Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi

Transkript

1 Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.0

2 INNHOLD 1 INNLEDNING BAKGRUNN MÅLGRUPPE BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER I FORBINDELSE MED BRUK AV VELFERDSTEKNOLOGI PROSESS VED ETABLERING AV VELFERDSTEKNOLOGI HELSE- OG PERSONOPPLYSNINGER VED YTELSE AV HELSE- OG OMSORGSTJENESTER Samtykke som rettslig grunnlag Lovhjemmel Oppbevaring og sletting Adgang til utlevering av og tilgang til opplysninger PERSONOPPLYSNINGER VED ANNEN BRUK AV VELFERDSTEKNOLOGI Behandling av personopplysninger ANSVAR Databehandlingsansvarlig Databehandler Leverandør av teknologi Leverandør av tjenester OVERSIKT OVER BEHANDLINGER AV HELSE- OG PERSONOPPLYSNINGER Valg av hjelpemiddel INFORMASJONSSIKKERHET Risikovurdering Internkontroll Tilgangsstyring Hendelsesregistrering Konfigurasjonskontroll Datakommunikasjon Opplæring UTFASING OG FRAKOBLING AV VELFERDSTEKNOLOGISKE LØSNINGER EKSEMPLER PÅ BRUK AV VELFERDSTEKNOLOGI INTRODUKSJON TIL EKSEMPLENE EKSEMPEL 1 BRUKERHISTORIE KÅRE, 68 ÅR Brukerhistorien Tjenestene Prinsippskisse Prosess vurdering og etablering av tiltak Eksempler på scenarioer til risikovurdering EKSEMPEL 2 BRUKERHISTORIE ANNA, 83 ÅR Brukerhistorien Tjenestene Prinsippskisse Prosess vurdering og etablering av tiltak Risikovurdering VEDLEGG Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Ver 1.0 side 2 av 56

3 4.1 DEFINISJONER SUPPLERENDE JURIDISK INFORMASJON Helse- og personopplysninger ved ytelse av helse- og omsorgstjenester Personopplysninger ved annen bruk av velferdsteknologi MAL FOR INNHENTING AV SAMTYKKE MAL FOR FORENKLET RISIKOVURDERING KJØREREGLER FOR BRUK AV VELFERDSTEKNOLOGI OG ET GODT PERSONVERN REFERANSER DELTAGERE I REFERANSEGRUPPEN Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Ver 1.0 side 3 av 56

4 Endringshistorikk for og godkjenning av dokumentet Versjon Endringer Godkjent av styringsgruppen for Normen (dato) 1.0 Første utgave av veilederen Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Ver 1.0 side 4 av 56

5 1 INNLEDNING 1.1 Bakgrunn Stortinget vedtok ved behandlingen av revidert nasjonalbudsjett 2013 en nasjonal satsing på velferdsteknologi nasjonalt velferdsteknologiprogram. Vedtaket er en oppfølging av Meld. St 29 ( ) «Morgendagens omsorg». Velferdsteknologi er et relativt nytt begrep som beskriver teknologiske løsninger som enkeltindivider kan nyttiggjøre seg av. I velferdsteknologiprogrammet inngår det: - Trygghetsskapende teknologier som skal muliggjøre at mennesker kan føle trygghet og ha mulighet til å bo lenger hjemme. I dette inngår det løsninger som gir mulighet for sosial deltakelse og motvirke ensomhet - Mestringsteknologier som skal muliggjøre at mennesker bedre kan mestre egen helse. I dette inngår det teknologiske løsninger til personer med kronisk sykdom/lidelser, personer med behov for rehabilitering/opptrening og vedlikehold av mobilitet, løsninger for barn/unge med helsemessige utfordringer mv. Fra helse- og omsorgssektoren er det fremmet behov for å få en egen veileder som gir råd, anbefalinger og praktiske eksempler innen personvern og informasjonssikkerhet ved bruk av velferdsteknologi. Et av formålene med veilederen er å gi veiledning til etterlevelse av kravene i Normen i lys av de spesielle personvernutfordringene som bruk av velferdsteknologi kan føre med seg. Bruk av velferdsteknologi er under utprøving i samfunnet. Det mangler bred praktisk erfaring fra tjenesteleverandørene (f.eks. kommunene). Selv om veilederen kommer tidlig i forhold til å ta i bruk velferdsteknologi, vil den ha praktisk nytte ved planlegging og anvendelse av velferdsteknologi. Punktene nedenfor viser noen områder ved planlegging og innføring av velferdsteknologiske tjenester som kan være utfordrende for personvernet og informasjonssikkerheten: - Mange aktører overvåker internettbruk for å framskaffe detaljerte opplysninger om brukere til bruk i direkte salg og markedsføring. Opplysninger om helse og omsorgsbehov er spesielt verdifulle. Det ville derfor være meget uheldig om løsninger for velferdsteknologi benyttes slik at tjenestenes opplysninger gjøres tilgjengelig for slike tjenester og aktører - Det kan være en utfordring om bruker ikke er tilstrekkelig informert og har forstått hva det samtykkes til - Det kan genereres mye informasjon som det ikke er behov for. Det kan være en utfordring å sortere ut informasjonen virksomheten har behov for og ikke. I veilederen benyttes begrepet overskuddsdokumentasjon om opplysningene som er unødvendige. Dette blir omtalt i veilederen, herunder om opplysningene blir automatisk ført i tjenestedokumentasjonen eller pasientjournalen. Virksomheten må hindre at Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Ver 1.0 side 5 av 56

6 opplysningene som lagres er uforenelig med det formålet velferdsteknologien er tiltenkt brukt overfor brukeren, og som brukeren gitt sitt samtykke til - Flere av løsningene innen velferdsteknologi kan gi muligheten for kontroll (overvåking) av bruker. Det kan for eksempel være lagring av bevegelsesmønster gjennom geografisk sporing, helseovervåking gjennom kroppssensorer og overvåking av atferdsmønster gjennom smarthusteknologi i form av kamera og bevegelsessensorer. Dette kan være meget integritetskrenkende. Målsetningen med et godt personvern og informasjonssikkerhet er blant annet å hindre at bruker overvåkes - Det kan være mange aktører involvert. Helse- og personopplysninger kan bli overført til ulike aktører som for eksempel kommunen, alarmsentraler, utstyrs- og kommunikasjonsleverandører for oppfølging og bistand. Dette medfører at det må etableres klare ansvarslinjer. Aktørene kan være både synlige og ikke synlige for bruker - I de velferdsteknologiske løsningene kan deler av teknologien være i hjemmet, i en institusjon og festet på bruker. Dette innebærer at det stilles krav om sikring av helse- og personopplysninger på flere steder og nivåer innen en og samme tjeneste. Truslene ved å knytte løsningene til Internettet gjør det påkrevet med sikring - Et område som er komplekst, ved bruk av velferdsteknologi, er korrekt behandling av dokumentasjon. Med dokumentasjon menes tjenestedokumentasjon og pasientjournal. Det er av sentral betydning at dokumentasjonen skal harmonere med vedtaket om bruk av velfredsteknologi (formålet) Virksomheten er forpliktet til å følge Normen ved inngåelse av kundeavtale med Norsk Helsenett (jf. Normens kapittel 1.6). Av dette følger det at løsninger for velferdsteknologi må ivareta Normens krav. For virksomheter som ikke har avtale med Norsk Helsenett vil Normen være veiledende. Alle kommuner er tilkoblet helsenettet. Normen gjelder fullt ut for kommunene selv om de velferdsteknologiske tjenestene ikke involverer Norsk Helsenett som leverandør eller at helsenettet er bærer av datatrafikken. Veilederen består av to sentrale deler. Den ene delen skal ta leseren gjennom arbeidsprosessene som grovt er illustrert i figuren nedenfor. Prosessdiagrammet i starten av kapittel 2 viser alle trinnene virksomheten må gjennom på et mer detaljert nivå. Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Ver 1.0 side 6 av 56

7 Den andre delen gir leseren to eksempler på bruk av velferdsteknologi. Ut fra prosessdiagrammet i kapittel 2 blir leseren gitt veiledning i valg som må tas og hva som må og bør etableres, gitt disse eksemplene. Veilederen tar utgangspunkt i at det er fattet et vedtak og/eller beslutning om bruk av velferdsteknologi. Prosessene som fører fram til vedtak og/eller beslutningen omfattes ikke av denne veilederen. For disse prosessene vises det til KS sitt nettsted: veikart for velferdsteknologi Formålet i vedtaket og/eller beslutningen setter imidlertid føringer for hvilke: - helse- og personopplysninger som kan behandles - hjelpemidler som skal benyttes Veilederen har ikke som mål å gi veiledning i valg mellom ulike velferdsteknologiske løsninger. Ut fra dette vil veilederen ikke peke på konkrete teknologier. For mer informasjon på dette området vises det til dokumentet: Helsedirektoratets anbefalinger på det velferdsteknologiske området. Denne veilederen er et støttedokument under Normen som forvaltes av styringsgruppen for Normen. Gjeldende versjon av Normen bygger på regelverket og er à jour i forhold til gjeldende rett. Dette innebærer at Normen er kvalitetssikret når det gjelder alle juridiske krav. Faktaark som er referert i veilederen fins på nettstedet til Normen: I veilederen er det benyttet begrepet "mottakssystem". Dette systemet skiller seg fra fagsystem og EPJ-system ved at systemet er spesialisert for velferdsteknologiske løsninger. Veilederen er utarbeidet for styringsgruppen for Normen med støtte av Helsedirektoratet og deltagere fra sektoren. Se kapittel 4.7 for deltagerne i referansegruppen. Sekretariatet for normen anmoder leser om å sende spørsmål og kommenterer om veilederen til: sikkerhetsnormen@helsedir.no. Veilederen har følgende kapittelinndeling: Kapittel 1: Kapittel 2: Kapittel 3: Kapittel 4: Bakgrunn for og introduksjon til veilederen Prosessflyt fra vedtak og/eller beslutning til å ta i bruk velferdsteknologi Gir to praktiske eksempler, basert på brukerhistorier, i bruk av velferdsteknologi med tilhørende eksempler på scenarioer for risikovurdering Inneholder definisjoner, supplerende juridisk informasjon, malverk og referanser Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Ver 1.0 side 7 av 56

8 1.2 Målgruppe Målgruppen for veilederen er virksomheter som omfattes av Normen og som gjør bruk (eller planlegger å gjøre bruk) av løsninger for velferdsteknologi. Følgende roller vil ha nytte av veilederen: Databehandlingsansvarlig Databehandler IKT-ansvarlig Personvernombud Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ ledelse Ledere av kommunale institusjoner Medarbeidere som utarbeider kravspesifikasjoner og gjennomfører anskaffelser, samt leverandører av velferdsteknologiske løsninger vil også kunne ha nytte av veilederen. Mer om leverandørens rolle i kapittel og Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Ver 1.0 side 8 av 56

9 2 BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER I FORBINDELSE MED BRUK AV VELFERDSTEKNOLOGI Dette kapitelet gir veiledning om det er hjemmelsgrunnlag i lov for behandling av personopplysninger fra velferdsteknologisk utstyr. Først om behandling av opplysninger i forbindelse med ytelse av helsehjelp. Deretter behandling av personopplysninger i andre sammenhenger. Avslutningsvis i kapitelet gis det veiledning i å etablere informasjonssikkerhet ved bruk av velferdsteknologi. 2.1 Prosess ved etablering av velferdsteknologi Figuren nedenfor viser i hovedtrekk de delprosesser virksomheten må gjennomgå. Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Ver 1.0 side 9 av 56

10 2.2 Helse- og personopplysninger ved ytelse av helse- og omsorgstjenester Som nevnt tidligere tar veilederen utgangspunkt i at det er fattet et vedtak og/eller beslutning om bruk av velferdsteknologi. Prosessene som fører fram til vedtak og/eller beslutningen omfattes ikke av denne veilederen. Dette kapitelet gir kortfattet informasjon om behandling av helseopplysninger ved bruk av velferdsteknologi i helse- og omsorgstjenesten. Det henvises til kapittel for ytterligere informasjon Samtykke som rettslig grunnlag Ytelse av helse- og omsorgstjenester skal som hovedregel baseres på et samtykke fra den enkelte. For personer som ikke har samtykkekompetanse, kan helse- og omsorgstjenester ytes når dette følger av lov. Når pasient eller bruker samtykker til å motta helsehjelp har helsepersonell plikt til å føre nødvendige og relevante opplysninger om pasienten og helsehjelpen i pasientens journal, jf. helsepersonelloven 39 og forskrift om pasientjournal. Journalføringsplikten til helsepersonell går foran retten til den enkelte til å motsette seg behandling av helse- og personopplysninger og danner derfor grunnlaget for å behandle helseopplysninger i forbindelse med helsehjelpen som ytes. Helse og personopplysninger som genereres ved bruk av velferdsteknologi kan derfor behandles på bakgrunn av pasientens eller brukerens samtykke til å ta i bruk utstyret. Det er viktig å påpeke at dette gjelder bare de opplysningene som er nødvendige og relevante for å oppnå formålet med bruk av velferdsteknologi. Overskuddsinformasjon skal slettes. Samtykke til helsehjelp, og dermed til behandling av nødvendige og relevante opplysninger, kan gis uttrykkelig eller stilltiende (ved konkludent atferd). For at samtykke kan anses som gyldig må det være frivillig og informert. Dette forutsetter at pasienten har fått tilstrekkelig informasjon om hvilken velferdsteknologi som skal brukes og hvilke opplysninger som skal behandles, og videre at pasienten har et reelt valg om han ønsker å ta dette i bruk eller ikke. Tiltakets art kan tale for at man ikke kan anse et stilltiende samtykke som et gyldig avgitt samtykke. Det vil stilles større krav til sannsynligheten for at pasienten/brukeren har samtykket i de tilfellene hvor tiltaket er av mer inngripende karakter. Trygghetsalarm vil kunne anses som mindre inngripende en GPS overvåkning. Det må vurderes i hvert enkelt tilfelle hvor inngripende det aktuelle tiltaket anses å være. Det er ikke formkrav til hvordan samtykket fra pasienten/brukeren skal innhentes. I forbindelse med velferdsteknologi anbefales det å innhente et skiftlig samtykke ut fra punktene nedenfor: - Samtykke fra pasienten/brukeren gir en mulighet til å skriftlig presisere hvilke helse- og personopplysninger som skal behandles Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Ver 1.0 side 10 av 56

11 - klargjøre hvilke aktører som er involvert Et slikt skriftlig samtykke er å anses som et uttrykkelig samtykke og ved slik innhenting kan den databehandlingsansvarlige være sikker på at pasienten/brukeren har gitt sitt samtykke Lovhjemmel For lovhjemler og unntak fra kravet om innhenting av samtykke fra pasient eller bruker for å yte helsehjelp, vises det til kapitel Oppbevaring og sletting Helse- og personopplysninger som samles inn fra velferdsteknologisk utstyr, og nedtegnes i journal i forbindelse med ytelse av helsehjelp eller omsorgstjenester, skal oppbevares inntil det ikke lenger antas å være bruk for dem. Hvis ikke opplysningene deretter skal bevares etter arkivloven eller annen lovgivning, skal de slettes. Journaler i offentlig virksomhet kommer inn under bestemmelsene om offentlige arkiver i og i medhold av arkivloven, herunder bestemmelser om kassasjon og avlevering til statlige, fylkeskommunalt eller kommunalt arkivdepot. Avlevering bør ikke skje før det har gått minst 10 år etter siste innføring i journalen Adgang til utlevering av og tilgang til opplysninger Innenfor rammen av taushetsplikten skal databehandlingsansvarlige sørge for at relevante og nødvendige helseopplysninger gjøres tilgjengelig for helsepersonell og annet samarbeidende personell når dette er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til den enkelte. Dette gjelder utlevering av slike opplysninger og tilgang til opplysninger i den databehandlingsansvarliges virksomhet jf. ny pasientjournallov. Pasienten har rett til å motsette seg at det gis tilgang til opplysninger i virksomheten eller opplysninger utleveres, enten til enkelte helsepersonell eller grupper helsepersonell. Utlevering av helse- og personopplysninger eller tilgang til slike opplysninger kan skje dersom ett av følgende vilkår er oppfylt: - den registrerte samtykker i utleveringen - det er fastsatt i lov at det er adgang til slik utlevering - er nødvendig for å beskytte en persons vitale interesser, og den registrerte ikke er i stand til å samtykke - det utelukkende utleveres opplysninger som den registrerte selv frivillig har gjort alminnelig kjent Kapittel gir utdypende informasjon om tilgang til og utlevering av helseopplysninger. 2.3 Personopplysninger ved annen bruk av velferdsteknologi Under dette punktet vil det gis kortfattet veiledning for behandling av personopplysninger i forbindelse med bruk av velferdsteknologi når helse- og personopplysningene ikke genereres i forbindelse med ytelse av helse- og omsorgstjenester. For ytterligere informasjon henvises det til kapittel Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Ver 1.0 side 11 av 56

12 Bruk av velferdsteknologi uten at den skjer i forbindelse med ytelse av helse- og omsorgstjenester kan f.eks. forekomme ved bruk av utstyr som ikke generer helseopplysninger, f.eks. komfyrvakt eller dørsensor, eller ved bruk av velferdsteknologisk utstyr fra private leverandører, f.eks. trygghetsalarm fra et vaktselskap. Slikt utstyr kan generere opplysninger av forskjellige art og det kan være vanskelig å forutse om det kommer til å genereres sensitive personopplysninger (herunder helseopplysninger) eller personopplysninger generelt. Det er derfor viktig at man i forkant av bruken av slikt utstyr gjennomfører grundige vurderinger av hvilke typer opplysninger utstyret kan komme til å generere, og se dette opp mot hvilke hjemmelsgrunnlag som gjelder for behandling av disse opplysningene. Ved behandling av sensitive personopplysninger må virksomheten, i tillegg til å innhente brukerens samtykke, innhente konsesjon fra Datatilsynet. Konsesjonsplikt gjelder ikke for behandling av personopplysninger i organ for stat eller kommune når behandlingen har hjemmel i egen lov (jf. personopplysningsloven 33). Mer om konsesjon på nettstedet: Behandling av personopplysninger Personopplysninger skal bare innhentes, lagres og på annen måte behandles i den grad det er nødvendig for å oppnå formålet. Har man ikke behov for å registrere personopplysningene, er det ikke hjemmel for å behandle dem og eventuelt registrerte opplysninger må slettes. Overskuddsinformasjon skal unngås. Innsamlede data som ikke lenger er nødvendige for det angitte formål må slettes eller anonymiseres, om ikke annet følger av lov f.eks. journalføringsplikt for helsepersonell. Under dette prinsippet ligger også det hensyn at enkeltindivider av og til må gis mulighet til å legge fortiden bak seg og begynne med blanke ark. Den databehandlingsansvarlige plikter å sende melding til Datatilsynet om behandling av personopplysninger. Normalt vil bruk av velferdsteknologi i en kommune være innenfor en eksisterende behandling. Da skal det ikke sendes melding. I meldingen må det krysses av om det benyttes databehandler og hvem denne er. Melding til Datatilsynet sendes inn på nettstedet: Meldinger skal fornyes hvert 3 år. 2.4 Ansvar Databehandlingsansvarlig Databehandlingsansvarlig er den som bestemmer formålet med behandlingen av helse- og personopplysninger og hvilke hjelpemidler som skal benyttes i behandlingen av helse- og personopplysninger. Nedenfor gis det noen eksempler: - Om kommunen beslutter å gi bruker velferdsteknologiske løsninger med det formålet å gi bruker trygghet i hjemmet og kommunen anskaffer teknologien. Kommunen er databehandlingsansvarlig om det behandles helse- og personopplysninger i løsningen Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Ver 1.0 side 12 av 56

13 - Om det etableres et interkommunalt samarbeid etter kommuneloven eller etter lov om interkommunale selskap må partene avklare databehandlingsansvaret seg i mellom - Om virksomheten leier velferdsteknologien fra en leverandør eller at bruker selv anskaffer teknologien fra leverandøren, etter kravspesifikasjon fra virksomheten, er virksomheten databehandlingsansvarlig - Om det er virksomheten som kjøper den velferdsteknologiske løsningen av en privat alarmsentral, f.eks. etter anbud, er virksomheten databehandlingsansvarlig Etter pasientjournalloven 9 kan to eller flere virksomheter etablere felles journal. Felles journal vil erstatte den enkelte virksomhets journalsystem. Én felles journal vil gjøre det lettere å se de ulike tiltakene i sammenheng og vurdere helheten i pasientbehandlingen. Det vil kunne gi en bedre pasientsikkerhet at journalføringen skjer i samme journal. Ved etablering av felles journal må virksomhetene inngå en skriftlig avtale om bla. hva samarbeidet omfatter, hvordan pasientens/brukerens rettigheter skal ivaretas, hvordan helseopplysningene skal behandles og sikres, og databehandlingsansvar. Pasientjournalloven 9 som åpner for å etablere felles journal mellom virksomheter, erstatter den tidligere hjemmelen for å etablere virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap. Forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap er nå opphevet, men virksomheter som tidligere har inngått avtale om slik felles journal kan fortsette dette samarbeidet. Veilederen "Samarbeid mellom virksomheter om felles journal" gir utfyllende veiledning Databehandler I forbindelse med velferdsteknologi kan virksomheten benytte en eller flere databehandlere. Eksempler på situasjoner kan være: - Databehandler som yter support på utstyret etter avtale og får automatisk oversendt statusmeldinger om utstyrets funksjon og eventuelle feil knyttet til en bruker - Databehandlerens alarmsentral er reserve om virksomhetens blir utilgjengelig - Databehandler drifter virksomhetens løsninger - Tjenesteutsetting (f.eks. mottakssystem) Et eksempel på når det ikke er bruk av databehandler kan være i tilfelle der leverandøren gir teknisk bistand etter avtale med virksomheten. Bistanden kan innebære å koble opp med fjernaksess for å kontrollere status, men overfører ikke statusmeldinger eller helse- og personopplysninger til sitt system. Derimot om leverandøren kan få tilgang til helse- og personopplysninger med fjernaksess er denne databehandler. Virksomheten plikter å tegne en databehandleravtale. Følgende momenter kan være hensiktsmessig å ha med i en avtale om velferdsteknologiske løsninger: - Sikring av konfidensialitet for lagrede data - Sikring av kommunikasjon mellom databehandler og virksomheten - Hvilke data som overføres (f.eks. feilstatus, lokasjonsnummer, måleverdier, navn, adresse) Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Ver 1.0 side 13 av 56

14 - Hvordan dataene i mottakssystemet 1 til databehandler blir knyttet til bruker - Hvem hos databehandleren som har tilgang - Krav om sletting (f.eks. når feilen er løst) - Krav om avidentifisering om databehandler vil oppbevare statusmeldingene for egen rapportering og statistikk Databehandleravtaler skal oppbevares til avtalens utløp og deretter i 5 år. Faktaark 10 gir mer veiledning i bruk av databehandler og etablering av databehandleravtale. I tillegg til materiellet under Normen har Datatilsynet sine nettsider en veileder for databehandleravtaler med maler Leverandør av teknologi I dette kapitelet blir leverandørens rolle beskrevet der leverandøren ikke er databehandler. En leverandør av teknologi til den databehandlingsansvarlige har ikke et selvstendig ansvar for at teknologien ivaretar kravene i Normen. Det anbefales derfor at virksomheten stiller krav til leverandøren om etterlevelse av krav i Normen i kravspesifikasjoner, avtaler mv. og at løsningen blir dokumentert. I fakttark 38 gis det en sjekkliste som kan benyttes ved anskaffelse av velfredsteknologi. For å gi leverandører veiledning i implementering av krav i Normen er det utarbeidet er sett med seks veiledningsdokumenter. Disse dokumentene gir utfyllende beskrivelse av krav samt ulike eksempler på løsninger. Virksomheten kan stille krav til leverandøren om innebygd personvern i teknologien. Nedenfor gis det en kort forenklet redegjørelse om dette begrepet. For utfyllende informasjon vises det til Datatilsynet nettsted for temaet. Innebygd personvern i forbindelse med velferdsteknologi(privacy by design) betyr at det tas hensyn til personvern og informasjonssikkerhet i alle utviklingsfaser av velferdsteknologien. Det spesielle med velferdsteknologi sett i forhold til annen teknologi virksomheten benytter, er at deler at teknologien benyttes av bruker. Etterlevelse av krav i Normen krever kompetanse i juridiske problemstillinger og teknologiske forhold, samt ulike teknikker for styring og kontroll. Dette er en kompetanse som det er urimelig å kunne forvente at bruker innehar. Det er viktig at brukeren har tillit til at opplysningene ikke spres til uvedkommende. Det kan også være en forventning bruker har at personvernet er ivaretatt i de velferdsteknologiske løsningene. Det kan derfor være en ønsket situasjon at det i så stor grad som mulig er innebygd personvern i teknologien. Dette betyr for eksempel at forhåndsdefinerte standardinnstillinger i teknologisk utstyr, system og program settes til det mest personvernvennlige nivået. På denne måten er brukeren sikret et best mulig personvern selv om vedkommende ikke gjør noen endringer i forhåndsdefinerte brukerinnstillinger. For IKT i helse- og omsorgssektoren innebærer dette at pasientene skal være sikret et godt personvern uten at den enkelte selv eller helsepersonell aktivt må endre innstillinger. 1 I veilederen er det benyttet begrepet "mottakssystem". Dette systemet skiller seg fra fagsystem og EPJ-system ved at systemet er spesialisert for velferdsteknologiske løsninger. Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Ver 1.0 side 14 av 56

15 Datatilsynet har utarbeidet 2 en sjekkliste for innebygd personvern. Det anbefales at virksomhetene som anskaffer velferdsteknologien stiller krav til leverandørene, på basis av sjekkisten, gjennom kravspesifikasjoner og avtaler om et innebygget personvern i teknologien Leverandør av tjenester Leverandøren kan ha en rolle som leverandør av tjenester som: - Utplassering av velferdsteknologi hos bruker - Vedlikehold og feilretting - Oppdateringer Ved leveranse av tjenester må den databehandlingsansvarlige påse at: - Leverandørens personale har undertegnet taushetserklæring - Leverandøren etterlever Normen med tanke på den databehandlingsansvarliges plikter - Leverandøren skal kun få adgang etter særskilt tillatelse fra virksomheten til de områder som det er behov for. Adgangen skal skje under overvåking fra virksomhetens personale Om leverandøren er tilknyttet virskomheten og /eller brukers nettverk og løsninger med fjernaksess plikter virksomheten å påse at leverandørens løsning for fjernaksess er iht. krav i Normen. Og at dette er regulert i en avtale. Mer om krav til fjernaksess og eksempler på anbefalte løsninger i dokumentet: "Veileder for fjernaksess". 2.5 Oversikt over behandlinger av helse- og personopplysninger Virksomheten skal til enhver tid ha oversikt over hvilke behandlinger av helse- og personopplysninger som skjer i virksomheten. Tabellen på neste side er et eksempel på en oversikt over behandlinger. Slike oversikter bør inneholde følgende informasjon: Formålene med behandlingen (overordnet, for eksempel: timeliste, regnskap, diagnostikk, helsehjelp, plikt til å føre journal mv.) Kategorier av helse- og personopplysninger (personopplysninger som ikke er helseopplysninger skal kategoriseres i sensitive/ikke sensitive) Navn på fagsystem, mottakssystem/typebetegnelse (leverandørnavn mv.) som benyttes til behandlingen Meldeplikt (utført/ikke-utført, informasjon om fornyelse hvert tredje år, ansvar mv.) Evt. databehandler (navn, kontaktinformasjon, avtaleforhold mv.) 2 På basis av: 7 foundational principles for privacy by design by Ph. D. Ann Cavoukian, Information & Privacy Commissioner in Ontario, Canada. Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Ver 1.0 side 15 av 56

16 Tjeneste Formål med behandlingen av opplysningene Hjemmel og behandling Angi om det er flere behandlinger under den enkelte tjeneste Kategorier av opplysninger Sensitive personopplysninger, ikke sensitive personopplysninger eller administrative opplysninger, evt. kombinasjon av disse. Navn på fagsystemet eller mottakssystemet/ for tjenestedokumentasjon og pasientjournal opplysningene er registrert i Før inn hvor opplysningene lagres (internt og/eller hos databehandler) Databehandler (Evt. informasjon om databehandle r-avtale (dato for inngåelse, varighet mv.)) Dialogtjeneste Trygghetsalarm informasjon. Bruker rapporterer selv om måleverdier på medisinske målinger. Mottak, vurdering og dokumentering. Selvrapportering Plikt til å føre pasientjournal for den som yter helsehjelp. Kommunikasjon med mottakssystem om hvem som har hvilken alarm og hvilken alarmsone de tilhører, registrering/ dokumentasjon av utløste alarmer og utrykninger, aktivitetsbaserte inntekter, statistikk og styrings- Helsepersonellov en 39 og 40 Vurderes individuelt. Helse- og omsorgstjenestel oven 3-2, første ledd nr. 6 bokstav b Helsepersonellov en 39 og 40 Sensitive Ikke sensitive Administrative Sensitive Ikke sensitive Administrative Sensitive Ikke sensitive Administrative Ja Ja Ja Nei Nei Nei Valg av hjelpemiddel Begrepet hjelpemidler omfatter alt slags utstyr, både elektronisk og ikke elektronisk, som f.eks. datamaskiner og terminaler, telenett, sammenkoblingsnett, programvare, prosedyrer mv. Valg av hjelpemidler er et ansvar som påhviler databehandlingsansvarlig. Ansvaret er det samme om tjenesten leveres av en databehandler Valg av hjelpemiddel og det som skal oppnås med bruk av hjelpemiddelet vil være styrende for hvilke opplysninger som behandles. Valg og bruk av hjelpemidler må derfor sees opp mot formålet det skal benyttes til (jf. kap ). Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Ver 1.0 side 16 av 56

17 2.6 Informasjonssikkerhet Risikovurdering Risikovurderinger skal gjennomføres: - Alltid når det tas i bruk velferdsteknologi - Ved større endringer (f.eks. nytt fagsystem/mottakssystem, ny leverandør av velferdsteknologi, større endringer i teknisk løsning) - Når det oppstår avvik av betydning og alltid ved uautorisert utlevering av helse- og personopplysninger med betydning for konfidensialitet - Som en del av kontroll og oppfølging Å ta i bruk velferdsteknolog kan være komplekst og omfattende. Det skal derfor gjennomføres en fullstendig risikovurdering. Til dette kreves det at risikovurderingen gjennomføres etter en grundig metode. For metode vises det til faktaark 7. Nedenfor vises spesielle trusler og vurderinger som det er viktig å ivareta. Tilgjengelighet: - Tilgjengelighet for helseopplysninger ved å vurdere den tekniske løsningen (f.eks. ved trygghetsalarm), herunder alternative løsninger - Ødeleggende programvare (f.eks. om løsningen er tilknyttet Internett) Integritet - Helse- og personopplysninger skal være korrekte - Bruk av nettbrett (f.eks. at uautoriserte ikke kan endre helse- og personopplysningene) - Tilgangsstyring i virksomheten for å hindre uautorisert endring av helse- og personopplysninger og konfigurasjonen (f.eks. mottakssystem, fagsystem, EPJ-systemet) - Opplæring for å hindre brukerfeil ved registrering av opplysninger - Feil i ustyr og programvare som kan medføre at helse- og personopplysninger ikke er korrekte - Uautorisert endring av helse- og personopplysninger og konfigurasjon ved tilgang fra eksterne nett (f.eks. Internett, trådløse nett og mobilnett) Konfidensialitet: - Tilgangsstyring hos bruker (f.eks. nettbrettet, rapporteringsløsninger, dørlåser, mv.) - Databehandlers behandling av helse- og personopplysninger - Bruk av nettbrett (f.eks. at uautoriserte får tilgang til helse- og personopplysninger, bruk av nettbrettet til Internett baserte Apper som kan eksponere helse- og personopplysninger, kryptering av helse- og personopplysninger om nettbrettet bringes ut av hjemmet) - Tilgangsstyring i virksomheten (f.eks. mottakssystem, fagsystem, EPJ-system) - Leverandørs løsning for fjernaksess - Utstyr skal knyttes til Internett eller benytte Internett som bærer (f.eks. at det kan etableres en kanal inn i utstyret og mot virksomhetens sikre sone) - Kryptering av trådløse nett Grunnlaget for risikovurderingene er med bakgrunn i et nivå for akseptabel risiko. Se faktaark 5 "Fastsette akseptkriterier for tilgjengelighet, konfidensialitet, integritet og kvalitet". Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Ver 1.0 side 17 av 56

18 Risikovurderingene skal dokumenteres og arkiveres i minimum 5 år. I enkelte tilfelle kan risikovurderingen gjennomføres etter en forenklet metode. Med henvising til skjemaet i kap. 4.4 gis det nedenfor en metode for forenklet risikovurdering: - Vurder sannsynlighet / konsekvens for alle uønsket hendelser / senarioer - Når sannsynlighet og konsekvens er vurdert vil produktet gi risikonivået som skal krysses av, se tabellen nedenfor Produkt av sannsynlighet og konsekvens Risikonivå 9, 12 og 16 Høy 6 og 8 Middels 1, 2, 3 og 4 Lavt - For risikonivå Høyt skal det alltid planlegges og iverksettes risikoreduserende tiltak - For risikonivå Middels skal det vurderes om det skal planlegges og iverksettes risikoreduserende tiltak - Risikonivå Lavt er restrisiko som der det ikke er nødvendig risikoreduserende tiltak Internkontroll Som en del av virksomhetens styringssystem for informasjonssikkerhet skal det føres en samlet og oppdatert oversikt over alle behandlinger av helse- og personopplysninger i virksomheten (jf. kap. 2.5). Dette er et viktig styringsdokument for informasjonssikkerhet, og et praktisk redskap i det gjennomførende arbeidet. Oversikten vil også gi bidrag til den generelle internkontrollen i virksomheten. Oversikten kan f.eks. utarbeides som en database med oversikt over de systemer og registre for behandling av helse- og personopplysninger som til enhver tid er i bruk i virksomheten. Både databehandlingsansvarlig, databehandler og leverandører med fjernaksess skal ha etablert et styringssystem for informasjonssikkerhet. Ifm. bruk av velferdsteknologi anbefales det å utarbeide utvide styringssystemet med prosedyrer for (listen er ikke utfyllende liste): - Håndtering av velferdsteknologien på mobilt datautstyr - Prosedyre for sletting - Håndtering og sletting av overskuddsinformasjon - Dokumentasjon av registreringer og alarmer - Hvilke opplysninger som skal dokumenteres Tilgangsstyring Prinsippene for tilgang til helse- og personopplysninger skal følge tjenstlige behov hos den databehandlingsansvarlige, uansett hvilken aktør som har tilgang. All tilgang skal gis under bestemmelsene om taushetsplikt. Databehandlingsansvarlig skal etablere roller som bygger på prinsippene om tilgangsstyring. For eksempel kan rollen "teknisk personell" ikke ha tilgang til brukers posisjonsdata for å oppgradere systemet. Et annet eksempel kan være at rollen "leverandør" ikke trenger tilgang til lokasjonsdata for å vedlikeholde utstyret. Tilgangsstyring skal etableres i alle systemer (f.eks. velferdsteknologien, mottakssystemet, EPJ-systemet, fagsystemet mv). Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Ver 1.0 side 18 av 56

19 Systemet som administrerer autorisasjon av tilganger til de velferdsteknologiske løsningene, herunder fagsystemet/mottakssystemet, skal skille mellom rettigheter til å lese, registrere, redigere, rette, slette og/eller sperre helse- og personopplysninger. All tildeling av autorisasjon skal registreres i et autorisasjonsregister. For autorisasjonsregister vises det til faktaark 47. Ved bruk av velferdsteknologi kan det være flere aktører involvert. Eksempler på aktører kan være ulike avdelinger i virksomheten, utstyrsleverandører av velferdsteknologi, private alarmsentraler og databehandlere. Det er derfor av særlig betydning at virksomheten etablerer prinsipper for tilgangsstyring. Nedenfor er det gitt noen eksempler på områder som bør etableres tilgangsstyring ifm. velferdsteknologi: - Teknologi i hjemmet til bruker (f.eks. nettbrett, sentralenhet mv.) - Roller og tilganger i mottakssystemet - Opplysninger som mellomlagres før sletting All autentisering for tilgang til helse- og personopplysninger i de velferdsteknologiske løsningene skal være personlige. Om databehandlingsansvarlig eller databehandler viser opplysninger om bruker på skjermer eller projektorer (f.eks. i en alarmsentral) vil også det personellet som kan se opplysningene være underlagt bestemmelsene om taushetsplikt. Om det er fare for brudd på taushetsplikten i slike tilfeller må den databehandlingsansvarlige og/eller databehandler vurdere tiltak for skjerming og adgangskontroll til fysiske områder. Med hjemmel i pasientjournalloven 19 kan det iht. bestemmelsene i forskrift om tilgang til helseopplysninger mellom virksomheter gis tilgang for andre virksomheter til helse- og personopplysninger Hendelsesregistrering Virksomheten skal ha etablert hendelsesregistrering og prosedyre for kontroll av hendelsesregistre, slik at den har kontroll med aktiviteten i de velferdsteknologiske løsningene. Hendelsesregister som er knyttet til pasientjournalen har lovregler for tilgang, endring, innsyn, oppbevaring og sletting av slike hendelsesregistre som er lik som for pasientjournalen. Nedenfor behandles hendelsesregistre som ikke er en del av pasientjournalen. Eksempler på slike hendelsesregistre er: - I utstyr som er utplassert hos bruker - Autentiseringsinformasjon i mottakssystemet - Systeminformasjon med betydning for informasjonssikkerheten - Sikkerhetsbarrierer (brannmurer mv.) All autorisert bruk og forsøk på uautorisert bruk av løsningene skal registreres. Hendelsesregistrene skal enkelt kunne analyseres ved hjelp av analyseverktøy med henblikk på å oppdage brudd. Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Ver 1.0 side 19 av 56

20 Det skal etableres prosedyrer for å analysere hendelsesregistrene slik at hendelser oppdages før de får alvorlige konsekvenser, og fortrinnsvis innen 1 uke. Hendelsesregistre skal kun være tilgjengelig for fastsatte roller i virksomheten. Hendelsesregistrene skal sikres mot endring og sletting av uautorisert personell. Alle oppføringer i hendelsesregistret skal oppbevares i minst 2 år i elektronisk form. Om det avdekkes hendelser som viser uautorisert bruk skal det opprettes en avviksmelding som skal håndteres iht. etablerte prosedyrer. For ytterlige informasjon om hendelsesregistrering vises det til faktaark Konfigurasjonskontroll Ved bruk av velferdsteknologiske løsninger kan løsningene fjernstyres fra smarttelefoner, nettbrett og såkalte smart-tv løsninger med tilhørende apper. Slike enheter er normalt tilknyttet Internett med trådløst nett eller mobilkommunikasjon. Konfigurasjonskontroll av slike tilknytninger må vises ekstra oppmerksomhet fordi nettverkstilknytningen kan gi uautorisert tilgang til helse- og personopplysninger og konfigurasjoner. Konfigurasjonsendringer, dvs. endringer i utstyr og/eller programvare, skal ikke settes i drift før følgende tiltak er gjennomført: - Risikovurdering som viser at nivå for akseptabel risiko er oppnådd - Test som sikrer at forventede funksjoner er ivaretatt - Implementering som sikrer mot uforutsette hendelser - Ny konfigurasjon er dokumentert - Konfigurasjonsendringer er godkjent av virksomhetens leder eller den ledelsen bemyndiger Virksomheten plikter å dokumentere alle konfigurasjoner i et konfigurasjonskart over informasjonssystemene og teknisk beskrivelse av konfigurasjonen. Om det er leverandører (f.eks. utstyrsleverandør) som er involvert i drift og overvåkning skal konfigurasjonskontrollen reguleres gjennom avtale. Om virksomheten tilnytter brukers private utstyr skal dette underlegges virksomhetens konfigurasjonskontroll. Konfigurasjonskontroll skal reguleres gjennom avtale ved: - Bruk av databehandler - Bruk av fjernaksess for vedlikehold og oppdateringer Datakommunikasjon Dette kapitelet beskiver først sikring av overføringen av helse- og personopplysninger, og deretter sikring av overføringskanalen. Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Ver 1.0 side 20 av 56

21 Sikring av dataene som overføres All datakommunikasjon med helse- og personopplysninger, som skjer i nettverk som virksomheten ikke selv har kontroll over, skal krypteres. Dette gjelder både i virksomhetens interne nettverk, nettverket mot eksterne parter og mot eventuelle databehandlere. Virksomheten må påse at datakommunikasjonen med helse- og personopplysninger er krypterte ende til ende. Kryptering fra ende til ende betyr at det ikke skal være en mellomstasjon hvor data avleses eller lagres i «klartekst». Dette kan f.eks. løses ved at data krypters i velferdsteknologien og dekrypteres i tilknytning til virksomhetens mottakssystem (f.eks. i sikker sone 3 ). For krav til krypteringsmetode og styrke vises det til dokumentet "Kravspesifikasjon for PKI i offentlig sektor". Kryptering forutsetter en forsvarlig løsning på behandling av partenes krypteringsnøkkel(er). Virksomheten må utarbeide prosedyrer som sikrer at krypteringsnøkler og/eller sertifikater blir forsvarlig sikret og at krypteringsnøklene er unike for hver enkelt bruker iht. krav beskrevet i "Kravspesifikasjon for PKI i offentlig sektor". I spesielle tilfelle kan bruk av avidentifisering av helse- og personopplysninger være et alternativ til kryptering. Ved overføring av data som er avidentifiserte eller er rene tekniske opplysninger uten personidentifikasjon (f.eks. status og feilmelinger på utstyret) er det ikke krav om kryptering. Sikring av overføringskanalen Nettverkskommunikasjonen skal sikres med minst to uavhengige, tekniske virkemidler (jf. Normen kap ). All kommunikasjon med virksomheter/tjenester utenfor virksomheten bør fortrinnsvis foregå ved hjelp av en kanal, dvs. én nettjenesteleverandør (jf. Normen kap ). En kanal kan f.eks. være etablert gjennom: - Privat nett virksomheten etablerer - Nett basert på mobilkommunikasjon - Internett - Norsk Helsenett Dersom det benyttes flere nettjenesteleverandører mot systemer hvor det behandles helse- og personopplysninger må alle tilfredsstille kravene i Normen (jf. Normen kap ). Sikring av kanaler kan f.eks. løses ved: - Bruk av VPN 4 (Virtual Private Network) - Kombinasjon av VPN og prinsipper for VLAN 5 (Virtual LAN (Local Area Network)) 3 Mer om sonedelt infrastruktur i Datatilsynets veileder for sikkerhetsarkitektur 4 Om VPN: 5 Om VLAN: Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Ver 1.0 side 21 av 56

22 Om overføringskanalen er etablert over Internett skal virksomheten etablere tekniske tiltak som sikrer at Internett-tjenesten er logisk atskilt fra der helse- og personopplysninger behandles. Punktene ovenfor baserer seg på at: - Det ikke er privat eiet utstyr som er tilkoplet løsningene. Dersom det er tilfelle må den totale løsningen risikovurderes - Utstyret ikke er konfigurert for fri bruk av Internett Bruk av vanlig telefonsamtaler stiller ikke krav om kryptering. Personvernet ivaretas best ved at det ikke brukes opptak av telefonsamtaler uten at dette er nødvendig. Mer hjelp til sikkerhetsarkitektur og datakommunikasjon fins i: - Faktaark 24 - Kommunikasjon over åpne nett - Faktaark 26 - Sikring av trådløs teknologi Opplæring Både databehandlingsansvarlig, databehandler og leverandør skal gi medarbeiderne og brukere/pårørende opplæring i alle forhold rundt velferdsteknologiske løsninger. Det anbefales i forbindelse med velferdsteknologi at opplæringen tilpasses til den aktuelle rollen medarbeideren har. Nedenfor følger noen temaer det anbefales å legge særskilt vekt på: Medarbeideren: - Taushetsplikt - Helse- og personopplysninger kan kun benyttes til det formålet som er bestemt - Kun tjenstlig tilgang i forbindelse med medarbeiderens rolle Bruker/pårørende: - Konfigurasjonen i velferdsteknologien skal ikke endres av bruker eller pårørende - Riktig bruk - Hvordan melde om feil og feil bruk - Prosedyre for nedkobling 2.7 Utfasing og frakobling av velferdsteknologiske løsninger Når de velferdsteknologiske løsningene skal frakobles bruker og/eller brukested må virksomheten etablere prosedyrer som sikrer at: - Alle helse- og personopplysninger som er lagret i utstyret som skal frakobles skal slettes. - Eventuelle pseudonymer slettes - Krypteringsnøkler slettes Ved eventuell gjenbruk av sensorer og måleutstyr hos annen bruker er det viktig at alle data slettes. En anbefalt metode er å tilbakestille utstyret til "fabrikk innstillinger". Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Ver 1.0 side 22 av 56

23 3 EKSEMPLER PÅ BRUK AV VELFERDSTEKNOLOGI 3.1 Introduksjon til eksemplene I dette kapitlet gis det to eksempler på bruk av velferdsteknologi. Eksemplene bygger på brukerhistorier som er utarbeidet i det nasjonale velferdsteknologiprogrammet. Det er å merke seg at eksemplene er tatt fram for å gi en illustrasjon på vurderinger og tiltak som må på plass, etter krav i Normen. I praksis må virksomheten gjøre sine egne vurderinger og valg i det enkelte tilfelle. Eksemplene er derfor ikke ferdige løsninger. I eksemplene er det valgt å gruppere oppgaver sammen (nedenfor kalt trinn) etter prosessmodellen i kapittel 2. Videre er det foreslått hvor i fasene planlegging, implementering og forvaltning prosesselementet hører hjemme. I eksemplene er det forutsatt at det behandles helse og personopplysninger og at løsningen ikke er til private formål (jf ). Prosessen for å vurdere målinger, identifisere årsak, behandle dialoger mv. vil ende i en aksjon (besøk av hjemmetjenesten, oppfølging av fastlege, oppfølging av sykehus hjemmesykepleie mv.). Aksjoner er ikke dekket av veilederen, men det er tatt med noe tekst under brukerhistoriene for at eksemplet skal gi et bedre helhetsbilde. Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Ver 1.0 side 23 av 56

24 3.2 Eksempel 1 BRUKERHISTORIE KÅRE, 68 ÅR Brukerhistorien Utgangssituasjon: Kåre har KOLS og bor alene. Han er ofte innlagt på sykehuset og føler seg veldig utrygg med å bo i egen bolig. Han har trygghetsalarm, men føler seg ikke trygg med den. Han beveger seg svært lite utenfor huset. Kåre har regelmessig besøk av hjemmesykepleier etter avtalte tidspunkt, for å hjelpe han til å føle seg trygg. Ønsket situasjon: Han har ikke vært innlagt på sykehus siden han begynte med denne teknologien. Til regelmessig og avtalt tid med dialogtjenesten trener Kåre hjemme i stuen. Han har regelmessig kontakt med kommunen og hvis han føler seg dårlig i pusten kan han gjøre målinger, samt svare på noen spørsmål. Teknologien er enkel å bruke. Hvis verdiene er utenfor avtalt nivå, vurderer og agerer kommunen ut fra behovet. Kåre kontaktes og får informasjon om handling som avtalt, og innenfor avtalt tidsrom. Kåre føler seg trygg og det er godt å ha noen som følger med. Han trenger ikke daglig besøk av kommunen, han kan jo kontakte dem selv og både se og snakke med representanter for tjenesteyter. Fastlegen får vite når målingene er utenfor avtalt nivå for Kåre, og de pleier ofte å gå gjennom verdiene av målingene når han er der til konsultasjon. Måleutstyret i Kåres hjem er lånt og kommunen får automatisk beskjed hvis noe er galt med utstyret. Det er trygt å vite tenker Kåre. Noen ganger trenger Kåre bistand fra kommunen. Han synes det er betryggende at de selv kan komme seg inn døren ved hjelp av den elektroniske låsen Tjenestene Kommunen leverer følgende tjeneste til Kåre: - Elektronisk utstyr og tjenester levert, konfigurert og vedlikeholdt av kommunen: o Nettbrett med program for registrering av kolsdata til kommunen o Utstyr for dialogtjenester med kommunen o Trygghetsalarm tilkoplet kommunen o E-lås med kommunikasjon med kommunen o Sentralenhet med sikkerhets og kommunikasjons -utstyr fra kommunen - Kommunenes elektroniske tjenester er; o Behandling av mottatte kolsmålinger o Behandling av trygghetsalarm o Behandling av e-lås o Bruk av dialogtjenesten o Service og vedlikehold av det elektroniske utstyret til Kåre Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Ver 1.0 side 24 av 56

25 - Medisinsk tjeneste som består av: o Selvrapportering kolsmåling m/sjekkliste o Hjemmesykepleie ved behov o Oppfølging av fastlege o Oppfølging av sykehuset Anvendelsesområdet for tjenestene er (Nummer viser til nummerering i prinsippskissen nedenfor): Nr Anvendelsesområdet Nettbrett med program for registrering av kolsdata til kommunen (instrumentene er ikke tilknyttet plattformen) Dialogtjenesten vil benyttes i ulike situasjoner og benyttes ved behov for toveis kommunikasjon og må inneholde nødvendig kontaktinformasjon. Hvor informasjonen lagres er avhengig av innholdet i samtalen Dialogtjenesten kan brukes i en medisinsk vurdering og i de tilfeller skal resultatet av dialogen dokumenteres i pasientjournalen E-lås gir tilgang til Kåre s hjem og benyttes til å låse seg inn hos bruker for de tjenesteytere som har behov for det Ansatte i kommunen og brukere knyttes til e-lås, og varighet på besøk hendelsesregistreres Prinsippskisse Figuren nedenfor viser de ulike komponentene i velferdsteknologien, overføringsnett og aktørene. Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Ver 1.0 side 25 av 56