Veileder i informasjonssikkerhet ved bruk av …...EUs nye personvernforordning vil innføres i...
Transcript of Veileder i informasjonssikkerhet ved bruk av …...EUs nye personvernforordning vil innføres i...
Veileder i informasjonssikkerhet ved bruk av velferdsteknologi
Veilederen er et støttedokument til Norm for informasjonssikkerhet
Utgitt med støtte av:
Versjon 2.0
www.normen.no
Merknad 24.03.2019: Dokumentet er ikke oppdatert fra siste versjon av Normen (5.3), ny personopplysningslov, endringer i helselovgivningen, eller EUs personvernforordning
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 2 av 41
INNHOLDSFORTEGNELSE
1 INNLEDNING ............................................................................................................. 5
1.1 BAKGRUNN ...................................................................................................................... 5
1.2 OM VEILEDEREN ............................................................................................................... 6
1.3 AVGRENSNING ................................................................................................................. 7
1.4 VEILEDERENS FORHOLD TIL EUS NYE PERSONVERNFORORDNING ................................................. 7
2 RISIKOVURDERING .................................................................................................... 9
3 SENTRALE PROSESSESSER ........................................................................................ 11
4 INFORMASJONSSIKKERET IFM. UTPRØVING ............................................................. 12
4.1 BEHANDLES DET HELSE- OG PERSONOPPLYSNINGER? .............................................................. 13
4.2 GJENNOMFØR RISIKOVURDERING FØR UTPRØVING ................................................................. 14
4.3 GJENNOMFØR TILTAK SOM I DRIFTEN .................................................................................. 14
4.4 AVSLUTTENDE AKTIVITET ETTER UTPRØVING ......................................................................... 14
4.5 FORSLAG TIL SJEKKLISTE VED UTPRØVING ............................................................................. 15
5 INFORMASJONSSIKKERHET IFM. ANSKAFFELSE ........................................................ 16
5.1 GJENNOMFØR FORBEREDELSE OG DIALOG MED LEVERANDØR ................................................... 16
5.2 ANBEFALTE KRAV TIL LEVERANDØRER VED KJØP AV UTSTYR ...................................................... 17
5.3 ANBEFALTE KRAV TIL LEVERANDØRER VED KJØP TJENESTE ........................................................ 20
5.4 GJENNOMFØR RISIKOVURDERING VED ANSKAFFELSE ............................................................... 23
5.5 ETABLER DATABEHANDLERAVTALE ...................................................................................... 23
5.6 FORSLAG TIL SJEKKLISTE VED ANSKAFFELSE............................................................................ 25
6 INFORMASJONSSIKKERHET IFM. DRIFT .................................................................... 26
6.1 PLASSER ANSVAR OG ETABLER ROLLER ................................................................................. 26
6.2 OPPDATER STYRINGSSYSTEMET FOR INFORMASJONSSIKKERHET ................................................. 27
6.3 OPPDATER OVERSIKTEN OVER BEHANDLINGER AV PERSONOPPLYSNINGER ................................... 27
6.4 GI OPPLÆRING ............................................................................................................... 27
6.5 ETABLER / VEDLIKEHOLD TILGANGSSTYRING .......................................................................... 28
6.6 VURDER OG SLETT OVERSKUDDSINFORMASJON ..................................................................... 29
6.7 LAGRINGSTID FOR OPPLYSINGENE ....................................................................................... 29
6.8 ETABLER OG FØLG OPP LOGGING ........................................................................................ 29
6.9 INFORMASJONSSIKKERHETSTILTAK ...................................................................................... 30
6.10 GJENNOMFØR AVVIKSBEHANDLING MELLOM VIRKSOMHETEN OG LEVERANDØR............................ 31
6.11 INFORMASJONSSIKKERHET IFM. Å AVSLUTTE TJENESTEN HOS BRUKER ......................................... 31
6.12 FORSLAG TIL SJEKKLISTE VED DRIFT ...................................................................................... 31
6.13 NÅR BLIR LØSINGER FOR PRIVATE FORMÅL VIRKSOMHETENS ANSVAR? ....................................... 32
7 EKSEMPLER ............................................................................................................. 33
7.1 EKSEMPEL 1: TRYGGHETSSKAPENDE TEKNOLOGIER ................................................................ 33
7.2 EKSEMPEL 2: MESTRINGSTEKNOLOGIER .............................................................................. 34
7.3 EKSEMPEL 3: UTREDNINGS- OG BEHANDLINGSTEKNOLOGIER ................................................... 35
7.4 EKSEMPEL 4: VELVÆRETEKNOLOGIER .................................................................................. 36
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 3 av 41
8 VEDLEGG ................................................................................................................. 37
8.1 ANBEFALING TIL AUTENTISERING FRA NASJONALT VELFERDSTEKNOLOGIPROGRAM ........................ 37
8.2 REFERANSER .................................................................................................................. 40
8.3 DELTAGERE I REFERANSEGRUPPEN ...................................................................................... 41
Figurer og eksempler Figur 1: Sentrale prosesser ....................................................................................................... 11
Figur 2: Prosesskart - informasjonssikkerhet ifm. utprøving ................................................... 12
Figur 3: Prosesskart - informasjonssikkerhet ifm. anskaffelse ................................................. 16
Figur 4: Prosesskart - informasjonssikkerhet ifm. drift ............................................................ 26
Figur 5: Bruker anskaffer selv velferdsteknologi ...................................................................... 32
Figur 6: Eksempel 1: Trygghetsskapende teknologier ............................................................. 33
Figur 7: Eksempel 2: Mestringsteknologier .............................................................................. 34
Figur 8: Eksempel 3: Utrednings- og behandlingsteknologier ................................................. 35
Figur 9: Eksempel 4: Velværeteknologier ................................................................................ 36
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 4 av 41
Endringshistorikk for og godkjenning av dokumentet
Versjon Endringer Godkjent av styringsgruppen for Normen (dato)
1.0 Første utgave av veilederen 02.03.15
2.0 Andre utgave av veilederen med følgende endringer: - Behandler kun informasjonssikkerhet som er spesielt for
velferdsteknologi. - Personvern er tatt ut - Veilederen dekker ikke veiledning i juridiske problemstillinger
(dokumentasjon, samtykke, avstandsoppfølging mv.). Se kapittel 1.3 Avgrensning
- Veiledren struktureres som en tenkt prosess fra ide til anskaffelse i kap. 2
- Det er gitt fire nye eksempler - Tekst er skrevet om for å rendyrke det som er spesielt for
velferdsteknologi pg gi referanser til mer informasjon i faktaark og veildere
- Risikovurdering er framhevet - Personvernforordningen (GDPR) omtales. Se kap. 3 - Endret layout: Kursiv og definisjoner er borte ny font, økt
bruk av bilder og illustrasjoner
08.06.17
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 5 av 41
1 INNLEDNING
1.1 Bakgrunn
Stortinget vedtok ved behandlingen av revidert nasjonalbudsjett 2013 en nasjonal satsing på velferdsteknologi – nasjonalt velferdsteknologiprogram. Vedtaket er en oppfølging av Meld. St 29 (2012-2013) «Morgendagens omsorg». I begrepet velferdsteknolog inngår det: Trygghetsskapende teknologier som muliggjør at mennesker kan føle trygghet og ha mulighet til å bo lengre hjemme. I dette inngår løsninger som gir mulighet for sosial deltakelse og motvirker ensomhet. Av teknologiske løsninger kan nevnes trygghetsalarm, fallsensor, GPS lokalisering, videosamtaler, komfyrvakt, brannalarm mv.
Mestringsteknologier (medisinske målinger) som skal muliggjøre at mennesker bedre kan mestre egen helse. I dette inngår teknologiske løsninger til personer med kronisk sykdom/lidelser, personer med behov for rehabilitering/opptrening og vedlikehold av mobilitet. Av teknologiske løsninger kan nevnes elektronisk pilledispenser, utstyr for personlig måling av kroppsfunksjoner (f.eks. oksygenopptak, blodsukker, blodtrykk, metning mv.), videospill for å trene mobilitet og stimulere til aktivitet, kroppssensorer som måler og stimulerer til opptrening/styrke mv. Utrednings- og behandlingsteknologier som muliggjør avansert medisinsk utredning og behandling i hjemmet som følges opp av spesialisthelsetjenesten. Området dekker også avanserte helsemålinger som utføres av fastleger og kommunehelsetjenesten, f.eks. 24-timers blodtrykksmåling, mekanisk ventilasjonsstøtte og smertepumpe.
Velværeteknologier som bidrar til at mennesker blir mer bevisst på egen helse og avhjelper hverdagslige gjøremål uten at nedsatt helsetilstand er årsak til bruken av teknologi. Teknologien kan bidra til folkehelsefremmende arbeid. Av teknologiske løsninger kan nevnes skritteller, kaloriforbrenningsmåler, løsninger for automatisk lysregulering, persiennestyring, varmestyring mv. Dette området dekkes primært via det private konsumentmarkedet.
Momentene nedenfor viser noen områder ved planlegging og innføring av velferdsteknologiske tjenester som kan være utfordrende for personvernet og informasjonssikkerheten: Mange aktører overvåker internettbruk for å framskaffe detaljerte opplysninger om brukere til bruk i direkte salg og markedsføring. Opplysninger om helse- og omsorgsbehov er spesielt
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 6 av 41
verdifulle. Det ville derfor være meget uheldig om løsninger for velferdsteknologi benyttes slik at tjenestenes opplysninger gjøres tilgjengelig for slike tjenester og aktører. Det kan genereres mye informasjon som det ikke er behov for. Det kan være en utfordring å sortere ut informasjonen virksomheten har behov for og ikke. Virksomheten må hindre at opplysningene som lagres er uforenelig med det formålet velferdsteknologien er tiltenkt brukt overfor brukeren, og som brukeren gitt sitt samtykke til.
Flere av løsningene innen velferdsteknologi kan medføre bevisst/ubevisst kontroll (overvåking) av bruker. Det kan for eksempel være lagring av bevegelsesmønster gjennom geografisk sporing, helseovervåking gjennom kroppssensorer og overvåking av atferdsmønster gjennom smarthusteknologi i form av kamera og bevegelsessensorer. Dette kan oppleves som krenkende for den enkelte. Målsetningen med god informasjonssikkerhet er å sikre at opplysninger kun behandles der det er nødvendig.
Det kan være mange aktører involvert. Helse- og personopplysninger kan bli overført til ulike aktører som for eksempel virksomheten, alarmsentraler, utstyrs- og kommunikasjonsleverandører for oppfølging og bistand. Dette medfører at det må etableres klare ansvarslinjer. Aktørene kan være både synlige og ikke synlige for bruker.
I de velferdsteknologiske løsningene kan deler av teknologien være i hjemmet, i en institusjon og festet på bruker. Dette innebærer at det stilles krav om sikring av helse- og personopplysninger på flere steder og nivåer innen en og samme tjeneste. Truslene ved å knytte løsningene til Internett gjør det påkrevet med sikring.
1.2 Om veilederen
Fokus for denne veilederen er informasjonssikkerhet ifm. utprøving, anskaffelse, drift og avvikling av velferdsteknologiske løsninger. Veilederen tar opp informasjonssikkerhetstema som er spesielle for velferdsteknologi. For generelle informasjonssikkerhetstema vises det i veilederen til øvrig materiell under Normen. Denne veilederen er et støttedokument under Normen som forvaltes av styringsgruppen for Normen. Gjeldende utgave av Normen bygger på regelverket og er à jour i forhold til dette regelverket. Veilederen er utarbeidet for styringsgruppen for Normen
med støtte av Helsedirektoratet og deltagere fra sektoren. Se kapittel 8.3 for deltagerne i referansegruppen. Sekretariatet for normen anmoder leser om å sende spørsmål og kommenterer om veilederen til: [email protected]. Målgruppen for veilederen er virksomheter som omfattes av Normen og som gjør bruk (eller planlegger å gjøre bruk) av løsninger for velferdsteknologi. De som kan ha nytte av
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 7 av 41
veilederen vil være personell fra virksomheten og leverandøren innen IKT-arkitektur, prosjektledelse innen velferdsteknologi, anskaffelse av velferdsteknologi, IKT-drift og informasjonssikkerhet inne de ulike prosessene slik de framkommer av Figur 1: Sentrale prosesser. Mange av begrepene som benyttes i veilederen er begrep som benyttes i Normen og støttedokumentene. Begrepene er definert i kapittel 1.1 i Normen I forbindelse med velferdsteknologien benyttes det definisjoner fra i KS sitt læringsmateriell for virksomhetene "Velferdsteknologiens ABC".
1.3 Avgrensning
Som nevnt ovenfor er fokus for denne veilederen informasjonssikkerhet. Ved planlegging, beslutningsprosesser for å gi tiltak til pasient/bruker, etablere tiltaket og i driften er det en rekke andre forhold som virksomheten må ta stilling til og etablere tiltak for. Dette er forhold som virksomheten må avklare før tjenesten tas i bruk og før denne veilederen kommer til anvendelse. Noen relevante forhold er gitt med referanse til hvor veiledning kan forespørres. I denne veilederen som omhandler informasjonssikkerhet er ikke disse forholdene behandlet. Rundskriv IS-8/2012 Helsepersonelloven med kommentarer Rundskriv IS-8/2015 Pasient- og brukerrettighetsloven med kommentarer Rundskriv IS-6/2010 Helsepersonells taushetsplikt Veileder IS-2442 Veileder for saksbehandling av tjenester etter helse- og omsorgstjenesteloven Se for øvrig https://helsedirektoratet.no/
1.4 Veilederens forhold til EUs nye personvernforordning
EUs nye personvernforordning vil innføres i norsk lov i mai 2018. Dette vil medføre endringer i den norske personvernlovgivningen og dermed endringer i kravene til den behandling av helse – og personopplysninger som denne veilederen omtaler. Denne veilederen forholder seg til kravene som følger av dagens personvern- og helselovgivning. De nye kravene fra forordningen omtales kun sporadisk. Når det er klart hva konsekvensene av den nye personvernforordningen blir for denne veilederen vil den oppdateres med de nye kravene.
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 8 av 41
Bildet indikerer at det på dette området vil komme vesentlige endringer som følge av nye personvernregler i 2018..
Oppdatert informasjon om personvernforordningen fins på:
• Datatilsynet side: https://datatilsynet.no/Regelverk/EUs-personvernforordning/
• KMDs side: https://www.regjeringen.no/no/tema/statlig-forvaltning/personvern/nye-personvernregler-i-eu/id2340094/
• Eu’s side: http://www.eugdpr.org/
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 9 av 41
2 RISIKOVURDERING All behandling av helse – og personopplysninger skal risikovurderes. Det er risikovurderingen som ligger til grunn for alle de videre vurderingene og beslutningene; blant annet om man vil ta i bruk en velferdsteknologisk løsning, for hvordan behandlingen av opplysningene skal foregå og hvilke tiltak som settes i verk. For metode vises det til Normens faktaark 7, veiledning fra Datatilsynet, veiledning fra Difi eller standeren NS-ISO/IEC 27005:2011 - Risikostyring av informasjonssikkerhet. Nedenfor gis eksempler på områder som kan inngå i risikovurderingen av velferdsteknologi. Tilgjengelighet: - Tilgjengelighet for helseopplysninger ved å vurdere den tekniske løsningen (f.eks. ved
trygghetsalarm), herunder alternative løsninger - Ødeleggende programvare (f.eks. om løsningen er tilknyttet Internett) Integritet - Bruk av nettbrett (f.eks. at uautoriserte ikke kan endre helse- og personopplysningene) - Tilgangsstyring i virksomheten for å hindre uautorisert endring av helse- og
personopplysninger og konfigurasjonen (f.eks. responssenterløsning, fagsystem, EPJ-systemet)
- Opplæring for å hindre brukerfeil ved registrering av opplysninger - Feil i ustyr og programvare som kan medføre at helse- og personopplysninger ikke er
korrekte - Uautorisert endring av helse- og personopplysninger og konfigurasjon ved tilgang fra
eksterne nett (f.eks. Internett, trådløse nett og mobilnett) Konfidensialitet: - Tilgangsstyring hos bruker (f.eks. nettbrettet, rapporteringsløsninger, dørlåser, mv.) - Databehandlers behandling av helse- og personopplysninger - Bruk av nettbrett (f.eks. at uautoriserte får tilgang til helse- og personopplysninger, bruk
av nettbrettet til Internett-baserte apper som kan eksponere helse- og personopplysninger, kryptering av helse- og personopplysninger om nettbrettet bringes ut av hjemmet)
- Tilgangsstyring i virksomheten (f.eks. responssenterløsing, fagsystem, EPJ-system) - Leverandørs løsning for fjernaksess - Utstyr skal knyttes til Internett eller benytte Internett som bærer (f.eks. at det kan
etableres en kanal inn i utstyret og mot virksomhetens sikre sone) - Sikring av trådløse nett
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 10 av 41
Personvernkonsekvensvurdering
Den nye personvernforordningen innfører et krav om å utrede personvernkonsekvensene i tillegg til å gjennomføre risikovurderinger for enkelte behandlinger. Dette gjelder i de tilfellene der tiltaket utgjør et stort inngrep i personvernet. Les mer om dette hos Datatilsynet, https://www.datatilsynet.no/Regelverk/EUs-personvernforordning/hva-betyr/alle-skal-vurdere-risiko-og-personvernkonsekvenser/?showContentList=true&showDetailedContentList=false&readMode=false
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 11 av 41
3 SENTRALE PROSESSESSER Figuren nedenfor viser prosessbokser i et tenkt løp fra utprøving til drift av velferdsteknologi. I den enkelte virksomhet kan det være andre og flere typer løp. Som nevnt under avgrensning i kap. 1.3 vil det være andre prosesser som virksomheten må ivareta, men som ikke dekkes av denne veilederen.
4.1 Behandles det helse- og personopplysninger?
4.2 Gjennomfør risikovurdering før utprøving 4.3 Gjennomfør tiltak som i driften 4.4 Avsluttende aktivitet etter utprøving 4.5 Forslag til sjekkliste ved utprøving
5.1 Gjennomfør forberedelse og dialog med leverandør
5.2 Anbefalte krav til leverandører ved kjøp av utstyr
5.3 Anbefalte krav til leverandører ved kjøp tjeneste
5.4 Gjennomfør risikovurdering ved anskaffelse 5.5 Etabler databehandleravtale
6.1 Plasser ansvar og etabler roller 6.2 Oppdater styringssystemet for
informasjonssikkerhet 6.3 Oppdater oversikten over behandlinger av
personopplysninger 6.4 Gi opplæring 6.5 Etabler / vedlikehold tilgangsstyring 6.6 Vurder og slett overskuddsinformasjon 6.7 Lagringstid for opplysingene 6.8 Etabler og følg opp logging 6.9 Informasjonssikkerhetstiltak 6.10 Gjennomfør avviksbehandling mellom
virksomheten og leverandør 6.11 Informasjonssikkerhet ifm. å avslutte
tjenesten hos bruker 6.12 Forslag til sjekkliste ved drift
Figur 1: Sentrale prosesser
Bruk av veilederen
Ja
Nei
Anskaffelse
Drift
Utprøving
Behandles det person-
opplysninger?
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 12 av 41
4 INFORMASJONSSIKKERET IFM. UTPRØVING Før virksomheten gjør valg om anskaffelse kan det være aktuelt å prøve ut ulikt utstyr og/eller tjenester fra en/eller flere leverandører. Hensikten kan for eksempel være å komme frem til riktige teknologiske løsninger for brukerne. Det er ikke denne veileders intensjon å anbefale at kommunene har en utprøvingsfase før anskaffelse. Men en rekke kommuner skisserer at dette er praksis. Det understrekes at det er ikke nødvendig med utprøvingsfase i forbindelse med utredning av informasjonssikkerhetsaspektene ved velferdsteknologien. Ved å prøve ut nye løsninger, før de tas i «vanlig» bruk, reduseres risiko knyttet til skjulte feil og mangler. Dette øker sjansen for å avdekke og løse uforutsette problemer. Hensikten med utprøvingen er å sjekke hva som fungerer og ikke fungerer i praksis, og så foreta nødvendige justeringer, om mulig, for å ivareta kravene til personvern og informasjonssikkerhet. I heftet ”Velferdsteknologiens ABC Utprøving og vurdering av bruk” behandles det andre forhold ved utprøvingen. Figuren nedenfor viser en tenkt prosess for informasjonssikkerhet ifm. utprøving av velferdsteknologi.
Figur 2: Prosesskart - informasjonssikkerhet ifm. utprøving
Gjennomfør tiltak som i
driften
Gjennomfør risiko-
vurdering
Behandles det person-
opplysninger?
Avsluttende aktivitet
Overføres til drift
Avslutte eller overføre til
Drift?
Avslutt bruk av veilederen
Nei
Ja
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 13 av 41
4.1 Behandles det helse- og personopplysninger?
De samme kravene som følger av lov og av Normen gjelder uansett om det er i utprøving eller drift. Det er ikke mulig å lempe på tiltakene selv om det er under utprøving av velferdsteknologi. Når det behandles helse- og personopplysninger i utprøvingen skal alle tiltak gjennomføres som om det er normal drift (jf. Kap. 6). Dette gjelder uansett om utprøvingen er kortvarig eller går over år.
I velferdsteknologiske løsninger kan det av og til være vanskelig å avgjøre om opplysningene som avgis av velferdsteknologien er personopplysninger eller ikke. Personopplysning er en opplysning eller vurdering som kan knyttes til en enkeltperson, slik som for eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer). Helseopplysninger er sensitive personopplysninger om helseforhold. Opplysninger om atferdsmønstre er også regnet som personopplysninger. Opplysninger om personens handlinger, om og hvor personen beveger seg i løpet av en dag og hva han/hun søker etter på nettet er alt sammen personopplysninger. I noen velferdsteknologiske løsninger kan overføring av data knyttes til en identitet (ID) (pseudonym) som forteller hvem opplysingene kommer fra. IDen knyttes først til personen når opplysingene er registrert i responssenterløsningen. IDen i seg selv er ingen personopplysning, men det at den finnes gjør at dataene er identifiserbare og dermed personopplysninger. Bruk av ID kan lette på typen tiltak og omfanget av dem, for sikring av opplysningene, om løsingen er etablert slik at det kreves uforholdsmessig mye å få tak i koblingslisten mellom ID og personen. Bruk av velferdsteknologi uten at det skjer i forbindelse med ytelse av helse- og omsorgstjenester kan f.eks. forekomme ved bruk av utstyr som ikke generer helseopplysninger, f.eks. komfyrvakt eller dørsensor, eller ved bruk av velferdsteknologisk utstyr fra private leverandører, f.eks. trygghetsalarm fra et vaktselskap. Slikt utstyr kan generere opplysninger av forskjellige art og det kan være vanskelig å forutse om det kommer til å genereres sensitive personopplysninger (herunder helseopplysninger) eller personopplysninger generelt. Det er derfor viktig at man i forkant av bruken av slikt utstyr gjennomfører grundige vurderinger av hvilke typer opplysninger utstyret kan komme til å generere, og se dette opp mot hvilke hjemmelsgrunnlag som gjelder for behandling av disse opplysningene.
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 14 av 41
Om utprøvingen ikke skal skje i samarbeid med pasienter/brukere anbefales det at utprøvingen skjer uten bruk av personopplysninger ved bruk av fiktive personopplysninger (for eksempel Testaktører hos Norsk Helsenett) eller anonyme datasett. Faktaark 43 - Bruk av testdata i systemer som inneholder helse- og personopplysninger vil gi ytterligere hjelp.
Om det ikke behandles personopplysninger i utprøvingen kan bruk av denne veilederen avsluttes ifm. utprøvingen.
4.2 Gjennomfør risikovurdering før utprøving
Det anbefales å gjennomføre risikovurderingen før utprøvingen som om det er en anskaffelse. I kap. 2 gis det forslag til scenarioer som kan inngå i risikovurderingen. Et mål med utprøvingen kan være å teste ut forskjellig utstyr (for eksempel en aktivitetsmåler av en annen type fra en ny leverandør) og programvare. Like scenarier og resultater kan med fordel gjenbrukes.
4.3 Gjennomfør tiltak som i driften
Virksomheten kan ikke velge å etablere eller ikke etablere tilstrekkelig informasjonssikkerhet ifm. utprøving der det inngår helse- og personopplysninger. Se innledningsvis. Informasjonssikkerhetstiltakene og nivået som skal innføres vil bla. vil kunne utledes av punktene nedenfor: - Resultatet av risikovurderingen - Flere typer modeller og leverandører av velferdsteknologi kan øke omfanget - Graden av gjenbruk av virksomhetens eksisterende teknologiske tiltak og styringssystem
for informasjonssikkerhet (internkontroll) - Likheter og gjenbruk fra tidligere utprøvinger av velferdsteknologi
Først når tiltakene som er besluttet satt i verk, kan utprøvingen starte.
4.4 Avsluttende aktivitet etter utprøving
Om det gjennom utprøvingen er behandlet helse- og personopplysninger og disse var en del av helsehjelpen eller omsorgstjenesten skal disse lagres iht. det regelverket som gjelder for de aktuelle opplysningene. Dette gjelder også logger som er en del av disse opplysningene.
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 15 av 41
Om helse- og personopplysningene kun var brukt til testformål og ikke kommer inn under punktet ovenfor må alle helse- og personopplysninger slettes. Virksomheten må selv eller ved hjelp av leverandøren påse at helse- og personopplysninger som er lagret i utstyret blir forsvarlig og fullstendig slettet. Om virksomheten velger å anskaffe velferdsteknologien som har vært til utprøving kan en gå direkte til kap. 6) og fase dette inn i driften.
4.5 Forslag til sjekkliste ved utprøving
Tabellen nedenfor viser de viktigste områdene å ivareta ifm. utprøving:
Nr. Tema Ref. Kap.
Sjekk
1. Vurder om det skal behandles helse- og personopplysninger 4.1 Ja Nei
2. Det er vurdert at det ikke behandles helse- og personopplysninger
3. Gjennomfør risikovurdering 4.2 Ja Nei
4. Om det skal behandles personopplysninger må alle tiltak for behandling av helse- personopplysninger gjennomføres
4.3 og Kap. 6
Ja Nei
5. Når utrøvingen er over skal alle data vurderes for sletting i systemer og i utstyr
4.4 Ja Nei
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 16 av 41
5 INFORMASJONSSIKKERHET IFM. ANSKAFFELSE
Dette kapittelet gir veiledning for anskaffelsesprosessen med anbefalinger til innhold i kravspesifikasjon og gjennomføring av risikovurdering av tilbud fra leverandør. Til slutt i kapittelet gis det noen konkrete forslag til innhold i en eventuell databehandleravtale. Om utstyr / tjeneste som er benyttet under utprøvingen kjøpes av virksomheten og ytterligere anskaffelse ikke er relevant kan en gå direkte til informasjonssikkerhet i driften i kap. 5. Figuren nedenfor viser en tenkt prosess for å ivareta informasjonssikkerheten ifm. anskaffelse av velferdsteknologi.
Figur 3: Prosesskart - informasjonssikkerhet ifm. anskaffelse
5.1 Gjennomfør forberedelse og dialog med leverandør
Virksomheter som har erfaringer fra informasjonssikkerhet i anskaffelsesprosesser for velferdsteknologi anbefaler at det gjennomføres et godt forarbeid i dialog med leverandørene av velferdsteknologien før kravspesifikasjonen sendes ut. En årsak til denne anbefalingen er at informasjonssikkerhet i velferdsteknologi er relativt nytt i virksomheten og hos leverandørene. Gjennom dialogen vil en kunne få drøftet mulighetene for innspill til informasjonssikkerhet i kravspesifikasjonen. Nedenfor er det gitt noen forslag til underlag som kan benyttes i forarbeidet med å spesifisere krav og tiltak innen informasjonssikkerhet:
Ja
Nei
Tilbudt løsning på akseptabelt
nivå?
Utarbeid Kravspec - tjeneste
Gjennomfør forarbeid og
dialog
Anskaffe utstyr og /
eller tjeneste
Etabler eventuelt databehandler-
avtale og gå i drift
Utarbeid kravspec -
utstyr
Gjennomfør risikovurder
ing av av tilbud
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 17 av 41
- Normens Faktaark 38 - Sikkerhetskrav for systemer er et hjelpemiddel for å sikre at systemene inneholder løsninger iht kravene i Normen. Faktaarket har 38 krav som kan være aktuelle for den aktuelle anskaffelsen
- I tilknytning til Faktaark 38 er det utarbeidet et sett med veiledningsdokumenter der et enkelte krav i faktaarket er tolket og eksemplifisert i anbefalte løsinger av kravet
- Datatilsynet har utarbeidet1 en sjekkliste for innebygd personvern. Innebygd personvern vil bli et krav ved innføring av den nye personvernforordningen.
For å kunne verifisere at et bestemt krav i Normen er ivaretatt er det viktig å se hele verdikjeden under ett. Fra utstyrtet som brukeren anvender, gjennom responssenterløsningen/mottaket og virksomhetens fagsystem (f.eks, PLO-system, EPJ-system mv.) sentralt. For eksempel om logging ikke er mulig direkte på det enkelte utstyr kan sum av funksjonalitet i verdikjeden være tilstrekkelig for at krav til logging er ivaretatt.
5.2 Anbefalte krav til leverandører ved kjøp av utstyr
Med utstyr menes i denne sammenhengen fysisk utstyr og programvare for konfigurasjon og overvåkning av utstyret.
Leverandører av teknologi til virksomheten har ikke et selvstendig ansvar for at teknologien ivaretar kravene i det samlete lovverket. Det anbefales derfor at
virksomheten stiller krav til leverandøren om etterlevelse av krav i Normen i kravspesifikasjoner, avtaler mv. og at løsningen blir dokumentert. Virksomheten bør stille krav til leverandøren om det som kalles for innebygd personvern. Innebygd personvern i forbindelse med velferdsteknologi (privacy by design and by default) betyr at det tas hensyn til personvern og informasjonssikkerhet i alle utviklingsfaser av velferdsteknologien. Dette innebærer for eksempel at forhåndsdefinerte standardinnstillinger i teknologisk utstyr, systemer og programmer settes til det mest personvernvennlige nivået. På denne måten er brukeren sikret et best mulig personvern selv om vedkommende ikke gjør noen endringer i forhåndsdefinerte brukerinnstillinger.
For utfyllende informasjon vises det til Datatilsynet nettsted for innebygd personvern.
Tabellen på neste side2 er ment som er hjelpemiddel for å ta inn krav til informasjonssikkerhet i kravspesifikasjoner. Tabellen baserer seg på underlagene som er stilt
1 På basis av: 7 foundational principles for privacy by design by Ph. D. Ann Cavoukian, Information & Privacy
Commissioner in Ontario, Canada. 2 Tabellen kan lastes ned som en mal i redigerbart format på http://www.normen.no
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 18 av 41
opp i kap. 5.1. Det er tatt med og tilpasset krav fra faktaark 38, som er vurdert relevant for utstyr.
Nr. Basis i Krav i FA 38
Krav Kapittel
i Normen
Ivaretatt Kommentarer
Autorisering
1.
1 Tilgangsstyring skal etableres for alt utstyr
5.2 Ja Nei IR
2. 4
All tildeling av autorisasjon skal registreres i et autorisasjonsregister
5.5.2 Ja Nei IR
3.
8
Tildelt autorisasjon skal sikre at den enkelte kan få tilgang til relevante og nødvendige helse- og personopplysninger
5.2.2 Ja Nei IR
4.
11
Kun teknisk personell med særskilt behov for tilgang, kan autoriseres for større mengder helse- og personopplysninger
5.2.2 Ja Nei IR
5.
13
Systemet som administrerer autorisasjon skal skille mellom rettigheter til å lese, registrere, redigere, rette, slette og/eller sperre helse- og personopplysninger
5.5.2 Ja Nei IR
6.
18
Virksomhetens ledelse skal påse at det jevnlig gjennomføres kontroll av hvem som har hatt elektronisk tilgang til helseopplysninger i velferdsteknologien
6.5 Ja Nei IR
Autentisering
7. 19
Autentisering må sikre identifisering i korrekt rolle i hvert enkelt tilfelle.
5.2.1 Ja Nei IR
8.
22
Flere personer skal ikke benytte samme autentiseringskriteria. Utdypning av kravet: Passordet skal kunne byttes Passordets kvalitet og varighet
skal kunne konfigureres
5.2.1 Ja Nei IR
9.
23
Tekniske tiltak skal iverksettes slik at personer i eller utenfor virksomheten ikke skal kunne endre opplysninger uten at det registreres i velferdsteknologien
5.5.2 Ja Nei IR
10. 24
Alle systemer skal ha mekanismer som hindrer uautoriserte endringer av helse- og personopplysninger
5.5.2 Ja Nei IR
Logging
11.
25
Logger med sikkerhetsmessig betydning, herunder registrering av autorisert bruk og forsøk på uautorisert bruk skal tas vare på til det av helsehjelpens karakter ikke
3.3.4 5.2.8
Ja Nei IR
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 19 av 41
Nr. Basis i Krav i FA 38
Krav Kapittel
i Normen
Ivaretatt Kommentarer
lenger antas å bli bruk for.
12. 26
Det skal registreres i velferdsteknologien hvem som har hatt tilgang til loggene
4.4.1
Ja Nei IR
13.
28
For å oppdage brudd eller forsøk på å bryte regelverket skal det som minimum føres logger over: - autorisert bruk - alle forsøk på uautorisert bruk
5.5.2 Ja Nei IR
14.
29
Følgende skal som minimum registreres i logger: - entydig identifikator for den
autoriserte brukeren - hvilke type opplysninger det er
gitt tilgang til - hvem som har fått utlevert
helseopplysninger som er knyttet til pasientens eller brukerens navn eller fødselsnummer
- grunnlaget for tilgangen - tidspunkt og varighet for
tilgangen
5.5.2 Ja Nei IR
Integritet
15. 36
Helse- og personopplysninger skal henføres til rett identifisert person
4.4.2 Ja Nei IR
Tilgjengelighet
16. Ingen
Batteritid skal varsles slik at batteri kan byttes tidsnok
Ja Nei IR
17. Ingen
Utstyret sender ”Heart-Beat” – for nedetidsovervåkning
Ja Nei IR
18. Ingen
Kabler og tilkoblinger skal være sikret for utilsiktet frakobling
Ja Nei IR
Innebygget personvern
19.
Systemets standardinnstillinger er på forhånd satt til å være mest mulig personvernvennlig
Ja Nei IR
20.
Utstyret innhenter kun nødvendige personopplysninger iht. det besluttede formålet
Ja Nei IR
21.
Metoder for å begrense mengden personopplysninger kan være: - Sensitive personopplysninger
er utelatt - Fødselsnummer er utelatt - Informasjon som registreres
kan kun indirekte identifisere en person (en person vil være indirekte identifiserbar dersom det er mulig å identifisere vedkommende gjennom bakgrunnsopplysninger som
Ja Nei IR
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 20 av 41
Nr. Basis i Krav i FA 38
Krav Kapittel
i Normen
Ivaretatt Kommentarer
for eksempel bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, diagnose og lignende)
- Navn er erstattet med pseudonym
22.
Sletterutiner er etablert, informasjon slettes automatisk etter et bestemt tidsintervall, eller når formålet ved behandlingen er opphevet. Dette forutsette at opplysingene ikke er journalført. Da gjelder andre regler
Ja Nei IR
23.
Brukergrensesnittet begrenser muligheten til å oppgi unødvendig personlig informasjon.
Ja Nei IR
24.
Lagret informasjon er kryptert for å begrense tilgangen til hva for eksempel systemadministrator kan se av personopplysninger.
Ja Nei IR
25.
Det er etablert kryptert kommunikasjon over Internett, i databaser og på mobile enheter
Ja Nei IR
5.3 Anbefalte krav til leverandører ved kjøp tjeneste
I dette kapitelet beskrives anbefalte krav til informasjonssikkerhet som virksomheten bør stille gjennom kravspesifikasjon til leverandør ved kjøp av velferdsteknologi som tjeneste (tjenesteutsetting).
Eksempler på tjenester er: - Hele verdikjeder (for eksempel
trygghetsalarmer, overføringsnett, responssentertjeneste og ulike fagsystemer)
- Utplassering og konfigurasjon av utstyr og opplæring av brukere
- Service på utstyr - Responssentertjeneste
Om tjenesten vurderes som en skytjeneste anbefales det at momentene i dokumentet ”Veileder i bruk av skytjenester til behandling av helse- og personopplysninger” legges til grunn ved anskaffelse. Se også DIFIs veiledning i anskaffelse av skytjenester, https://www.difi.no/artikkel/2017/03/anskaffelse-av-skytjenester.
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 21 av 41
Tabellen nedenfor3 er ment som er hjelpemiddel for å ta inn krav til informasjonssikkerhet i kravspesifikasjoner ved kjøp av tjenester. Tabellen baserer seg på dokumentet ”Eksempel på databehandleravtale”, men er tilpasset velferdsteknologi. Virksomheten må gjøre en konkret vurdering av omfanget av hvilke krav som skal være med. For eksempel vil kjøp av en hel verdikjede (f.eks trygghetsalarm, overføringstjeneste og responssenter) blir langt mer omfattende enn kjøp av service på utstyr.
Nr Krav Ivaretatt Kommentar
Generelle krav
1. Leverandøren plikter å følge Normen og oppfylle kravene i denne
Ja Nei IR
2. Leverandøren skal til enhver tid oppfylle de krav til informasjonssikkerhet som følger av databehandleravtalen og databehandlingsansvarliges sikkerhetsstrategi. Resultat fra gjennomført risikovurdering skal fremlegges av databehandler som dokumentasjon av egen og eventuelle underleverandørers sikkerhet
Ja Nei IR
3. Leverandøren skal, i tilbudet, vedlegge sikkerhetsmål, sikkerhetsstrategi og ansvar for informasjonssikkerheten
Ja Nei IR
4. Leverandøren plikter å behandle all informasjon i henhold til databehandleravtalen
Ja Nei IR
5. Leverandøren kan ikke benytte underleverandører i forbindelse med velferdsteknologien uten at det er skriftlig avtalt med virksomheten
Ja Nei IR
6. Leverandøren skal sikre at informasjon som behandles på vegne av virksomheten holdes adskilt fra egne og andre virksomheters informasjon og tjenester
Ja Nei IR
7. Leverandøren plikter å dokumentere sitt system for behandling av helse- og personopplysninger i forbindelse med databehandleravtalen. Med dokumentasjon menes bl.a. beskrivelse av prosedyrer for autorisasjon, autentisering og bruk, samt tekniske og organisatoriske sikkerhetstiltak. Dokumentasjon skal være tilgjengelig for virksomheten, Datatilsynet og Helsetilsynet.
Ja Nei IR
Krav til logging
8. Leverandøren skal sikre at all tilgang og bruk av velferdsteknologien logges
Ja Nei IR
9. Loggene skal samles inn og tilgjengeliggjøres for virksomheten
Ja Nei IR
10. Loggene skal oppbevares så lenge avtalen med kunder spesifiserer det
Ja Nei IR
11. Følgende skal som minimum registreres i loggene:
• entydig identifikator for den autoriserte brukeren
• rollen den autoriserte brukeren har ved tilgangen
• virksomhetstilhørighet
• organisatorisk tilhørighet til den som er
Ja Nei IR
3 Tabellen kan lastes ned som en mal i redigerbart format på http://www.normen.no
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 22 av 41
Nr Krav Ivaretatt Kommentar
autorisert
• hvilke type opplysninger det er gitt tilgang til
• grunnlaget for tilgangen
• tidspunkt og varighet for tilgangen
Leverandøren skal sikre at følgende minimumskrav til teknisk sikkerhet er oppfylt
12. Tilgang til tjenester og opplysninger i nettverket og IKT-systemet skal være basert på individuelle brukernavn og passord
Ja Nei IR
13. Opplysninger overlevert av virksomheten skal sikres, slik at kun autoriserte medarbeidere har tilgang
Ja Nei IR
14. Tilgang til eksterne nett/Internett/helsenett, inkludert leverandørens åpne nettverk, skal sikres med sikkerhetstiltak som ikke kan påvirkes eller omgås av eksterne og egne ansatte, og som forhindrer uforvarende eksponering av sensitive personopplysninger til nettverk med lavere sikkerhet
Ja Nei IR
15. Ved bruk av fjernaksess skal alle sikkerhetstiltak og avtale innføres iht. til dokumentet ”Veileder for fjernaksess”
Ja Nei IR
16. Hvis leverandøren behandler helse- og personopplysninger for flere virksomheter skal leverandøren ved hjelp av tekniske tiltak som ikke kan overstyres av brukerne ivareta at det er etablert skiller mellom virksomhetene i henhold til gjennomført risikovurdering. Dette gjelder både hvor data er lagret og i kommunikasjon
Ja Nei IR
Krav til tilgangsstyring
17. Leverandøren skal ha prosedyrer for å autorisere kun de av leverandørens medarbeidere som har et reelt behov for tilgang til velferdsteknologien og opplysninger for å gjennomføre leveransen/tjenesten
Ja Nei IR
18. Leverandøren skal til enhver tid ha oversikt over eget personell som er autorisert for tilgang til velferdsteknologien og informasjon. På forespørsel skal slik oversikt forelegges virksomheten
Ja Nei IR
19. Det skal benyttes personlig brukerkonto for all tilgang knyttet til gjennomføring av leveransen
Ja Nei IR
20. Dersom leverandøren benytter mobilt utstyr til drift, skal leverandøren ha prosedyrer som sikrer at disse bare benyttes av driftspersonell og til driftsrelaterte oppgaver
Ja Nei IR
21. Dersom tredjepart eller underleverandør, i forbindelse med support eller tilsvarende, skal ha tilgang til velferdsteknologien, skal alle sikkerhetstiltak iht. til dokumentet ”Veileder for fjernaksess” ivaretas
Ja Nei IR
Taushetsplikt
22. Leverandørens ansatte og andre som opptrer på leverandørens vegne i forbindelse med velferdsteknologien er underlagt taushetsplikt, jf. pasientjournalloven § 15, helsepersonelloven og forvaltningsloven. Det samme gjelder eventuelle underleverandører. Leverandøren skal påse at alle som behandler helse- og personopplysninger er kjent med taushetsplikten
Ja Nei IR
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 23 av 41
Nr Krav Ivaretatt Kommentar
23. Alle ansatte og andre som opptrer på leverandørens vegne i forbindelse med velferdsteknologien skal ha undertegnet taushetserklæring. Bestemmelsen gjelder tilsvarende for eventuelle underleverandører
Ja Nei IR
24. Taushetsplikten gjelder også etter databehandleravtalens opphør
Ja Nei IR
Tilbakerapportering
25. Leverandøren skal jevnlig gi statusrapporter om resultater fra sine ansvarsområder. Eksempler på hva som skal inngå i rapportering fra databehandler: - Driftsstatus på kritiske systemer - Oppetid på systemer - Planlagte avbrudd og tidslengde på avbrudd - Planlagte endringer, forventet effekt og
tidspunkt de skal utføres - Forsøk på uautorisert bruk - Sikkerhetsoppdateringer - Feilsituasjoner/ -rettinger - Manglende oppfyllelse av tjenesteavtale og
mulige årsaker
Ja Nei IR
Avvikshåndtering
26. Leverandøren skal gjennomføre avvikshåndtering på informasjonssikkerhet (se personopplysningsforskriften) etter en fastlagt rutine. Ved alvorlige hendelser skal leverandøren melde avviket til virksomheten uten opphold
Ja Nei IR
5.4 Gjennomfør risikovurdering ved anskaffelse
Det skal gjennomføres en fullstendig risikovurdering av det konkrete tilbudet for å vurdere om leverandørens foreslåtte løsing er innenfor virksomhetens akseptabel risiko.
Risikovurderingen skal være et hjelpemiddel (verktøykasse) for virksomheten til å fastslå om tilbudt løsing er innenfor det som virksomheten definerer som akseptabel risiko. Et resultat av risikovurderingen vil være hvilke tiltak som må iverksette, hvilke som kan vurderes ut fra kost/nytte og hva som det ikke er nødvendig med tiltak for.
5.5 Etabler databehandleravtale
Om virksomhet setter ut hele eller deler av behandlingen av personopplysninger til andre virksomheter, vil den andre virksomheten være en databehandler.
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 24 av 41
Forholdet mellom virksomheten og databehandleren skal være regulert i en avtale – databehandleravtale.
En databehandleravtale kan være en frittstående avtale mellom partene, eller en integrert del av annet avtaleverk.
En databehandler kan ikke behandle personopplysninger på en annen måte enn det som er skriftlig avtalt med virksomheten.
I forbindelse med velferdsteknologi kan virksomheten benytte en eller flere databehandlere. Eksempler på situasjoner kan være: - Databehandler som yter support på utstyret etter avtale og får automatisk oversendt
statusmeldinger om utstyrets funksjon og eventuelle feil knyttet til en bruker - Databehandlerens alarmsentral er reserve om virksomhetens blir utilgjengelig - Databehandler drifter virksomhetens løsninger - Tjenesteutsetting (f.eks. responssenterløsning) Følgende momenter kan være hensiktsmessig å ha med i en avtale om velferdsteknologiske løsninger:
- Sikring av konfidensialitet for lagrede data - Sikring av integritet til lagrede data - Sikring av kommunikasjon mellom databehandler og virksomheten - Hvilke data som overføres (f.eks. feilstatus, lokasjonsnummer, måleverdier, navn,
adresse) - Hvordan dataene i responssenterløsningen4 til databehandler blir knyttet til bruker - Hvem hos databehandleren som har tilgang - Krav om sletting (f.eks. når feilen er løst) - Krav om avidentifisering om databehandler vil oppbevare statusmeldingene, om de
inneholder personopplysninger, for egen rapportering og statistikk - Underleverandørs plikt til avviksbehandling og gjennomføring av revisjoner
Faktaark 10 gir mer veiledning i bruk av databehandler og etablering av databehandleravtale. I tillegg til materiellet under Normen har Datatilsynet sine nettsider en veileder for databehandleravtaler med maler.
4 I veilederen er det benyttet begrepet "mottakssystem". Dette systemet skiller seg fra fagsystem og EPJ-
system ved at systemet er spesialisert for velferdsteknologiske løsninger.
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 25 av 41
5.6 Forslag til sjekkliste ved anskaffelse
Tabellen nedenfor viser de viktigste områdene å ivareta ifm. anskaffelse:
Nr. Tema Ref. Kap.
Sjekk
1. Gjennomfør forberedende dialog med leverandør 5.1 Ja Nei
2. Framskaff underlag ifm. krav til informasjonssikkerhet 5.1 Ja Nei
3. Ved kjøp av utstyr: Utarbeid kravspesifikasjon med utgangspunkt i mal som kan lastes ned på www.normen.no
5.2 Ja Nei
4. Ved kjøp av tjeneste: Utarbeid kravspesifikasjon med utgangspunkt i mal som kan lastes ned på www.normen.no
5.3 Ja Nei
5. Gjennomfør vurdering og risikovurdering av valgt tilbud 5.4 Ja Nei
6. Etabler eventuelt databehandleravtale 5.5 Ja Nei
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 26 av 41
6 INFORMASJONSSIKKERHET IFM. DRIFT I dette kapitelet beskrives tiltak som må ivaretas i driften. Driftsoppgavene kan være knyttet til oppstart av driften eller ved endringer og oppfølging underveis.
Figur 4: Prosesskart - informasjonssikkerhet ifm. drift
6.1 Plasser ansvar og etabler roller
Virksomheten må definere roller ifm. velferdsteknologi og oppdatere internkontrollen iht. til dette. Om det etableres et interkommunalt samarbeid etter kommuneloven eller etter lov om interkommunale selskap må partene avklare databehandlingsansvaret seg i mellom.
Om virksomheten leier velferdsteknologien fra en leverandør eller at bruker selv anskaffer teknologien fra leverandøren, etter kravspesifikasjon fra virksomheten, er virksomheten databehandlingsansvarlig
For eksempel om det er virksomheten som kjøper løsningen av en privat alarmsentral, f.eks. etter anbud, er det virksomheten som er databehandlingsansvarlig.
Gi
opplæring
Behandle person-
opplysninger
Oppdater oversikten behandling av person-
opplysninger
Oppdater styrings-
systemet for informasjons
sikkerhet
Gjennomfør
Logging
Etabler /
vedlikehold tilgangs-styring
Plasser
ansvar og etabler roller
Etabler og følg opp
informasjons-sikkerhets-
tiltak
Gjennomfør
avviks- behandling
Oppdater det aktuelle trinnet ved behov (for eksempel endringer)
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 27 av 41
6.2 Oppdater styringssystemet for informasjonssikkerhet
Den etablerte internkontrollen etter personopplysningsforskriften (styringssystemet for informasjonssikkerhet) må oppdateres og vedlikeholdes ifm. innføring av velferdsteknologi med relevant dokumentasjon. Ifm. bruk av velferdsteknologi anbefales det å utarbeide nye eller oppdatere eksiterende dokumentasjon i styringssystemet. Punktene nedenfor gir en anbefaling (listen er ikke utfyllende liste): - Håndtering av velferdsteknologien på mobilt
datautstyr - Autorisasjon av bruker og pårørende - Prosedyre for sletting av data - Håndtering og sletting av
overskuddsinformasjon - Tilbakestilling til fabrikkinnstillinger - ”Enkle driftsrutiner” for bruker (ladning, batteri, kabler, koblinger, reset, osv) - Avklare hvilke rutiner databehandler ivaretar (i og med at dette er komplekst vil det
være nyttig at databehandlingsansvarlig vet hvilke rutiner databehandler ivaretar i den komplette løsningen)
- Håndtering av feilmeldinger fra bruker - Driftsrutiner teknisk løsning (mange rutiner)
6.3 Oppdater oversikten over behandlinger av personopplysninger
Virksomheten må oppdatere den eksisterende oversikten over behandling av helse- og personopplysninger. Nedenfor er vist et eksempel på en behandling:
Behandling: Gi borger trygghetsalarm
Formål: Kommunikasjon med responssenterløsning med hvem som har hvilken alarm og hvilken alarmsone de tilhører, registrering/ dokumentasjon av utløste alarmer og utrykninger, aktivitetsbaserte inntekter statistikk og styringsinformasjon
Hjemmel: Helse- og omsorgstjenesteloven § 3-2, første ledd nr. 6 bokstav b
Databehandler: Nei
Type opplysninger: Helse- og personopplysninger
6.4 Gi opplæring
Nedenfor følger noen temaer det anbefales å legge særskilt vekt på: Medarbeideren: - Taushetsplikt - Helse- og personopplysninger kan kun benyttes til det formålet
som er bestemt
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 28 av 41
- Kun tjenstlig tilgang i forbindelse med medarbeiderens rolle Bruker/pårørende: - Konfigurasjonen i velferdsteknologien skal ikke endres av bruker eller pårørende - Riktig bruk - ”Drift” bruker kan utføre (se rutine ovenfor) - Hvordan melde om feil og feil bruk - Prosedyre for nedkobling - Pårørendes urettmessige bruk av personopplysninger - overvåking
6.5 Etabler / vedlikehold tilgangsstyring
Å etablere tilgangsstyring på virksomhetens interne systemer, slikt som f.eks. responssenterløsingen, vil følge av de prinsipper for tilgangsstyrig virksomheten alt har etablert. Innføring av løsinger for velferdsteknologi skal følge de samme prinsippene. For eksempel bør rollen "teknisk personell" ikke ha tilgang til brukers lokasjonsdata for å oppgradere systemet. Et annet eksempel kan være at rollen "leverandør" ikke trenger tilgang til lokasjonsdata for å vedlikeholde utstyret. Nedenfor er det gitt noen eksempler på områder der det bør etableres tilgangsstyring ifm. velferdsteknologi: - Teknologi i hjemmet til bruker (f.eks.
nettbrett, sentralenhet (HUB) mv.) - Roller og tilganger i responssenterløsning All tildeling av autorisasjon skal registreres i et autorisasjonsregister. Pårørende som gis tilgang skal også framgå av autorisasjonsregisteret. For utdypende omtale av autorisasjonsregister vises det til faktaark 47. Ved at bruker tar i bruk velferdsteknologisk utstyr skal utstyret sikres med adekvat tilgangsstyring. For eksempel skal bruker ha sin personlige autentisering når det benyttes nettbrett eller mobiltelefon til å registrere verdier og være i dialog med helsetjenesten. Etter Normen kreves det sikker autentisering som for eksempel kan være basert på personlig kvalifisert sertifikat (For eksempel BankID, Buypass, Confides mv.) eller annen autentiseringsløsning som gjennom en risikovurdering viser at den har tilstrekkelig sikkerhet. Veileder for tilgangsstyring under Normen gir ytterligere veiledning. Autentiseringsmekanismene som er beskrevet ovenfor er problematisk om bruker har kognitiv svikt eller nedsatt funksjonsevne. Virksomheten må sammen med sin leverandør finne løsninger som må risikovurderes. I den sammenhengen kan biometri være en løsning ved at bruker autentisere seg med fingeravtrykk på nettbrettet eller smarttelefonen.
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 29 av 41
I vedlegg i kap. 8.1 er det gitt en anbefaling til autentisering fra Nasjonalt velferdsteknologiprogram.
6.6 Vurder og slett overskuddsinformasjon
Overskuddsinformasjon skal unngås. Innsamlede data som ikke lenger er nødvendige for det angitte formål må slettes eller anonymiseres, om ikke annet følger av lov f.eks. journalføringsplikt for helsepersonell.
6.7 Lagringstid for opplysingene
Det grunnleggende utgangspunktet er at personopplysninger ikke skal oppbevares lenger enn det som er nødvendig for å oppnå formålet med behandlingen av opplysningene. Behandlingsrettet helseregister/journalopplysninger Helseopplysninger i et behandlingsrettet helseregister skal oppbevares inntil det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for dem, jf. pjl. § 25 første ledd, jf. også pasientjournalforskriften § 14. Helseopplysningene skal deretter slettes, med mindre arkivloven eller annen lovgivning pålegger videre oppbevaring. Andre helseopplysninger Personopplysningene skal på tilsvarende måte bare oppbevares inntil formålet med behandlingen er oppnådd, jf. personopplysningsloven § 28. Deretter skal opplysningene slettes, med mindre videre oppbevaring er pålagt i annet regelverk.
6.8 Etabler og følg opp logging
Etter Normen, se faktaark 15, skal det logges en rekke data knyttet til behandling av helse- og personopplysninger.
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 30 av 41
Eksempler på hvor det kan logges er: - I utstyr som er utplassert hos bruker - Autentiseringsinformasjon i responssenterløsningen - Sikkerhetsbarrierer som er utplassert hos bruker (for eksempel HUB) Virksomheten må ta stilling til hvor i den komplette løsningen det skal logges. Det er ikke nødvendig å logge i hver enkelt komponent i verdikjeden. For ytterlige informasjon om logging vises det til faktaark 15.
6.9 Informasjonssikkerhetstiltak
Sikre datakommunikasjonen All datakommunikasjon med helse- og personopplysninger, som skjer i nettverk som virksomheten ikke selv har kontroll over, skal krypteres. Virksomheten må påse at datakommunikasjonen med helse- og personopplysninger er krypterte ende til ende. Kryptering fra ende til ende betyr at det ikke skal være en mellomstasjon hvor data behandles (for eksempel avleses eller lagres) i «klartekst». Dette kan f.eks. løses ved at data krypters i velferdsteknologien og dekrypteres i tilknytning til virksomhetens responssenterløsning (f.eks. i sikker sone5). Om utstyret ikke kan kryptere kan en løsing være å avidentifisere opplysingene før de oversendes. For krav til krypteringsmetode og styrke vises det til dokumentet NSM Cryptographic requirements.
Mer hjelp til sikkerhetsarkitektur og datakommunikasjon fins i: - Faktaark 24 - Kommunikasjon over åpne nett - Faktaark 26 - Sikring av trådløs teknologi
Oppdater konfigurasjonsoversikten Ved bruk av velferdsteknologiske løsninger kan løsningene fjernstyres fra smarttelefoner, nettbrett og såkalte smart-TV løsninger med tilhørende apper. Slike enheter er normalt tilknyttet Internett med trådløst nett eller mobilkommunikasjon. Konfigurasjonskontroll av slike tilknytninger må vises ekstra oppmerksomhet fordi nettverkstilknytningen kan gi uautorisert tilgang til helse- og
5 Mer om sonedelt infrastruktur i Datatilsynets veileder for sikkerhetsarkitektur
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 31 av 41
personopplysninger og konfigurasjoner.
6.10 Gjennomfør avviksbehandling mellom virksomheten og leverandør
Det skal utarbeides prosedyrer som sikrer at avviksbehandlingen er operativ mellom virksomheten og databehandler.
Tema å ta med i avviksprosedyrene er: - Driftsstans på utstyr hos bruker som har betydning for
leveranse av tjenesten - Personopplysninger på avveie - Forsøk på og uautorisert bruk
6.11 Informasjonssikkerhet ifm. å avslutte tjenesten hos bruker
I dette kapitelet beskrives tiltak ved å avslutte tjenesten hos bruker.
Når de velferdsteknologiske løsningene skal frakobles bruker og/eller brukested må virksomheten etablere prosedyrer som sikrer at: - Alle helse- og personopplysninger som er lagret i utstyret slettes - Eventuelle pseudonymer slettes - Krypteringsnøkler slettes - Ved eventuell gjenbruk av sensorer og måleutstyr hos annen bruker er det viktig at alle
data slettes. En anbefalt metode er å tilbakestille utstyret til "fabrikkinnstillinger"
6.12 Forslag til sjekkliste ved drift
Tabellen nedenfor viser de viktigste områdene å ivareta ifm. drift:
Nr. Tema Ref. Kap.
Sjekk
1. Plasser ansvar og etabler roller 6.1 Ja Nei
2. Oppdater styringssystemet for informasjonssikkerhet 6.2 Ja Nei
3. Oppdater oversikten over behandling av personopplysninger 6.3 Ja Nei
4. Gi opplæring 6.4 Ja Nei
5. Etabler / vedlikehold tilgangsstyring 6.5 Ja Nei
6. Vurder å slette overskuddsinformasjon 6.6 Ja Nei
7. Vurder lagringstid påopplysningene 6.7 Ja Nei
8. Gjennomfør logging 6.8 Ja Nei
9. Etabler og følg opp informasjonssikkerhetstiltak 6.9 Ja Nei
10. Gjennomfør avviksbehandling 6.10 Ja Nei
11. Rydd opp ifm. avvikling hos bruker 6.11 Ja Nei
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 32 av 41
6.13 Når blir løsinger for private formål virksomhetens ansvar?
Om en person selv anskaffer velferdsteknologi og behandler personopplysningene selv, er dette å regne som et privat formål dersom velferdsteknologien kun benyttes til et privat formål som bruker selv bestemmer. Om bruker ønsker at denne velferdsteknologien skal knyttes opp til en virksomhet må virksomheten avklare hvor grensene går når en behandling ikke lenger er å regne som et privat formål. Det vil si på hvilket tidspunkt virksomheten blir databehandlingsansvarlig og dermed blir ansvarlig for løsningen.
Figur 5: Bruker anskaffer selv velferdsteknologi
Case: En person føler seg uttrygg og har selv anskaffet seg en blodtrykksmåler som tilkobles et nettbrett. På et senere tidspunkt anbefaler helsetjenesten at personen knytter løsningen til en responssenterløsning slik at kvalifisert personell kan overvåke kritisk hypertensjon.
Viktige ting å ivareta: - Er det ukjent utstyr skal det gjennomføres en risikovurdering - Konfigurasjonen av nettbrettet blir korrekt satt opp og styres av virksomheten - Bruker må læres opp i generelle regler for bruk av nettbrettet slik at det
ikke oppstår uønskede hendeler med betydning for informasjonssikkerheten
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 33 av 41
7 EKSEMPLER Eksempler på velferdsteknologi følger eksemplene i KS sitt læringsmateriell for virksomhetene "Velferdsteknologiens ABC".
7.1 Eksempel 1: Trygghetsskapende teknologier
Case: Anna har demens. Hun er en sprek dame og liker og gå på lange spaserturer. Men hun har problemer med hukommelse og orientering, og Bjørn er bekymret. Bjørn
kontakter pleie- og omsorgstjenesten i kommunen for å få råd om hva han kan gjøre. Kommunens ergoterapeut kommer på hjemmebesøk for å kartlegge situasjonen og gi råd.
Løsning: Ergoterapeuten og Bjørn er enige om at en GPS kanskje kan være nyttig og kan gjøre Bjørn tryggere når Anna er på tur. Når
GPSen kommer og Anne får se den, godtar hun å ta den med for Bjørn sin skyld. Da kan han føle seg trygg og hun får fortsette med turene sine.
Figur 6: Eksempel 1: Trygghetsskapende teknologier
Risiko og tiltak
Nr. Problemstilling Antatt risiko
Forslag til tiltak
1. Medarbeider i responssenteret er ikke kjent med når kan de kan gå inn og sjekke koordinatene?
Lav Opplæring av medarbeiderne i korrekt uthenting av koordinater
2. Hvem skal sjekke koordinatene? Middels Definer roller i responssenteret og før rollene opp i autorisasjonsregisteret
3. Koordinatdata lagres til all tid
Høy Erfaring tilsier at koordinater skal slettes etter 30 dager
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 34 av 41
7.2 Eksempel 2: Mestringsteknologier
Case: Petra har nettopp flyttet hjemmefra og inn i en tilpasset leilighet i samlokaliserte boliger. Petra har cerebral parese og bruker elektrisk rullestol. Hun betjener rullestolen selv. For at Petra skal bli mer selvstendig, utføre gjøremål på egen hånd og oppleve mestring er det installert
velferdsteknologiske løsninger i form av omgivelseskontroll i leiligheten. Før Petra fikk omgivelseskontroll klarte hun ikke å åpne dørene, trekke for gardiner, slå på radio eller TV, åpne vinduer, eller senke og heve skapene på kjøkkenet.
Løsning: Når det ringer på døren hennes, trykker hun på en knapp, slik at den som står utenfor kan komme inn. Hun kan åpne verandadøren og gå ut på verandaen hvis hun vil det. Blir hun tørst kan hun enkelt ta seg til kjøkkenet, senke kjøkkenskapene til sin høyde og ta ut et glass. Blir det for
varmt i leiligheten bruker hun omgivelseskontrollen til å åpne vinduer. Også TV, radio og musikkanlegget betjener hun ved hjelp av omgivelseskontrollen. Virksomheten kan koble seg opp å gi service på utstyret.
Figur 7: Eksempel 2: Mestringsteknologier
Risiko og tiltak
Nr. Problemstilling Antatt risiko
Forslag til tiltak
1. Omgivelseskontrollen til å åpne vinduer virker ikke
Lav Gode rutiner for å fange opp nedetid på utstyr
2. Servicemedarbeider kjenner ikke utstyrt som er plassert i boligen
Middels God konfigurasjonskontroll med dokumentasjon og prosedyrer for det enkelte utstyret
3. Uautorisert kobler opp via responssenteret til boligen og åpner ytterdøren
Høy God kontroll på tilgangsstyringen og adgang til responssenteret
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 35 av 41
7.3 Eksempel 3: Utrednings- og behandlingsteknologier
Case:
Virksomheten skal gjennomføre utprøving av nye måter å gi helsetjenester til hjemmeboende pasienter med kroniske sykdommer for å forbedre tjenestetilbudet. Pasientene registrerer
informasjon om sin helsetilstand og sender dette via nettbrett til helsepersonell i virksomhetens vaktsentral (responssenter).
Løsing De hjemmeboende svarer blant annet på enkle spørsmål om vekt, blodtrykk og puls. Målet er at pasienten skal få tilgang til helsehjelp og oppfølging av sykdommen hjemmefra. På denne måten vil tjenesten
kunne sette i verk tiltak og behandling på tidligst mulig tidspunkt for å forebygge sykdomsforverring og sykehusinnleggelser.
Figur 8: Eksempel 3: Utrednings- og behandlingsteknologier
Risiko og tiltak
Nr. Problemstilling Antatt risiko
Forslag til tiltak
1. Kabelen til blodtrykksmåler faller av Lav Opplæring av bruker i håndtering av utstyret
2. Medarbeider i responssenteret leser av målinger uten at det foreligger saklig grunn
Middels Utarbeide prosedyrer for tilgangstyring, logging og oppfølging av logger
3. Nettbrettet og det trådløse nettet er ikke sikret slik at uautoriserte kan koble seg opp til nettbrettet
Høy Løsningen må sikres slik at uautorisert tilgang hindres. Tilgang til virksomhetens nett og responssenterløsingen må sikres slik at uautorisert tilgang til nettbrettet ikke får konsekvenser
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 36 av 41
7.4 Eksempel 4: Velværeteknologier
Case:
Aktivitetshuset har flere personer som ønsker å kunne komme seg ut og i aktivitet enten alene eller i fellesskap med andre. Dette er ikke alltid like lett. Mange
av dem mangler initiativ og er i dårlig fysisk form på grunn av inaktivitet. Noen av dem kan ikke orientere seg ute alene.
Løsning: For å møte disse behovene tok Aktivitetshuset i bruk geocaching. Det kan sammenlignes med orientering, men man finner frem ved hjelp av GPS i stedet for kart og kompass. De som deltar laster ned en app til en smarttelefon med GPS-mottager. Appen brukes til å finne poster
ute i nærmiljøet. Eksempler på noen andre løsninger ved hjelp av teknologi kan være små bokser med en hilsen eller en liten ting inni. Ved å trykke på ønsket geocach får brukeren en beskrivelse og en veiviser til stedet. Når geocachen blir loggført på telefonen, får de opp et smilefjes.
Figur 9: Eksempel 4: Velværeteknologier
Risiko og tiltak
Nr. Problemstilling Antatt risiko
Forslag til tiltak
1. Bruker deler smilefjes av geocachen med sine venner på Facebook
Lav Uproblematisk
2. Logg i telefonen benyttes av personalet for å spore vedkommende
Middels Opplæring i at App for geocach er et privat anliggende for bruker
3. Geocach logg blir sendt til leverandør og benyttes i kommersiell sammenheng for å rette markedsføringstiltak til bruker
Høy Kvalitetssikre App slik at disse ikke sender data til leverandøren
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 37 av 41
8 VEDLEGG
8.1 Anbefaling til autentisering fra Nasjonalt velferdsteknologiprogram
Alle klienter som skal kommunisere med en tjener må autentiseres på en hensiktsmessig måte. For enkelte typer enklere maskinvare er det ikke mulig å autentisere brukeren, men selve maskinvaren må gjenkjennes på grunnlag av serienummer, sertifikater eller lignende. Utdrag fra Normen Faktaark 24: 1. Autentisering og korrekt adressering av kommunikasjonspartner
Ved kommunikasjon mellom to parter over et åpnet nett er det viktig at partene på en
sikker måte kan autentisere seg for hverandre. Sikker autentisering er viktig for å verifisere
at kommunikasjonsparten faktisk er den som den utgir seg for å være. Dette kan for
eksempel gjøres ved å bruke PKI og virksomhetssertifikater. Adressering skal være sikret.
Det vil si at man skal være sikker på at benyttet adresse er korrekt.
2. Autentisering av personer/brukere
Ved autentisering av personer som kommuniserer helseopplysninger over et åpent nett
anbefales det sikkerhetsnivå 4 for autentisering.
Hovedkategorier klienter:
• Nettleser
• Smarttelefon/nettbrett med app
• Avansert maskinvare
Programmeringsmulighet. Kan ha skjerm eller være koblet mot TV. Enkel eller ingen
mulighet for brukergrensesnitt for oppsett beregnet på brukeren, men mulig for
tjenesteeier. Brukernavn/passord, men bruk av sertifikat mulig på noen løsninger.
Eksempler er «set top»-bokser, smarthusteknologi og enkle mobiltelefoner.
• Enkel maskinvare
Ingen eller enkle programmeringsmuligheter. Ikke brukergrensesnitt for oppsett
beregnet på innbygger. Eksempel er mobil trygghetsalarm.
Hovedkategorier tjenere:
• Nettskjemaløsninger
• Servere med kommunikasjonsgrensesnitt
(HL7 FHIR, PCD-01, SCAIP etc.)
• Andre tredjepartsløsninger, som proprietære skyløsninger
Under følger tre alternativer til autentisering, og så en anbefaling per klientkategori. ❖ Hovedanbefalingen er at man skal vurdere alternativ 1 før alternativ 2 og alternativ 2
før alternativ 3.
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 38 av 41
Alternativ 1- Sikkerhetsnivå 3/4 For portalløsninger anbefaler Normens veileder Personvern og informasjonssikkerhet i kontakten med pasient/bruker (1):
Autentisering for bruk av kun administrative funksjoner uten helseopplysninger (som for
eksempel bestilling og avbestilling av time uten at grunnen for timebestilling oppgis) skal
gjøres med minimum sikkerhetsnivå 3.
Autentisering for tilgang til og kommunikasjon av helseopplysninger i nasjonale løsninger
(for eksempel helsenorge.no) eller løsninger levert av helsepersonell (inklusive
timebestilling der pasient/bruker oppgir grunnen for bestilling av time og reseptfornying)
skal gjøres med personlig kvalifisert sertifikat eller en annen sikker autentiseringsløsning.
For løsninger til private formål (helsepersonell er ikke involvert) anbefales autentisering
med sikkerhetsnivå 3
Se også Normens Faktaark 14 og 49. ❖ Det anbefales sikkerhetsnivå 3 for innrapportering av helseopplysninger.
❖ Det anbefales sikkerhetsnivå 4 for tilgang til egne helseopplysninger.
Det anbefales å benytte ID-porten6 driftet av Direktoratet for Forvaltning og IKT (Difi). Ikke alle brukerne av velferdsteknologi har forutsetninger for å benytte sikkerhetsnivå 3 eller 4. Alternativ 2 – Brukernavn/passord og offentlig/privat nøkkel. Passord er noe brukeren må huske. Passordet kan ha svak styrke slik at den er lett å huske. Inntasting av brukernavn og passord kan erstattes i det daglige med biometri. Det benyttes en offentlig og privat nøkkel som kan genereres på utstyret. Den offentlige nøkkelen må deles med tjenesten ved oppsett. Den private nøkkelen brukes til å signere autoriseringsforespørsel sammen med brukernavn og passord. Tjenesten bruker den offentlige nøkkelen til å verifisere forespørselen. Nøkkelparet skal være forskjellige per bruker og utstyr. Alternativ 3 – Unik identifikator på utstyr Hvis alternativ 2 er uhensiktsmessig for brukeren/tjenesten er en tredje løsning personlig overlevering av utstyret. ❖ Det må registreres og loggføres nøyaktig hvilket utstyr som er utlevert og til hvem
Utstyret må ha en unik identifikator innenfor sitt domene, fortrinnsvis en universell unik identifikator (UUID). Eksempler på identifikatorer er:
• IMEI-nummer7 på mobiltelefoner og andre enheter
• Serienummer
• Andre maskinvareidentifikatorer, som MAC-adresse
6 http://eid.difi.no/nb/id-porten 7 International Mobile Equipment Identity
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 39 av 41
Identifikatoren skal benyttes som en del av kommunikasjonen inn til tjenesten. En kobling mellom utstyrs-identifikatoren og brukeren gjøres i systemet til tjenesteeier, for eksempel i en responssenterløsning.
Alt
ern
ativ
1
A
lter
nat
iv
2
Alt
ern
ativ
3
Nettleser mot portalløsning ✓ Smarttelefon/nettbrett med app ✓ ✓ ✓ Avansert maskinvare ✓ ✓ Enkel maskinvare ✓
Anbefaling – Nettleser Følgende autentiseringsmetoder anbefales: ❖ Alternativ 1 – Sikkerhetsnivå 3/4 (foretrukket)
For portalløsninger for kun innrapportering av helseopplysninger (ikke tilgang til egen helseinformasjon) kan det benyttes en løsning som vurderes som tilstrekkelig autentisering av brukeren ovenfor tjenesten. Anbefaling – Smarttelefon/nettbrett med app Følgende autentiseringsmetoder anbefales: ❖ Alternativ 1 – Sikkerhetsnivå 3/4 (foretrukket)
❖ Alternativ 2 – Brukernavn/passord og offentlig/privat nøkkel
❖ Alternativ 3 – Unik identifikator på utstyr
Gjentagende autentisering kan gjøres lettere for brukeren med biometri, for eksempel fingeravtrykksleser på smarttelefon/nettbrett. Anbefaling – Avansert maskinvare Følgende autentiseringsmetoder anbefales: ❖ Alternativ 2 – Brukernavn/passord og offentlig/privat nøkkel (foretrukket)
❖ Alternativ 3 – Unik identifikator på utstyr
Anbefaling – Enkel maskinvare Enkel maskinvare har få eller ingen innstillingsmuligheter og må konfigureres av tjenestetilbyder eller fra fabrikk. Følgende autentiseringsmetoder kan benyttes: ❖ Alternativ 3 – Unik identifikator på utstyr
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 40 av 41
Under følger en overordnet oversikt over klienters muligheter for autentisering
Ser
ien
um
mer
o.l.
Bru
kern
avn
/pas
sord
m
ed/u
ten
ser
tifi
kat
To
-fak
tor
niv
å 3
To
-fak
tor
niv
å 4
Nettleser mot portalløsning
Smarttelefon/nettbrett med app
Avansert maskinvare
Enkel maskinvare
8.2 Referanser
• Hjemmeside til Normen: Norm for informasjonssikkerhet i helse- og omsorgssektoren
• NOU 2011: 11 - Innovasjon i omsorg
• Fagrapport om implementering av velferdsteknologi i de kommunale helse- og omsorgstjenestene 2013-2030
• Helsedirektoratets nettsider om velferdsteknologi
• Veikart for tjenesteinnovasjon - velferdsteknologi
• Velferdsteknologiens ABC - opplæringspakke til virksomhetene
• Datatilsynet: Veileder for internkontroll og informasjonssikkerhet
• Kravspesifikasjon for PKI i offentlig sektor
• Faktaark 10 - Bruk av databehandler (ekstern driftsenhet)
• Faktaark 15 – Hendelsesregistrering og oppfølging
• Veileder med avtaleeksempler ved samarbeid om felles journal
• Veileder i bruk av skytjenester til behandling av helse- og personopplysninger
• Personopplysningsloven
• Helseregisterloven
• Helsepersonelloven
• Pasientjournalloven
• Forskrift om tilgang til helseopplysninger mellom virksomheter
Veileder for velferdsteknologi
Veileder ved bruk av velferdsteknologi Ver 2.0 side 41 av 41
8.3 Deltagere i referansegruppen
Følgende har deltatt i referansegruppen for versjon 2.0
Navn Virksomhet Espen Seland Direktoratet for e-Helse
Rune Vidar Bråten Direktoratet for e-Helse
Une Tangen KS
Egil Rasmussen KS
Anne Berit Fossberg Bærum kommune
Silje Bjerkås Grimstad kommune
Øyvind Høyland St. Olavs Hospital HF
Hallgeir Nisja Hemit
Marija Stanarevic Larvik kommune
Solrunn Hårstad Værnesregionen
Fiona Loan Bich Le Drammen kommune
Tonje Borch Helsedirektoratet (SBBH)
Christian Westli Tieto
Erlend Espeland Dignio
Stig Husby Checkware
Knut Henrik Andersen Normsekretariatet
Aasta Hetland Normsekretariatet
Jan Henriksen Normsekretariatet
Følgende har deltatt i referansegruppen for versjon 1.0 Navn Virksomhet Ingebjørg Riise Tromsø kommune
Ståle Sjaavaag Risør kommune
Terje Sætre Lindås kommune
Gro Løvik Lindås kommune
Pia Skobba Oslo kommune, Bydel St. Hanshaugen
Ulf Harry Evensen Fredrikstad kommune
Camilla Nervik Datatilsynet
Braar Larsen Datatilsynet
Kristine Brevik Helsedirektoratet / Velferdsteknologi-programmet
Gro Snortheimsmoen Bergfjord Pasient- og brukerombudene
Une Tangen KS
Kjersti Hillestad Hoff Helsedirektoratet
Trine Grøslie Stavn Helsedirektoratet
Roald Bergstrøm Helsedirektoratet
Astrid Nyeng Helsedirektoratet
Bjørn Unneland Norsk Helsenett
Silje Bjerkås Grimstad kommune
John A. Horve LMT Setesdal
Tor Ottersen Normsekretariatet
Knut Henrik Andersen Normsekretariatet
Hólmar Ørn Finnson Normsekretariatet
Jan Henriksen Normsekretariatet