Videosamtale med Akuttmedisinsk kommunikasjonssentral - i ett informasjonssikkerhets perspektiv
Abstract
Ikke visste vel jeg da jeg begynte å skrive på denne oppgaven, at den skulle få en så uhyggelig aktualitet som den gjorde. Jeg ville se på informasjonssikkerheten i en tjeneste som var under utvikling, nemlig muligheten for videosamtale mellom AMK-operatør og innringer. Var det mulig å utvikle en slik tjeneste innenfor rammene av det eksisterende lovverket som ivaretar personvern og informasjonssikkerhet? Allerede i starten av mitt arbeid begynte det å ulme en global fare i Kina, en farlig pandemi var under rask utvikling. Og snart preget Corona-pandemien hele verdenssamfunnet, med nedstenging av hele samfunn som verden ikke har sett maken til i fredstid. Med denne isolasjonen tvang det seg frem nye måter å samarbeide på, for å holde samfunnet i gang.
De fleste av oss ble beordret til hjemmekontor over lang, lang tid. Vi ble nærmest over natten tvunget til å ta i bruk digitale kommunikasjonsplattformer, som kanskje ikke var dimensjonert for den omfattende bruken. Da vi stod i en situasjon som ikke var planlagt, bar kanskje innføring og bruk av nye samhandlingsplattformer preg også av dette. Etter kort tids bruk ble en klar over at disse nye samhandlingsplattformene kunne være en trussel for informasjonssikkerheten.Så mens pandemien utfoldet seg der ute i den virkelige verden og kom stadig nærmere og nærmere, med alle de konsekvenser det hadde med seg, satt jeg og skrev om informasjonssikkerhet i en digital samhandlingstjeneste, videosamtale mellom AMK og innringer.Mulighetene for og kravene om å ta i bruk ny teknologi i helsevesenet, har utfordret personvernet. I den perioden jeg har skrevet på denne oppgaven har der jevnlig vært rapportert om nye dataangrep, hvor uvedkommende har fått tilgang til eller prøvd å få tilgang til helsedataene våre. Der er meldt om datainnbrudd og andre former for data-angrep både målrettet mot bl.a. sykehus og legekontor, men også angrep som treffer mer tilfeldig.Helsevesenet skal fylle mange funksjoner og dekke mange behov. Jeg har i denne oppgaven sett nærmere på den prehospitale kjeden, som har ansvar for å bistå når akutte hendelser og kriser oppstår. Jeg har fordypet meg i informasjonssikkerheten i en tjeneste som muliggjør videosamtale mellom AMK-operatør og innringer.
For å få innsikt i hvordan AMK-tjenesten er bygget opp, hvilket ansvar og arbeidsoppgaver den enkelte AMK-operatør har, har jeg benyttet en ferdig utarbeidet behovsanalyse utført av Making Waves. Den har gitt meg verdifull innsikt i hvordan arbeidshverdagen til den som sitter og besvarer nødsamtaler kan arte seg. Helsevesenet er underlagt mange lover og forskrifter. Den prehospitale kjeden har, i tillegg til ordinær helselovgivning egen forskrift som må overholdes. Dette er Akuttmedisinsk forskrift.Også når det gjelder informasjonssikkerhet er der mange lover og regler som regulerer tilgang til helseopplysninger. Disse skal bidra til tilfredsstillende informasjonssikkerhet slik at helsehjelp kan tilbys på en forsvarlig og effektiv måte samtidig som personvernet ivaretas. Det er viktig at vi som privatpersoner kan ha tillit til at våre personopplysninger blir behandlet på en forsvarlig måte. Før en ny datatjeneste kan tas i bruk i helsevesenet, må den gjennomgå en vurdering i forhold til hvordan informasjonssikkerheten i den nye tjenesten er i varetatt. Dette for å ivareta risikostyringen hos databehandlere av sensitive personopplysninger.Et viktig hjelpemiddel i arbeidet med risikovurdering for en tjeneste er verktøyet risiko- og sårbarhetsanalyse (ROS -analyse). Jeg har derfor foretatt en Ros-analyse av en tjeneste som gjør det mulig å etablere en videosamtale mellom AMK-operatør og innringer. ROS-analysen er basert på gjeldende lover og forskrifter, samt sikkerhetsprinsipper etablert for å oppnå tilfredsstillende informasjonssikkerhet i infrastruktur og applikasjoner.
På bakgrunn av den teorien jeg har benyttet, behovsanalysen, gjeldende lovverk og svar innkommet i spørreundersøkelse utført bland AMK-operatører, mener jeg denne oppgaven kan konklusjonen med at dette er et svært viktig verktøy for AMK-operatørene, som med gitte forutsetninger, er innenfor akseptable rammer for informasjonssikkerheten til enkeltmennesker i en sårbar situasjon. AMK-operatørene rapporterer i sine svar fra spørreundersøkelsen at de har reddet mange liv allerede på den tiden de har hatt tilgang til video som verktøy. Den beskrives som «Et helt uvurderlig verktøy. En ny æra innen akuttmedisin» When I started writing this thesis, I did not know that it would have such an eerie topicality as it has. I wanted to look at information-security in a service that was under development, the possibility of video-calls between AMK-operators and callers. Was it possible to develop such a service within the framework of the existing legislation that safeguards privacy and information security? At the start of my work, a global danger began to simmer in China, a dangerous pandemic was developing rapidly. Soon the Corona pandemic affected the entire world, with closures of entire communities, closures on a scale the world had not before seen in modern time. With this isolation, we were forced to find new ways of working together, to keep society going.The most of us were assigned to home-offices over a long period of time. Almost overnight, we were forced to use digital communication platforms, which may not have been dimensioned for this extensive use. Now we were in a situation that was not planned, perhaps the introduction and use of new interaction platforms was affected by this. After a short period of time, it became clear that these new collaboration platforms could be a threat to information security.
So while the pandemic unfolded out there in the real world and got closer and closer to home, with all the consequences it brought, I sat and wrote about information-security in a digital interaction-service, video-call between AMK and caller. The possibilities for, and requirements for using new technology in the healthcare system have challenged privacy. In the period I have worked on this thesis, new data-attacks have been regularly reported, where unauthorized people have gained access to or tried to gain access to our healthcare data.
There have been reports of data-burglary and other forms of data-attacks targeting both hospitals and doctors' offices, but also more random attacks. The health care must fulfill many functions and cover many needs. In this thesis, I have looked more closely at the prehospital chain, which is responsible for assisting when acute incidents and crises occur. I have immersed myself in information security in a service that enables video calling between AMK-operators and callers.
In order to gain insight into how the AMK-service is structured, and what responsibilities and expectations of the individual AMK-operator, I have used a completed needs analysis carried out by Making Waves. This provides valuable insight into how the working day of the person answering emergency calls can be.Health care is subject to many laws and regulations. In addition to ordinary health legislation, the prehospital chain has its own regulations that must be complied to. This is the Emergency Medical Regulations.
When it comes to information security, there are many laws and regulations that regulate access to health information. They contribute to satisfactory information security so that health care can be offered in a responsible and effective manner, at the same time as privacy is safeguarded. It is important that we as private individuals can have confidence that our personal data is processed in a responsible manner. Before a new data service can be used in the health care system, it must undergo an assessment in relation to how the information security in the new service is taken care of. This takes care of the risk management of data processors of sensitive personal data.An important tool in the work with risk assessment for a service is the tool of risk and vulnerability analysis (ROS analysis). I have therefore carried out a praise analysis of a service that makes it possible to establish a video call between the AMK-operator and the caller. The ROS analysis is based on current laws and regulations, as well as security principles established to achieve satisfactory information security in infrastructure and applications.
Based on the theory I have used, the needs analysis, current legislation and answers received in a survey conducted among AMK-operators, I believe this thesis can conclude that this is a very important tool for AMK-operators, who with given assumptions, are within acceptable framework for the information security of individuals in a vulnerable situation.The AMK-operators report that they have saved many lives already in the time they have had access to video as a tool. It is described as «A completely invaluable tool. A new era in emergency medicine. »