Hvordan håndtere data fra bolig? Oppsummering fra dialogmøtet

IMG_8888 - CopyI november inviterte vi til seminar/dialogmøte omkring et aktuelt tema: “Hvordan håndtere data fra en bolig på en god måte?”. Arrangementet kom i stand gjennom prosjektet Safer@Home, som er støttet av VERDIKT-programmet i Norges forskningsråd. Om lag 45 deltakere fra helsevesen, kommunal sektor, teknologi-industri, forskning og myndigheter deltok. Her følger en oppsummering, og PDF-er av innleggsholdernes presentasjoner.

Ingrid Svagård er forskningsleder ved SINTEF IKT, og innledet med perspektiver fra et knippe forsknings- og innovasjonsprosjekter vi deltar i innen velferdsteknologi. Hun trakk fram sentrale utfordringer knyttet til utvikling av nye tjenestemodeller, og integrering av de mange vertikale løsningene vi har i dag slik at vi får en felles brukerflate. Mye sensorteknologi er spennende, men det gjør liten nytte uten en infrastruktur på plass som tar i mot og behandler alle dataene herfra på en god måte. Se video av presentasjonen:

Erlend Andreas Gjære, SINTEF IKT
Erlend Andreas Gjære, SINTEF

Erlend Andreas Gjære, også fra SINTEF IKT, fulgte opp med muligheter og utfordringer som følger med all den smarte teknologien vi etter hvert fyller hjemmene våre med (last ned PDF av presentasjon). Velferdsteknologi, hjemmeautomasjonssystemer, alarmsystemer og smarte strømmålere kobler huset til Internett. Trusselbildet utvides, globale aktører banker på døren, og personvernet er i skvis mellom mange interessenter. Som også flere snakket om seinere, er innebygd personvern tilnærmingen vi må ta inn over oss – men hva kan dette bety i praksis? Vi må ikke slå oss til ro med løsninger som bare leverer funksjonelt, men tidlig gå inn for at også de bygger inn personvern og sikkerhet på en måte som svarer til rollen de settes inn i. GPS-sporing av demente er et godt eksempel, der hjemmetjenesten ikke trenger kart plottet med brukerens bevegelser over tid, kun for å sjekke om vedkommende er hjemme. Dette er likevel helst standardtilnærmingen i ulike sporingsløsninger, mens en enkel ja/nei-indikator hadde vært mer målrettet her. Samtidig kan man støtte unntakstilfellene der man faktisk må ut og lete etter brukeren, ved å lage fleksible brukergrensesnitt.

Personvern må inn tidlig

Atle Årnes fra Datatilsynet var opptatt av dette i sitt innlegg (last ned PDF): Ta hensyn til personvernet tidlig i prosessen. I en oppsummering skriver han følgende:

Atle Årnes, fagdirektør teknologi, Datatilsynet
Atle Årnes, Datatilsynet

I dagens teknologiske samfunn, utfordres grensene mellom personvern, brukervennlighet og tilgjengelighet. Datatilsynet ser at brukere av nettbaserte tjenester forventer at løsningene både er sikre, og ivaretar personopplysningene på en god måte. Personvern er ikke bare forventet, men også et mulig konkurransefortrinn for mange virksomheter. Dersom en virksomhet kan vise at de forvalter personopplysninger på en bedre måte enn en konkurrent som har tilsvarende løsning, vil brukerne foretrekke virksomheten med fokus på personvern. Lekkasjer eller misbruk av personopplysninger kan bety svekket tillit, som ofte fører til tap av omdømme. Det er viktig å unngå slike hendelser, og det viser seg ofte kostbart å rette opp feilen, og endre løsningen i etterkant.

For å lage en personvernvennlig løsning, er det viktig å vurdere risikoene for personvernet så tidlig som mulig i utviklingsprosessen. Kostnadene ved å rette feil og mangler ved et ferdig system kan være høye. Dersom du tar hensyn til personvernet tidlig i utviklingen kan du unngå unødvendige krenkelser av personvernet.

Her er de 7 stegene til innebygd personvern:

  1. Vær i forkant, forebygg fremfor å reparere
  2. Gjør personvern til standardinnstilling
  3. Bygg personvern inn i designet
  4. Skap full funksjonalitet: Både-og, ikke enten-eller
  5. Ivareta informasjonssikkerheten fra start til slutt
  6. Vis åpenhet
  7. Respekter brukerens personvern

Innebygd personvern, eller Privacy by Design, betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Det er både kostnadsbesparende og mer effektivt enn å endre et ferdig system. Mer informasjon om dette finner du på Datatilsynets hjemmesider: datatilsynet.no og personvernbloggen.no.

Svein-Tore Omdahl, Accenture
Svein-Tore Omdahl, Accenture

Også Svein-Tore Omdahl, Nordic Security Lead i Accenture, snakket om personvern og sikkerhet i utviklingsprosessen – og bekreftet at tidlig fokus på dette er viktig. God kultur og ledelse er viktig for å bygge inn sikkerhet og personvern i tjenestene; prosjektdeltakere forstår bedre, ser utfordringer tidligere, og spør gjerne når de møter problemstillinger. Han påpekte hvordan utenlandske aktører gjerne ikke tenker de samme tankene som oss når det kommer til godt personvern og for eksempel beskyttelse av helsedata. Fra arbeidet med utvikling av nasjonal kjernejournal kommenterte han dessuten hvordan det kan være krevende å omgjøre regulatoriske forhold til konkrete løsningskrav. Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren (Normen) er ansett som et godt og nyttig verktøy, men treffer kanskje ikke godt for private hjem. Kunne det utvikles en tilsvarende norm for håndtering og bruk av data fra bolig?

Behov for standardisering

Roald Bergstrøm, Helsedirektoratet
Roald Bergstrøm, Helsedirektoratet

Fra Helsedirektoratet kom seniorrådgiver Roald Bergstrøm og fortalte hvordan de ligger an i forhold til standardisering av morgendagens omsorg (last ned PDF). Han pekte på stortingsmelding 29 som har et eget avsnitt om behovet for standardisering, og videre til Danmark som har blitt med i Continua-samarbeidet for å nå tilsvarende mål. Men standardisering ønskes også for tjenestene som henger sammen med innsamlede data, for eksempel hvis du faller på golvet; hva skal skje da, hvem skal følge opp, og hvor fort må dette gjøres? Dette er ikke med i Continua. Helsedirektoratet, KommIT, Standard Norge og Norsk helsenett samarbeider på nasjonalt plan, og en foreløpig rapport skal være klar før jul – om enn ikke offentlig i første omgang.

Håvard Resløkken, Tieto
Håvard Resløkken, Tieto

Håvard Resløkken, direktør i Tieto Welfare Norway, deltok som representant fra en journalsystem-leverandør som også ser at mange tjeneste-vertikaler må integreres (last ned PDF). Leverandørsiden vil gjerne ha standardisering, men samtidig er det behov for å gjennomføre lokale initiativer nå. Det er også uklart hvordan man eventuelt får tak i data fra andre aktører, som energiselskaper og (halv-)private selskaper. Han var imidlertid opptatt av at en datahendelse alltid skal utløse en kommunal tjeneste/aktivitet, og at dette henger nøye sammen med hvilke data fra en bolig som faktisk er aktuelle for pasientjournalen. Her ligger også spørsmål om hva som skal oppnås, og hvorvidt det faktisk gir kvalitetsgevinst eller økt effektivitet.

IMG_8890 nard
Nard Schreurs, IKT-Norge

Videre er dette relevant i et Internett hvor mer enn halvparten av all datatrafikk nå skjer mellom maskiner uten menneskelig involvering (M2M), som Nard Schreurs fra IKT-Norge kunne berette (last ned PDF). Han trakk også fram selvmåling av egen helsetilstand via smart-telefoner som et nytt område de globale aktørene er i ferd med å ta hånd om. Datamengdene gir enorme muligheter for innovasjon til både smartere byer og smartere organisering av f.eks. helsetjenester. Samtidig reises spørsmål omkring hvem som eier disse dataene og hva som skjer dersom man skal bytte leverandør. Og tenker vi kun på velferdsteknologi som ramme for data fra boligen, blir det for smalt. Er det mulig å tenke seg ett datasett per innbygger, spurte han.

Plenumsdiskusjon og veien videre

Flere argumenter for og i mot sentralisert lagring av data kom fram i den påfølgende diskusjonen. Fra industrien ble det sagt at en hub-tilnærming fra offentlig hold ville være fordelaktig med tanke på færre integrasjoner, sentralisert vedlikehold, etc. – heller enn mange små-forvaltere med begrensede ressurser hver. På den andre siden kan jo konsekvensene bli tilsvarende mye større dersom den ene store hub-en kompromitteres, i stedet for en av disse små. Det ble vist til bank- og finansbransjen som har gått sammen om en felles påloggingsløsning, og Altinn var også nevnt som potensiell plattform.

Skytjenester er ikke noe grunnleggende i veien med, ettersom de kommer i ulike varianter. Både Narvik kommune var nevnt, og vedtaket mot Salems kommun i Sverige, som eksempler på hvordan standardvilkår fra globale tilbydere ofte kan komme i veien for forsvarlig bruk av nettskyen i offentlig sammenheng. Det avgjørende er imidlertid databehandleravtalen, og de fører ingen generell motstand mot nettsky, påpekte Datatilsynet – med henvisning til deres retningslinjer for bruk av skytjenester.

Det var også tatt opp ulikheter mellom håndtering av data fra forskningsprosjekter og systemer som settes i produksjon. Utfordringer med samtykke var nevnt, de leses ikke eller forstås ikke – syke har spesielt utfordringer – og dette fordrer at man må gjøre en enda bedre jobb. Som en positiv bi-effekt økes gjerne bevissthet omkring problematikken. NSD er personvernombud slik som Datatilsynet, men for forskning.

IMG_8891

I diskusjonen ble det treffende kommentert at vi er i ferd med å gjøre hjemmet til en behandlingsinstitusjon, med et tjenestenivå som tilsvarer det institusjonelle. Samtidig er hjemmet privat, og normalt har du stor frihet til å gjøre hva du vil i ditt eget hjem. Hva skjer når du f.eks. overvåker andre som utfører f.eks. tjenester i hjemme ditt eller som pårørende til andre? Hva gjør du som profesjonell tjenesteyter? Datatilsynet hadde ikke noe klart svar på dette.

Det er mange problemstillinger på dette området som vil trenge oppfølging videre. Noen av disse er særegne for helse- og velferdsteknologi, men flere fikk nok øynene opp for at det også er flere bransjer og sektorer som banker på døren til boligen og vil gjøre seg nytte av data herfra. Vi ser at samarbeid på tvers er ønskelig i tiden som kommer, men at det også er nyttig og nødvendig med noen felles holdepunkter allerede nå.