Fullt fokus på dataskydd och personuppgifter

De senaste åren har tydligt visat att digital vård behövs och är här för att stanna. Därför är det också viktigare än någonsin att både vårdgivare och teknikleverantörer frågar sig: Hur ser vi till att skydda patientsäkerheten och integriteten inom digital vård?

Ludvig Borgvall är jurist på Visiba och arbetar bland annat med att definiera och dokumentera bolagets processer för dataskydd och personuppgifter, samt för att säkerställa att såväl produkt som organisation efterlever relevanta lagar och regler. I den här artikeln ges en djupare inblick i några av de åtgärder Visiba vidtar för att både organisation och produkt ska leva upp till de krav på säkerhet och integritet som vårdorganisationer och patienter har rätt att förvänta sig.

Dataskydd kräver både proaktivt och reaktivt arbete. Visiba Care är en digital plattform som skapades specifikt för hälso- och sjukvården. Ett starkt fokus på informationssäkerhet har därför funnits med redan från start. Men i år tar vi ytterligare kliv för att säkerställa att etablerade processer efterlevs samtidigt som vi investerar i framtida förbättringar. Detta kommer att ske dels genom att befästa befintliga processer, dels genom att definiera och implementera nya. Ofta är tekniska åtgärder och skyddet för själva produkten rent tekniskt i fokus när man pratar om informationssäkerhet. Det tekniska skyddet spelar onekligen en central roll, men det finns också en annan aspekt som inte får glömmas bort: organisatoriska åtgärder.

Tekniska åtgärder

Att utveckla en plattform specifikt för digital vård har både sina styrkor och begränsningar. Vårdgivare hanterar stora mängder integritetskänsliga uppgifter, som ofta kräver mer omsorg och skydd än andra typer av personuppgifter.  För att säkerställa att dataskydd och den personliga integriteten alltid beaktas när vi utvecklar vår tjänst jobbar vi mycket med principerna om inbyggt dataskydd (privacy by design) och dataskydd som standard (privacy by default). Därtill jobbar Visibas produktteam i nära samarbete med bolaget interna och externa jurister, så att riskbedömningar och juridiska överväganden görs genom hela utvecklingsprocessen – från idé till lansering. Några exempel på funktioner som tagits fram utifrån dessa principer är:

• Åtkomstkontroll: Vårdgivare i Visiba Care kan enkelt skapa egna åtkomstkontroller (dvs. vilken användare som ska kunna se vilken typ av data) för att säkerställa att informationen endast är tillgänglig för de användare som har behov av den. Åtkomstkontrollerna kan till exempel konfigureras så att kliniska uppgifter endast är tillgängliga för användarbehörigheten vårdutövare och inte för administratörer. Dessutom loggar plattformen automatiskt vårdpersonalens tillgång till information i plattformen, så att vårdgivare vid behov kan följa upp och utreda obehörig åtkomst till uppgifter i tjänsten.
  
  
• Tvåfaktorsautentisering: Bristfälliga autentiseringsmetoder vid inloggning innebär ökad risk för att en obehörig tredje part får tillgång till känsliga uppgifter om en annan person. Tvåfaktorsautentisering är ett av de säkraste (och mest användarvänliga) sätten att få åtkomst till en tjänst. I många länder är tvåfaktorsautentisering därför ett minimikrav enligt lag för tjänster som hanterar känsliga uppgifter såsom hälsodata. För de flesta konventionella videotjänster går det att bestämma hur vårdpersonalen ska logga in till videosamtalet, däremot är tvåfaktorsautentisering sällan möjlig för patienter och gästdeltagare. För att värna om alla användares integritet har Visiba integrerat tvåfaktorsautentisering som standard, vilket ger ett extra lager säkerhet för alla användare och alla typer av kommunikationskanaler (meddelanden, video och drop-in), genom att använda de säkraste verktygen som finns tillgängliga i respektive land.
  
  
• Lagringsminimering: Enligt GDPR och andra dataskyddslagar får man inte spara personuppgifter längre än nödvändigt. Uppgifter som inte längre behövs, eller när individen inte längre behöver identifieras, måste antingen raderas eller anonymiseras. För att underlätta arbetet med att regelbundet radera data har Visiba en funktion som automatiskt raderar eller anonymiserar olika kategorier av data enligt förinställda tidsintervall, som vårdgivaren själv bestämmer. Just nu arbetar vi med att utveckla denna funktion ytterligare, så att vårdgivare ska kunna styra gallringsfrister för olika typer av data på ännu mer detaljerad nivå.
  
  
• Den registrerades rättigheter: Våra kunders patienter har, precis som andra, ett flertal rättigheter enligt GDPR och andra dataskyddslagar. Till exempel kan en användare ha rätt att få tillgång till sina personuppgifter och begära att få sina uppgifter raderade. För att våra kunder ska kunna hantera dessa typer av förfrågningar snabbt och smidigt har vi bland annat gjort det enkelt att exportera och radera personuppgifter om enskilda användare i plattformen.
  
  
• Integrationer: Att olika system kan kommunicera med varandra är en förutsättning för att verklig digital transformation ska kunna uppnås. För att integrationen ska ske på ett säkert sätt är det dock nödvändigt att både tekniska och organisatoriska rutiner följs. Eftersom Visiba har en systemarkitektur som stöder integrationer kan vi säkerställa att a) rätt/begärda uppgifter skickas till det mottagande systemet, och att b) dessa uppgifter krypteras, så att de förblir privata även under överföringen. På det organisatoriska planet ser vi bland annat alltid till att begäran om och instruktioner för integrationer kommer från rätt instans inom den mottagande vårdorganisationen.

Organisatoriska åtgärder

Tekniska åtgärder behövs för att garantera säkerheten för personuppgifter och annan information. Men organisatoriska åtgärder och informationssäkerhetstyrning – både internt och externt – är minst lika viktigt. En organisation består av både människor och processer, och för att kunna säkerställa en hög nivå av informationssäkerhet, vara proaktiv och agera snabbt vid behov måste processerna separeras från personerna. Då finns kunskapen om hur man ska agera vid olika situationer kvar inom organisationen, även när enskilda individer slutar eller byter roll inom bolaget.

På Visiba har vi förmånen att ha en hög nivå av yrkesmässig mognad hos våra medarbetare. Samtidigt är vi medvetna om att informationssäkerhet är ett ständigt pågående projekt och att det alltid finns utrymme för förbättringar. Därför har vi under 2023 infört ISO 27001, som är en globalt erkänd standard från International Organization for Standardization (ISO) i samarbete med International Electrotechnical Commission (IEC) för hantering av informationssäkerhetsrisker. I likhet med andra ISO-standarder innehåller ISO 27001-standarden en uppsättning standardiserade krav, i det här fallet gällande system för hantering av informationssäkerhet (ISMS). Standarden använder en processbaserad metod för att etablera, implementera, driva, övervaka, underhålla och förbättra våra ISMS, både när det gäller organisation och teknik, vilket hjälper oss att skydda information på ett systematiskt och kostnadseffektivt sätt.

Under de senaste åren har vi sett över våra processer för informationssäkerhet, uppdaterat vid behov samt implementera nya processer, för att säkerställa att alla personuppgifter som vi behandlar har ett starkt och framtidssäkrat skydd.

"Vår oberoende ackrediterad certifiering för ISO 27001, för att kunna påvisa att vår ISMS följer bästa praxis för informationssäkerhet."

Som tidigare nämnt handlar informationssäkerhet både om att vara proaktiv och reaktiv – och proaktivt fastställa hur man ska vara reaktiv. I en digital värld finns det tyvärr få företag som aldrig kommer att uppleva någon form av incident (och i så fall borde varningsklockan ringa, då det talar för att organisationen saknar processer för att upptäcka dem).

Därför krävs:
a) processer för att förebygga att fel och incidenter inträffar från första början, men också
b) en organisation och processer för att kunna identifiera och hantera potentiella incidenter på ett snabbt och effektivt sätt.

Vi har en spännande resa framför oss. Även om grundarbetet är etablerat sedan länge är informationssäkerhet ett ständigt pågående arbete. När världen runt omkring oss förändras och vi som organisation växer, behöver även våra processer och rutiner förändras och växa. Samtidigt ligger vårt utvecklingsfokus – som alltid – på våra kunder – att underlätta, stötta och ge dem de allra bästa förutsättningarna för att lyckas på sin resa mot den digitala transformationen. Att våra kunder kan känna sig trygga i vårt sätt att arbeta med informationssäkerhet och användarintegritet är centralt för att uppnå just detta.