Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

5.1. Tekniske IT-løsninger 

Små virksomheter har flere ulike tekniske løsninger.

  • Virksomheten har installert journalsystemet på eget utstyr (server eller PC) som ikke er tilknyttet Internett
  • Virksomheten har installert journalsystemet på eget utstyr (server eller PC) og har tilkobling til helsenett for tilgang til Internett og ekstern e-post.
  • Virksomheten benytter databehandler (leverandør) som drifter journalsystemet hos seg og helsepersonellet har tilgang til journalsystemet via helsenett eller Internett

Journalsystem og oppbevaring av helse og personopplysninger kan gjøres via nettverk, web basert eller i en skytjeneste. Tilbud om slike løsninger kommer fra flere leverandører. Mange små helsevirksomheter velger at ASP-leverandører leverer både journalsystem, tilgang til helsenett og drifter den tekniske løsningen.

ASP betyr Application Service Provider som er en leverandør som tilbyr datatjenester til kunder over et nettverk og fungerer som "en plugg i veggen" for kontoret.

Sikkerheten blir i mange tilfeller bedre ivaretatt på denne måten, igjennom leverandørens kunnskap og kompetanse. All tjenesteutsetting skal reguleres i en databehandleravtale.

Dersom virksomheten bruker eksterne leverandører av IKT-funksjoner eller andre tjenester skal avtalen med leverandøren omfatte bl.a.:

  • dokumentert risikovurdering som viser at virksomhetens nivå for akseptabel risiko samt Normens sikkerhetsnivå er etablert. Ved tjenesteutsetting av IKT-tjenester til andre land bør forhold ved vertslandet vurderes fordi forholdene kan påvirke risikovurderingen.
  • hvilke oppgaver av sikkerhetsmessig betydning som er omfattet, og ansvarsforholdene for disse
  • beskrivelse av leverandørens løsning og grensesnitt mot virksomheten i form av konfigurasjonskart (tegning over teknisk løsning

Virksomheten skal sørge for å inngå databehandleravtale når leverandører behandler helse- og personopplysninger på vegne av virksomheten. Les mer om Bruk av databehandler (faktaark 10)

Avtalen skal sikre at virksomheten også gis rett til å revidere leverandørens aktiviteter som er knyttet til avtalen. Revisjonene kan gjennomføres av en avtalt tredjepart.

Ved avslutning av kontrakten skal det foreligge en signert erklæring fra leverandøren om at alle data tilhørende virksomheten er tilbakelevert eller slettet til avtalt tid.

Skytjenester

Skyen er en betegnelse for alt fra dataprosessering og -lagring til programvare på servere som står i eksterne serverparker, som vanligvis bruker Internett som bærer av datatrafikken. Skytjenester gir virksomheten mulighet til å leie programmer og infrastruktur som en tjeneste, i stedet for at det er virksomheten selv som eier den.

Eksempler på områder hvor bruk av skytjenester til helse- og personopplysninger er tatt i bruk er:

  • Journalsystemer for primærhelsetjenesten (f.eks. legekontor, tannklinikk, psykolog mv.)
  • Velferdsteknologi
  • Video- og mobilteknologi for å behandle helse- og personopplysninger
  • Pasientportaler for elektronisk pasientkommunikasjon
  • Kurveløsninger, fagsystemer, e-postsystem mv.

Bruk av skytjenester kan bidra til godt personvern og informasjonssikkerhet ved at helse- og personopplysningene blir håndtert av en profesjonell leverandør med kompetanse innen fysisk og digital sikkerhet. Imidlertid introduserer skytjenester nye risikoer, som mindre grad av kontroll på helse- og personopplysningene og hvordan de behandles.

Det er derfor sentralt med blant annet risikovurderinger i forkant av anskaffelsen og databehandleravtaler som setter virksomheten i stand til god leverandøroppfølging etter avtaleinngåelsen.

Les mer om dette i veilederen i bruk av skytjenester til behandling av helse- og personopplysninger

Eksempel

Normland Helsesenter har eksterne avtaler om vaktmestertjenester og IKT-drift. EPJ kjøpes som en tjeneste og er skybasert. Dette omfatter fakturering og betalingsoppfølging. Regnskap og lønn håndteres av eksternt regnskapskontor.

 

Den eneste serveren som er installert lokalt på helsesenteret er en filserver som brukes til lagring av Word-dokumenter osv. Helsesenteret er tilknyttet helsenettet, og får internett og e-post levert via dette.

 

Morten har gjort en enkel risikovurdering av at EPJ-løsningen kjøres som en skybasert tjeneste. Leverandøren har gitt gode svar på spørsmålene Morten har stilt bl.a. om hvor data lagres, om leverandøren har tilgang til helseopplysninger, og at bruk av EPJ-løsningen ikke vil medføre at helsesenteret ikke er i stand til å etterleve personvernforordningen og Normen.

 

Databehandleravtalen som benyttes er basert på leverandørens egen mal, men Lena har forsikret seg om at oppgaver som har betydning for sikkerhet er godt beskrevet, at ansvarsforholdene er tydelige, at det er vedlagt en enkel beskrivelse av løsningen, og at helsesenteret får tilgang til revisjonsrapporter gjennomført av et anerkjent, uavhengig revisjonsfirma.

 

Normen

Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 17. september 2020