Spurt og svarað um fjarheilbrigðisþjónustu

Fjarheilbrigðisþjónusta er ört vaxandi hluti almennrar heilbrigðisþjónustu, hér á landi sem og víðar. Með fjarheilbrigðisþjónustu er átt við það þegar upplýsinga- og fjarskiptatækni er notuð til að veita þjónustu án þess að sjúklingur og heilbrigðisstarfsmaður séu á sama stað. Tækifærin sem fólgin eru í fjarheilbrigðisþjónustu eru mikil og fjölþætt en í grunninn má segja að hún færi heilbrigðiskerfið nær sjúklingnum. Þetta getur sparað heilbrigðiskerfinu og sjúklingnum kostnað og tíma, ásamt því að minnka álag á heilbrigðisstofnunum.

Rétt eins og þegar um hefðbundna heilbrigðisþjónustu er að ræða er brýnt að almenningur eigi kost á öruggri fjarheilbrigðisþjónustu og að samskipti einstaklings og heilbrigðisstarfsmanna séu örugg. Með það fyrir augum að tryggja öryggi þeirra sem nýta sér fjarheilbrigðisþjónustu hefur embætti landlæknis gefið út fyrirmæli sem gilda um heilbrigðisstofnanir og heilbrigðisstarfsmenn sem hyggjast veita fjarheilbrigðisþjónustu. Þetta er nauðsynlegt og endurspeglar sömu kröfur og gerðar eru almennt til samskipta heilbrigðisstarfsmanna og sjúklinga, það er að fyllsta öryggis sé gætt við skráningu, meðferð og vistun gagna sem oft á tíðum innihalda viðkvæmar persónuupplýsingar. Þá er það von embættis landlæknis að fyrirmælin nýtist þeim fyrirtækjum, sem þróa lausnir til veitingar heilbrigðisþjónustu, við að hanna lausnir sínar á öruggan hátt og gera þeim auðveldara að tryggja að lausnir þeirra uppfylli kröfur persónuverndarlaga um m.a. öryggi og innbyggða og sjálfgefna persónuvernd.

Af hverju þarf að tilkynna fyrirhugaðan rekstur heilbrigðisþjónustu?

Samkvæmt 6. gr. laga um landlækni og lýðheilsu nr. 41/2007 þarf að tilkynna fyrirhugaðan rekstur í heilbrigðisþjónustu til embættis landlæknis sem síðan þarf að staðfesta hvort sá rekstur uppfyllir faglegar kröfur og önnur skilyrði í heilbrigðislöggjöfinni. Vegna þess að sömu faglegu kröfur eru gerðar til veitingar fjarheilbrigðisþjónustu og hefðbundinnar heilbrigðisþjónustu þarf að tilkynna slíkan rekstur til embættisins. Í tilfelli fjarheilbrigðisþjónustu þarf að fylgja með tilkynningunni lýsing á tæknilegum lausnum, persónuverndarskilmálum sem og notendaskilmálum sem snúa að þjónustunni. Óheimilt er að hefja starfsemi á sviði heilbrigðisþjónustu eða fjarheilbrigðisþjónustu nema fyrir liggi staðfesting af hálfu landlæknis.

Þegar um er að ræða rekstur sem tekur til margra verktaka er nægilegt að ábyrgðarmaður starfsstöðvar/heilbrigðisstofnunar sendi inn umsókn. Meðfylgjandi skal vera excel skjal með nafni, kennitölu og starfsheiti þeirra verktaka sem rekstur fjarheilbrigðisþjónustu tekur til.

Hvað þurfa heilbrigðistarfsmenn í fjarheilbrigðisþjónustu að hafa í huga?

Heilbrigðisstarfsmaður sem starfar í fjarheilbrigðisþjónustu þarf annað hvort að vera staðsettur á þeirri starfsstöð sem nefnd er í tilkynningu til embættis landlæknis um rekstur, eða að vera tengdur á öruggan hátt því kerfi sem notað er við veitingu fjarheilbrigðisþjónustu á viðkomandi starfstöð.

Ef kerfið er eingöngu aðgengilegt heilbrigðisstarfsmönnum á öruggu lokuðu neti skal heilbrigðisstarfsmaðurinn tengjast því með öruggum hætt (t.d. vpn-tenging). Heilbrigðisstarfsmanni er ekki heimilt að nýta opið eða samnýtt þráðlaust net eins og á flugvöllum eða hótelum.

Þá skal starfsmaðurinn tryggja umhverfi sitt á meðan meðferð fer fram þannig að friðhelgi sjúklings sé tryggð og að enginn óviðkomandi geti fylgst með eða truflað meðferð á meðan hún stendur yfir.

Hvernig á gagnaöryggi að vera háttað?

Ein af kröfum landlæknis vegna tæknilegra lausna sem nota á í fjarheilbrigðisþjónustu er að lausnin byggi á svokallaðri þriggja laga hönnun þar sem vefþjónn, vinnsluþjónn og gagnagrunnsþjónn eru á aðskildum vélbúnaði á sitt hvoru netsvæði sem aðskilin eru með eldveggjum. Engin gögn má geyma á vefþjóninum heldur skal geyma öll gögn á sérstökum gagngrunnsþjóni og skulu persónugreinanlegar upplýsingar vera dulkóðaðar í gagnagrunninum að lágmarki með 256 bita ES dulkóðun eða sambærilegri vernd.

Krafa er um að óháður og viðurkenndur sérfræðingur í netöryggi geri öryggisúttekt á kerfinu áður en það er tekið í notkun.

Hvernig er öryggi samskipta milli sjúklings og heilbrigðisstarfsmanns tryggt

Öll samskipti milli heilbrigðisstarfsmanns og sjúklings eiga að vera dulkóðuð, eins og með HTTPS með dulkóðunarsamskiptastöðlunum SSL/TLS. Ekki má geyma þau hjá þriðja aðila og tryggt á að vera að enginn annar en sjúklingur og heilbrigðisstarfsmaður hafi aðgang að samskiptunum meðan á þeim stendur.

Má vista heilbrigðisupplýsingarnar mínar utan landsteinanna?

Já, en þó er óheimilt að flytja heilbrigðisupplýsingar út fyrir Evrópskra efnahagssvæðið nema að uppfylltum skilyrðum 5. kafla almennu persónuverndarreglugerðarinnar (GDPR). Ef upplýsingar eru vistaðar erlendis eru ríkari kröfur um mat á áhætta og að gripið sé til nauðsynlegra ráðstafana til að lágmarka hana.

Hvaða kröfur eru gerðar um öryggi og aðgangsstýringu?

Tæklnilegar lausnir sem notaðar eru í fjarheilbrigðisþjónustu þurfa að standast strangari kröfur um öryggi og aðgangsstýringu en almennt gengur og gerist, einkum í ljósi ákvæða laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 og almennu persónuverndarreglugerðarinnar.

Huga þarf sérstaklega að öryggi persónuupplýsinga við forritun og uppsetningu samskiptalausna sem nota á í fjarheilbrigðisþjónustu og gerð er krafa um innbyggða og sjálfgefna persónuvernd við þróun. Jafnframt þarf að gera áhættumat og skilgreina öryggisráðstafanir áður en samskiptalausn er tekin í notkun.

Ef mat á áhrifum gefur til kynna að vinnsla upplýsinga hefði mikla áhættu í för með sér skal ábyrgðaraðilinn hafa samráð við Persónuvernd áður en sú vinnsla hefst.

Nota skal Heklu til sendingu gagna þegar það er mögulegt. Hekla er lokað, rafrænt samskiptanet með heilbrigðisgögn sem hægt er að nota til að senda upplýsingar milli heilbrigðisstofnana. Origo annast rekstur Heklu.

Hvernig á innskráningu og samskiptum að vera háttað?

Nota skal fullgild rafræn skilríki, í síma eða á korti, við innskráningu og við upphaf meðferðar þarf notandi að samþykkja notkunarskilmála sem varða þjónustuna. Jafnframt skal sjúklingi veitt fræðsla um persónuverndarskilmála í tengslum við almennt netöryggi og notkun þess hugbúnaðar og þeirrar samskiptalausnar sem notuð er í hverju tilviki. Ef engin virkni er á tengingunni í 15 mínútur samfleytt er sjúklingur sjálfvirkt skráður út.

Gerð er krafa um notkun rafrænna skilríkja því einungis þau uppfylla kröfu til hæsta fullvissustigs samkvæmt alþjóðlega staðlinum ISO/IEC 29115:2013.

Ef sjúklingurinn er ólögráða og ekki með rafræn skilríki skal foreldri eða forráðamaður stofna til þjónustunnar með eigin rafrænum skilríkjum fyrir hönd sjúklingsins. Einnig er heimilt að veita öðrum umboð til að skrá sig inn í þjónustuna fyrir hönd sjúklingsins, t.d. kennara við skóla eða leikskóla, sem skráir sig inn með sínum rafrænu skilríkjum og auðkennir sjúklinginn gagnvart heilbrigðisstarfsmanninum sem veita mun þjónustuna.

Skilaboð til sjúklings með smáskilaboðum eða tölvupósti mega ekki innihalda viðkvæmar persónuupplýsingar.

Heilbrigðisstarfsmenn geta auðkennt sig á lokuðu neti rekstraraðila með hefðbundinni innskráningu með notendanafni og lykilorði. Ef kerfið er opið út á Netið og keyrir vefþjón sem aðgengilegur er öllum sem tengjast Netinu, er hins vegar gerð krafa um innskráningu heilbrigðisstarfsmanna með fullgildum rafrænum skilríkjum.

Hvar get ég nálgast ítarlegri upplýsingar um fjarheilbrigðisþjónustu og kröfur sem gerðar eru til hennar?

Fyrirmæli embættis landlæknis um upplýsingaöryggi við veitingu fjarheilbrigðisþjónustu sem gefin voru út í janúar 2019 má nálgast hér. Aftast í sama skjali má finna upplýsingar um fullvissustig rafrænna auðkenna og helstu auðkenni á Íslandi og í nágrannalöndum.

Heilbrigðisráðherra skipaði starfshóp um eflingu fjarheilbrigðisþjónustu í nóvember 2017. Hópurinn skilaði skýrslu sinni í ágúst 2018 og er þar að finna tillögur um áframhaldandi uppbyggingu og framþróun á skipulagi og framkvæmd fjarheilbrigðisþjónustu hér á landi.

Nánar má lesa um lögbundið hlutverk embættis landlæknis til að efla og hafa eftirlit með gæðum og öryggi í heilbrigðisþjónustu hér

 


Fyrst birt 12.02.2020

<< Til baka