Mange av de eksisterende videoverktøyene på markedet oppfyller ikke kravene i Norm for informasjonssikkerhet i helse- og omsorgstjenesten (ofte omtalt som “Normen”).
Confrere oppfyller kravene i Normen, slik at det kan brukes av leger, psykologer og annet helse- og omsorgspersonell.
I Normen kreves det at hittil ukjente pasienter identifiseres på sikkerhetsnivå 4. Helsepersonellet må også benytte sikker innlogging, når nettbaserte videoløsninger benyttes til å snakke med pasienter (jf. Normen kap. 5.2).
Confrere tilbyr identifisering av både pasienter og helsepersonell gjennom BankID, som oppfyller dette sikkerhetsnivået. Både BankID på mobil og BankID-brikke er tilgjengelige alternativer, og fungerer på samme måte som når man logger inn i nettbank.
Før pasienten kommer inn i videosamtalen bekrefter de sin identitet gjennom BankID, og helsepersonellet kan da også se fødselsnummeret deres. Om helsepersonellet kjenner pasienten godt nok, vil video av pasienten kunne oppfylle kravet om identifisering.
For helsepersonellet brukes innlogging med BankID i stedet for brukernavn og passord.
I Normen kreves det at videosamtalen er kryptert ende til ende, og Confrere oppfyller dette kravet.
At videosamtalen er kryptert ende til ende, betyr at det er kun deg og den du snakker med, som har mulighet til å se og høre hva dere snakker om. Svært forenklet kan vi si at krypteringen gjør at dere snakker deres helt eget, hemmelige unike røverspråk med hverandre, slik at det er umulig for utenforstående å dekode videosamtalen når den sendes gjennom nettet.
Dersom videoverktøyet ikke krypterer samtalen hele veien mellom de to partene, oppfyller ikke verktøyet kravene i Normen. Det gjelder blant annet alle tjenester som bruker en såkalt mediaserver, som er vanlig hos mange videoverktøy. I slike tjenester kan innholdet avleses ukryptert i selve mediaserveren. Dette er problematisk - spesielt når mediaserveren er plassert i et annet land.
Teknologien som Confrere er bygd på heter WebRTC, og vi følger industristandarden for sterk kryptering (DTLS-SRTP).
Hvis videosamtalen innebærer behandling av personopplysninger, dekkes samtalene av personopplysningsloven. Det betyr at din virksomhet må inngå en såkalt databehandleravtale med Confrere.
Confrere tilbyr databehandleravtale basert på standarden fra E-helsedirektoratet, som er beregnet til bruk i helsesektoren.
Normen krever at løsningen er bygget opp på en slik måte at pasientene ikke risikerer å treffe hverandre i videoverktøyet. Confrere har løst dette ved at hver pasient kommer til sin egen, unike venteside før helsepersonellet ringer dem opp. Det er kun helsepersonellet som kan se hvem som venter.
Normen krever at det skal gjøres risikovurdering av løsningen før den kan tas i bruk, slik at man sikrer at den ivaretar Normens krav til personvern og informasjonssikkerhet. Confrere har gjennomført en slik risikovurdering og kan dermed tas i bruk i tråd med Normen. Vi oversender risikovurderingen ved behov.
