Kontrollrapport. Kontrollobjekt: Telenor Objects AS Sted: Fornebu

Transkript

1 Saksnummer: 14/01291 Dato for kontroll: Rapportdato: Kontrollrapport Kontrollobjekt: Telenor Objects AS Sted: Fornebu Utarbeidet av: Camilla Nervik 1 Innledning og bakgrunn for kontrollen I desember 2014 gjennomførte Datatilsynet en serie med kontroller av den behandlingen av personopplysninger som skjer ved bruk av velferdsteknologi. I den forbindelse gjennomførte Datatilsynet en kontroll av Telenor Objects AS (TnO) 2. desember Kontrollen ble gjennomført med hjemmel i personopplysningsloven 44, jf. 42 og daværende helseregisterlov 31. Velferdsteknologi er teknologiske løsninger som er ment brukt i utøvelsen av helse- og omsorgstjenester. Formålet med kontrollene var primært å innhente informasjon om behandling av personopplysninger til slike formål, for å kunne danne et bilde av hvordan vi bør arbeide videre med dette feltet. Datatilsynet ønsket også å vurdere ansvarsforhold, rettslig grunnlag, herunder samtykke, innsamling, lagring og informasjonssikkerhet ved bruk av velferdsteknologi. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. Den 1. januar 2015 trådte ny helseregisterlov og pasientjournallov i kraft, og helseregisterloven av 2001 ble opphevet. Kontrollen ble gjennomført etter tidligere helseregisterlov. Eventuelle vedtak vil imidlertid vurderes etter ny helseregisterlov/pasientjournalloven. I kontrollrapporten viser vi til det regelverket som er gjeldende på rapport- og vedtakstidspunktet, men med henvisning til det regelverket som gjaldt på kontrolltidspunktet i parentes. Vi vurderer at lovendringene ikke har betydning for det materielle innholdet i rapporten eller våre varslede pålegg om vedtak. 2 Tilstede under kontrollen 2.1 Fra virksomheten Anders Holt, Personvernombud Telenor Norge AS Leif- Henrik Rønnevig, Advokat Group Legal, Telenor ASA Johan Ivarson, Administrerende direktør, Telenor Objects AS 2.2 Fra Datatilsynet Marius Engh Pellerud, rådgiver Ted Tøraasen, overingeniør Camilla Nervik, seniorrådgiver 1 av 5

2 3 Telenor Objects AS som leverandør av velferdsteknologitjenester Telenor Objects AS er et eget aksjeselskap i Telenorkonsernet som eies av Telenor Norge. Virksomheten har i dag 4 ansatte. Selskapet bruker eksterne utviklere og underleverandører til å utvikle og drifte sine produkter. Telenor Objects AS leverer primært velferdsteknologi til den kommunale helse- og omsorgstjenesten i Norge, og er i de fleste sammenhenger å regne som en leverandør eller databehandler. TnO er en leverandør av velferdsteknologi inn mot den kommunale helse- og omsorgstjenesten i Norge. TnO leverer hele verdikjeden for kommuners leveranse av velfedsteknologi. De tilbyr i dag følgende tjenester: Utstyrsleveranser Installasjon Alarmmottak Kurs Drift og support Det er i dag ca 15 kommuner som benytter tjenester som Telenor Objects AS tilbyr. Tjenestene inneholder en bred portefølje av utstyr, blant annet sensorer for fall, dører, fukt, temperatur, bevegelse, GPS, blodtrykk, vekt og glukosemålinger. Utstyret leveres gjennom avtaler mellom Telenor Objects og en rekke forskjellige leverandører. Telenor ønsker å tilby løsninger som ikke medfører økninger i antallet brukergrensesnitt for de som tar i bruk tjenestene. TnO har et samarbeid med leverandørene av journalsystemer for kommunene. TnOs løsninger har mulighet for integrasjon mot slike journalløsninger. 4 Om Datatilsynets kontrollmyndighet overfor databehandlere En databehandler er den som behandler personopplysninger på vegne av en behandlingsansvarlig, jf. personopplysningsloven 2 nummer 5. Datatilsynet har antatt at leverandører av velferdsteknologi som har befatning med personopplysninger har rollen som databehandler. Telenor bekreftet dette under kontrollen. En databehandler skal normalt ikke forholde seg direkte til personopplysningslovens krav, men til de behandlingsregler som oppstilles i databehandleravtalen. Bestemmelsene i personopplysningsloven 13 om informasjonssikkerhet og 15 om databehandleravtaler får allikevel direkte anvendelse for databehandlere. Datatilsynet kan føre tilsyn med disse bestemmelsene ovenfor databehandlere i tråd med personopplysningsloven av 5

3 5 Funn og avvik fra personvernregelverket 5.1 Telenor Objects produkter TnO leverer en rekke tekniske enheter levert av underleverandører. Slike enheter er sensorer, trygghetsalarmer/ trygghetspakker, medisinske målere, GPS og pilledispensere. TnO leverer i tillegg en generisk datainnsamlingsplattform kalt Shepherd. Shepherd videresender opplysninger og tilgjengeliggjør opplysningene i ett felles grensesnitt. TnO samarbeider med journalleverandører om integrasjon av slike opplysninger i elektroniske journalsystemer. Shepherd inneholder en regelmotor. Denne vurderer blant annet hvilke hendelser som skal videreformidles til alarmsentraler eller helsepersonell. Det er etterspurt om det er mulig å videreformidle hendelser til pårørende. Dette var ikke implementert på kontrolltidspunktet. Shepherd driftes hos Basefarm, og det er inngått databehandleravtaler mellom Telenor Objects AS og Basefarm. 5.2 Behandles det personopplysninger? I Shepherd-løsningen er brukerne identifisert med såkalte objekt-id. I Shepherd behandles det med andre ord ikke direkte identifiserbare personopplysninger. Koblingsnøkkelen mellom objekt-id og brukerne er det de enkelte kommunene som har. Entydig knytning mellom informasjonen som samles inn fra enhetene og brukerens identitet skjer først i kommunens mottakssystem. Ettersom det er en mulighet for å knytte dataene i Sheperd til enkeltpersoner, legger Datatilsynet til grunn at det behandles personopplysninger. Datatilsynet mener muligheten for identifisering er stor nok til at opplysningene må anses som personopplysninger. TnO har i tillegg tilgang til opplysninger gjennom kanaler inn i de enkelte devicene. Dette er riktignok ikke tilfelle for alt utstyr TnO tilbyr. TnO leverer trygghetsalarmer fra Care Tech. Care Tech tilbyr en portal som både leverandør og kommunen kan bruke for å overvåke devicen, f.eks. for å se på signalstyrke eller batterikapasitet. Ved bruk av denne portalen framkommer også navn og adresse på brukeren. I denne løsningen er det utvilsomt at TnO behandler personopplysninger i direkte identifiserbar form. Datatilsynet legger til grunn at Telenor Objects AS behandler personopplysninger, blant annet i portalen Caretech og som et nødvendig ledd i å være en totalleverandør som blant annet installerer utstyr, mottar alarmer og sørger for support ved bruken av utstyret. Personopplysningsloven gjelder behandling av personopplysninger generelt, mens pasientjournalloven gjelder behandling av personopplysninger innen helsetjenesten eller helseforvaltningen, jf. lovens Informasjonssikkerhet I henhold til personopplysningsloven 13 og pasientjournalloven 22 (tidligere helseregisterloven 16) skal både den behandlingsansvarlige og databehandlere sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Dette skal skje gjennom planlagte og 3 av 5

4 systematiske tiltak, og tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel 2. Datatilsynet gjennomførte ikke en grundig gjennomgang av informasjonssikkerheten i TnOs tjenester. Imidlertid var behandlingsansvarlige/ databehandlingsansvarlige og databehandlers plikt til å ha en oversikt over hvilke behandlinger av personopplysninger som behandles et tema. Denne plikten følger av personopplysningsforskriften 2-4, første ledd. Denne oversikten mangler hos TnO. TnO kunne heller ikke umiddelbart redegjøre for hvilke tjenester de leverer som behandler ulike typer av personopplysninger. En slik oversikt skal være sentral i en databehandlers arbeid med personvern. Datatilsynet fikk i forkant av den stedlige kontrollen oversendt tre risikovurderinger av ulike aspekter ved TnOs velferdsteknologitjenester. Datatilsynet har ingen kommentarer til disse Konklusjon informasjonssikkerhet Telenor Objects AS mangler en oversikt over hva slags personopplysninger som behandles i sin leveranse av velferdsteknologitjenester. Dette er et avvik, jf. pasientjournalloven 22 (tidligere helseregisterloven 16), jf. personopplysningsforskriften 2-4, første ledd. 5.4 Bruk av databehandlere og leverandører TnOs syn på databehandlingsansvaret framkommer både i TnOs oversendelsesbrev før kontrollen og ble gjentatt under kontrollen. TnO ser på seg selv om databehandler, jf. personopplysningsloven 2 nr. 5 (tidligere helseregisterloven 2 nummer 9). Datatilsynet sier seg enig i dette. Det er den enkelte kunde, typisk kommune, som benytter tjenestene til TnO som anses som databehandlingsansvarlig. TnO har i dag 14 kommuner som kunder innen velferdsteknologi. Det er ingen databehandleravtale mellom kommunene og TnO. Avtalene TnO har med kommunene ble etablert i forbindelse med anskaffelsesprosessene. Datatilsynet har ikke fått forelagt slike avtaler, men har en forståelse av at disse ikke tilfredsstiller kravene til en databehandleravtale. TnO benytter flere underleverandører for å levere velferdsteknologitjenester. En av underleverandørene er Basefarm. Dette selskapet drifter Shepherd-løsningen for Telenor. Datatilsynet har fått oversendt en databehandleravtale mellom TnO og Basefarm. I denne står TnO oppført som behandlingsansvarlig. Datatilsynet vil påpeke at dette trolig er feil ettersom TnO er databehandler når det er snakk om Shepherd og annen velferdsteknologi. At TnO benytter underleverandører (databehandlere) må fremgå i TnOs avtaler med de databehandlingsansvarlige, jf. personopplysningsloven 15. TnO benytter en rekke underleverandører til å levere sensorer og annet utstyr som utplasseres hos tjenestemottakerne. Som nevnt i denne rapportens avsnitt 5.2 så har TnO og utstyrsprodusent i enkelte tilfeller tilgang til personopplysninger direkte fra utstyret. Å benytte en slik tilgang innebærer behandling av personopplysninger. Selv om TnO ikke er databehandlingsansvarlig for personopplysningene på slikt utstyr vil TnO som databehandler ha et eget ansvar for å styre tilgangen til personopplysninger. TnO må derfor enten forsikre 4 av 5

5 seg om at leverandører og andre ikke har tilgang til personopplysninger fra utstyr, eller at slik tilgang skjer i tråd med en databehandleravtale. Den databehandlingsansvarlige skal være orientert om innholdet i en slik avtale Konklusjon At Telenor Objects AS ikke har databehandleravtaler med kommuner og andre databehandlingsansvarlige er et avvik, jf. personopplysningsloven 15 (tidligere helseregisterloven 18). At underleverandører har tilgang til personopplysninger fra utstyr plassert hos brukere uten at dette er regulert av en databehandleravtale er et avvik, f. personopplysningsloven 15 (tidligere helseregisterloven 18). 5 av 5