Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

1. Om veilederen

Bakgrunn

Digitale tjenester flyttes i økende grad fra lokale driftende systemer og over i skybaserte tjenester. Driverne for dette er blant annet lavere kostnader for virksomhetene og enklere drift. Overgangen til skytjenester er også en villet utvikling, sett fra myndighetenes og virksomhetenes side.

Selv om skytjenester for mange virksomheter vil ha flere fordeler enn ulemper, er ikke bruk av skytjenester uten risiko. Når man ikke har full kontroll på hvor og hvordan virksomhetenes helse- og personopplysninger blir behandlet, blir det enda viktigere å gjøre gode vurderinger av informasjonssikkerhet, personvern og pasientsikkerhet.

Eksempler på områder, hvor bruk av skytjenester til helse- og personopplysninger er tatt i bruk, er:

  • Journalsystemer for primærhelsetjenesten (f.eks. legekontor, tannklinikk, psykolog mv.)
  • Velferdsteknologi, medisinsk utstyr og behandlingshjelpemidler
  • Medisinsk avstandsoppfølging
  • Mobilteknologi for å behandle helse- og personopplysninger
  • Nettsteder for å involvere pasienten i behandling
  • Ulike tjenester for spesialisthelsetjenesten

Tema for veilederen

Formålet med veilederen er å gi veiledning til etterlevelse av Normen ved bruk av skytjenester.

Markedet for skytjenester er i kontinuerlig utvikling. Det anbefales på denne bakgrunn at den enkelte følger med og holder seg oppdatert.

Målgruppe for veilederen 

Målgruppen for veilederen er virksomheter som omfattes av Normen og som gjør bruk (eller planlegger å gjøre bruk) av skytjenester.

Følgende roller vil ha nytte av veilederen i den praktiske hverdagen:

  • Virksomhetenes ledelse
  • Dataansvarlig
  • Leverandører/databehandler
  • IKT-ansvarlig
  • Sikkerhetsleder/sikkerhetskoordinator
  • Personvernombud
  • Bestiller / innkjøpsfunksjon
  • Systemeier. Dette vil ofte være en definert rolle og kan være en bestemt person, eller lagt til IT-avdelingen.
  • Forskningsansvarlig og prosjektleder forskning
  • Ansatte

Lov- og forskriftsbestemmelser, standarder og andre rammeverk 

Forskrift for ledelse og kvalitetsforbedring i helse- og omsorgstjenesten skal bidra til faglig forsvarlige helse- og omsorgstjenester, kvalitetsforbedring og pasient- og brukersikkerhet, og at øvrige krav i helse- og omsorgslovgivningen etterleves.

Dette skal blant annet gjøres ved at den som har det overordnede ansvaret for virksomheten skal sørge for at det etableres og gjennomføres systematisk styring av virksomhetens aktiviteter i tråd med forskriften, og at medarbeiderne i virksomheten medvirker til dette.

Styringssystemet skal tilpasses virksomhetens størrelse, egenart, aktiviteter og risikoforhold og ha det omfang som er nødvendig, og det beskrives en rekke relevante plikter i § 6-9 av denne forskriften.

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) beskriver virksomheters plikter ved behandling av helseopplysninger, og § 23 Internkontroll beskriver at dataansvarlige skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med lovgivningen, og at tiltakene skal dokumenteres og være tilgjengelig både for medarbeidere og tilsynsmyndighetene.

Det er flere bestemmelser fra lov om behandling av personopplysninger (personopplysningsloven) som er relevante for kravene som dekkes av denne veilederen. Loven gjennomfører personvernforordningen (GDPR) i Norge.

Et av personvernprinsippene som beskrives i forordningens artikkel 5 er at den dataansvarlige er ansvarlig for og skal kunne påvise at virksomheten behandler opplysninger i samsvar med de andre prinsippene. For mer veiledning, se Normens faktaark om personvernprinsippene.

Personvernforordningen artikkel 32 fremhever at virksomheten skal ta hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad, for å gjennomføre egnede tekniske og organisatoriske tiltak.

Videre beskrives at ved vurderingen av egnet sikkerhetsnivå skal det særlig tas hensyn til omstendighetene og risikoene forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke-autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet. Se også pasientjournalloven § 22 og helseregisterloven § 21 om informasjonssikkerhet.

Forordningens artikkel 24 beskriver dataansvarliges ansvar. Artikkelen fremhever at virksomheten skal ta hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad, for å gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen av personopplysninger utføres i samsvar med kravene i forordningen.

Dersom skytjenestene inngår som (en del av) grunnleggende nasjonale funksjoner, må virksomheten blant annet følge sikkerhetslovens krav til sikkerhetsgraderte anskaffelser (kap. 9), forebyggende sikkerhetsarbeid (kap. 4) og informasjonssikkerhet (kap. 5), ref. Lov om nasjonal sikkerhet (sikkerhetsloven) (lovdata.no)

For mer informasjon om etterlevelsen av sikkerhetsloven, henvises det til Nasjonal sikkerhetsmyndighet.

Det europeiske personvernrådet (EDPB) har veiledning om temaer offentlig sektor må følge opp ved bruk av skytjenester (edbp.europa.no)

Se for øvrig samlet oversikt over alle Normens krav og lovhjemmel for disse.

Avgrensninger

Veilederen gir praktisk hjelp innenfor områdene:

  • Fastsette ansvar, inngå avtaler, ivareta kontroll og vurdere risiko
  • Belyse fordeler ved teknologien
  • Synliggjøre trusler og behov for kontroll
  • Ivaretakelse av pasientens rettigheter etter helselovgivningen og personvernforordningen
  • Eksempler på risikoområder som det er naturlig å belyse
  • Etabler databehandleravtale
  • Behandling av helse- og personopplysninger under Normens virkeområde

Veilederen dekker ikke, eller i liten grad:

  • Alminnelig bruk av Internett
  • Generell bruk av skytjenester uten personopplysninger
  • Konkrete produkter og tjenester som defineres som skytjenester
  • Den forretningsmessige siden ved valg av leverandør og kontrakter
  • Økonomiske sider ved skytjenester
  • Sikring av annen informasjon som er viktig for virksomheten. F.eks. virksomhetskritisk informasjon, økonomisk informasjon, mv.
  • Forholdet til arkivlovens regler om overføring til utlandet er ikke berørt

Om veilederen 

Denne veilederen er et støttedokument under Normen, som forvaltes av styringsgruppen for Normen. Gjeldende versjon av Normen bygger på lov og forskrift og er à jour i forhold til gjeldende rett. Dette innebærer at Normen er kvalitetssikret mot gjeldende lovkrav.

Normen gjelder for enhver virksomhet som ved avtale har forpliktet seg til å følge den (jf. Normens kapittel 1.3). For virksomheter uten en slik avtale vil Normen være veiledende.

Normen gjelder fullt ut for alle som har avtale, uavhengig av hvor tjenesten driftes og med hvilken leverandør.

Veilederen har ikke som mål å gi veiledning i valg mellom ulike skytjenester. Ut fra dette vil veilederen ikke peke på konkrete kommersielt tilgjengelige skytjenester, annet enn som eksempler.

Leseveiledning

Figuren nedenfor gir veiledning til hvor i veilederen leseren kan finne krav og forslag til løsning i en tenkt prosess fra beslutning om bruk, til daglig drift og ved eventuell avvikling. 

Flytskjema skyveileder.jpg
Normen

Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 08. juni 2023