1. Innledning

Hvorfor er informasjonssikkerhet og personvern avgjørende for forsvarlig helse- og omsorgstjenester

For å kunne yte forsvarlige helse- og omsorgstjenester er det avgjørende at riktige og oppdaterte opplysninger om pasientene og brukerne er tilgjengelige på rett sted til rett tid. Helsepersonell må ha tillit til at opplysningen er korrekte og fullstendige, og helse- og omsorgstjenesten er avhengig av tillit fra befolkningen for at pasienter, brukere og pårørende vil dele sensitive og personlige opplysninger med tjenestene. 

Kommunen skal sørge for at opplysningene ivaretas, brukes og behandles på en sikker måte. Relevant og nødvendig informasjon skal være tilgjengelig for de som har tjenstlig behov og uvedkommende skal ikke ha tilgang. informasjonen skal være korrekt og oppdatert.

Det er opp til kommunen å vurdere om et tjenestetilbud skal inneholde velferdsteknologi. Den som mottar tjenestene har rett til å medvirke i utformingen av tjenestetilbudet.

Ved innføring av velferdsteknologi i tjenestene møter kommuner på mange spørsmål som gjelder behandling av helse- og personopplysninger. Selv om behandling av helse- og personopplysninger ikke er nytt innenfor helse- og omsorgstjenesten, kan noen problemstillinger oppleves større og annerledes enn før. 

• Bruk av velferdsteknologi generer mye informasjon om pasienter og brukere, og det må vurderes om innsamling og lagring av informasjonen er relevant og nødvendig for tjenesteytingen. Dette stiller krav til kunnskap om dokumentasjonsplikt, herunder taushetsplikten og unntak fra denne. 
• Det er mange aktører involvert i behandling av helse- og personopplysninger, og opplysninger blir delt med ulike aktører som alarmsentraler/ responssentre, tekniske enheter og kommunikasjons- og utstyrsleverandører m.fl.
  Dette krever kunnskap om roller og ansvar ved behandling av opplysninger, herunder krav til taushetsplikt, behov for databehandleravtaler osv. 
• EUs personvernforordning (GDPR) krever bl.a. at det gjøres  personvernkonsekvensvurderinger (DPIA) når man innfører teknologi som involverer behandling av helse- og personopplysninger. 
• Detaljerte opplysninger om pasient/ brukere, pårørende og ansatte gir risiko for bruk av opplysninger andre/ nye og uforenlige formål. Dette krever kunnskap og bevissthet om dataansvar, personvernprinsipper og hva som er lovlig bruk av opplysningene.  
• I økende grad plasseres eller installeres velferdsteknologiske hjelpemidler i pasientens/ brukerens hjem. Dette åpner for nye risikoer som må kartlegges og håndteres. 

For at kommunen skal kunne yte forsvarlige helse- og omsorgstjenester må informasjonssikkerhet og personvern være ivaretatt i teknologien som brukes. Dette er temaet for denne veilederen. 

Om veilederen og avgrensinger 

Tema for denne veilederen er personvern og informasjonssikkerhet ved bruk av velferdsteknologiske løsninger. Veilederen tar også for seg risiko og risikoscenarier for ulike typer velferdsteknologi, samt ulike temaer innen personvern og informasjonssikkerhet, juridiske spørsmål, sentrale prosesser og tiltak.

Videre gis det veiledning om reglene i personvernforordningen (GDPR) som vil kunne innebære at det stilles krav om at det skal gjennomføres risikovurderinger, personvernkonsekvensvurderinger (DPIA), at behandlinger av helse- og personopplysninger skal føres i en oversikt (protokoll) og at løsningene for velferdsteknologi skal ha innebygd personvern.

Veilederen er en støtte i arbeidet med utvikling, innføring og drift av teknologi i kommunale helse- og omsorgstjenester. 

Veilederen er ikke uttømmende om temaer innen velferdsteknologi. Veilederen omfatter i noen grad helselovgivningens alminnelige regler for behandling av helse- og personopplysninger. Temaer som taushetsplikt, dokumentasjonsplikt, kommunikasjon av opplysninger og pasient- og brukerrettigheter dekkes ikke av denne veilederen. For veiledning om disse temaer vises det til følgende veiledninger og rundskriv: 

• Helsepersonelloven med kommentarer 
• Pasient- og brukerrettighetsloven med kommentarer 
• Helsepersonells og forvaltningens taushetsplikt 
• Veileder for saksbehandling av tjenester etter helse- og omsorgstjenesteloven

Veilederen omtaler ikke bruk av videokommunikasjon. For temaer innen video kan disse veilederne benyttes: 

• Veileder i video-, lyd og bildeopptak 
• Videokonsultasjon, faktaark 54
• Kvikk-guide for videokommunikasjon (ks.no)

Normen har en veileder for bruk av portalløsninger, SMS og e-post som kan være til hjelp om kommunen benytter portalløsninger, SMS eller e-post i kommunikasjon med pasient/bruker når de tar i bruk velferdsteknologi 

For mer veiledning om bruk av skytjenester i kombinasjon med velferdsteknologi kan veileder i bruk av skytjenester være til hjelp 

I veilederen benyttes det enkelte uttrykk og definisjoner som er spesifikke for fagdisiplinene informasjonssikkerhet og personvern. Se Normens definisjonskapittel (kap. 6.1) og om Normen for definisjon på informasjonssikkerhet (kap. 1) for forklaring. 

Veilederens forhold til andre dokumenter og veiledere 

Det finnes flere veiledere og dokumenter som omhandler bruk av velfersteknologi og nærmere om vurderinger av personvern og informasjonssikkerhet. Sammen med denne veilederen er det et godt utgangspunkt å lese følgende veiledere utarbeidet av Nasjonalt velferdsteknologiprogram. Til sammen danner disse et godt utgangspunkt for basiskunnskap om personvern og informasjonssikkerhet: 

• Kvikk-guide til velferdsteknologi (ks.no)
• Kvikk-guide til anskaffelse av velferdsteknologi (ks.no)

Helse- og omsorgstjenesten i kommunen må ivareta en rekke oppgaver i tett samarbeid med teknisk avdeling, IT, innkjøp og andre. Nasjonalt velferdsteknologiprogram (ks.no) har utarbeidet en helhetlig tjenestemodell for velferdsteknologi som inneholder en rekke oppgaver som må løses. I dokumentet gis det veiledning om organisering av tjenesten, oversikt over oppgavene som må utføres, og eksempler på hvordan andre kommuner løser dem

En annen nyttig veileder for kommuner som arbeider med velfersteknologi er Normens veileder i personvern og informasjonssikkerhet - medisinsk utstyr 

Om Normen

Denne veilederen er et støttedokument under Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen) som forvaltes av Styringsgruppen for Normen. Gjeldende utgave av Normen bygger på regelverket i personopplysningsloven, personvernforordningen og helselovgivningen Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten

Normen skal bidra til tilfredsstillende informasjonssikkerhet og personvern i den enkelte virksomhet og i sektoren generelt. I tillegg skal Normen bidra til å etablere mekanismer og regler som sikrer at kommuner og samarbeidende virksomheter i helse- og omsorgssektoren kan ha gjensidig tillit til at behandling av helse- og personopplysninger gjennomføres på et forsvarlig sikkerhetsnivå. 

Dersom du har spørsmål knytte til veilederen kan du sende spørsmål og kommentarer til: normen@helsedirektoratet.no