Akershus Universitetssykehus (Ahus) gir digital hjemmeoppfølging (DHO) til rundt 6000 pasienter. De fleste klarer fint å bruke tjenesten på egenhånd, mens enkelte av ulike grunner trenger hjelp fra andre for å bruke den. Det kan være fra pårørende, assistenter eller andre hjelpere. Ahus mangler en løsning som gir hjelperne egen tilgang, og ser at det har utviklet seg en uheldig praksis der hjelperne bruker pasientens påloggingsinformasjon.

Dette gjør at Ahus ikke vet hvem som logger seg inn, og heller ikke har oversikt over hvem som har sett eller gjort hva. Pasientene kan også miste oversikten selv. Å dele påloggingsinformasjon innebærer i tillegg en risiko for misbruk av andre løsninger pasienten bruker.

Ahus ønsker en løsning der pasientene gir hjelperne fullmakt til å utføre visse oppgaver for dem. Løsningen skal gjøre det mulig for hjelperne å logge seg på som seg selv. Dette vil gi bedre personvern og være til hjelp for flere pasienter og pasientgrupper som sliter med å bruke digitale verktøy uten hjelp.

I Datatilsynets regulatoriske sandkasse har vi vurdert om Ahus kan bruke en nasjonal leverandør av fullmaktsløsninger for helsesektoren, i stedet for å utvikle en egen løsning eller kjøpe det fra en privat aktør. Norsk helsenett (NHN), eid av Helse- og omsorgsdepartementet, har en fullmaktsløsning for sine brukere.

I sandkasseprosjektet har vi sett på hvilke personvernvurderinger Ahus må gjøre for å sikre pasientenes personvern om de bruker denne fullmaktsløsningen i hjemmeoppfølgingen.

Her er en oppsummering av prosjektets diskusjoner og funn:

1. Hvem har dataansvaret for behandling av personopplysninger i NHNs fullmaktsløsning?
   • Ahus bestemmer formålet med behandlingen av opplysningene og tilpasningen til fullmaktsløsningen. Det er derfor naturlig at Ahus er dataansvarlig.
     

     Dataansvar

     I helseretten brukes begrepet "dataansvar" i stedet for "behandlingsansvar" for å markere at ansvaret skiller seg fra det medisinske behandlingsansvaret.

2. Hva kan være det rettslige grunnlaget for å la pasienter bruke fullmaktsløsningen?
   • Pasient- og brukerrettighetsloven regulerer hvem som kan samtykke til helsehjelp og når barn kan samtykke. Det er i første omgang personer med samtykkekompetanse som vil bruke fullmaktsløsningen.
   • I tråd med dette kan samtykke kan være et aktuelt rettslig grunnlag, jf. artikkel 6 nr. 1 bokstav a, jf. artikkel 9 nr. 2 bokstav a.
   • Et samtykke er imidlertid ikke gyldig hvis det oppstår negative konsekvenser ved ikke å samtykke, eller om samtykket på andre måter blir gitt under press. Pasienten må kunne velge fritt. Spørsmålet er hvor fritt det oppleves å samtykke, dersom alternativet er å ikke kunne bli boende hjemme?
   • All den tid pasienten har samtykkekompetanse og selv kan velge hvem som får fullmakter, vil kravet til frivillighet kunne være oppfylt. Samtykke kan derfor være et rettslig grunnlag for å bruke den digitale fullmaktsløsningen.
3. Hvordan kan en slik løsning sikre tilgjengelighet, konfidensialitet og integritet i tråd med personvernregelverket?
   • Enhver løsning som det behandles personopplysninger i må følge krav om tekniske og organisatoriske tiltak som sikrer konfidensialitet, integritet og tilgjengelighet.
   • Siden DHO-tjenesten bruker Norsk helsenett, og noen av opplysningene som deles over tjenesten er journalpliktige, må sikkerheten tilfredsstille kravene til sikkerhet for et behandlingsrettet helseregister.
   • I denne rapporten går vi igjennom sikkerhetskravene vi mener er mest relevante for denne fullmaktsløsningen: tilgangsstyring og løsninger som sikrer sporbarhet.