Virksomheter som yter helse- og omsorgstjenester, tilbyr i større grad tjenester hjemme hos pasient/ bruker enn tidligere. I slike tjenester er det vanlig å bruke en eller annen form for skytjeneste. Dette kan skje på forskjellige måter.
Enten ved at pasient rapporterer data i form av skjemaer, eller ved å kombinere et medisinsk utstyr eller velferdsteknologi med en skytjeneste hvor data kan sendes direkte fra utstyret via eller til skytjenesten hvor kan lagres og/eller sendes over til dataansvarlig og lagres i et behandlingsrettet helseregister (f.eks. pasientjournal).
De generelle risikoområdene gjelder også her, men det i tillegg noen særlige risikoområder som bør belyses når virksomheten tilbyr medisinsk avstandsoppfølging (digital hjemmeoppfølging mv.):
- Det er utfordringer med sikker autentisering, særlig blant pasientgrupper med kognitiv svikt.
- Det er utfordringer knyttet stabil tilgang til internett og eller 4G/5G-nett.
- Leverandør pre-prosesserer og mellomlagrer data i skyen før data overføres til dataansvarlig. Det er viktig at databehandleravtalen dekker slike behandlinger, og særlig hvor flere underleverandører har tilgang til dataene.
- Det samles inn overskuddsinformasjon som ikke nødvendigvis er begrenset til det som er nødvendig for formålene de er samlet inn for. Disse kan bli liggende lagret i skytjenesten. Det er viktig med dekkende sletterutiner og eget behandlingsgrunnlag dersom overskuddsinformasjonen benyttes videre.
Overskuddsinformasjon (prinsippet om dataminimering): mengden innsamlede personopplysninger er større enn til det som er nødvendig for å realisere innsamlingsformålet. Dersom personopplysninger ikke er nødvendige for å oppnå formålet, skal man heller ikke samle dem inn. - Leverandør tilbyr i økende grad tilleggsfunksjonalitet til utstyret (f.eks. en egen brukerkonto med ytterligere informasjon og funksjonalitet til pasient/bruker). Det kan være tilfeller hvor tilleggsfunksjonalitet tilbys uten at dette er kjent eller avtalt mellom dataansvarlige virksomhet og leverandør.
Data som samles inn fra pasient/bruker som benyttes til andre formål enn det de samles inn for kan føre til utilsiktede hendelser som f.eks. utilsiktet utlevering dersom dataansvarlig ikke er kjent med praksisen. - Det vil ofte være en sikkerhetsrisiko knyttet til pasientens digitale enheter, for eksempel router, nettbrett, smarttelefon eller PC.
