Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

2.3. Personvernkonsekvensvurdering

Virksomheten skal vurdere konsekvenser for personvernet til de som er involvert i videokonsultasjonen. Hvis det er sannsynlig at en behandling medfører høy risiko for de involverte, skal virksomheten gjennomføre en mer grundig personvernkonsekvensvurdering, også kalt DPIA etter personvernforordningens artikkel 35. Vurderingen skal dokumenteres. Les mer om høy risiko i Normen kapittel 3.5.1 Personvernkonsekvensvurdering.

Leverandøren av løsningen kan bistå i vurderingen.

Eksempel på scenarioer som kan brukes i risikovurdering og personvernkonsekvensvurdering

  • Uautorisert utlevering av helseopplysninger

a. Pasient er ikke alene ved bruk av videokonsultasjon (pårørende, hjemmesykepleien, NAV, andre), med mindre pasienten selv ønsker det
b. Flere helsepersonell er til stede, men pasient vet ikke det / ser ikke det
c. Uvedkommende utenfor rommet ser eller overhører konsultasjonen
d. Uvedkommende kommer inn i rommet under konsultasjonen
e. Pasient tror videokonsultasjon er avsluttet/nedkoplet, noe den ikke er

  • Videokonsultasjon tas opp og spres til utenforstående.
  • Uønsket spredning av videokonsultasjon pga ondsinnet programvare (virus o.l.) på pasientens private PC/nettbrett/mobiltelefon.
  • Kommunikasjonen i videokonsultasjon avlyttes.
  • Krypteringen brytes underveis i utstyr virksomheten ikke har kontroll med.
  • En av partene ringer opp feil utstyr/enhet og det utveksles personopplysninger.
  • Feiltolkning av innhold i videokonsultasjon. Dårlig linje, liten båndbredde, varierende stabilitet i Internett, dårlig bilde, dårlig eller manglende lyd.
  • Videokonsultasjon kan ikke startes (kobles opp) som planlagt. Feil på utstyr hos en av partene. Feil i datanettet. Utstyr er fjernet.
  • Stans i videokonsultasjon under bruk.
  • Autentiseringskriteria tildeles uautoriserte.
  • Pasient er ikke entydig autentisert.
  • Helsepersonell er ikke autentisert på en sikker måte.
  • Uautoriserte kobler seg til virtuelle møterom.
  • Medarbeidere hos leverandøren får tilgang til helse- og personopplysninger.
  • Leverandøren mellomlagrer video med lyd i sin løsning uten av Normens krav er ivaretatt.
  • Leverandøren er plassert i EU/EØS.
  • Leverandøren er plassert utenfor EU/EØS.
  • Skytjenesteleverandør oppfyller ikke lovbestemte krav og Normens krav.
  • Mangelfull plan ved avslutning av skytjeneste.
  • Ved skjermdeling viser helsepersonell ved feiltagelse sensitiv informasjon om annen pasient.
  • Pasient tar opp samtalen uten tillatelse.
Normen

Faktaark til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 16. april 2020