Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

3. Risiko og personvernkonsekvenser

All behandling av helse- og personopplysninger skal risikovurderes. Det er risikovurderingen som ligger til grunn for alle de videre vurderingene og beslutningene; blant annet om man vil ta i bruk en løsning, hvordan behandlingen av opplysningene skal foregå, hvilke tiltak som skal iverksettes, teknisk oppsett av teknologien, hvordan teknologien ivaretar personvernet og informasjonssikkerheten osv.

Alle løsninger som behandler helse- og personopplysninger gjennom video, lyd og bilde skal ha egnede tekniske og organisatoriske sikkerhetstiltak for å hindre brudd på sikkerheten. Brudd defineres som utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger.

Valg av egnede sikkerhetstiltak skal gjøres på bakgrunn av omfang og kategorier av opplysningene, pasientsikkerhet, aktuelt risikobilde mv. Tiltakene skal velges basert på risikovurderinger, og være forholdsmessige ut fra identifisert risiko.

Det er hensiktsmessig å benytte virksomhetens egen mal for risikovurdering, slik at man har mulighet til å aggregere opp ulike typer risiko for virksomhetens ledelse. Se ellers Normens veileder om risikostyring i informasjonssikkerhet og personvern 

Ved behandling av helse- og personopplysninger vil det også være krav om å vurdere potensielle personvernkonsekvenser den gitte behandlingen kan få. Implementering av nye videoløsninger, eller bruk av videoløsninger på en ny måte, er et typisk eksempel på en behandling som bør gjennomgå en vurdering av personvernkonsekvenser (ofte kalt DPIA).

En vurdering av personvernkonsekvenser (ofte kalt DPIA) er en prosess som skal beskrive behandlingen av personopplysninger, og vurdere om den er nødvendig og proporsjonal.

Det vil si at virksomheten skal vurdere om de må behandle personopplysninger for å oppfylle et gitt formål, om de benytter flere personopplysninger enn det de strengt tatt trenger, og om det inngrepet i den enkeltes personvern står i forhold til formålet.

Den skal også bidra til å håndtere de risikoene behandlingen medfører for enkeltpersoners rettigheter og friheter ved å vurdere dem og komme frem til risikoreduserende tiltak. En DPIA vil ofte bygge på de vurderingene som er gjort i en risikovurdering av informasjonssikkerheten.

Det finnes mange gode maler for personvernkonsekvensutredninger (DPIA), feks. mal for DPIA  

I arbeidet med både risikovurderinger og vurderinger av personvernkonsekvenser er det viktig å ha med ulike typer kompetanse: helsepersonell, juridisk, personvern, informasjonssikkerhet, drift, anskaffelse m.m.

Særlig ved vurderinger knyttet til ny bruk av teknologi, krever at man har tilstrekkelig forståelse for hvordan løsningen fungerer i praksis.

Noen eksempler på scenarioer det kan være aktuelt å risikovurdere:

  1. Bruk av video, lyd og bilde skjer i virksomheten uten lovlig rettsgrunnlag fordi opptak brukes til andre formål enn opprinnelig bestemt (formålsutglidning)
  2. Leverandør behandler personopplysninger uten at det er inngått databehandleravtale
  3. Video-, lyd- og bildeopptak lar seg ikke slette som fastsatt fordi virksomheten ikke har kontroll / oversikt over lagringsmedier
  4. Pasient / brukers innsynsrett lar seg ikke oppfylle fordi virksomheten ikke har kontroll / oversikt over lagringsmedier
  5. Pasient / bruker ser video, lyd og bilde om en annen pasient på PC/visningsutstyr (som er plassert slik at innsyn er mulig)
  6. Pasient / bruker ser video-, lyd- og bildeopptak om en annen pasient fordi opptak av flere pasienter er lagret på samme lagringsenhet
  7. Video-, lyd- og bildefiler redigeres / endres uten autorisering og/ eller logging
  8. Video-, lyd- og bildefiler blir låst og / eller utilgjengelig pga. teknisk feil
  9. Utstyr med video-, lyd- og bildeopptak (bærbar pc, kamera og minnekort, andre lagringsmedier) mistes, stjeles eller går tapt på annen måte
  10. Besøkende (pasient eller andre)  tar med seg lagringsenhet med video-, lyd- og bildeopptak
  11. Lagringsenhet med video-, lyd- og bildeopptak blir ikke slettet forsvarlig før avhending.
  12. Utstyr med video-, lyd- og bildeopptak brukes privat av virksomhetens ansatte
  13. Ansatt sender ukryptert video-, lyd- og bildeopptak via e-post
  14. Video-, lyd- og bildeopptak av pasienter og brukere lagres i usikre skybaserte tjenester som f.eks. dropboks eller filarkiv på internett
  15. Ansatte har ikke fått opplæring i hvordan bruk av video, lyd og bilde skal skje i henhold til prosedyrer i virksomheten
  16. Nettverk og PC/arbeidsstasjoner  for bruk av video, lyd og bilde blir angrepet av datavirus  eller ondsinnet kode
  17. Stans i server med video-, lyd- og bildeopptak pga. tekniske problemer
  18. Manglende tilgangskontroll til utstyr eller lagringsområde med video-, lyd- og bildeopptak (personell uten tjenstlig behov har tilgang)
  19. Oversikt over tildelte autorisasjoner for tilgang til video, lyd og bilde oppbevares mindre enn 5 år
  20. Ansatt som slutter blir ikke fjernet som bruker i system med tilgang til video, lyd og bilde
  21. Ikke autorisert bruk og forsøk på uautorisert bruk registreres ikke som sikkerhetshendelser
  22. Bygget hvor virksomheten holder til er utilgjengelig pga. brann, naturskade mv., og server med video-, lyd- og bildeopptak og sikkerhetskopier (backup) er midlertidig utilgjengelig eller går tapt (dersom fysisk lagring hos virksomheten)

Listen med eksempler er ikke uttømmende og må sees på som et utgangspunkt for virksomhetens risikovurderinger.

Særlig om risiko ved bruk av lyd og bilde

Risikoen som beskrives for bruk av video vil være gjeldende også for bruk av kun lyd og/eller kun bilde. Det er imidlertid noen temaer som bør fremheves særlig for disse mediene.

Lyd benyttes i stor grad blant annet ved føring av direktetekst inn i behandlingsrettede helseregistre, gjennom talegjenkjennings-apparater som transkriberer helsepersonellets tale.

Dette kan være en risiko for den delen av informasjonssikkerheten som kalles integritet. Virksomheten kan risikere at opplysningene som havner i registeret ikke stemmer med det helsepersonellet har forsøkt å lese inn.

Velferdsteknologiske hjelpemidler øker stadig i utbredelse, og flere av disse benytter lydovervåkning for å hjelpe pasienter/ brukere både på institusjon og i hjemmet. Dette kan også føre til utfordringer for privatlivet, da pasienter/ brukeres lyd kan monitoreres til enhver tid. 

Helsetjenesten opplever i stadig større grad å motta henvendelser knyttet til innsyn i og/eller utlevering av lydlogger.

Dette kan være for eksempel fra pasienter/pårørende som søker større forståelse av hva som skjedde i en akuttsituasjon, eller fra pasienter som skal delta i TV-produksjoner eller podkaster og ønsker et rikere kildetilfang i denne forbindelse.

Dette introduserer blant annet risiko for personvernet til helsepersonell som er omfattet av en slik lydlogg, og eventuelle tredjeparter som deltar og/eller omtales.

Dette vil særlig gjelde ved videre bruk og publisering, og det er sentralt at de(n) registrerte får tilstrekkelig informasjon som er egnet til å skape en forståelse for eventuelle (personvern)konsekvenser slik publisering kan innebære.

Akuttmedisinforskriften (regjeringen.no) fastslår at AMK- og legevaktsentralers lydopptak er å anse som en del av pasientens journal, og skal behandles deretter. Det skal derfor gis innsyn i lydfiler som i andre deler av en pasients journal.

Lydopptak gir imidlertid ikke nødvendigvis et fullstendig bilde av hendelsesforløpet, og innsyn bør ifølge forskriften som hovedregel gis i form av adgang til å lytte til lydopptaket sammen med helsepersonell for å supplere lydopptaket, eksempelvis for å forklare ord og uttrykk som er benyttet eller for å gi annen utfyllende og relevant informasjon. Innsyn kan også gis som utskrift av lydopptaket.

Det har imidlertid vært diskutert hvorvidt man plikter å utgi en kopi av lydlogger, dersom det er ønsket av en av partene på opptaket.

Det skal tas utgangspunkt i forsvarlig saksbehandling, samtidig som Helse- og omsorgsdepartementet har pekt på at særlig lydlogger fra AMK-sentral er av en annen karakter enn alminnelige saksdokumenter. Dialogen kan blant annet være preget av akutte og vanskelige situasjoner, med flere involverte aktører.

Det må med andre ord vurderes i det enkelte tilfelle hvorvidt en lydlogg kan utleveres, både med tanke på den registrertes rettigheter og personvernet til eventuelle andre som deltar og/eller omtales i selve loggen. Mer om dette finnes i blant annet i tolkningsuttalelse til offentleglova fra Justis- og beredskapsdepartementet (regjeringen.no).

Bilder kan brukes i mange sammenhenger i helse- og omsorgssektoren, og det vil derfor også være tilfeller der man for eksempel sender bilder gjennom portaler for pasientkommunikasjon. Mer om digital pasientkommunikasjon finnes i egen veileder.

Ved bruk av bilder er det høyere risiko for brudd på konfidensialiteten. Det er lett å be om, sende, videresende, og feilsende et bilde enn større produkter som video. Å ta et bilde er umiddelbart, og det samme gjelder delingen av det.

Dette øker risiko for menneskelig feil, og at helse- og personopplysninger kommer på avveier. Dette krever også gode rutiner og kompetanse for helsepersonell som skal behandle bilder innenfor personvernregelverket.

Normen

Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 04. februar 2021