Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

1. Om veilederen

Bakgrunn

Produkter og systemer som skal benyttes i medisinsk sammenheng er underlagt bestemmelser som skal ivareta både pasientsikkerhet og personvern/informasjonssikkerhet. Medisinsk utstyr skal også brukes og vedlikeholdes slik at det ikke medfører fare for pasienten/brukeren. Aktuelt lovverk som regulerer området er omtalt i kapittel 2.


Med «Medisinsk utstyr» menes i denne veilederen ethvert instrument, apparat, utstyr, programvare, materiale eller annen gjenstand som brukes alene eller i kombinasjon, herunder programvare som av produsenten er tiltenkt å brukes spesielt til diagnostiske og/eller terapeutiske formål og som kreves for riktig bruk, og som er ment å skulle brukes på mennesker med sikte på: 

  1. diagnostisering, forebygging, overvåkning, behandling eller lindring av sykdom, 
  2. diagnostisering, kontroll, behandling, lindring eller kompensasjon for skade eller handikap, 
  3. undersøkelse, utskifting eller endring av anatomien eller av en fysiologisk prosess, eller 
  4. svangerskapsforebyggelse, 

og der den ønskede hovedvirkning i eller på menneskekroppen ikke framkalles ved farmakologisk eller immunologisk virkning eller ved å påvirke stoffskiftet, men der slike effekter kan bidra til dets funksjon. 

Medisinsk utstyr (MU) behandler i mange tilfeller helse- og personopplysninger, og er dermed underlagt Normens krav.

I denne veilederen benyttes begrepet medisinsk utstyr (MU) siden dette er begrepet som benyttes i aktuelle forskrifter (se kapittel 2). I enkelte andre dokumenter utgitt av styringsgruppen for Normen er det tidligere benyttet andre begreper som medisinskteknisk utstyr og elektromedisinsk utstyr.

Normens hovedkrav til medisinsk utstyr som behandler helse- og personopplysninger er at dette skal inkluderes i virksomhetens arbeid med informasjonssikkerhet og personvern, herunder i risikovurderinger, tilgangsstyring og rutiner for bruk, på lik linje med informasjonssystemer.

I vurderingen av sikkerhetstiltak for medisinsk utstyr, vil eventuell påvirkning på funksjon og bruk av utstyret måtte tillegges stor vekt. Kravet i personvernlovgivningen om at sikring skal være forholdsmessig må derfor veie tungt når sikkerhetstiltak for medisinsk utstyr skal implementeres. 

Samtidig vil informasjonssikkerhetstiltak ofte også være med å øke pasientsikkerheten, ved at tilgjengelighet og motstandsdyktighet mot digitale angrep bedres.
Oppmerksomheten rundt digitale trusler og medisinsk utstyr er også økende, bl.a. omtalt av amerikanske og europeiske myndigheter.

Det ligger utenfor Normens virkeområde å gi en detaljert beskrivelse av hvordan pasientsikkerhet skal risikovurderes i tilknytning til MU, men det pekes i veilederen på hvordan standarden IEC 80001 kan benyttes for å gjennomføre helhetlige risikovurderinger som kombinerer informasjonssikkerhet og funksjon/bruk.

Medisinsk utstyr kan bestå av maskinvare- og/eller programvarekomponenter som kan være sårbare for digitale angrep. Slikt utstyr er også i økende grad tilknyttet andre nettverk, f.eks. sykehusets lokalnett. Dette øker risikoen for sikkerhetsbrudd. For medisinsk utstyr kan dette være alvorlig, særlig hvis et angrep setter livsnødvendig utstyr ut av spill.

Sikkerhetstiltakene som innføres for å sikre utstyret og informasjonen som behandles skal være effektive mot mange typer trusler. Truslene kan komme fra både interne og eksterne aktører, og true både konfidensialitet, integritet og tilgjengelighet. Det er bl.a. en sterk økning av angrep på digital infrastruktur. Et angrep kan ramme utstyret i seg selv, men utstyret kan også bli et brohode inn mot annen infrastruktur ved f.eks. et virusangrep.

Denne veilederen adresserer særlig to aspekter ved informasjonssikkerhet: manglende evne til å behandle helse- og personopplysninger i tråd med lovverket og dermed true pasientens personvern, og hvordan medisinsk utstyr kan beskyttes mot angrep på digital infrastruktur. En del aktuelle trusselscenarioer/uønskede hendelser til bruk i risikovurdering finnes i vedlegg til denne veilederen, se kapittel 6.2. 

En utfordring ved å sikre medisinsk utstyr er at tiltak som normalt brukes for å ivareta informasjonssikkerhet (som f.eks. tilgangsstyring, antivirus og sikkerhetsoppdateringer) griper inn i utstyrets funksjon eller bruk. Funksjonalitet som understøtter informasjonssikkerhet er ofte ikke støttet i utstyret eller av produsenten.

Mye medisinsk utstyr og tilhørende programvare er f.eks. ikke tilrettelagt for tilgangsstyring på linje med journalsystemer, og i mange tilfeller vil krav til personlig pålogging ikke være hensiktsmessig for personell som skal benytte utstyret.

Videre har produsenten av medisinsk utstyr ansvar for at utstyrer fungerer etter hensikten. Hvis eier (virksomheten) gjør egne modifikasjoner vil dette innebære å påta seg produsentansvaret for utstyret. Dette innebærer at implementering av antivirusprogramvare og sikkerhetsoppdateringer må gjøres i samråd med leverandør. Dette kan medføre en lavere oppdateringstakt enn det som er anbefalt for å sikre seg mot stadig nye digitale trusler. 

Når medisinsk utstyr lagrer helse- og personopplysninger er det å anse som et behandlingsrettet helseregister, jf. lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven).

Derfor vil vanlige regler om behandling av helse- og personopplysninger i behandlingsrettete helseregistre også gjelde for opplysninger som finnes i slikt utstyr. Det er likevel forskjell på medisinsk utstyr og andre behandlingsrettete helseregistre når det gjelder sletting av opplysninger.

Opplysninger i pasientjournal skal som regel ikke slettes, med noen få lovregulerte unntak. Pasientjournalforskriften gjelder alle former for behandling av helseopplysninger som dokumenteres etter helsepersonelloven, også lyd- og bildeopptak.

Tema for veilederen

Veilederen skal bidra til å skape felles forståelse for krav og tilnærming til informasjonssikkerhet hos virksomheter som benytter medisinsk utstyr, databehandlere/driftsleverandører og leverandører av medisinsk utstyr.

Den skal gi veiledning til å tolke Normens krav til behandling av helse- og personopplysninger i medisinsk utstyr med tilhørende systemløsninger og applikasjoner på en praktisk måte.

En leverandør av medisinsk utstyr kan også i en del tilfeller være/inneha rolle som driftsleverandør. For eksempel multimonitorløsninger med overføring av medisinske data fra ambulanser til sykehus.

Veilederen omhandler informasjonssikkerhet og personvern for medisinsk utstyr basert på kravene i Normen. 

Kapittel 2 gir oversikt over og tydeliggjør enkelte sentrale lovbestemmelser ifm. medisinsk utstyr med tilhørende systemløsninger/applikasjoner og personvern/informasjonssikkerhet

Kapittel 3 gir en del overordnede og grunnleggende krav som må være på plass hos virksomheter som benytter medisinsk utstyr, særlig knyttet til styring og ansvar.

Kapittel 4 inneholder tiltak med veiledning knyttet til informasjonssikkerhet. 

Veilederen har som utgangspunkt at utfordringsbildet som beskrives i kapittel 1 må løses gjennom en risikobasert tilnærming. Dette innebærer at første steg for en virksomhet som vil oppnå bedre informasjonssikkerhet for medisinsk utstyr er å ha oversikt over utstyr og systemer i virksomheten, deretter risiko og sårbarheter. Deretter settes tiltak inn der risikoen er størst og nytten av tiltakene gir størst gevinst.

Kapittel 5 beskriver nærmere hvordan en risikobasert tilnærming til informasjonssikkerhet og medisinsk utstyr kan følges i virksomheten, samt en del bruksscenarier og egenskaper for medisinsk utstyr med ulike sikkerhetsmessige utfordringer. Det refereres fra disse bruksscenariene og egenskapene til  kapittel 4 der tilhørende sikkerhetstiltak og sikkerhetskrav som nevnt omtales nærmere. 

Målgruppe

Målgruppene for veilederen er personell som har ansvar for og/eller oppgaver i forbindelse med medisinsk utstyr, IKT og informasjonssikkerhet.

Aktuelle brukere av denne veilederen kan omfatte:

  • Medisinsk teknologisk avdeling (MTA)
  • Ansvarlige i virksomheten for håndtering av medisinsk utstyr
    • Helseforetak og private virksomheter
    • Kommune
    • Røntgeninstitutter/laboratorier mv.
    • Tannleger
    • Leger
    • Andre
  • Ansvarlige for anskaffelse av utstyr
  • Produsent og leverandør 
  • Driftsleverandør/databehandler
  • Informasjonssikkerhetsleder/personvernombud
  • «Medical it-network risk manager (se kapittel 5.2.2 Risikobasert tilnærming)
  • Behandler/helsepersonell (brukere av medisinsk utstyr)

I tillegg vil veilederen være aktuell for leder med formelt dataansvar i virksomheten. 
Veilederen omtaler både produsent og leverandør. Produsenten er den som ansvarlig for konstruksjon, framstilling, emballering og merking av et utstyr med sikte på å markedsføre det i eget navn, uansett om de aktuelle arbeidsoperasjoner utføres av vedkommende selv eller av tredjemann på dennes vegne. Denne definisjonen er i tråd med midlertidig forskrift om medisinsk utstyr, § 1-5 f. 

Leverandør benyttes i veilederen som den som helsevirksomheter som tar i bruk medisinsk utstyr har et kunde-leverandørforhold til, og som typisk bistår med tjenester som fysisk service og fjernaksess. Produsentens forhandlerledd vil i mange tilfeller være leverandør.

Krav i Normen

I Normens kapittel 5.3.6 heter det at medisinsk utstyr som behandler helse- og personopplysninger, skal inkluderes i virksomhetens arbeid med informasjonssikkerhet og personvern, herunder i risikovurderinger, tilgangsstyring, endringskontroll og rutiner for bruk, på linje med andre informasjonssystemer.

I kapittel 5.5.5 er medisinsk utstyr nevnt som eksempel på teknisk utstyr som kobles til internett, og som dermed i slike tilfeller skal inkluderes i virksomhetens arbeid med informasjonssikkerhet og personvern, herunder i risikovurderinger, tilgangsstyring og rutiner for bruk.

Veilederen omtaler utover dette et bredt utvalg av Normens krav og på hvilken måte disse er relevante i forbindelse med medisinsk utstyr.

Relevante lov- og forskriftsbestemmelser, standarder og andre rammeverk

Regelverk er omtalt i kapittel 2 i veilederen.

Avgrensing

Veilederen dekker medisinsk utstyr som forvaltes av en virksomhet, og ikke slikt utstyr som pasienten/brukeren har anskaffet selv. Sett i lys av utviklingen av helseapper og personlig sensorteknologi er dette et område som det er grunn til å tro vil få økende oppmerksomhet, og der det kan oppstå gråsoner mellom hva som er privat bruk og der virksomheten har et ansvar.

Videre vil frittstående medisinsk utstyr der det ikke behandles helseopplysninger ikke omtales av denne veilederen.

Utvikling av veilederen

Arbeidet med første versjon av veilederen startet i 2014. Utviklingen skjedde i samarbeid med en referansegruppe. Gruppen besto av fagpersoner innen medisinsk teknologi, IKT og sikkerhet fra flere helseforetak. I tillegg deltok representanter fra leverandørsiden og tilsynsmyndigheter. Fagpersoner innen medisinsk teknologi har gitt innspill i arbeidet fram mot versjon 2.0.

Normen

Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 11. juni 2021