Teknologi

Fullt fokus på digital sikkerhet og personvern

Ludvig Borgvall

<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >Fullt fokus på digital sikkerhet og personvern</span>

Ved koronapandemiens utbrudd var helsevesenet raske med å omstille seg. Nødvendige tiltak for å implementere digitale helsetjenester ble innført på rekordtid. Det var imponerende å følge med på hvordan de ulike helseorganisasjonene håndterte situasjonen. Det ble gjort en stor innsats for å sikre at pasienter og helsepersonell i økende grad kunne møtes digitalt på avstand. De siste månedene har ikke bare vist hvor nødvendig det er med digitalisering av helsetjenester. Det er kommet for å bli! Derfor er det viktigere enn noen gang at både helsepersonell og teknologileverandører fokuserer på pasientsikkerhet og personvern i digitale helsetjenester.

Ludvig Borgvall er juridisk ansvarlig i Visiba og jobber blant annet med å definere og dokumentere selskapets prosesser for personvern og og sensitive personopplysninger, samt for å sikre at både produkt og organisasjon overholder relevante lover og regler. Denne artikkelen gir et dypere innblikk i noen av tiltakene Visiba gjør for å sikre at både organisasjonen og produktet lever opp til kravene til sikkerhet og personvern – som helseorganisasjoner og pasienter har rett til å forvente.

Digital sikkerhet krever både proaktivt og reaktivt arbeid. Visiba Care er en digital plattform som ble opprettet spesielt for helsetjenester. Et sterkt fokus på informasjonssikkerhet har derfor vært til stede fra første stund. I takt med det skiftende fokuset som følge av pandemien tar vi ytterligere skritt for å sikre at etablerte prosesser overholdes mens vi investerer i fremtidige forbedringer. Dette vil dels bli gjort ved å konsolidere eksisterende prosesser, dels ved å definere og implementere nye. Ofte er teknologiske tiltak og beskyttelsen av selve produktet  i fokus når man snakker om informasjonssikkerhet. Digital sikkerhet spiller uten tvil en nøkkelrolle, men det er et annet aspekt som ikke må glemmes: Organisatoriske tiltak.

Teknologiske tiltak

Å utvikle en plattform spesielt for digitale helsetjenester har både sine styrker og begrensninger. Helsepersonell håndterer store mengder sensitive personopplysninger, som ofte krever mer arbeid og beskyttelse enn andre typer personlig informasjon. For å sikre at digital sikkerhet og personvern alltid tas i betraktning når vi utvikler tjenesten vår, jobber vi mye med prinsippene for innebygd personvern (privacy by design) og personvern som standard (privacy by default). I tillegg jobber Visibas produktteam tett i samarbeid med selskapets interne og eksterne advokater, slik at risikovurderinger og juridiske betraktninger blir gjort gjennom hele utviklingsprosessen – fra idé til lansering. Noen eksempler på funksjoner utviklet basert på disse prinsippene er:

  • Tilgangskontroll: Helseorganisasjoner i Visba Care kan enkelt lage sine egne tilgangskontroller (dvs. hvilken bruker som kan se hvilken type data) for å sikre at informasjonen bare er tilgjengelig for de brukerne som trenger den. For eksempel kan tilgangskontrollene konfigureres slik at kliniske data bare er tilgjengelig for brukerautorisert helsepersonell og ikke for administratorene. I tillegg logger plattformen automatisk helsepersonellets tilgang til informasjon i plattformen, slik at helsepersonell kan følge opp og undersøke uautorisert tilgang til informasjon i tjenesten om nødvendig.
  • Tofaktorsautentisering: Dårlige autentiseringsmetoder når du logger inn betyr økt risiko for at en uautorisert tredjepart vil ha tilgang til sensitiv informasjon om en annen person. Tofaktorautentisering er en av de sikreste (og mest brukervennlige) måtene å få tilgang til en tjeneste på. I mange land er tofaktorautentisering derfor et minimumskrav etter lov for tjenester som håndterer sensitive data som helsedata. For de fleste konvensjonelle videotjenester er det mulig å bestemme hvordan helsepersonell skal logge på videosamtalen, men tofaktorautentisering er sjelden mulig for pasienter og gjestedeltakere. For å beskytte personvernet til alle brukere, har Visiba Care integrert tofaktorautentisering som standard, og gir ekstra sikkerhet for alle brukere og alle typer kommunikasjonskanaler (meldinger, video og drop-in) ved å bruke de mest sikre verktøyene som er tilgjengelige i hvert land.
  • Lagringsminimering: I henhold til GDPR og andre lover om personvern kan det hende at personopplysninger ikke lagres lenger enn nødvendig. Informasjon som ikke lenger er nødvendig, eller når personen ikke lenger trenger å identifiseres, må enten slettes eller anonymiseres. For å forenkle arbeidet med regelmessig sletting av data, har Visiba Care en funksjon som automatisk sletter eller anonymiserer forskjellige datakategorier i henhold til forhåndsinnstilte tidsintervaller, som helsepersonellet selv bestemmer. Vi jobber for tiden med å utvikle denne funksjonen videre, slik at organisasjonen kan kontrollere anonymiserings for forskjellige typer data på et enda mer detaljert nivå.
  • Den registrertes rettigheter: Våre kunders pasienter, som andre, har en rekke rettigheter i henhold til GDPR og andre lover om personvern. For eksempel kan en bruker ha rett til å få tilgang til sine personlige data og be om at dataene deres blir slettet. For at kundene våre skal kunne håndtere denne typen henvendelser raskt og greit, har vi blant annet gjort det enkelt å eksportere og slette personopplysninger om individuelle brukere i plattformen.
  • Integrasjoner: At forskjellige systemer kan kommunisere med hverandre er en forutsetning for at digital transformasjon skal oppnås. For at integrasjonen skal kunne skje på en sikker måte, er det imidlertid nødvendig at både tekniske og organisatoriske rutiner følges. Fordi Visiba Care har en systemarkitektur som støtter integrasjoner, kan vi sikre at a) de riktige / forespurte dataene blir sendt til det mottakende systemet, og at b) disse dataene blir kryptert slik at de forblir private selv under overføringen. På organisasjonsnivå sørger vi blant annet alltid for at forespørsler om og instruksjoner om integrasjoner kommer fra riktig organ i den mottakende helseorganisasjonen.

Organisatoriske tiltak

Teknologiske tiltak er nødvendige for sikkerheten til personopplysninger og annen informasjon. Men organisatoriske tiltak og styring av informasjonssikkerhet – både internt og eksternt – er minst like viktig. En organisasjon består av både mennesker og prosesser, og for å sikre et høyt nivå av informasjonssikkerhet, må virksomheten være proaktiv. Man må være i stand til å handle raskt når det er nødvendig. Da forblir kunnskapen om hvordan man skal handle i forskjellige situasjoner innenfor organisasjonen, selv når enkeltpersoner forlater eller bytter roller i selskapet.

Hos Visiba Care er vi priveligerte ved å ha høy faglig modenhet blant våre ansatte. Samtidig er vi klare over at informasjonssikkerhet er et pågående prosjekt og at det alltid er rom for forbedring. Derfor fokuserer vi i år på å innføre ISO 27001, som er en globalt anerkjent standard fra International Organization for Standardization (ISO) i samarbeid med International Electrotechnical Commission (IEC) for å håndtere risiko ved informasjonssikkerhets. Som andre ISO-standarder inneholder ISO 27001-standarden et sett med standardiserte krav, i dette tilfellet gjelder  Information Security Management System (ISMS). Standarden bruker en prosessbasert metode for å etablere, implementere, betjene, overvåke, vedlikeholde og forbedre ISMS, både når det gjelder organisering og teknologi, som hjelper oss med å beskytte informasjon på en systematisk og kostnadseffektiv måte.

I løpet av de neste månedene vil vi fortsette å gjennomføre våre prosesser vedrørende informasjonssikkerhet, oppdatere etter behov og implementere nye prosesser, for å sikre at alle personopplysningene vi behandler har sterk og fremtidssikker beskyttelse. Deretter vil vi sikte mot en uavhengig akkreditert sertifisering for ISO 27001, for å demonstrere at ISMS følger beste praksis for informasjonssikkerhet. 

Som tidligere nevnt handler informasjonssikkerhet om både å være proaktiv og reaktiv – og proaktivt bestemme hvordan man skal være reaktiv. I en digital verden er det dessverre få selskaper som aldri vil oppleve noen form for hendelse (og i så fall bør alarmen ringe, da det indikerer at organisasjonen mangler prosesser for å oppdage dem). Derfor kreves a) prosesser for å forhindre at feil og hendelser oppstår fra begynnelsen, men også b) en organisasjon og prosesser for å kunne identifisere og håndtere potensielle hendelser på en rask og effektiv måte.

Vi har en spennende reise foran oss. Selv om grunnarbeidet har vært etablert i lang tid, er informasjonssikkerhet et pågående arbeid. Når verden rundt oss endrer seg, og vi som organisasjon vokser, må prosessene og rutinene våre også endres og utvikles. Samtidig er vårt utviklingsfokus – som alltid – på kundene våre – for å tilrettelegge, støtte og gi dem de aller beste forutsetningene for å lykkes i reisen mot digital transformasjon. At våre kunder kan føle seg trygge i vår måte å jobbe med informasjonssikkerhet og brukerintegritet er sentralt for å oppnå nettopp dette.