Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

2.1. Normens krav til informasjonssikkerhet ved videokonsultasjon med pasient/bruker

Momentene nedenfor viser noen av Normens krav og mulig løsning for hvordan kravene for eksemplene ovenfor kan ivaretas. Det er virksomheten som ansvarlig for at kravene følges.

Sikre lovlig behandling

Personopplysninger kan bare behandles når lovgivningen tillater det. All behandling av personopplysninger skal ha et lovlig behandlingsgrunnlag.

Samtykke er rettsgrunnlaget for ytelse av helse- og omsorgstjenester. Ved videokonsultasjon vil det ofte være et implisitt samtykke at pasienten ønsker å få helsehjelp da hun tar i bruk løsningen og deltar i konsultasjonen.

Helselovgivningen gir behandlingsgrunnlag for behandling av de opplysningene som er relevant og nødvendig for ytelse av helsehjelp via videokonsultasjon. Det er derfor ikke nødvendig med et eget samtykke for behandling av personopplysninger når videokonsultasjon brukes til å yte helsehjelp.

Bruk av videokonsultasjon for andre formål enn å yte helsehjelp, f.eks. forskning, kan ha andre behandlingsgrunnlag.

Se mer i Normen kap. 4.1 Behandlingsgrunnlag.

Informasjon til pasient om bruk av videokonsultasjon der pasient er involvert

  1. Før videokonsultasjon starter skal pasienten få informasjon om videokonsultasjon og behandling av helse- og personopplysninger i videokonsultasjon.
  2. Informasjon kan gis muntlig eller skriftlig.

Se mer i Normen kap 4.2.2 Informasjon til den registrerte.

Entydig identifisering av pasienten/brukeren/ helsepersonell (Autentisering)

  1. Det skal gjennomføres risikovurdering som blant annet viser at pasienten/brukeren identifiseres entydig.
  2. Ved første gangs videokonsultasjon med ukjent pasient skal pasient/innbyggeren entydig identifiseres. Et løsningsalternativ er bruk av personlige kvalifiserte sertifikater med for eksempel pålogging tilsvarende Bank-ID eller mekanismer i ID-porten. Bruk av personlig kvalifisert sertifikat sikrer at autentiseringskriteria tildeles på en betryggende måte. Dette kan også ivaretas ved at deltagerne viser gyldig legitimasjon.
  3. Er pasienten kjent for helsepersonellet, vil video av pasienten kunne oppfylle kravet om entydig identifisering. Risikovurderingen skal dokumentere dette.
  4. Helsepersonell skal autentiseres på en sikker måte. Risikovurderingen skal fastsette hva som er sikker måte.
  5. I tilfeller der det er umulig å sikre entydig identifikasjon, f.eks. ved kognitiv svikt hos pasient, kan et alternativ være å sikre entydig identifisering av utstyret.

Se mer i Normen kap 5.2 Tilgangsstyring.

Entydig identifisering av utstyr levert av virksomheten (Autentisering)

  1. For utstyr levert av virksomheten er utgangspunktet at løsningene er installert og konfigurert med faste kommunikasjonspunkter som kan være behandlingsrom eller hjemmet til pasienten.
  2. Om risikovurderingen konkluderer med at det er behov for autentisering av utstyret på en sikker måte, kan det gjøres med for eksempel:
    • MAC-adresse, IMEI-nummer eller bruk av offentlig og privat nøkler som genereres på utstyret. Den offentlige nøkkelen må deles med tjenesten ved oppsett. Nøkkelparet er ulikt for hver løsning i virksomheten.
    • Nettverksautentisering basert på for eksempel sertifikater.
  3. Tildeling av slike autentiseringskriterier skal gjøres på en betryggende måte som vil si etter fastsatte prosedyrer.

Se mer i Normen kap 5.2 Tilgangsstyring.

Kryptering av kommunikasjon

  1. All kommunikasjon utenfor virksomhetens kontroll, skal krypteres.
  2. All kryptering og dekryptering mellom kommunikasjonspunkter i infrastrukturen skal gjøres i godkjent utstyr virksomheten har kontroll med. Hvis det benyttes leverandør til dette, skal det sikres at databehandleravtalen dekker leverandørens behandling av personopplysninger.

Se mer i Normen kap 5.3.5 Kryptering.

Logging av hvem som har hatt tilgang til eller fått utlevert helseopplysninger

  1. Videokonsultasjon skal følge samme dokumentasjonsplikt som ordinære konsultasjoner.
  2. Videokonsultasjon mellom pasient og helsepersonell skal logges.
  3. Hvis videokonsultasjon ikke har funksjonalitet for automatisert logg, skal helsepersonellet manuelt logge at det er gjennomført videokonsultasjon med pasient, ved nedtegnelse i pasientens journal.

Se mer i Normen kap 5.4.4 Logging.

Ivareta taushetsplikten

  1. På samme måte som ved fysisk oppmøte, vil helsepersonellovens regler om taushetsplikt være styrende for selve samtalen og behandling av informasjon som fremkommer.
  2. Virksomheten må ha rutiner som ivaretar taushetsplikten ved videokonsultasjon.
    • Hvis man f.eks. skal utføre en videokonsultasjon hjemmefra, må det vurderes hvordan man skal overholde taushetsplikten. Eks. sitte i et rom som er avskjermet fra innsyn fra familie/tredjeparter, skjerming av lyd osv.
  3. Virksomheten må ha en teknisk løsning og/eller rutine som sikrer at kun godkjente deltagere deltar i videokonsultasjon.
  4. Det må være synlig hvem som til enhver tid deltar i samtalen.
  5. Deltar flere pasienter skal alle pasientene få informasjon om dette.

Se mer i Normen kap 4.2.1 Taushetsplikten.

Lagring av samtaler og data om samtaler, samt deling av dette

  1. Innhold fra samtalene skal ikke lagres i videoløsningen, med mindre videoløsningen er/ er en del av et behandlingsrettet helseregister.
  2. Virksomheten må sikre at leverandøren av videoløsningen ikke deler data om samtalene (samtaleparter, varighet osv.) med tredjeparter.

Personvernrettigheter

  1. Virksomheten skal sikre at videoløsningen ivaretar partenes personvernrettigheter på en enkel og god måte.
  2. Løsningen skal ikke forutsette at det gis tilgang til andres personopplysninger fra samtalepartenes utstyr - f.eks. dersom man får full tilgang til kontakter i hverandres kontaktlister.

Se mer i Normen kap 4.2 Plikter og krav ved behandling av helse- og personopplysninger.

Innebygget personvern

  1. Videokonsultasjon-løsningen skal oppfylle personvernforordningens krav til innebygd personvern.
  2. I de tilfellene det krever en spesiell konfigurasjon for å ivareta sikkerhet, personvern og taushetsplikten på best mulig måte må det tydelig fremgå, både til helsepersonell og pasient, hvilke innstillinger som skal velges.
    • Leverandør bør kunne bistå med dette.
Normen

Faktaark til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 16. april 2020