Samkvæmt 6. gr. laga um landlækni og lýðheilsu nr. 41/2007 þarf að tilkynna fyrirhugaðan rekstur í heilbrigðisþjónustu til embættis landlæknis sem síðan þarf að staðfesta hvort sá rekstur uppfyllir faglegar kröfur og önnur skilyrði í heilbrigðislöggjöfinni. Vegna þess að sömu faglegu kröfur eru gerðar til veitingar fjarheilbrigðisþjónustu og hefðbundinnar heilbrigðisþjónustu þarf að tilkynna slíkan rekstur til embættisins.
Í tilfelli fjarheilbrigðisþjónustu þarf að fylgja með tilkynningunni lýsing á tæknilegum lausnum, persónuverndarskilmálum sem og notendaskilmálum sem snúa að þjónustunni. Óheimilt er að hefja starfsemi á sviði heilbrigðisþjónustu eða fjarheilbrigðisþjónustu nema fyrir liggi staðfesting af hálfu landlæknis.
Þegar um er að ræða rekstur sem tekur til margra verktaka er nægilegt að ábyrgðarmaður starfsstöðvar/heilbrigðisstofnunar sendi inn umsókn. Meðfylgjandi skal vera excel skjal með nafni, kennitölu og starfsheiti þeirra verktaka sem rekstur fjarheilbrigðisþjónustu tekur til.
Heilbrigðisstarfsmaður sem starfar í fjarheilbrigðisþjónustu þarf annað hvort að vera staðsettur á þeirri starfsstöð sem nefnd er í tilkynningu til embættis landlæknis um rekstur, eða að vera tengdur á öruggan hátt því kerfi sem notað er við veitingu fjarheilbrigðisþjónustu á viðkomandi starfstöð.
Ef kerfið er eingöngu aðgengilegt heilbrigðisstarfsmönnum á öruggu lokuðu neti skal heilbrigðisstarfsmaðurinn tengjast því með öruggum hætt (t.d. vpn-tenging). Heilbrigðisstarfsmanni er ekki heimilt að nýta opið eða samnýtt þráðlaust net eins og á flugvöllum eða hótelum.
Þá skal starfsmaðurinn tryggja umhverfi sitt á meðan meðferð fer fram þannig að friðhelgi sjúklings sé tryggð og að enginn óviðkomandi geti fylgst með eða truflað meðferð á meðan hún stendur yfir.
Ein af kröfum landlæknis vegna tæknilegra lausna sem nota á í fjarheilbrigðisþjónustu er að lausnin byggi á svokallaðri þriggja laga hönnun þar sem vefþjónn, vinnsluþjónn og gagnagrunnsþjónn eru á aðskildum vélbúnaði á sitt hvoru netsvæði sem aðskilin eru með eldveggjum. Engin gögn má geyma á vefþjóninum heldur skal geyma öll gögn á sérstökum gagngrunnsþjóni og skulu persónugreinanlegar upplýsingar vera dulkóðaðar í gagnagrunninum að lágmarki með 256 bita ES dulkóðun eða sambærilegri vernd.
Krafa er um að óháður og viðurkenndur sérfræðingur í netöryggi geri öryggisúttekt á kerfinu áður en það er tekið í notkun.
Öll samskipti milli heilbrigðisstarfsmanns og sjúklings eiga að vera dulkóðuð, eins og með HTTPS með dulkóðunarsamskiptastöðlunum SSL/TLS. Ekki má geyma þau hjá þriðja aðila og tryggt á að vera að enginn annar en sjúklingur og heilbrigðisstarfsmaður hafi aðgang að samskiptunum meðan á þeim stendur.
Já, en þó er óheimilt að flytja heilbrigðisupplýsingar út fyrir Evrópskra efnahagssvæðið nema að uppfylltum skilyrðum 5. kafla almennu persónuverndarreglugerðarinnar (GDPR). Ef upplýsingar eru vistaðar erlendis eru ríkari kröfur um mat á áhætta og að gripið sé til nauðsynlegra ráðstafana til að lágmarka hana.
Tæknilegar lausnir sem notaðar eru í fjarheilbrigðisþjónustu þurfa að standast strangari kröfur um öryggi og aðgangsstýringu en almennt gengur og gerist, einkum í ljósi ákvæða laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 og almennu persónuverndarreglugerðarinnar.
Huga þarf sérstaklega að öryggi persónuupplýsinga við forritun og uppsetningu samskiptalausna sem nota á í fjarheilbrigðisþjónustu og gerð er krafa um innbyggða og sjálfgefna persónuvernd við þróun. Jafnframt þarf að gera áhættumat og skilgreina öryggisráðstafanir áður en samskiptalausn er tekin í notkun.
Ef mat á áhrifum gefur til kynna að vinnsla upplýsinga hefði mikla áhættu í för með sér skal ábyrgðaraðilinn hafa samráð við Persónuvernd áður en sú vinnsla hefst.
Nota skal Heklu til sendingu gagna þegar það er mögulegt. Hekla er lokað, rafrænt samskiptanet með heilbrigðisgögn sem hægt er að nota til að senda upplýsingar milli heilbrigðisstofnana. Origo annast rekstur Heklu.
Nota skal fullgild rafræn skilríki við innskráningu og við upphaf meðferðar þarf notandi að samþykkja notkunarskilmála sem varða þjónustuna. Jafnframt skal sjúklingi veitt fræðsla um persónuverndarskilmála í tengslum við almennt netöryggi og notkun þess hugbúnaðar og þeirrar samskiptalausnar sem notuð er í hverju tilviki. Ef engin virkni er á tengingunni í 15 mínútur samfleytt er sjúklingur sjálfvirkt skráður út.
Gerð er krafa um notkun rafrænna skilríkja því einungis þau uppfylla kröfu til hæsta fullvissustigs samkvæmt alþjóðlega staðlinum ISO/IEC 29115:2013.
Ef sjúklingurinn er ólögráða og ekki með rafræn skilríki skal foreldri eða forráðamaður stofna til þjónustunnar með eigin rafrænum skilríkjum fyrir hönd sjúklingsins. Einnig er heimilt að veita öðrum umboð til að skrá sig inn í þjónustuna fyrir hönd sjúklingsins, t.d. kennara við skóla eða leikskóla, sem skráir sig inn með sínum rafrænu skilríkjum og auðkennir sjúklinginn gagnvart heilbrigðisstarfsmanninum sem veita mun þjónustuna.
Skilaboð til sjúklings með smáskilaboðum eða tölvupósti mega ekki innihalda viðkvæmar persónuupplýsingar.
Heilbrigðisstarfsmenn geta auðkennt sig á lokuðu neti rekstraraðila með hefðbundinni innskráningu með notendanafni og lykilorði. Ef kerfið er opið út á Netið og keyrir vefþjón sem aðgengilegur er öllum sem tengjast Netinu, er hins vegar gerð krafa um innskráningu heilbrigðisstarfsmanna með fullgildum rafrænum skilríkjum.
ÍST 146 Innihald almennra rafrænna skilríkja (stadlar.is)
Fyrirmæli embættis landlæknis um upplýsingaöryggi við veitingu fjarheilbrigðisþjónustu voru gefin út í janúar 2019. Aftast í fyrirmælunum má finna upplýsingar um fullvissustig rafrænna auðkenna og helstu auðkenni á Íslandi og í nágrannalöndum.
Heilbrigðisráðherra skipaði starfshóp um eflingu fjarheilbrigðisþjónustu í nóvember 2017. Hópurinn skilaði skýrslu sinni í ágúst 2018 og er þar að finna tillögur um áframhaldandi uppbyggingu og framþróun á skipulagi og framkvæmd fjarheilbrigðisþjónustu hér á landi.
Nánar má lesa um lögbundið hlutverk embættis landlæknis til að efla og hafa eftirlit með gæðum og öryggi í heilbrigðisþjónustu.
Þjónustuaðili
Embætti landlæknis