Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

2.2. Innledende vurderinger og risikovurderinger

Risikovurdering

Løsninger som brukes i forbindelse med digital pasientkommunikasjon skal risikovurderes opp mot nivå for akseptabel risiko. Det er risikovurderingen som ligger til grunn for alle de videre vurderingene og beslutningene; blant annet om man vil ta i bruk en kommunikasjonsløsning, hvilke typer behandling av personopplysninger som kan gjennomføres, hvilke tiltak som skal iverksettes, teknisk oppsett av teknologien, hvordan teknologien ivaretar personvernet og informasjonssikkerheten osv.

Risikovurdering skal gjennomføres før løsninger tas i bruk, ved større endringer eller om det oppstår vesentlige avvik. Om risikovurderingen viser uakseptabel risiko, skal løsningene ikke benyttes før risikoreduserende tiltak er iverksatt. 

Alle løsninger for kommunikasjon med pasient eller bruker som behandler helse- og personopplysninger skal ha "egnede tekniske og organisatoriske sikkerhetstiltak" for å hindre brudd på informasjonssikkerheten. Brudd defineres som utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger.

Valg av egnede sikkerhetstiltak skal gjøres på bakgrunn av omfang og kategorier av opplysningene, pasientsikkerhet, aktuelt risikobilde mv. Tiltakene skal velges basert på risikovurderinger, og være forholdsmessige ut fra identifisert risiko. 

I arbeidet med risikovurdering er det viktig å ha med ulike typer kompetanse: helsepersonell, juridisk, personvern, informasjonssikkerhet, drift, anskaffelse mm. 

Eksempel på metode for risikovurdering, se Veileder om risikostyring i informasjonssikkerhet og personvern. Se kapittel 4 i denne veilederen for eksempler på risikoscenarier som kan benyttes i virksomhetens egen risikovurdering.

Personvernkonsekvensvurdering av løsninger for digital pasientkommunikasjon

Virksomheten skal alltid vurdere hvilke konsekvenser behandling av helse- og personopplysninger medfører for den registrerte. Virksomheten skal dokumentere lovligheten av behandlingen, formålet, hvordan personvernet til den registrerte er ivaretatt, og at det er gjort tilstrekkelige tiltak for å håndtere risikoen. Hvis det da er sannsynlig at en behandling medfører høy risiko for de registrerte, skal virksomheten gjennomføre en mer grundig personvernkonsekvensvurdering, også kalt DPIA.

Digital kommunikasjon i helse og omsorg er en aktivitet som kan medføre høy risiko for de registrertes rettigheter og friheter. Særlig vil følgende aktiviteter i behandling føre til at virksomheten må gjennomføre DPIA:

  • Når helseopplysninger behandles i stor skala
  • Innføring av ny teknologi som ikke før er tatt i bruk av virksomheten
  • Barn og andre sårbare grupper

Ikke alle kommunikasjonsløsninger vil medføre høy risiko for den registrertes rettigheter og friheter. I vurderingen av dette så kan det være aktuelt å vurdere:

  • Omfang av personopplysninger
  • Personopplysningenes art (hvem opplysningene gjelder, sensitivitet osv.)
  • Kategorier av mottakere (deling, utlevering, innsyn osv.)
  • Kategorier av behandlinger (innsamling, sammenstilling, lagring osv.)

Vurderinger av personvernkonsekvenser vil bero på en helhetsvurdering hvor en må ta stilling til kategorier av personopplysninger, behandlinger, mottakere, formålet og sammenhengen opplysningene behandles i. Om virksomheten gjør denne helhetsvurderingen basert på punktene over kan virksomhetene komme frem til gode avgjørelser. Resultatet av en DPIA vil også bero på en avveining av behandlingen sett opp mot risikominimerende tiltak som vil gjøre behandlingen mer inngripende. Eksempler på slike tiltak kan være at opplysninger ikke blir lagret og at man har rutinger for sletting av overskuddsinformasjon.

Tilsvarende som ved gjennomføring av risikovurdering er det viktig å ha med bredt sammensatt kompetanse når vurderingen skal gjøres. Ved gjennomføring av DPIA vil det også være aktuelt å involvere representanter for de registrerte, for eksempel en pasient eller et pasientombud.

Dersom virksomheten kommer frem til at det ikke er behov for å gjennomføre en full DPIA, må dette dokumenteres og være saklig begrunnet.

Det finnes mange gode maler for DPIA, f.eks. mal fra Direktoratet for e-helse og mal fra KINS/Bærum kommune. Se kapittel 4 for eksempler på scenarier som kan brukes i en personvernkonsekvensvurdering.

Eksempel - bruk av sosiale medier og DPIA

Normgata Helsestasjon ønsker å få større kontakt med ungdommene i kommunen og er på utkikk etter en løsning som gjør at de kan være til stede på en plattform som ungdom i aldersgruppen 13-19 bruker. Formålet med å bruke sosiale medier er å gi informasjon og engasjere målgruppen.

Helsestasjonen gjennomfører en kartlegging av sosiale medier og kommer frem til at Instagram er best egnet for formålet og er godt utbredt i målgruppen.

Normgata helsestasjon gjennomfører flere vurderinger (bl. a. risikovurdering av applikasjonen og helsefaglige vurderinger) for å sikre at løsningen ivaretar krav til informasjonssikkerhet og personvern. De vurderer konsekvensene for personvernet til ungdommene, og om de har behandlingsgrunnlag. De gjør videre en initialvurdering for å finne ut om behandlingen innebærer høy risiko for de registrerte, for å finne ut om de burde gjøre en fullskala personkonsekvensvurdering.

Nedenfor følger noen momenter som Normgata helsestasjon inkluderer i vurderingen:

  • Det er viktig å skaffe seg kunnskap om hvordan det konkrete mediet brukes, og hva slags kultur som eksisterer blant brukerne. På Instagram er det for eksempel vanlig å tagge andre brukere i kommentarfelt, for å gjøre dem oppmerksom på innholdet i posten. Dette er en mulighet som kan misbrukes. Dersom kontoen til helsestasjonen publiserer et innlegg om kjønnssykdommer eller angstlidelser, er det en risiko for at en bruker tagger en annen bruker i kommentarfeltet med kommentarer som "Dette bør du sjekke ut" eller lignende. Slike hendelser kan være uskyldig moro, men kan også opplevelses svært krenkende og inngripende for den det gjelder, og potensielt få konsekvenser for omdømmet til den som blir rammet.
  • En annen risiko med sosiale medier som har åpent kommentarfelt, er at man ikke har noen kontroll over hva som kan publiseres der. En følger kan for eksempel kommentere at de har angst eller andre plager, og dermed avsløre sensitiv informasjon om seg selv. Det er også en risiko for at det kan avdekkes sensitiv informasjon om andre identifiserbare personer.
  • Selv om helsestasjonen selv sletter kommentarer og direktemeldinger, har de ikke selv kontrollen over hvor lenge de "brukerslettede" meldingene bevares av løsningen/leverandøren.
  • Instagramkontoen retter seg mot ungdom som er i en sårbar periode av livet og som skal nyte et sterkt vern.
  • Applikasjonen har mulighet for direkte meldinger, der brukere kan kontakte helsestasjonskontoen og gi sensitiv informasjon og helseopplysninger om seg selv og andre. Det burde undersøkes om muligheten for direktemeldinger skal begrenses eller stenges.
  • Kontoen kan få flere følgere enn tiltenkt dersom kontoen blir populær og risikoen for at det publiseres sensitivt innhold vil dermed øke.
  • Det følger av brukervilkårene at Instagram blant annet kan lagre kopier av alle bilder som publiseres og bruke de til egne formål, for eksempel reklame
  • Eventuell aktivitetsdata fra brukerne som liker eller kommenterer innhold vil kunne brukes av Instagram til å tilby mer spisset innhold til brukeren.
  • Bruk av sosiale medier kan medføre overføing av personopplysninger til tredjeland.

Basert på en initialvurdering av personvernkonsekvenser bestemmer helsestasjonen at det skal gjennomføres en fullskala DPIA for denne aktiviteten, da de blant annet  konkluderer med at behandlingen medfører høy risiko for de registrerte, den omfatter en sårbar gruppe personer, og at det finnes få tiltak som kan redusere risikoen betraktelig. 

Særlig om vurderinger av sosiale medier

Det vil være vanskelig for virksomheter å oppfylle enkelte av Normens krav ved bruk av sosiale medier. Dette på grunn av blant annet krav til autentisering og autorisering i hovedsak er rettet mot behandlingsrettede helseregistre. Derfor vil det være desto viktigere at virksomheten gjør en grundig risikovurdering (eventuelt også personvernkonsekvensvurdering, se. Kap 2.2.2) og implementerer risikoreduserende tiltak.

Forslag til vurderingstemaer og risikoscenarier som kan brukes i risikovurdering finnes i dette kapittelet, i tillegg kan det være aktuelt å vurdere risikoscenariene som er beskrevet i kapittel 5.

Det er viktig at vurderingene virksomheten gjør løftes i organisasjonen, slik at virksomhetens ledelse har eierskap til beslutningen og har forståelse for risikoen som det sosiale mediet innebærer for virksomheten.

Dersom virksomheten ønsker å ta i bruk sosiale medier er det en rekke problemstillinger som det bør tas stilling til, for eksempel:

  • Alle sosiale medier har sin egen internkultur for bruk, som varierer med aldersgruppe. Unge mennesker bruker sosiale medier på en annen måte enn eldre mennesker og til andre formål.
  • De fleste sosiale medier har flere kanaler som kan brukes. Selv om virksomheten selv tenker å kun publisere informasjon til publikum, kan funksjoner som kommentarfelt, tagging og direktemeldinger brukes til å publisere personlig og sensitiv informasjon.
  • Mange sosiale medier har svært omfattende brukervilkår som kan være vanskelig å få oversikt, slik at data kan brukes til formål som virksomheten ikke kan kontrollere eller forutsette. Disse vilkårene kan også oppdateres uten varsel.
  • Ved bruk av sosiale medier kan offentlige aktører understøtte innsamling av brukerdata og markedsføring fra private kommersielle aktører
  • Hvilket ansvar har virksomheten for innholdet som blir publisert? Hvilket ansvar har virksomheten for å sørge for moderering og sletting av innhold?
  • Ivaretakelse av taushetsplikten på sosiale medier.
  • Hvordan skal virksomheten ivareta de registrertes rettigheter?

Eksempel på problemstilling ved risikovurdering av sosiale medier

Barselavdelingen på Normland sykehus ønsker å opprette en Instagram-konto for avdelingen. Hensikten er å vise frem for publikum hvordan de jobber, og vise små glimt fra hverdagen til de ansatte.

Det er på forhånd bestemt at ingen pasienter, pårørende eller andre besøkende skal være synlige på bilder eller videoer som postes fra avdelingen, og ansatte må samtykke til publisering av bilder/video.

Under et møte hvor det gjennomføres risikovurdering av applikasjonen, kommer en ansatt på et nytt scenario: Hva hvis innholdet som publiseres er med på generere målrettet reklame for brukere som følger kontoen? Hun viser til at hun har fått målrettet reklame for blant annet leker og annet utstyr til barn etter å ha fulgt lignende kontoer tidligere. Hun har også fått målrettede annonser rettet mot barn og foreldre for mer alternative produkter som ikke har noen dokumentert medisinsk effekt, blant annet healingkrystaller for babyer. Hun har også fått opp nyhetsartikler som sier at morsmelkerstatning er skadelig og at babyer skal sove på magen.

Hvordan skal sykehuset ta stilling til denne risikoen?

Hensynet til pasienter og brukere ved valg av kommunikasjonsform

For å kunne ivareta kravet til forsvarlig helsehjelp, må virksomheten vurdere om digital pasientkommunikasjon kan komme i konflikt med dette kravet. Ved implementering eller bruk av digitale løsninger for kontakt med pasienter og brukere, bør virksomheten gjøre en vurdering av om den aktuelle teknologien er hensiktsmessig for å kommunisere med sin pasientgruppe. Ulike pasienter og pasientgrupper har ulike behov og utfordringer som må adresseres og hensyntas når man velger kommunikasjonsmetode.

Eldre pasientgrupper vil eksempel kunne ha større utfordringer med å ta i bruk ny teknologi eller autentiseringsmetoder. Ruspasienter kan være utfordrende å få tak i, og enkelte pasienter eller brukere har ikke bank-ID eller annen elektronisk ID som trengs for å tilegne seg informasjonen virksomheten prøver å gi.

Virksomheten bør ha en rutine for å formidle informasjon om timeavtaler, prøvesvar eller annen type informasjon som det er viktig at pasienten eller brukeren får kunnskap om, dersom pasienten ikke kan eller klarer å bruke de digitale verktøyene som virksomheten benytter seg av.   

Virksomheten må videre sørge for at det er etablert rutiner som ivaretar at meldingen/informasjonen til pasienten ikke er inngripende og krenker personvernet, men samtidig har tilstrekkelig informasjon til pasienten. Innholdet i kommunikasjonen må utformes på en slik måte at innholdet er tydelig for pasienten. Det må for eksempel komme tydelig frem hva som menes eller hva pasienten må foreta seg for å tilegne seg informasjonen.

Virksomheten må alltid foreta en vurdering om innholdet i kommunikasjonen kan avsløre mer informasjon enn det som er tiltenkt og bryte med reglene om taushetsplikt. En melding fra fastlegen om ny time vil ikke kunne regnes som sensitiv informasjon hvis meldingen ses av andre, men en melding om time hos en spesifikk avdeling på et sykehus kan avsløre informasjon om pasientens helsetilstand.

Samtidig må man ta hensyn til andre forhold, for eksempel at et sykehus kan være stort og bestå av flere bygninger. Det vil da kunne være hensiktsmessig å gi informasjon om hvor pasienten skal henvende seg når han eller hun møter opp til timen sin.

Videre må virksomheten vurdere muligheten for andre typer hendelser, for eksempel verktøy som øker risikoen for menneskelige feil, både hos helsepersonellet og pasienten.

Eksempel - feilsending av e-post

Et stort forskningsprosjekt følger pasienter som har blitt utsatt for overgrep som barn. Alle pasientene er nå voksne, og formålet med studien er å undersøke i hvilken grad pasientene påvirkes av disse hendelsene senere i livet. Ingen av pasientene vet hvilke andre som deltar i studien.

Forskerne skal sende ut et nytt skjema som pasientene skal fylle ut, som et ledd i studien. Skjemaet skal sendes ut på e-post til pasientene. En menneskelig feil medfører at samtlige e-postadresser settes inn i til-feltet, og ikke i blindkopi-feltet. Dette medfører at identiteten til mange av pasientene i studien avsløres, da de fleste bruker fullt navn som e-postadresse.

Situasjonen forverres ytterligere ved at mange av pasientene som sier i fra om hendelsen benytter seg av "svar-alle"-funksjonen, slik at e-postadressene til pasientene fortsetter å sirkulere.

I dette tilfellet er det nærliggende å fastslå at forskerne bak studien burde ha valgt en annen måte å kommunisere med pasientene, der risikoen for feilsending var lavere enn med e-post. Eksemplet illustrerer også at i en risikovurdering må man vurdere risikoen for brukerfeil, slik at virksomheten eller pasienten ikke uaktsomt deler sensitiv informasjon med andre. Ved feilsending eller annen deling av sensitiv informasjon må også hendelsen meldes som avvik til Datatilsynet.

 

Normen

Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 31. januar 2024