2. Sentrale krav i Normen

Tillitsforholdet mellom pasienten/brukeren og helse- og omsorgstjenesten er avgjørende for å opprettholde den åpne kontakten som ofte er nødvendig for å kunne yte gode tjenester. Dette betyr at pasienten/brukeren må kunne ha tillit til at opplysningene behandles på en slik måte at personvernet blir godt ivaretatt.

Bruk av video, lyd og bilde kan skille seg fra muntlig og skriftlig informasjonsinnhenting ved at disse mediene kan frembringe mer (sensitiv) informasjon om den enkelte.

Et videokamera vil kunne fange opp informasjon om pasienten/brukeren som ikke på samme måte vil oppfattes ved kun muntlig kommunikasjon, blant annet ved at det vil kunne utledes informasjon om omgivelser, kroppsbevegelser og ansiktsuttrykk.

Slik vil denne teknologien kunne gi mer informasjon enn hva formålet skulle tilsi og i mange tilfeller kunne anses som mer inngripende.

Hvor sensitiv informasjonen som fremkommer på video, lyd og bilder er, samt hvor inngripende bruken anses for å være, vil kunne variere svært ut fra den konkrete situasjon pasienten/brukeren er i, og ut fra hvilke type medier som brukes.

Helsepersonell og andre ansatte i helse- og omsorgssektoren vil også kunne få sitt personvern utfordret ved bruk av video, lyd og bilde.

Tabellen som følger gir en oversikt over sentrale krav fra Normen for bruk av video, lyd og bilde, og hvordan disse kravene kan oppfylles i praksis. Merk at disse vil være relevante for alle typer bruk av video, lyd og bilde som beskrives i denne veilederen, og at de ulike spesifikke kapitlene som følger fra kapittel fire vil være et tillegg til disse felleskravene.

Virksomheten er ansvarlig for (krav fra Normen)	Utdypning av krav og mulige løsninger
Sikre lovlig behandling Se mer i Normen kap. 4.1	Personopplysninger kan bare behandles når lovgivningen tillater det, som betyr at all behandling av personopplysninger skal ha et lovlig grunnlag. I personvernforordningen kalles dette et behandlingsgrunnlag. Det lovlige grunnlaget kan finnes i andre lover enn personvernforordningen.
Informasjon til pasient om bruk av video, lyd og bilde Se mer i Normen kap. 4.2.2	Virksomhetene har plikt til å behandle personopplysninger på en åpen måte, også når det gjelder behandling gjennom video, lyd og bilde. Dette innebærer at de må gi kort og forståelig informasjon om hvordan de behandler personopplysningene. Informasjon kan gis muntlig eller skriftlig.
Entydig identifisering av pasienten/brukeren/ helsepersonell (Autentisering) Se mer i Normen kap. 5.2	Det skal gjennomføres risikovurdering som blant annet viser at pasienten/ brukeren identifiseres entydig. Ved første gangs videokonsultasjon med ukjent pasient skal pasient/innbyggeren entydig identifiseres. Et løsningsalternativ er bruk av personlige kvalifiserte sertifikater med for eksempel pålogging tilsvarende Bank-ID eller mekanismer i ID-porten. Bruk av personlig kvalifisert sertifikat sikrer at autentiseringskriteria tildeles på en betryggende måte. Dette kan også ivaretas ved at deltagerne viser gyldig legitimasjon. Er pasienten kjent for helsepersonellet, vil video av pasienten kunne oppfylle kravet om entydig identifisering. Risikovurderingen skal dokumentere dette. Helsepersonell skal autentiseres på en sikker måte. Risikovurderingen skal fastsette hva som er sikker måte. I tilfeller der det er umulig å sikre entydig identifikasjon, f.eks. ved kognitiv svikt hos pasient, kan et alternativ være å sikre entydig identifisering av utstyret.
Entydig identifisering av eventuelt utstyr levert av virksomheten (Autentisering) Se mer i Normen kap. 5.2	For utstyr levert av virksomheten er utgangspunktet at løsningene er installert og konfigurert med faste kommunikasjonspunkter som kan være behandlingsrom eller hjemmet til pasienten. Om risikovurderingen konkluderer med at det er behov for autentisering av utstyret på en sikker måte, kan det gjøres med for eksempel: MAC-adresse, IMEI-nummer eller bruk av offentlig og privat nøkler som genereres på utstyret. Den offentlige nøkkelen må deles med tjenesten ved oppsett. Nøkkelparet er ulikt for hver løsning i virksomheten. Nettverksautentisering basert på for eksempel sertifikater Tildeling av slike autentiseringskriterier skal gjøres på en betryggende måte som vil si etter fastsatte prosedyrer.
Kryptering av kommunikasjon Se mer i Normen kap. 5.3.5	All kommunikasjon utenfor virksomhetens kontroll, skal krypteres. Se for eksempel dokumentet Cryptographic Requirement (nsm.no) og Level Moderate på NSMs nettsider. All kryptering og dekryptering mellom kommunikasjonspunkter i infrastrukturen skal gjøres i godkjent utstyr virksomheten har kontroll med. Hvis det benyttes leverandør til dette skal det sikres at databehandleravtalen dekker leverandørens behandling av personopplysninger.
Logging av hvem som har hatt tilgang til eller fått utlevert helseopplysninger Se mer i Normen kap. 5.4.4	Dokumentasjonsplikten gjelder også ved bruk av video, lyd og bilde i helse- og omsorgssektoren. Det skal logges hvem som har hatt tilgang til video-, lyd- og bildefiler. Dersom ikke loggingen kan skje automatisk skal det gjennomføres manuell loggføring, for eksempel ved å nedtegne i pasientjournalen.
Ivareta taushetsplikten Se mer i Normen kap. 4.2.1	Helsepersonellovens regler om taushetsplikt være styrende også for informasjon som fremkommer gjennom bruk av video, lyd og bilde. Virksomheten må ha rutiner som ivaretar taushetsplikten ved bruk av video, lyd og bilde.
Lagring og deling av video, lyd og bilde	Virksomheten må ha et bevisst forhold til eventuell lagring og deling av video, lyd og bilde, og skille tydelig mellom hvilken bruk som er "live" og hva som skal lagres. Lagring og deling skal følge de generelle reglene for behandling av personopplysninger, og må følge av formål og behandlingsgrunnlag. Dersom video, lyd og bilde brukes som del av behandlingsrettet helseregister (som journal), skal lagring skje etter til enhver tid gjeldende regler for behandlingsrettede helseregistre.
Personvernrettigheter Se mer i Normen kap. 4.2	Virksomheten skal sikre at løsninger for bruk av video, lyd og bilde ivaretar partenes personvernrettigheter på en enkel og god måte. Pasienter/brukere skal forstå hva de er med på, og hvilke rettigheter de dette innebærer.
Innebygget personvern	Løsninger for bruk av video, lyd og bilde skal oppfylle personvernforordningens krav til innebygd personvern. I de tilfellene det krever en spesiell konfigurasjon for å ivareta sikkerhet, personvern og taushetsplikten på best mulig måte må det tydelig fremgå, både til helsepersonell og pasient/bruker, hvilke innstillinger som skal velges Leverandør bør kunne bistå med dette.
Leverandør av løsninger for video, lyd og bilde	Leverandør av løsninger for video, lyd og bilde som behandler personopplysninger skal forplikte seg til å etterleve kravene i personvernforordningen, som databehandler eller behandlingsansvarlig. Er leverandøren databehandler skal databehandleravtale inngås.

Virksomheten er ansvarlig for (krav fra Normen)

Utdypning av krav og mulige løsninger

Sikre lovlig behandling

Se mer i Normen kap. 4.1

Personopplysninger kan bare behandles når lovgivningen tillater det, som betyr at all behandling av personopplysninger skal ha et lovlig grunnlag. I personvernforordningen kalles dette et behandlingsgrunnlag.

Det lovlige grunnlaget kan finnes i andre lover enn personvernforordningen.

Informasjon til pasient om bruk av video, lyd og bilde

Se mer i Normen kap. 4.2.2

Virksomhetene har plikt til å behandle personopplysninger på en åpen måte, også når det gjelder behandling gjennom video, lyd og bilde. Dette innebærer at de må gi kort og forståelig informasjon om hvordan de behandler personopplysningene.

Informasjon kan gis muntlig eller skriftlig.

Entydig identifisering av pasienten/brukeren/ helsepersonell

(Autentisering)

Se mer i Normen kap. 5.2

Det skal gjennomføres risikovurdering som blant annet viser at pasienten/ brukeren identifiseres entydig.

Ved første gangs videokonsultasjon med ukjent pasient skal pasient/innbyggeren entydig identifiseres.

Et løsningsalternativ er bruk av personlige kvalifiserte sertifikater med for eksempel pålogging tilsvarende Bank-ID eller mekanismer i ID-porten. Bruk av personlig kvalifisert sertifikat sikrer at autentiseringskriteria tildeles på en betryggende måte.

Dette kan også ivaretas ved at deltagerne viser gyldig legitimasjon.

Er pasienten kjent for helsepersonellet, vil video av pasienten kunne oppfylle kravet om entydig identifisering. Risikovurderingen skal dokumentere dette.

Helsepersonell skal autentiseres på en sikker måte. Risikovurderingen skal fastsette hva som er sikker måte.

I tilfeller der det er umulig å sikre entydig identifikasjon, f.eks. ved kognitiv svikt hos pasient, kan et alternativ være å sikre entydig identifisering av utstyret.

Entydig identifisering av eventuelt utstyr levert av virksomheten

(Autentisering)

Se mer i Normen kap. 5.2

For utstyr levert av virksomheten er utgangspunktet at løsningene er installert og konfigurert med faste kommunikasjonspunkter som kan være behandlingsrom eller hjemmet til pasienten.

Om risikovurderingen konkluderer med at det er behov for autentisering av utstyret på en sikker måte, kan det gjøres med for eksempel:

MAC-adresse, IMEI-nummer eller bruk av offentlig og privat nøkler som genereres på utstyret. Den offentlige nøkkelen må deles med tjenesten ved oppsett. Nøkkelparet er ulikt for hver løsning i virksomheten.

Nettverksautentisering basert på for eksempel sertifikater

Tildeling av slike autentiseringskriterier skal gjøres på en betryggende måte som vil si etter fastsatte prosedyrer.

Kryptering av kommunikasjon

Se mer i Normen kap. 5.3.5

All kommunikasjon utenfor virksomhetens kontroll, skal krypteres. Se for eksempel dokumentet Cryptographic Requirement (nsm.no) og Level Moderate på NSMs nettsider.

All kryptering og dekryptering mellom kommunikasjonspunkter i infrastrukturen skal gjøres i godkjent utstyr virksomheten har kontroll med. Hvis det benyttes leverandør til dette skal det sikres at databehandleravtalen dekker leverandørens behandling av personopplysninger.

Logging av hvem som har hatt tilgang til eller fått utlevert helseopplysninger

Se mer i Normen kap. 5.4.4

Dokumentasjonsplikten gjelder også ved bruk av video, lyd og bilde i helse- og omsorgssektoren.

Det skal logges hvem som har hatt tilgang til video-, lyd- og bildefiler.

Dersom ikke loggingen kan skje automatisk skal det gjennomføres manuell loggføring, for eksempel ved å nedtegne i pasientjournalen.

Ivareta taushetsplikten

Se mer i Normen kap. 4.2.1

Helsepersonellovens regler om taushetsplikt være styrende også for informasjon som fremkommer gjennom bruk av video, lyd og bilde.

Virksomheten må ha rutiner som ivaretar taushetsplikten ved bruk av video, lyd og bilde.

Lagring og deling av video, lyd og bilde

Virksomheten må ha et bevisst forhold til eventuell lagring og deling av video, lyd og bilde, og skille tydelig mellom hvilken bruk som er "live" og hva som skal lagres.

Lagring og deling skal følge de generelle reglene for behandling av personopplysninger, og må følge av formål og behandlingsgrunnlag.

Dersom video, lyd og bilde brukes som del av behandlingsrettet helseregister (som journal), skal lagring skje etter til enhver tid gjeldende regler for behandlingsrettede helseregistre.

Personvernrettigheter

Se mer i Normen kap. 4.2

Virksomheten skal sikre at løsninger for bruk av video, lyd og bilde ivaretar partenes personvernrettigheter på en enkel og god måte. Pasienter/brukere skal forstå hva de er med på, og hvilke rettigheter de dette innebærer.

Innebygget personvern

Løsninger for bruk av video, lyd og bilde skal oppfylle personvernforordningens krav til innebygd personvern.

I de tilfellene det krever en spesiell konfigurasjon for å ivareta sikkerhet, personvern og taushetsplikten på best mulig måte må det tydelig fremgå, både til helsepersonell og pasient/bruker, hvilke innstillinger som skal velges

Leverandør bør kunne bistå med dette.

Leverandør av løsninger for video, lyd og bilde

Leverandør av løsninger for video, lyd og bilde som behandler personopplysninger skal forplikte seg til å etterleve kravene i personvernforordningen, som databehandler eller behandlingsansvarlig.

Er leverandøren databehandler skal databehandleravtale inngås.

Behandlingsgrunnlag

Personopplysninger kan bare behandles når lovgivningen tillater det, som betyr at all behandling av personopplysninger skal ha et rettslig grunnlag. Det er flere alternative behandlingsgrunnlag i personvernforordningen. Noen av dem stiller krav om at behandlingen er lovlig som følge av annen lovgivning. Dette kalles supplerende rettsgrunnlag.

Dokumentasjonsplikten i helsepersonelloven, og forsvarlighetskravet som nødvendiggjør dokumentasjonen, utgjør et slikt supplerende rettsgrunnlag for behandling av helseopplysninger om pasient, og er også gjeldende når behandlingen benytter seg av video, lyd og bilde. I tillegg til dokumentasjonsplikten og forsvarlighetskravet, inneholder helselovgivningen også regler om annen behandling av opplysninger, herunder taushetsplikt og bruk av opplysninger til intern og ekstern kvalitetssikring, forskning mv.

Samtykke for å motta helsehjelp er rettsgrunnlaget for ytelse av helse- og omsorgstjenester. Ved videokonsultasjon vil det ofte være et implisitt samtykke at pasienten ønsker å få helsehjelp da hun bestiller videokonsultasjon, tar i bruk løsningen og deltar i konsultasjonen. Helselovgivningen gir behandlingsgrunnlag for behandling av de opplysningene som er relevant og nødvendig for ytelse av helsehjelp, også via videokonsultasjon. Det er derfor ikke nødvendig med et eget samtykke for behandling av personopplysninger når videokonsultasjon brukes til å yte helsehjelp.

Les mer om krav til behandlingsgrunnlag se Normens . og formål og behandlingsgrunnlag, faktaark 56 For mer om samtykke til helsehjelp i pasient- og brukerrettighetsloven og om samtykke i henhold til personopplysningsloven på Datatilsynets nettsider (datatilsynet.no).

Dokumentasjonsplikt

Den som yter helsehjelp plikter å nedtegne opplysninger som anses som relevante og nødvendige for helsehjelpen til den enkelte pasient/ bruker. Dette innebærer at video, lyd og bilde som er tatt i forbindelse med ytelse av helsehjelp skal inngå i journalen om de anses som relevante og nødvendige. Pasienten/brukeren kan ikke motsette seg dette. Dersom opptak av video, lyd og bilde ikke anses som relevant og nødvendig for helsehjelpen mv. skal det slettes. Helsepersonellet vil da ikke ha hjemmel for å oppbevare disse opplysningene.

Video, lyd og bilde kan inngå i journalen i sin opprinnelige form, for eksempel et røntgenbilde eller et videoopptak. Hvordan journalføringen rent praktisk skal skje (skanning av bilder, lagring av videofiler mv.), varierer fra fagsystem til fagsystem.

Uredigert råmateriale fra video-, lyd- og bildeopptak inneholder ofte store mengder materiale som ikke er nødvendig og relevant som dokumentasjon. Materialet bør derfor kunne redigeres. Den del av opptaket som etter redigering ikke skal inngå i journal, må slettes.

Den journalføringspliktige kan også nedtegne den relevante og nødvendige informasjonen som utledes fra opptak eller overføringer av video og lyd samt bilder. Arbeidsdokumenter, pasientens egendokumentasjon, røntgenbilder, video- og lydopptak mv. er å anse som del av journalen inntil nødvendig informasjon er nedtegnet på forsvarlig måte. Det vil altså være hjemmel for å mellomlagre video, lyd og bilde. Dersom hele opptak anses som relevant og nødvendig kan det inngå i journalen i sin helhet.

Dokumentasjonsplikten gjelder på lik linje ved videokonsultasjoner som ved fysiske konsultasjoner ansikt-til-ansikt, og relevant og nødvendig informasjon som fremkommer i en videokonsultasjon skal journalføres etter samme føringer gitt i helselovgivningen. Typiske videokonsultasjoner gjennomføres som en direkteoverføring, i likhet med en fysisk konsultasjon eller telefonsamtale. Mer om dokumentasjonsplikten finner du i helsepersonelloven med kommentarer

De registrertes rettigheter

Det følgende inneholder noen sentrale betraktninger om hvordan virksomheter kan oppfylle de registrertes rettigheter ved behandling av helse- og personopplysninger i video, lyd og bilde. Oversikten er imidlertid ikke uttømmende. Øvrig informasjon om de registrertes personvernrettigheter utover det som dekker video, lyd og bilde spesielt, finner du i Veileder om de registrertes rettigheter. Informasjon om pasientrettigheter generelt finner du i pasient- og brukerrettighetsloven med kommentarer

Innsyn

Retten til innsyn i egne personopplysninger betyr at du kan spørre en virksomhet om hvordan opplysningene om deg behandles og du kan be om å få vite hvilke opplysninger de har lagret. Dette gjelder ikke bare skriftlig informasjon, innsynsretten vil også gjelde for helse- og personopplysninger som er lagret i form av video, lyd eller bilde.

Informasjon

Virksomhetene har plikt til å behandle personopplysninger på en åpen måte, også når det gjelder behandling gjennom video, lyd og bilde. Dette innebærer at virksomheten må gi kort og forståelig informasjon om hvordan de behandler personopplysningene. Det er også krav til hvordan de kommuniserer med enkeltpersoner.

Ettersom bruk av video, lyd og bilde kan gi særskilt rike bilder av en pasient/bruker og eventuelle situasjoner denne befinner seg i, kan det potensielt oppleves inngripende. Det er derfor særlig viktig at den registrerte er klar over hvordan helse- og personopplysningene behandles, og hvilken risiko det eventuelt kan medføre.

Et relevant eksempel på et tilfelle som krever mer informasjon er situasjoner som bryter med det man rimelig kan forvente er pasient/brukers forventning. Den etablerte forventningen er at for eksempel videokonsultasjoner, i likhet med en fysisk konsultasjon hos din fastlege, innebærer en direkte forbindelse uten opptak. Dersom en situasjon bryter med denne forventningen vil dette kreve økt informasjon (og virksomheten må sørge for gyldig behandlingsgrunnlag for opptaket).

Rett til medvirkning og rett til informasjon (pasient- og brukerrettighet)

Rett til medvirkning og informasjon er grunnleggende pasient- og brukerrettigheter.

Pasient eller bruker som mottar helse- og omsorgstjenester har rett til å medvirke ved gjennomføringen. Man har rett til å medvirke ved valg av tilgjengelige og forsvarlige tjenestemetoder og undersøkelses- og behandlingsmetoder. Dette innebærer imidlertid ikke at pasienten eller brukeren gis rett til å velge hvilken metode som skal benyttes dersom helsepersonellet mener en annen metode er bedre egnet eller mer forsvarlig.

Her kan man tenke seg at pasient/ bruker i noen tilfeller vil kunne velge, eventuelt velge bort, at video, lyd og bilde benyttes. Det kan for eksempel være noen pasienter/ brukere som opplever det utrygt å bruke video. Det vil da være en del av den helsefaglige vurderingen som behandlende helsepersonell må gjennomføre, å vurdere hvorvidt det er bruk av video som er forsvarlig helsehjelp i dette tilfellet.

Retten til å medvirke øker kravene til informasjon fra det behandlende helsepersonellet, fordi informasjon er en nødvendig forutsetning for både å kunne utøve medvirkningsretten og for å kunne gi gyldig samtykke til helsehjelp.

Enkle og forståelige forklaringer av formål, behandling og potensielle konsekvenser av bruk av video, lyd og bilde i helse- og omsorgstjenesten er sentralt for å kunne oppfylle pasient- og brukerrettigheter så vel som personvernrettighetene. Opplevd risiko fra pasient- og brukersiden vil kunne reduseres ved at helsepersonell bidrar med tilstrekkelig og tilpasset informasjon om hvordan video benyttes.

Personvern for ansatte

Personvernet til de ansatte kan utfordres gjennom bruken av video, lyd og bilde i helse- og omsorgssektoren. Ansatte i helse- og omsorgssektoren har rett på et arbeidsliv som ikke krenker deres personlige integritet eller rett til privatliv. Arbeidsmiljøloven pålegger arbeidsgivere å sørge for at de ansatte har et forsvarlig arbeidsmiljø.

Åpenhetsutvalget (PDF, regjeringen.no) vurderte i 2019 hva som ligger i retten til forsvarlig arbeidsmiljø, og hvor langt dette hensynet kan begrunne begrensninger i annen aktivitet i helse og omsorg. Utvalget fokuserte hovedsakelig på bruk av video, lyd og bilde som er initiert av brukere og pasienter.

Åpenhetsutvalget beskriver blant annet at ved bruk av video, lyd og bilde plikter arbeidsgiver å legge til rette for at bruken skal utgjøre en minst mulig belastning for de ansatte i deres arbeidshverdag. Det innebærer at arbeidsgiver må iverksette ulike former for tiltak på arbeidsplassen for å sikre at de ansatte i mest mulig grad er komfortable med bruken av video, lyd og bilde.

Som et minimum vil dette si at virksomhetene må etablere rutiner for å håndtere det personalmessige rundt de ansattes personvern og bruk av video, lyd og bilde i tjenesten. Det må være en del av virksomhetens styringssystem/internkontroll, og inkluderes i personalhåndbok eller lignende, samt at de ansatte må settes i stand til å ivareta sine personvernrettigheter. De ansatte må kunne forvente at denne typen problemstillinger inkluderes i diskusjoner i arbeidsmiljøutvalg og lignende også i helse- og omsorgssektoren.

Et eksempel på denne typen avklaringer som bør beskrives tydelig i personalhåndbok er at eventuelle opptak av behandlingssituasjoner ikke skal brukes til personalformål uten at dette er et definert formål med opptaket. Det vil si at opptak av en terapisituasjon ikke fritt skal kunne benyttes av ledelsen for å evaluere medarbeider og dennes måloppnåelse.

Andre tiltak som anbefales:

Arbeidsgiver går i dialog med de ansatte eller innhenter informasjon på annet vis, for eksempel gjennom undersøkelser, for å avdekke de ansattes behov
Opplæring til ansatte om rettslige grenser, gode praktiske løsninger og samtaletrening
Informasjon til pasienter/ brukere om å vise hensyn og at de må be om samtykke før deling og publisering

Les mer om disse vurderingene i Åpenhetsutvalgets NOU Åpenhet i grenseland på regjeringens nettsider (regjeringen.no). Mer om bruk av sosiale medier i helse- og omsorgssektoren finnes i Veileder om digital pasientkommunikasjon.

Taushetsplikten

Personell som behandler helse- og personopplysninger i helse- og omsorgssektoren vil være underlagt regler om taushetsplikt. Dette bidrar til at den registrerte kan være trygg på at informasjonen ikke blir gitt videre til uvedkommende. Taushetsplikten gjelder også for personopplysninger som fremkommer av video, lyd og bilde.

Virksomheten skal legge til rette for at alle medarbeidere til enhver tid er bevisst taushetspliktens innhold og omfang. Virksomheten skal sørge for praktiske løsninger, inkludert teknologiske, som gjør at taushetsplikten kan etterleves av medarbeiderne.

Dette innebærer blant annet rutiner for å sikre identiteten til den enkelte som deltar i en videokonsultasjon, og det å benytte videoløsninger med tilstrekkelig kryptering av informasjonen. Denne typen tiltak beskrives i mer detaljer i tabellene med beskrivelser av Normens krav.

Les mer om taushetsplikten generelt på temasidene for taushetsplikt og opplysningsplikt

Rutiner

Virksomheter i helse- og omsorgssektoren som skal benytte video, lyd og bilde må etablere rutiner for bruk og drift av løsningene. Tabellen nedenfor er et forslag til hvilket innhold overordnede rutiner virksomheter i sektoren bør ha. Dette kan være et utgangspunkt for tilpassede rutiner for egen virksomhet og valgt løsning.

Rutine	Forslag til innhold
Tilgangsstyring	Opprette tilganger Kontrollere, endre og korrigere tilganger Avslutning av tilganger
Autorisering og autentisering av pasient/ bruker	Beskrivelse av hvordan pasient/bruker autoriseres Beskrivelse av hvordan pasient/bruker autentiseres for å sikre entydig identifisering
Autorisering og autentisering av personell	Autorisere personell til tjenstlig behov Beskrivelse av hvordan personell autoriseres Beskrivelse av hvordan personell autentiseres på en sikker måte
Kryptering av kommunikasjon	Jevnlig kontroll av at kommunikasjon er kryptert på systemer der dette kreves
Sikre at kun godkjente deltagere deltar for å ivareta taushetsplikten	Sikre at kun personell med tjenstlig behov deltar i konsultasjon/samtale Informere pasient/bruker når flere skal delta i konsultasjon/samtale Hvordan håndtere at pasient/bruker lar andre være tilhører/ tilstede i konsultasjon/samtale med tanke på taushetsplikt
Periodisk kontroll av tildelte rettigheter	Kontroll av tildelte rettigheter for personell og administratorbruker Kontroll av tildelte rettigheter for administratorbruker
Journalføring av helse- og personopplysninger	Ansvar for journalføring Hva som skal journalføres Tidspunkt for journalføring
Bruk av personellets private utstyr ved konsultasjon/ samtale (mobiltelefon, nettbrett, PC)	Minimumskrav til utstyret Sikring av helse- og personopplysninger på utstyret Hvordan kommunikasjonsløsningen implisitt ivaretar kravet til sikring av helse- og personopplysninger
Informasjon og opplæring av personell	Temaer i opplæringen; bruk av løsningen, tid og sted for konsultasjon/samtale, informasjonssikkerhet og personvern Tidspunkt for opplæring
Informasjon til pasient	Temaer i informasjon: bruk av løsningen, tid og sted for konsultasjon/samtale og personvern
Andre rutiner som må vurderes dersom løsningen krever det	Administratortilganger Administratorbrukere som skal etableres Systembrukere som skal etableres Krav til personlig brukerkonto for administratortilgang Autorisering og autentisering av administratortilgang Autorisering og autentisering av helsepersonell Ulike ansettelsesforhold skal identifiseres Tidsbegrensning av autorisasjonen Registrering av tildelt autorisasjon i autorisasjonsregister

Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 04. februar 2021