestetilbyder eller fra fabrikk. Følgende autentiseringsmetoder kan benyttes: ❖ Alternativ 3 – Unik identifikator på utstyr



Under følger en overordnet oversikt over klienters muligheter for autentisering

Ser

ien

um

mer

o.l.

Bru

kern

avn

/pas

sord

m

ed/u

ten

ser

tifi

kat

To

-fak

tor

niv

å 3

To

-fak

tor

niv

å 4

Nettleser mot portalløsning

Smarttelefon/nettbrett med app

Avansert maskinvare

Enkel maskinvare

8.2 Referanser

• Hjemmeside til Normen: Norm for informasjonssikkerhet i helse- og omsorgssektoren

• NOU 2011: 11 - Innovasjon i omsorg

• Fagrapport om implementering av velferdsteknologi i de kommunale helse- og omsorgstjenestene 2013-2030

• Helsedirektoratets nettsider om velferdsteknologi

• Veikart for tjenesteinnovasjon - velferdsteknologi

• Velferdsteknologiens ABC - opplæringspakke til virksomhetene

• Datatilsynet: Veileder for internkontroll og informasjonssikkerhet

• Kravspesifikasjon for PKI i offentlig sektor

• Faktaark 10 - Bruk av databehandler (ekstern driftsenhet)

• Faktaark 15 – Hendelsesregistrering og oppfølging

• Veileder med avtaleeksempler ved samarbeid om felles journal

• Veileder i bruk av skytjenester til behandling av helse- og personopplysninger

• Personopplysningsloven

• Helseregisterloven

• Helsepersonelloven

• Pasientjournalloven

• Forskrift om tilgang til helseopplysninger mellom virksomheter

https://ehelse.no/personvern-og-informasjonssikkerhet/norm-for-informasjonssikkerhet/dokumenter-for-selvdeklarering-av-informasjonssikkerhet

http://www.regjeringen.no/nn/dep/hod/dok/nouer/2011/nou-2011-11.html?id=646812

http://www.helsedirektoratet.no/publikasjoner/velferdsteknologi-fagrapport-om-implementering-av-velferdsteknologi-i-de-kommunale-helse-og-omsorgstjenestene-2013-2030/Sider/default.aspx

http://www.helsedirektoratet.no/publikasjoner/velferdsteknologi-fagrapport-om-implementering-av-velferdsteknologi-i-de-kommunale-helse-og-omsorgstjenestene-2013-2030/Sider/default.aspx

https://helsedirektoratet.no/velferdsteknologi

http://www.ks.no/fagomrader/utvikling/innovasjon/innovasjonsverktoy/Veikart-for-velferdsteknologi/


https://datatilsynet.no/Sikkerhet-internkontroll/internkontroll_informasjonssikkerhet/

http://www.regjeringen.no/nb/dep/kmd/dok/lover_regler/retningslinjer/2010/kravspesifikasjon-for-pki-i-offentlig-se.html?id=611085



https://ehelse.no/veileder-med-avtaleeksempler-ved-samarbeid-om-felles-journal

https://ehelse.no/veileder-i-bruk-av-skytjenester-til-behandling-av-helse-og-personopplysninger

http://lovdata.no/cgi-wift/wiftldles?doc=/app/gratis/www/docroot/all/nl-20000414-031.html&emne=personopplys*&&

http://lovdata.no/all/hl-20010518-024.html

http://lovdata.no/all/hl-19990702-064.html

https://lovdata.no/dokument/NL/lov/2014-06-20-42?q=pasientjournal

https://lovdata.no/dokument/SF/forskrift/2014-12-17-1757?q=tilgang+til+helse



8.3 Deltagere i referansegruppen

Følgende har deltatt i referansegruppen for versjon 2.0

Navn Virksomhet Espen Seland Direktoratet for e-Helse

Rune Vidar Bråten Direktoratet for e-Helse

Une Tangen KS

Egil Rasmussen KS

Anne Berit Fossberg Bærum kommune

Silje Bjerkås Grimstad kommune

Øyvind Høyland St. Olavs Hospital HF

Hallgeir Nisja Hemit

Marija Stanarevic Larvik kommune

Solrunn Hårstad Værnesregionen

Fiona Loan Bich Le Drammen kommune

Tonje Borch Helsedirektoratet (SBBH)

Christian Westli Tieto

Erlend Espeland Dignio

Stig Husby Checkware

Knut Henrik Andersen Normsekretariatet

Aasta Hetland Normsekretariatet

Jan Henriksen Normsekretariatet

Følgende har deltatt i referansegruppen for versjon 1.0 Navn Virksomhet Ingebjørg Riise Tromsø kommune

Ståle Sjaavaag Risør kommune

Terje Sætre Lindås kommune

Gro Løvik Lindås kommune

Pia Skobba Oslo kommune, Bydel St. Hanshaugen

Ulf Harry Evensen Fredrikstad kommune

Camilla Nervik Datatilsynet

Braar Larsen Datatilsynet

Kristine Brevik Helsedirektoratet / Velferdsteknologi-programmet

Gro Snortheimsmoen Bergfjord Pasient- og brukerombudene

Une Tangen KS

Kjersti Hillestad Hoff Helsedirektoratet

Trine Grøslie Stavn Helsedirektoratet

Roald Bergstrøm Helsedirektoratet

Astrid Nyeng Helsedirektoratet

Bjørn Unneland Norsk Helsenett

Silje Bjerkås Grimstad kommune

John A. Horve LMT Setesdal

Tor Ottersen Normsekretariatet

Knut Henrik Andersen Normsekretariatet

Hólmar Ørn Finnson Normsekretariatet

Jan Henriksen Normsekretariatet