Godt spørsmål! I Normens velferdsteknologiveileder, https://www.ehelse.no/normen/veiledere/Veileder-informasjonssikkerhet-personvern-velferdsteknologi, bruker vi medisindispenser i et DPIA-eksempel. Da kommer kommunen i eksempelet frem til at det ikke er ny teknologi pga at det er i bruk i flere andre kommuner. Men dette er en glidende overgang. For hvor mye erfaring trengs før teknologien ikke er ny lenger? Det viktigste er at dere har et bevisst forhold til det. Og at det at andre har tatt det i bruk rent faktisk har gitt dere erfaringer/fordeler som gjør at risikoen for de registrerte blir lavere. Og at dere beskriver dette.

Spørsmålet Aasta svarte på over var følgende: Ny teknologi- er det ny teknologi for organisasjonen, eks medisindispender- benyttet i mange kommuner- ingen ny teknologi- men for vår organisasjon er det ny teknologi. Hva legges i ny teknologi?

Det er viktig å ikke se på momentene for høy risiko som kun en liste der "1 + 1 =2". En faktisk vurdering må til.

Gav det mening? :)

SPM fra deltager: "Dette med vurdering av høy risiko ganske vanskelig. Vet ikke hvor mange veiledere jeg har lest, quick guider etc- men det er fortsatt litt komplisert- så veiledere med flere konkrete eksempler blir fint."

Mitt svar: Det forstår jeg godt. Jeg syns det er kjempevanskelig. Et sånn generelt råd er at har du gjort en bevisst og god vurdering så er du godt på vei. Mange av begrepene er skjønnsmessige; stort omfang, høy risiko, ny teknologi. Beskriv og forklar hva du legger i det og hvordan det vurderes i din løsning og din virksomhet. Da er du veldig godt på vei. Og få godkjenning av ledelse.

Da prøver jeg og dele lenken på nytt https://www.ehelse.no/normen/veiledere/Veileder-informasjonssikkerhet-personvern-velferdsteknologi

Spm fra deltager: Usikkerheten har vel medført at vi har utført DPIA uten at vi egentlig har trengt det kanskje...

Mitt svar: Ja, og du er ikke alene i den båten. Det er også en av grunnene til at vi har revidert malen. Og at vi forsøker å være litt mer pragmatiske når vi omtaler dette. Usikkerheten og mangel på kompetanse på et vanskelig område, har ført til både for mange og for få personvernkonsekvensvurdering.

Det er mye læring i å kjøre DPIA, så selv om det er gjort uten at det er strengt tatt nødvendig gir det ofte god læring i organisasjonen.

Det er også et viktig poeng Jo!

Et viktig mål med å lage en ny mal er at den lett kan deles med andre. Vi må bli bedre på deling av personvernkonsekvensvurderinger! Og så må virksomheten gjøre det til sitt eget. Ikke bare ta inn andres vurdering. For dette er konkrete vurderinger som er avhengig av kontekst.

Jeg har vært med å bygge opp internkontroll for informasjonssikkerhet i kommunen, og tenker at det også dekker helse og omsorgssektoren. Er det nødvendig med egen internkontroll for helse og omsorgssektoren?

Innspill fra deltaker: Godt å høre det er fleksibilitet. At dere sier det handler om å gjøre vurderinger, og ikke bare følge trinn slavisk. Jeg hadde for eksempel selv tenkt dette med at medisindispensere egentlig ikke er ny teknologi, og at det er veldig mye erfaring å trekke på som gjør at man ikke behøver å gjøre alt fra bunn av selv. Men synes derimot en del av de skriftlige anbefalingene og regler fremkommer mye mer firkantet, og gir inntrykket av at hver eneste organisasjon må gjøre hvert eneste trinn uavhengig hvilke erfaringer og vurderinger som allerede er gjort av andre.

Innspill fra deltaker: God DPIA og Ros-analyse er gode verktøy når en skal lage/oppdatere rutiner og prosedyrer for opplæring

Lenken fungerer

Er det kommunen som er virksomheten i denne sammenhengen? Slik at DPIA gjennomføres på overordnet nivå når ny teknologi skal tas i bruk? Eller er det den enkelte virksomhet i en kommune f.eks institusjon eller hjemmetjeneste? Ser jo at det kreves både kompetanse innen personvern og informasjonssikkerhet og helsekompetanse for å gjøre disse vurderingene.

DPIA og ROS'er burde vært samlet i et bibliotek. Mye kan gjøres ferdig av leverandører, så kan vi i kommunene bruke tid på det som er spesifikt for oss. Vi bruker mye tid på dette, og det er mye synsing på detaljer som vi ikke har forutsetninger for å svare på. Det jobbes med dette i Digi nettverkene.

Tilbyr dere kurs i KS-læring? Tenker at dette er viktig også for de som ble utdannet for flere år tilbake. Og dette kan være en nyttig ressurs for de som driver internopplæring ute i kommunene.

Svar på "God DPIA og Ros-analyse er gode verktøy når en skal lage/oppdatere rutiner og prosedyrer for opplæring": Godt poeng! Det å bruke risikoer som er identifisert gjennom ROS og DPIA er veldig nyttig. Og ofte så er jo jo tiltakene vi kan gjøre for å ta ned risiko nettopp; opplæring og gode rutiner.

Svar til "Det jobbes med dette i Digi nettverkene.": Jeg og Siw var i Digi Vestland nå i høst. Kjempebra gjeng! Hvis noen vil invitere oss inn i de andre Digi-nettverkene og tenker at vi kan bidra med noe så kommer vi gjerne :)

Svar på "Jeg har vært med å bygge opp internkontroll for informasjonssikkerhet i kommunen, og tenker at det også dekker helse og omsorgssektoren. Er det nødvendig med egen internkontroll for helse og omsorgssektoren?"

Mitt svar: Nei, det er ikke nødvendig. Og ikke anbefalt. Men kravene i helselovgivning og Normen må ivaretas i internkontrollen.

Til Digsam; Så fantastisk!!

Så bra Svein Inge

Knallbra undervisningsopplegg!

Da håper jeg å se det i KS læring, da det er plattformen kommunene bruker.

Husk at dere alltid kan ta kontakt med oss på sikkerhetsnormen@ehelse.no :)

veldig bra undervisning, men håper at det kan gjøres digitalt i tillegg til seminaret med nærvær neste år.....