Velferdsteknologi, sikkerhet og personvern

GPS for dementeSINTEF er landets største forskningsaktør innen velferdsteknologi. Sammen med innovasjon på teknologifronten og nye anvendelser som oppstår, arbeider vi også med nye problemstillinger og trusler mot informasjonssikkerhet og personvern i denne sammenheng. Nå har et knippe av våre gode medarbeidere gitt ut en fersk oppskrift på implementering av GPS-sporing for demente på kommunalt nivå. Til oppskriften har også forskningsgruppa vår bidratt med et par avsnitt omkring risiko- og sårbarhetsanalyse (ROS-analyse) og personvern.

Begrenset til bare noen få linjer får man selvsagt ikke sagt alt. På generelt grunnlag kan vi likevel si at ROS-analysen er et nyttig styringsredskap for å prioritere tiltak, mens manglende/mangelfull ROS-analyse ved innføring av teknologi setter prosjektet i faresonen for en solid takling i hoftehøyde, forhåpentligvis før produksjonssetting. Det er imidlertid helt grunnleggende (men erfaringsmessig: ikke selvsagt!) å dokumentere ROS-analysen skriftlig. Dette følger heldigvis gjerne ved å involvere noen med tidligere erfaring fra ROS-analyser i arbeidet, og slike finnes forhåpentligvis i alle kommuner, om enn fra andre fagdomener – så gjør dét. I tillegg er det viktig å involvere noen med konkret IT-sikkerhetskompetanse i de deler hvor dette er relevant for analysen, om enn delvis fra leverandørens hold, selv om slike bidrag gjerne må kvalitetssikres. Videre må det kartlegges verdier som er i berøring med teknologien/tjenesten, og hvordan disse kan være sårbare og utsettes for risiko. Relevant her er alt fra ulike typer data som behandles og systemets fysiske komponenter, til virksomhetsrelaterte verdier, og pasienters liv og helse. Det finnes et par gode standarder som gir hjelp (NS 5814:2008, ISO/IEC 27005), samt Datatilsynet sin veileder om risikoanalyse, selv om ingen av disse er spesifikke for et gitt fagdomene. Samtidig har Helsedirektoratet gjennom Normen (Norm for informasjonssikkerhet i helse- og omsorgstjenesten) utgitt en egen veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi, og et generelt faktaark om risikovurdering som er vel verd å ta med i arbeidet.

For velferdsteknologi bidrar vi innen sikkerhet og personvern i både større forskningsprosjekter, og jevnlig i mindre prosjekter for risikovurderinger og til å gi konkrete råd. Blant annet deltok vi nylig i et prosjekt hvor KOLS-pasienter hjemmefra kan måle puls og oksygenmetning, samt gjennomføre ukentlig videokonsultasjon via nettbrett. Vi har også deltatt i ROS-analyser mot leverandører av for eksempel styring av smarte hjem, og inn mot kommunal sektor som må sørge for at teknologien sikres inn mot ulike fagsystemer og infrastruktur for øvrig. Deltakelse i slike analyser, selv av mindre omfang, er også nyttig for oss som forskere fordi det ofte trekkes opp nye problemstillinger her som gir grunnlag for videre forskning.

På to seminarer i Narvik 13. oktober og Trondheim 22. oktober skal undertegnede fortelle om hvordan framtiden kan se ut når velferdsteknologi gjør sitt inntog i private hjem, assistert av teknologileverandører som gjerne vil levere komplette tjenesteløsninger via egen (les: leid) infrastruktur (les: nettsky). Seminaret arrangeres i regi av KINS (Foreningen Kommunal Informasjonssikkerhet) som et initiativ relatert til nasjonal sikkerhetsmåned, og påmelding er åpen for alle. Programmet vil også ellers omhandle velferdsteknologi sett fra sikkerhets- og personvernfaglig ståsted, så her blir det mye nyttig å hente for den som har anledning. Håper vi møtes der!