Health Tech deltok på Normkonferansen 2017 på Scandic Fornebu 30.11 – 1.12.2017, arrangert av Norm for informasjonssikkerhet og Direktoratet for e-helse. Det var i år deltakerrekord, med over 300 deltagere.

Norm for informasjonssikkerhet er en norm utarbeidet av og for helse- og omsorgssektoren med et mål om å bidra til tilfredsstillende informasjonssikkerhet i sektoren. Hovedtema for årets normkonferanse var den nye personvernforordningen og hvilke konsekvenser den får for helse-Norge. De nye personvernreglene vil gjelde fra 25. mai 2018, og vil føre til endringer både for Health Tech og alle våre brukere. Vi i Health Tech jobber derfor for å holde oss så godt oppdatert som mulig, og deltagelse på Normkonferansen er en del av dette arbeidet.

Før selve konferansen startet ble det avholdt parallellsesjoner om innebygget personvern, juridisk opplæring og introkurs om Normen.

Christine Bergland, direktør i Direktoratet for e-helse åpnet offisielt konferansen, og i en rekke foredrag fikk vi belyst utfordringer, muligheter og samspill knyttet til tre av hovedprinsippene i informasjonssikkerhet; Tilgjengelighet, konfidensialitet og integritet. Det er viktig at helseopplysningene er korrekte, oppdaterte og tilgjengelige for rett person til rett tid.

Åpningsinnlegg av Christine Bergland, 3 hovedbegrep i informasjonssikkerhet – Tilgjengelighet, konfidensialitet og integritet

Etter en liten avbrytelse fra vaktmester Narvestad, fortsatt konferansen med innlegg som belyste informasjonsikkerhet fra behandlerens, pasientens og leverandørens ståsted.

Narvestad kom med sine betraktninger angående informasjonssikkerhet

Petter Hurlen, AHUS, behandlerens tanker rundt tilgjengelighet, konfidensialitet og integritet

Direktoratet for e-helse lanserte også en ny rapport om «Informasjonssikkerhet ved bruk av private leverandører i helse- og omsorgstjenesten«, hvor de gir anbefalinger om hvordan informasjonssikkerheten skal ivaretas ved bruk av private leverandører. «-Private leverandører er nødvendig for å modernisere og digitalisere helsetjenesten. Det handler om en bærekraftig helsetjeneste der opplysningene følger pasienten uten å komme på avveie.  Leverandører tilfører spesialkompetanse som helsetjenesten ikke har selv og kan bidra til mer stabile og tilgjengelige tjenester» – direktør Christine Bergland i Direktoratet for e-helse.

Lansering av rapport fra Direktoratet for e-helse

Vi fikk også en introduksjon i hvor lett uvedkommende kan få tilgang på sensitive helseopplysninger hvis de først kommer inn i systemene. Ofte har virksomhetene satset på en «hard» ytre beskyttelse, og hvis man først klarer å bryte seg inn, ligger opplysningene forholdsvis lett tilgjengelig. Det var også innlegg om sikkerhet og folk – det kan ofte bli avstand mellom den policyen man har vedtatt og det man i praksis gjør. Hvordan kan vi best tilrettelegge slik at alle forstår hvor viktig informasjonssikkerhet er og faktisk gjør det som er vedtatt? Kanskje er det nødvendig å gjøre endringer i systemene, og ikke kun satse på å endre adferden?

 

Dag 2 startet med flere parallellsesjoner innenfor temaene kommune, helseforetak, teknisk og med.tek. I sesjonen for med.tek ble utfordringene og mulighetene rundt informasjonssikkerhet belyst både fra virksomhetenes, leverandørenes og direktoratets side. Det ble en interessant diskusjon rundt temaet om hvordan vi skal forholde oss til oppdateringer fra 3. parets leverandører som f.eks Microsoft og hvordan man skal forholde seg til kostnadene for oppdateringer og utvikling som er nødvendig for at medisinsk-teknisk utstyr skal holde følge med utviklingen innenfor informasjonssikkerhet.

Jan Gunnar Broch, Direktoratet for e-helse

Etter lunsj var det en felles sesjon som omhandlet nye personvernregler og de praktiske betydningene for helse og omsorgssektoren. Bjørn Erik Thon, direktør i Datatilsynet pekte på de utfordringene vi står fremfor i fremtidens medisin, der større og større mengder data vil bli samlet inn, mer og mer skal personaliseres og individualiseres. Helseopplysninger samles inn fra en rekke nye kilder; det finnes utallige apper som registrerer alt av trening, bevegelse og hva vi spiser. Genetisk informasjon blir lettere og lettere tilgjengelig, informasjon om vår økonomisk situasjon kan være av interesse for å vurdere helsetilstanden etc. Hva vil i fremtiden være journalpliktig i et hus fullt av velferdsteknologi? Camilla Nervik, også hun fra Datatilsynet, stilte spørsmål om adferden vår vil endres i fremtiden, når folk forstår hvor mye som er registrert om oss. Og er den tilliten vi opplever befolkningen har til registrering av helseopplysninger i realiteten taushet?

Camilla Nervik om Datatilsynets rolle som en «Ludvig» som stiller spørsmål om dette nå er så lurt?

Det var også en gjennomgang av ulike juridiske aspekter for gjennomføringen av den nye personvernforordningen fra Justis- og beredskapsdepartementet, Direktoratet for e-helse og Advokatfirmaet Simonsen Vogt Wiig.

Maryke Silalahi Nuth, Direktoratet for e-helse om innføringen av GDPR