Notkun tæknilausna og samfélagsmiðla til samskipta við aðstandendur íbúa á hjúkrunarheimilum
Persónuvernd hefur tekið saman helstu atriði sem ber að hafa í huga við samskipti við aðstandendur íbúa á hjúkrunarheimilum:
1. Stjórnendur hjúkrunar- og dvalarheimila eru hvattir til að veita starfsmönnum greinargóðar upplýsingar um þau tæki og tæknilausnir sem notast á við. Við val á tækjum og tæknilausnum ætti að hafa samband við persónuverndarfulltrúa heimilisins auk þess sem nauðsynlegt getur verið að gera áhættumat áður en ný tækni er tekin í notkun og innleiða viðeigandi öryggisráðstafanir.
2. Mikilvægt er að starfsmenn kanni afstöðu stjórnenda til tiltekinna tæknilausna áður en þær eru teknar í notkun.
3. Vakin er sérstök athygli á því að ávallt þarf að gæta fyllstu varkárni við vinnslu viðkvæmra persónuupplýsinga, ekki síst þegar nýttar eru stafrænar lausnir. Þannig mælist Persónuvernd til þess að upplýsingakerfi hjúkrunarheimilanna, svo sem sjúkraskrárkerfi og málaskrá, séu fyrst og fremst notuð fyrir vinnslu slíkra upplýsinga.
4. Notkun samfélagsmiðla í samskiptum við aðstandendur.
Samskipti heilbrigðisstarfsfólks og annarra starfsmanna hjúkrunarheimila við aðstandendur um heilsufar, lyfjanotkun og líðan heimilismanna skulu ekki fara fram í gegnum samfélagsmiðla. Við slíka miðlun persónuupplýsinga skal notast við búnað og tæknilausnir sem tryggja viðunandi öryggi upplýsinganna.
Almennt fellur samfélagsmiðlanotkun heimilismanns sjálfs utan gildissviðs persónuverndarlaga. Þannig er litið svo á að samskipti heimilisfólks við aðstandendur sína geti farið fram í gegnum samfélagsmiðla, þar á meðal þá samfélagsmiðla sem bjóða upp á myndsímtöl. Þá eru almennt ekki gerðar athugasemdir við að myndum sé deilt með fjölskyldu eða vinum viðkomandi heimilismanns innan lokaðra hópa, að því gefnu að samþykki heimilismannsins sjálfs liggi fyrir. Eftir sem áður þarf að gæta að almennum sjónarmiðum varðandi sanngirni gagnvart heimilismanni og að deila ekki myndefni sem hann vill ekki að sé deilt, þykir óþægilegt eða sýnir hann í viðkvæmum aðstæðum.
Til viðbótar við framangreint skal tekið fram að ekki eru gerðar athugasemdir við myndbirtingar úr almennu starfi hjúkrunarheimila sem innihalda ekki neinar upplýsingar viðkvæms eðlis. Er því almennt ekkert því til fyrirstöðu að nýta samfélagsmiðla til að dreifa upplýsingum um viðburði á vegum heimilanna og birta tilkynningar sem ekki teljast til persónuupplýsinga.
5. Öryggi persónuupplýsinga í fjarvinnu (fyrir starfsfólk heimilanna)
Persónuvernd hefur birt leiðbeiningar vegna vinnslu persónuupplýsinga í fjarvinnu. Þar segir eftirfarandi um öryggi persónuupplýsinga við þær aðstæður:
Ákvörðun um fjarvinnu starfsmanna, þ.e. með veitingu aðgangs að kerfum utan innra nets vinnustaðar sem innihalda persónuupplýsingar, þarf alla jafna að byggjast á áhættumati, sem tekur mið af eðli þeirra upplýsinga sem starfsmenn vinna með. Því viðkvæmari eða umfangsmeiri sem upplýsingarnar eru, því strangari kröfur þarf að gera til þeirra ráðstafana sem grípa þarf til í því skyni að tryggja öryggi innri neta í viðkomandi starfsemi.
Algengasta öryggisráðstöfunin er að setja upp svokallaðar VPN-tengingar á vinnutölvur starfsmanna. Með vinnutölvum starfsmanna er átt við tölvur sem vinnuveitandi útvegar og eru ekki notaðar í einkaerindum. Í VPN-tengingu felst að samskipti starfsmanns við innra net eru dulkóðuð yfir Netið. Almennt hefur sú ráðstöfun þótt nægileg til að tryggja öryggi þeirra upplýsinga sem unnið er með á viðunandi hátt en Persónuvernd ítrekar að það hvort slík ráðstöfun sé nægileg þarf að byggjast á áhættumati. Eftir sem áður þarf jafnframt að tryggja að lykilorð séu sterk, vera með virkar aðgangsstýringar og brýna fyrir starfsmanni almenna öryggisvitund, s.s. að vista skjöl í skjalavistunarkerfum eða öðrum öruggum stöðum og að eyða skjölum sem hlaðið hefur verið niður á drif vinnutölvunnar þegar búið er að vinna í þeim. Í því sambandi er bent á að nauðsynlegt getur verið að setja verklagsreglur um fjarvinnu starfsmanna.
Almennt má ætla að ríkar ástæður, svo sem með tilliti til almannaöryggis og almannahagsmuna, þurfi að koma til svo starfsmenn geti farið með viðkvæm pappírsgögn út af starfsstöð vinnuveitanda. Í þeim tilvikum þarf einnig að framkvæma áhættumat og grípa til viðeigandi öryggisráðstafana, svo sem með setningu verklagsreglna um afhendingu/skil gagna til starfsmanns, hvernig öryggi gagna er tryggt á heimili o.s.frv.
Að öðru leyti er gott að hafa eftirfarandi í huga við fjarvinnu starfsmanna:
Símar og spjaldtölvur og önnur minni tæki:
· Gæta varúðar um að smærri tæki, svo sem USB-lyklar, símar, spjaldtölvur og tölvur, týnist ekki eða lendi á röngum stað
· Allur hugbúnaður sé búinn nýjustu uppfærslu
· Tæki séu notuð á öruggu svæði, t.d. þar sem ekki eru líkur á að einhver annar sjái hvað þú ert að gera í tölvunni, sérstaklega ef unnið er með viðkvæmar upplýsingar
· Notaðu virkar ráðstafanir til að stýra aðgangi, svo sem tveggja þátta auðkenningu eða sterkt lykilorð. Í sumum tilvikum þarf að nota dulkóðun til að stýra aðgangi og draga úr áhættu sé búnaði stolið eða hann týnist.
· Ef búnaði er stolið eða hann týnist þarf að gera ráðstafanir umsvifalaust til að eyða gögnum af honum.
Tölvupóstur og innri samskipti:
· Fylgdu verklagsreglum vinnustaðarins við notkun á tölvupósti.
· Notaðu vinnutölvupóstinn en ekki einkatölvupóst fyrir samskipti vegna vinnu þegar senda þarf persónuupplýsingar. Ef þú þarft nauðsynlega að nota einkapóstinn til að senda mikilvægar upplýsingar þá getur þurft að dulkóða skjöl með sterku lykilorði, ef þau innihalda persónuupplýsingar.
· Gakktu úr skugga um að þú sért að senda á réttan viðtakanda og rétt viðhengi fylgi. Jafnvel getur verið nauðsynlegt að opna viðhengið úr póstinum til að ganga úr skugga um að rétt viðhengi fylgi.
· Forðastu að eiga samskipti á samfélagsmiðlum við samstarfsmenn um viðkvæm mál. Hér þarf að fylgja verklagsreglum vinnustaðarins í hvívetna.
Skýjaþjónusta og netkerfi:
· Þegar starfsmaður vinnur fjarvinnu skal leitast við að hann vinni eingöngu á innra neti viðkomandi starfsemi og að öllum skipulagslegum ráðstöfunum sé fylgt hvað varðar þær þjónustur sem vinnustaðurinn býður upp á.