Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

4. Risiko ved bruk i ytelse av helsehjelp

 

Eksempler på videokonsultasjon:

  • planlagte møter mellom pasient og helsepersonell
  • tverrfaglige møter uten at pasienten er til stede
  • pasienten er hos (sammen med) annet helsepersonell: fastlege, fysioterapeut, hjemmesykepleier, i annen institusjon, etc.
  • flerpartskonsultasjon med grupper for terapi, trening e.l. med en behandler og flere pasienter til stede
  • kommunikasjon/konsultasjon/oppfølging mellom pleie- og omsorgstjenesten i kommunen og pasient/bruker i eget hjem
  • flerpartskonsultasjon mellom for eksempel spesialist på sykehus, fastlege og pasient hjemme
  • tolketjeneste hvor pasient, helsepersonell og tolk deltar
  • opplæring av pasient
  • legevisitt
  • sanntidsoverføring fra skadested (for eksempel fra ambulanse) til helsepersonell ved sykehus


Det finnes ulike måter å benytte video, lyd og bilde i ytelse av helsehjelp, herunder gjennomføring av legevisitt, oppfølging mellom kommunalt helsepersonell og pasient/bruker i eget hjem, tverrfaglige møter uten pasienten, overføringer fra skadested til sykehus, mv. Dette kan gjøres med kun video, lyd eller bilde, eller som en kombinasjon av de ulike formene for kommunikasjon.

I forbindelse med koronaepidemien i 2020 økte bruken av særlig videokonsultasjoner i helse- og omsorgssektoren betraktelig. Videokonsultasjon er ytelse av helsehjelp med videooverføring hvor pasienten enten er til stede i videokonsultasjon eller omtales med identifiserende opplysninger.

Videokonsultasjon kan gjennomføres ved at pasienten enten bruker virksomhetens utstyr eller sitt eget private utstyr. Risikoene og tiltakene blir da forskjellige. Dette er viktige momenter i vurderingen, bl.a. med tanke på sikring og autentisering av utstyret.

For oppstartshjelp innen video har Nasjonalt velferdsteknologiprogram utarbeidet en kvikk-guide for videokommunikasjon i helse- og omsorgstjenesten (ks.no), som er basert på erfaringer fra en rekke kommuner med ulik menge erfaring med bruk av video i sektoren.

Det finnes imidlertid annen bruk av video enn den forhåndsplanlagte videokonsultasjonen mellom helsepersonell og pasient/bruker. Det kan blant annet være konsultasjoner mellom helsepersonell, for eksempel mellom personell på skadested og sykehus.

Mens det i en slik situasjon vil være "krise", er det sentralt at risikovurderingene som er gjort i forkant tar høyde for det som i realiteten er normalsituasjonen for blant annet ambulerende tjenester. Man må ha en plan for det uforutsette – fra tekniske konfigurasjoner til ekstremvær i felt. Dette fører til at betraktninger rundt redundans vil være hent sentrale.

Virksomheten må vite hva man skal gjøre dersom det oppstår en akuttsituasjon og helsepersonellet må bruke video for å yte helsehjelp.

Tabellen nedenfor viser noen av Normens krav og mulig løsning for hvordan kravene kan ivaretas ved bruk av videokonsultasjon for å yte helsehjelp. Disse gjelder i tillegg til de generelle kravene som er beskrevet i tidligere kapitler.

Virksomheten er ansvarlig for (krav fra Normen)

Utdypning av krav og mulige løsninger

Sikre lovlig behandling

 

Se mer i Normen kap. 4.1

Samtykke er rettsgrunnlaget for ytelse av helse- og omsorgstjenester. Ved videokonsultasjon vil det ofte være et implisitt samtykke at pasienten ønsker å få helsehjelp da hun tar i bruk løsningen og deltar i konsultasjonen.

Helselovgivningen gir behandlingsgrunnlag for behandling av de opplysningene som er relevant og nødvendig for ytelse av helsehjelp via videokonsultasjon. Det er derfor ikke nødvendig med et eget samtykke for behandling av personopplysninger når videokonsultasjon brukes til å yte helsehjelp.

Dokumentasjonsplikten gjelder.

Informasjon til pasient om bruk av videokonsultasjon der pasient er involvert

Se mer i Normen kap. 4.2.2

  1. Før videokonsultasjon starter skal pasienten få informasjon om videokonsultasjon og behandling av helse- og personopplysninger i videokonsultasjon.
  2. Informasjon kan gis muntlig eller skriftlig

 

Entydig identifisering av pasienten/brukeren/ helsepersonell (Autentisering)

 

Se mer i Normen kap. 5.2

 

  1. Det skal gjennomføres risikovurdering som blant annet viser at pasienten/ brukeren identifiseres entydig.
  2. Ved første gangs videokonsultasjon med ukjent pasient skal pasient/innbyggeren entydig identifiseres.
  • Et løsningsalternativ er bruk av personlige kvalifiserte sertifikater med for eksempel pålogging tilsvarende Bank-ID eller mekanismer i ID-porten. Bruk av personlig kvalifisert sertifikat sikrer at autentiseringskriteria tildeles på en betryggende måte.
  • Dette kan også ivaretas ved at deltagerne viser gyldig legitimasjon.
  1. Er pasienten kjent for helsepersonellet, vil video av pasienten kunne oppfylle kravet om entydig identifisering. Risikovurderingen skal dokumentere dette.
  2. Helsepersonell skal autentiseres på en sikker måte. Risikovurderingen skal fastsette hva som er sikker måte.
  3. I tilfeller der det er umulig å sikre entydig identifikasjon, f.eks. ved kognitiv svikt hos pasient, kan et alternativ være å sikre entydig identifisering av utstyret.

 

Logging av hvem som har hatt tilgang til eller fått utlevert helseopplysninger

Se mer i Normen kap. 5.4.4

  1. Videokonsultasjon skal følge samme dokumentasjonsplikt som ordinære konsultasjoner
  2. Videokonsultasjon mellom pasient og helsepersonell skal logges.
  3. Hvis videokonsultasjon ikke har funksjonalitet for automatisert logg, skal helsepersonellet manuelt logge at det er gjennomført videokonsultasjon med pasient ved nedtegnelse i pasientens journal.

Ivareta taushetsplikten

 

Se mer i Normen kap. 4.2.1

  1. På samme måte som ved fysisk oppmøte, vil helsepersonellovens regler om taushetsplikt være styrende for selve samtalen og behandling av informasjon som fremkommer.
  2. Virksomheten må ha rutiner som ivaretar taushetsplikten ved videokonsultasjon.
  • Hvis man f.eks. skal utføre en videokonsultasjon hjemmefra må det vurderes hvordan man skal overholde taushetsplikten. Eks. sitte i et rom som er avskjermet fra innsyn fra familie/tredjeparter, skjerming av lyd osv.
  1. Virksomheten må ha en teknisk løsning og/eller rutine som sikrer at kun godkjente deltagere deltar i videokonsultasjon.
  2. Det må være synlig hvem som til enhver tid deltar i samtalen.
  3. Deltar flere pasienter skal alle pasientene få informasjon om dette.

 

Lagring av samtaler og data om samtaler, samt deling av dette

  1. Innhold fra samtalene skal ikke lagres i videoløsningen, med mindre videoløsningen er/er en del av et behandlingsrettet helseregister.
  2. Virksomheten må sikre at leverandøren av videoløsningen ikke deler data om samtalene (samtaleparter, varighet osv.)  med tredjeparter.

 

Personvernrettigheter

Se mer i Normen kap. 4.2

  1. Virksomheten skal sikre at videoløsningen ivaretar partenes personvernrettigheter på en enkel og god måte.
  2. Løsningen skal ikke forutsette at det gis tilgang til andres personopplysninger fra samtalepartenes utstyr  - f.eks. dersom man får full tilgang til kontakter i hverandres kontaktlister.

 

For å illustrere hvordan en virksomhet som skal benytte videokonsultasjoner bør tenke med hensyn til risiko, benytter denne veilederen eksempelet om det fiktive Normland legesenter.

Normland legesenter skal begynne å bruke videokonsultasjon, for å kunne bistå med helsehjelp til sine pasienter uten at de må møte fysisk på legekontoret.

Legesenteret må velge en leverandør, og er usikre på hvordan de går frem. Det er Normland som behandler som har ansvaret for at leverandøren de velger tilfredsstiller kravene til personvern og informasjonssikkerhet.

Normland er usikre på hvordan dette skal vurderes. De ser at Direktoratet for e-helse anbefaler å bruke en videoløsning som allerede er i bruk i helsetjenesten, og benytter oversikten over disse på direktoratets nettsider som utgangspunkt.

Før Normland legesenter velger og implementerer en løsning for videokonsultasjon, må det gjennomføres en risikovurdering. Både informasjonssikkerheten i løsningen og rutinene/arbeidsprosessene legesenteret planlegger å etablere for å behandle helse- og personopplysningene på en måte som tilfredsstiller kravene i Normen må risikovurderes.

Normland legesenter synes dette er vanskelig, og ber derfor leverandøren om bistand til risikovurderingen. De ber om å få oversendt leverandørens egne risikovurderinger og annen dokumentasjon, og ber leverandøren om å fylle ut Normens vedlegg med oversikt over Normens krav.

Dette er et godt utgangspunkt for å skape en tilstrekkelig forståelse for hvilken risiko den nye løsningen representerer for legesenteret, og hvilke rutiner som må implementeres.

Sentrale temaer/ scenarioer for en risikovurdering av denne praksisen vil være:

  1. Uautorisert utlevering av helseopplysninger:

    Pasient er ikke alene ved bruk av videokonsultasjon (pårørende, hjemmesykepleien, NAV, andre), med mindre pasienten selv ønsker det
    Flere helsepersonell er til stede, men pasient vet ikke det / ser ikke det
    Uvedkommende utenfor rommet ser eller overhører konsultasjonen
    Uvedkommende kommer inn i rommet under konsultasjonen
    Pasient tror videokonsultasjon er avsluttet/nedkoplet, noe den ikke er
  2. Videokonsultasjon tas opp og spres til utenforstående
  3. Uønsket spredning av videokonsultasjon pga. ondsinnet programvare (virus o.l.) på pasientens private PC/nettbrett/mobiltelefon
  4. Kommunikasjonen i videokonsultasjon avlyttes
  5. Krypteringen brytes underveis i utstyr virksomheten ikke har kontroll med
  6. En av partene ringer opp feil utstyr/enhet og det utveksles personopplysninger
  7. Feiltolkning av innhold i videokonsultasjon. Dårlig linje, liten båndbredde, varierende stabilitet i Internett, dårlig bilde, dårlig eller manglende lyd
  8. Videokonsultasjon kan ikke startes (kobles opp) som planlagt. Feil på utstyr hos en av partene. Feil i datanettet. Utstyr er fjernet
  9. Stans i videokonsultasjon under bruk
  10. Autentiseringskriteria tildeles uautoriserte
  11. Pasient er ikke entydig autentisert
  12. Helsepersonell er ikke autentisert på en sikker måte
  13. Uautoriserte kobler seg til virtuelle møterom
  14. Medarbeidere hos leverandøren får tilgang til helse- og personopplysninger.
  15. Leverandøren mellomlagrer video med lyd i sin løsning uten av Normens krav er
  16. Leverandøren er plassert utenfor EU/EØS
  17. Ved skjermdeling viser helsepersonell ved feiltagelse sensitiv informasjon om annen pasient
  18. Pasient tar opp samtalen uten tillatelse

Listen er ikke uttømmende, men er ment som en oversikt over mulige temaer.

Normen

Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 04. februar 2021