Kontrollrapport. Kontrollobjekt: Telenor Objects AS Sted: Fornebu

Like dokumenter
Kontrollrapport. Kontrollobjekt: Bærum kommune Sted: Bærum

Endelig kontrollrapport

Kontroll av Follo legevakt Vedtak om pålegg og endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Endelig kontrollrapport

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak

Kontroll av reseptformidleren endelig kontrollrapport

BEST Helse Nordstrand pålegg om avslutning av urettmessig behandling av personopplysninger

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Endelig kontrollrapport

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Endelig Kontrollrapport

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Personvernerklæring Stendi

Endelig kontrollrapport

Endelig kontrollrapport Kreftregisteret / Janusbanken

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Endelig kontrollrapport

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Endelig kontrollrapport

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Bilag 14 Databehandleravtale

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Foreløpig kontrollrapport

Vår referanse (bes oppgitt ved svar)

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Retningslinjer for databehandleravtaler

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Endelig kontrollrapport

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Databehandleravtaler

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Endelig kontrollrapport

Fra analog trygghetsalarm til digital velferdsteknologi

Personvern - sjekkliste for databehandleravtale

Endelig kontrollrapport

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Nytt personvernregelverk på 1-2-3

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Endelig kontrollrapport

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Internkontroll og informasjonssikkerhet lover og standarder

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Skytjenester bruk dem gjerne, men bruk dem riktig

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Databehandleravtale for NLF-medlemmer

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Muligheter og utfordringer med velferdsteknologi. Varme hender kan fort bli klamme hender godt personvern å bo i egen bolig

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Informasjonssikkerhet - Innføring velferdsteknologi Agder. KiNS-konferanse Stavanger juni 2019

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Endelig kontrollrapport

Endelig kontrollrapport

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Foreløpig kontrollrapport

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Endelig kontrollrapport

Lagring av forskningsdata i Tjeneste for

Lagring av forskningsdata i Tjeneste for Sensitive Data

SAK NR INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET

Endelig kontrollrapport

Deres referanse Vår referanse Dato / /EOL

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Transkript:

Saksnummer: 14/01291 Dato for kontroll: 02.12.2014 Rapportdato: 30.03.2015 Kontrollrapport Kontrollobjekt: Telenor Objects AS Sted: Fornebu Utarbeidet av: Camilla Nervik 1 Innledning og bakgrunn for kontrollen I desember 2014 gjennomførte Datatilsynet en serie med kontroller av den behandlingen av personopplysninger som skjer ved bruk av velferdsteknologi. I den forbindelse gjennomførte Datatilsynet en kontroll av Telenor Objects AS (TnO) 2. desember 2014. Kontrollen ble gjennomført med hjemmel i personopplysningsloven 44, jf. 42 og daværende helseregisterlov 31. Velferdsteknologi er teknologiske løsninger som er ment brukt i utøvelsen av helse- og omsorgstjenester. Formålet med kontrollene var primært å innhente informasjon om behandling av personopplysninger til slike formål, for å kunne danne et bilde av hvordan vi bør arbeide videre med dette feltet. Datatilsynet ønsket også å vurdere ansvarsforhold, rettslig grunnlag, herunder samtykke, innsamling, lagring og informasjonssikkerhet ved bruk av velferdsteknologi. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. Den 1. januar 2015 trådte ny helseregisterlov og pasientjournallov i kraft, og helseregisterloven av 2001 ble opphevet. Kontrollen ble gjennomført etter tidligere helseregisterlov. Eventuelle vedtak vil imidlertid vurderes etter ny helseregisterlov/pasientjournalloven. I kontrollrapporten viser vi til det regelverket som er gjeldende på rapport- og vedtakstidspunktet, men med henvisning til det regelverket som gjaldt på kontrolltidspunktet i parentes. Vi vurderer at lovendringene ikke har betydning for det materielle innholdet i rapporten eller våre varslede pålegg om vedtak. 2 Tilstede under kontrollen 2.1 Fra virksomheten Anders Holt, Personvernombud Telenor Norge AS Leif- Henrik Rønnevig, Advokat Group Legal, Telenor ASA Johan Ivarson, Administrerende direktør, Telenor Objects AS 2.2 Fra Datatilsynet Marius Engh Pellerud, rådgiver Ted Tøraasen, overingeniør Camilla Nervik, seniorrådgiver 1 av 5

3 Telenor Objects AS som leverandør av velferdsteknologitjenester Telenor Objects AS er et eget aksjeselskap i Telenorkonsernet som eies av Telenor Norge. Virksomheten har i dag 4 ansatte. Selskapet bruker eksterne utviklere og underleverandører til å utvikle og drifte sine produkter. Telenor Objects AS leverer primært velferdsteknologi til den kommunale helse- og omsorgstjenesten i Norge, og er i de fleste sammenhenger å regne som en leverandør eller databehandler. TnO er en leverandør av velferdsteknologi inn mot den kommunale helse- og omsorgstjenesten i Norge. TnO leverer hele verdikjeden for kommuners leveranse av velfedsteknologi. De tilbyr i dag følgende tjenester: Utstyrsleveranser Installasjon Alarmmottak Kurs Drift og support Det er i dag ca 15 kommuner som benytter tjenester som Telenor Objects AS tilbyr. Tjenestene inneholder en bred portefølje av utstyr, blant annet sensorer for fall, dører, fukt, temperatur, bevegelse, GPS, blodtrykk, vekt og glukosemålinger. Utstyret leveres gjennom avtaler mellom Telenor Objects og en rekke forskjellige leverandører. Telenor ønsker å tilby løsninger som ikke medfører økninger i antallet brukergrensesnitt for de som tar i bruk tjenestene. TnO har et samarbeid med leverandørene av journalsystemer for kommunene. TnOs løsninger har mulighet for integrasjon mot slike journalløsninger. 4 Om Datatilsynets kontrollmyndighet overfor databehandlere En databehandler er den som behandler personopplysninger på vegne av en behandlingsansvarlig, jf. personopplysningsloven 2 nummer 5. Datatilsynet har antatt at leverandører av velferdsteknologi som har befatning med personopplysninger har rollen som databehandler. Telenor bekreftet dette under kontrollen. En databehandler skal normalt ikke forholde seg direkte til personopplysningslovens krav, men til de behandlingsregler som oppstilles i databehandleravtalen. Bestemmelsene i personopplysningsloven 13 om informasjonssikkerhet og 15 om databehandleravtaler får allikevel direkte anvendelse for databehandlere. Datatilsynet kan føre tilsyn med disse bestemmelsene ovenfor databehandlere i tråd med personopplysningsloven 44. 2 av 5

5 Funn og avvik fra personvernregelverket 5.1 Telenor Objects produkter TnO leverer en rekke tekniske enheter levert av underleverandører. Slike enheter er sensorer, trygghetsalarmer/ trygghetspakker, medisinske målere, GPS og pilledispensere. TnO leverer i tillegg en generisk datainnsamlingsplattform kalt Shepherd. Shepherd videresender opplysninger og tilgjengeliggjør opplysningene i ett felles grensesnitt. TnO samarbeider med journalleverandører om integrasjon av slike opplysninger i elektroniske journalsystemer. Shepherd inneholder en regelmotor. Denne vurderer blant annet hvilke hendelser som skal videreformidles til alarmsentraler eller helsepersonell. Det er etterspurt om det er mulig å videreformidle hendelser til pårørende. Dette var ikke implementert på kontrolltidspunktet. Shepherd driftes hos Basefarm, og det er inngått databehandleravtaler mellom Telenor Objects AS og Basefarm. 5.2 Behandles det personopplysninger? I Shepherd-løsningen er brukerne identifisert med såkalte objekt-id. I Shepherd behandles det med andre ord ikke direkte identifiserbare personopplysninger. Koblingsnøkkelen mellom objekt-id og brukerne er det de enkelte kommunene som har. Entydig knytning mellom informasjonen som samles inn fra enhetene og brukerens identitet skjer først i kommunens mottakssystem. Ettersom det er en mulighet for å knytte dataene i Sheperd til enkeltpersoner, legger Datatilsynet til grunn at det behandles personopplysninger. Datatilsynet mener muligheten for identifisering er stor nok til at opplysningene må anses som personopplysninger. TnO har i tillegg tilgang til opplysninger gjennom kanaler inn i de enkelte devicene. Dette er riktignok ikke tilfelle for alt utstyr TnO tilbyr. TnO leverer trygghetsalarmer fra Care Tech. Care Tech tilbyr en portal som både leverandør og kommunen kan bruke for å overvåke devicen, f.eks. for å se på signalstyrke eller batterikapasitet. Ved bruk av denne portalen framkommer også navn og adresse på brukeren. I denne løsningen er det utvilsomt at TnO behandler personopplysninger i direkte identifiserbar form. Datatilsynet legger til grunn at Telenor Objects AS behandler personopplysninger, blant annet i portalen Caretech og som et nødvendig ledd i å være en totalleverandør som blant annet installerer utstyr, mottar alarmer og sørger for support ved bruken av utstyret. Personopplysningsloven gjelder behandling av personopplysninger generelt, mens pasientjournalloven gjelder behandling av personopplysninger innen helsetjenesten eller helseforvaltningen, jf. lovens 3. 5.3 Informasjonssikkerhet I henhold til personopplysningsloven 13 og pasientjournalloven 22 (tidligere helseregisterloven 16) skal både den behandlingsansvarlige og databehandlere sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Dette skal skje gjennom planlagte og 3 av 5

systematiske tiltak, og tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel 2. Datatilsynet gjennomførte ikke en grundig gjennomgang av informasjonssikkerheten i TnOs tjenester. Imidlertid var behandlingsansvarlige/ databehandlingsansvarlige og databehandlers plikt til å ha en oversikt over hvilke behandlinger av personopplysninger som behandles et tema. Denne plikten følger av personopplysningsforskriften 2-4, første ledd. Denne oversikten mangler hos TnO. TnO kunne heller ikke umiddelbart redegjøre for hvilke tjenester de leverer som behandler ulike typer av personopplysninger. En slik oversikt skal være sentral i en databehandlers arbeid med personvern. Datatilsynet fikk i forkant av den stedlige kontrollen oversendt tre risikovurderinger av ulike aspekter ved TnOs velferdsteknologitjenester. Datatilsynet har ingen kommentarer til disse. 5.3.1 Konklusjon informasjonssikkerhet Telenor Objects AS mangler en oversikt over hva slags personopplysninger som behandles i sin leveranse av velferdsteknologitjenester. Dette er et avvik, jf. pasientjournalloven 22 (tidligere helseregisterloven 16), jf. personopplysningsforskriften 2-4, første ledd. 5.4 Bruk av databehandlere og leverandører TnOs syn på databehandlingsansvaret framkommer både i TnOs oversendelsesbrev før kontrollen og ble gjentatt under kontrollen. TnO ser på seg selv om databehandler, jf. personopplysningsloven 2 nr. 5 (tidligere helseregisterloven 2 nummer 9). Datatilsynet sier seg enig i dette. Det er den enkelte kunde, typisk kommune, som benytter tjenestene til TnO som anses som databehandlingsansvarlig. TnO har i dag 14 kommuner som kunder innen velferdsteknologi. Det er ingen databehandleravtale mellom kommunene og TnO. Avtalene TnO har med kommunene ble etablert i forbindelse med anskaffelsesprosessene. Datatilsynet har ikke fått forelagt slike avtaler, men har en forståelse av at disse ikke tilfredsstiller kravene til en databehandleravtale. TnO benytter flere underleverandører for å levere velferdsteknologitjenester. En av underleverandørene er Basefarm. Dette selskapet drifter Shepherd-løsningen for Telenor. Datatilsynet har fått oversendt en databehandleravtale mellom TnO og Basefarm. I denne står TnO oppført som behandlingsansvarlig. Datatilsynet vil påpeke at dette trolig er feil ettersom TnO er databehandler når det er snakk om Shepherd og annen velferdsteknologi. At TnO benytter underleverandører (databehandlere) må fremgå i TnOs avtaler med de databehandlingsansvarlige, jf. personopplysningsloven 15. TnO benytter en rekke underleverandører til å levere sensorer og annet utstyr som utplasseres hos tjenestemottakerne. Som nevnt i denne rapportens avsnitt 5.2 så har TnO og utstyrsprodusent i enkelte tilfeller tilgang til personopplysninger direkte fra utstyret. Å benytte en slik tilgang innebærer behandling av personopplysninger. Selv om TnO ikke er databehandlingsansvarlig for personopplysningene på slikt utstyr vil TnO som databehandler ha et eget ansvar for å styre tilgangen til personopplysninger. TnO må derfor enten forsikre 4 av 5

seg om at leverandører og andre ikke har tilgang til personopplysninger fra utstyr, eller at slik tilgang skjer i tråd med en databehandleravtale. Den databehandlingsansvarlige skal være orientert om innholdet i en slik avtale. 5.4.1 Konklusjon At Telenor Objects AS ikke har databehandleravtaler med kommuner og andre databehandlingsansvarlige er et avvik, jf. personopplysningsloven 15 (tidligere helseregisterloven 18). At underleverandører har tilgang til personopplysninger fra utstyr plassert hos brukere uten at dette er regulert av en databehandleravtale er et avvik, f. personopplysningsloven 15 (tidligere helseregisterloven 18). 5 av 5

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding