Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

Helseopplysninger i skyen

Veiledning av helseopplysninger og behandling av personopplysninger i forbindelse med bruk av skytjenester.

Er det behov for egen veiledning om behandling av helseopplysninger i skyen?

Undersøkelsen er gjort i forbindelse med etatenes arbeid med tilrettelegging for bedre bruk av kunstig intelligens, og er oppsummert i rapporten Helseopplysninger i skyen.

Veiledning knyttet til Schrems II-dommen

Tidligere kunne man overføre personopplysninger til USA basert på en egen ordning, Privacy Shield. Konsekvensene av Schrems II-avgjørelsen fra EU-domstolen1 er at overføring til USA ikke lenger kan skje basert på Privacy Shield-ordningen (artikkel 45), men må basere seg på et av de andre lovlige grunnlagene.

Det europeiske personvernrådet, European Data Protection Board (EDPB) utarbeidet etter Etter EU-domstolens avgjørelse i Schrems II en veiledning om overføring av personopplysninger i tredjeland.

Veiledningen er publisert i​​​​​ Guidelines 2/2020 on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies.

Videre har EDPB publisert anbefalinger om essensielle europeiske garantier som må være oppfylt også ved overvåkningstiltak. Anbefalingene er publisert i Recommendations 02/2020 on the European Essential Guarantees for surveillance measures.

EDPB publiserte den 18. juni 2021 veiledning om ytterligere tiltak ved overføring av personopplysninger til tredjeland. Veiledningen er publisert i Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data.

Datatilsynet har laget en veileder for overføring av personopplysninger ut av EØS. Veilederen gir en gjennomgang av hva som skal til for at personopplysninger kan overføres til land utenfor EØS. "Særlige kategorier personopplysninger", som for eksempel helseopplysninger, krever høyere grad av beskyttelse etter personvernforordningen sammenlignet med andre personopplysninger og er omtalt i veilederen. Når man skal vurdere om det er lov å overføre personopplysninger ut av EØS, kan man ifølge veilederen ta utgangspunkt i følgende sjekkliste:

  1. Kjenn overføringene
  2. Identifiser overføringsgrunnlag
  3. Vurder om overføringsgrunnlaget vil være effektivt i lys av alle omstendighetene ved overføringen
  4. Iverksett ytterligere tiltak
  5. Re-evaluer med jevne mellomrom

Alle punktene i sjekklisten kommer med en forklaring, og steg 3 (vurdering av beskyttelsesnivå) og 4 (ytterligere tiltak) er spesielt utdypet. Veilederen inneholder også en liste over såkalte "godkjente land" utenfor EU-/EØS-området.

Mer informasjon om dette, pågående forhandlinger mellom EU og USA, og det nasjonale arbeidet i Skate i rapporten Helseopplysninger i skyen.

Veiledningsmateriale om skytjenester

Det finnes omfattende veiledningsmateriale om skytjenester som er utgitt av forskjellige norske myndigheter. Her er lenker til en del veiledning som vil være av interesse for virksomheter som arbeider med innføring av produkter basert på kunstig intelligens, og som vurderer å ta i bruk produkter som krever at man laster opp helseopplysninger i skyen.

Norm for informasjonssikkerhet og personvern (Normen) i helse og omsorgstjenesten har krav til bruk av skytjenester. Normen har også mye veiledningsmateriell som kan hjelpe sektoren i vurderinger av skytjenester og generelt om informasjonssikkerhet og personvern. Normens veileder i bruk av skytjenester til behandling av helse- og personopplysninger gir praktisk hjelp innenfor områdene:

  • Fastsette ansvar, inngå avtaler, ivareta kontroll og vurdere risiko
  • Belyse fordeler ved teknologien
  • Synliggjøre trusler og behov for kontroll
  • Ivaretakelse av pasientens rettigheter til samtykke, innsyn, retting sletting mv.
  • Eksempler på risikoområder som det er naturlig å belyse
  • Etabler databehandleravtale
  • Behandling av helse- og personopplysninger under Normens virkeområde

I et vedlegg til denne veilederen har Cloud Security Alliance Norway kartlagt Normens krav til Cloud Controls Matrix (CCM). I tillegg er det utarbeidet en kryssreferanse fra CCM til kapitlene i Normen. CCM-rammeverket gjør det enklere for både kunder og leverandører å snakke samme språk når sikkerheten i en skyløsning skal vurderes.

Foruten Normens veileder om bruk av skytjenester til behandling av helseopplysninger finnes det ingen andre veiledere som spesifikt omhandler bruk av skytjenester ved behandling av helseopplysninger, og det finnes ingen som spesielt omtaler bruk av systemer med kunstig intelligens i skytjenester, etter det vi kjenner til.

Norsk Helsenett har imidlertid en egen temaside om skytjenester på sine nettsider, og de utvider for tiden sitt tjenestetilbud med å bygge opp kompetanse for å tilby tjenester i skyen.

Nasjonal sikkerhetsmyndighet (NSM) har gitt ut "Grunnprinsipper for IKT-sikkerhet", som blant annet omtaler anskaffelse, sky og sikkerhet. NSM har også en nettside for ofte stilte spørsmål om sky og tjenesteutsetting, hvor også spørsmål særskilt relatert til sikkerhetsloven omtales.

Det finnes også andre generelle veiledere som er svært nyttige for aktører i helse- og omsorgstjenesten.

Digitaliseringsdirektoratet omtaler også skytjenester på sine nettsider. Hovedbudskapet er at virksomheter som etablerer nye eller oppgraderer eksisterende fagsystemer eller digitale tjenester, eller endrer eller fornyer avtaler knyttet til drift, skal vurdere skytjenester på linje med andre løsninger.

DFØ eier Markedsplassen for skytjenester, som er en del av www.anskaffelser.no. Markedsplassen skal være stedet hvor offentlige oppdragsgivere og leverandører møtes når offentlig sektor skal investere i skyteknologi. Markedsplassen skal bidra til økt utbredelse av sikre, lovlige og kostnadseffektive skytjenester. Her skal offentlige virksomheter få en god og strukturert oversikt over leverandører og tjenester tilgjengelig i markedet. Det skal være mulig å knytte seg til og benytte frivillige fellesavtaler inngått av statens innkjøpssenter. På markedsplassen skal virksomheter også finne veiledning om risiko og råd om sikkerhet. I tillegg til veiledningsaktivitet er det også flere andre store initiativ som vil få betydning på området. Internasjonale teknologiselskaper jobber med metoder for å kunne tilby plattformer, drift og funksjonalitet i Europa og fra europeisk eierskap. Dette vil ha påvirkning for helse- og omsorgssektoren i Norge.

EU satser på bruk av skytjenester og har flere initiativer for å bidra til økt bruk, Cloud computing | Shaping Europe’s digital future (europa.eu). Det er også store investeringer i utvikling av diverse store europeiske skytjenester som for eksempel Gaia-X. Relevant regelverk fra EU, om blant annet KI og NIS-direktivene, samt sikkerhetsloven vil også kunne ha betydning for vurderinger av lagring i sky.

Først publisert: 10.10.2023 Siste faglige endring: 18.03.2024 Se tidligere versjoner

FHIDirektoratet for medisinske produkterHelsetilsynet

Informasjonssidene om kunstig intelligens er et samarbeid mellom flere direktorater.