Sikkerhet i skyen: krav til leverandør for tannleger

Sikkerhet i skyen: Hva tannleger må kreve av sin programvareleverandør

Skybaserte journalsystemer og tilknyttede tjenester brukes i økende grad i tannhelse. For mange virksomheter gir det enklere drift, raskere oppdateringer og bedre forutsetninger for integrasjoner og samarbeid.

Samtidig oppstår en praktisk utfordring: Når journal, røntgen og pasientdata behandles i en ekstern plattform, flyttes mange av de tekniske kontrollene ut av klinikkens egne vegger. Det kan skape uklarhet om hva som faktisk må kontrolleres, hva som kan avtales, og hva som må kunne dokumenteres ved avvik eller tilsyn.

Denne artikkelen avklarer hva «sikkerhet i skyen» betyr i en klinisk og styringsmessig kontekst, hvor ansvarsspørsmålet typisk oppstår, vanlige misforståelser – og hvilke krav tannklinikker bør stille til leverandør for å sikre reell kontroll i praksis.

Hva menes med sikkerhet i skybaserte journalsystemer?

«Sikkerhet i skyen» blir ofte omtalt som et leverandøransvar: Leverandøren drifter, patcher og beskytter infrastrukturen. I praksis er sikkerhet i skybaserte journalsystemer et samspill mellom tre nivåer:

  • Leverandørens tekniske sikkerhet: hvordan plattformen er bygd, sikret, overvåket og oppdatert.

  • Virksomhetens bruk og konfigurasjon: tilgangsstyring, rollemodell, arbeidsprosesser, opplæring og etterlevelse i hverdagen.

  • Avtalestyrt kontroll: hvordan klinikken setter krav, får innsyn, og følger opp at leverandøren faktisk leverer det som er avtalt.

For en tannklinikk handler sikkerhet derfor ikke primært om hvor serverne står, men om hvorvidt data og funksjonalitet er beskyttet mot uautorisert tilgang, utilsiktet endring, tap og nedetid – og om klinikken kan dokumentere at kontrollmekanismer finnes og fungerer. Det inkluderer typisk:

  • konfidensialitet (hvem kan se hva)

  • integritet (at data ikke endres feilaktig)

  • tilgjengelighet (at systemet er oppe når det trengs)

  • sporbarhet (at hendelser kan etterprøves)

Hvor oppstår ansvarsspørsmålet?

Ansvar blir sjelden uklart i «normal drift». Det oppstår der skyens fordeler møter klinikkens krav til forutsigbarhet og dokumentasjon – ofte i overgangene mellom leverandørens drift og klinikkens bruk.

  1. Når tilgangsstyring ikke speiler klinisk praksis
    Skybaserte løsninger gir ofte fleksible tilgangsmodeller. Risiko oppstår når rolle- og rettighetsstrukturen ikke er tilpasset faktisk organisering (vikarer, turnus, samarbeid, studenter, flere lokasjoner), eller når opprettelse og avslutning av brukere ikke følges tett nok.

  2. Når integrasjoner og dataflyt ikke er under kontroll
    Journalsystemet inngår ofte i et økosystem (røntgen, betaling, timebok, meldinger). I sky flyter data mellom flere komponenter, ofte med flere leverandører involvert. Ansvarsspørsmålet oppstår i grensesnittene: hvem oppdager avvik, hvem feilsøker, og hva logges.

  3. Når hendelser håndteres «hos leverandøren», men konsekvensen ligger hos klinikken
    Ved sikkerhetshendelser, nedetid eller feil i tjenesten vil leverandøren håndtere teknisk gjenoppretting. Klinikken må likevel håndtere pasientkontakt, prioritering, alternativ drift og dokumentasjon av hva som skjedde og hvilke tiltak som ble gjort.

  4. Når endringer skjer uten tilstrekkelig vurdering av klinisk effekt
    Skybaserte systemer oppdateres ofte hyppig. Risiko oppstår når funksjonsendringer påvirker arbeidsflyt, registreringspraksis eller rapportering uten at klinikken har tydelig endringsstyring, testregime og beslutningsmyndighet.

Kort sagt: Leverandøren kan drifte teknologien, men klinikken må kunne utøve styring. Det krever kravstilling, innsyn og løpende kontroll – ikke bare en anskaffelse.

Vanlige misforståelser

«Sky betyr at leverandøren har hele sikkerhetsansvaret»

Leverandøren har ansvar for plattformens drift og sikkerhetsmekanismer, men klinikken er fortsatt ansvarlig for hvordan løsningen brukes: hvem som får tilgang, hvilke rutiner som følges, og hvordan avvik oppdages og håndteres. Når dette ikke er definert, blir «ansvar» et tomt begrep.

«Vi kan vurdere sikkerhet én gang – ved anskaffelse»

Sky er dynamisk: oppdateringer, nye funksjoner, endrede underleverandører og nye integrasjoner endrer risikobildet over tid. Sikkerhet må derfor følges opp som del av drift og internkontroll, ikke som en engangsøvelse i et prosjekt.

«Sertifiseringer hos leverandør er nok dokumentasjon»

Sertifiseringer og revisjonsrapporter kan gi nyttig trygghet, men de svarer sjelden alene på klinikkens konkrete behov: hva som logges, hvordan hendelser varsles, hvilke data som behandles hvor, og hvilke kontroller klinikken faktisk har tilgang til. Det avgjørende er om dokumentasjonen er relevant for den konkrete bruken.

«Tilgangsstyring løses med sterke passord»

I klinisk praksis er de største feilene ofte prosessuelle: delte brukere, manglende avslutning av tilgang, for brede roller, eller svak kontroll i hverdagen. Teknisk autentisering er viktig, men må kombineres med tydelig rollemodell, rutiner og etterprøvbarhet.

«Nedetid er et IT-problem, ikke et pasientproblem»

For journalsystemer i klinisk drift blir tilgjengelighet raskt en pasientsikkerhets- og driftsutfordring. Hvis beredskap, alternative rutiner og gjenoppretting ikke er planlagt og øvd, blir virksomheten sårbar – også når leverandøren «gjør alt riktig» teknisk.

Hva bør være på plass i praksis?

Når en tannklinikk skal bruke skybasert programvare som behandler pasient- og journaldata, bør ledelsen normalt sikre at følgende krav og kontrollpunkter er avklart, avtalt og operasjonalisert:

  • Tydelig rolleavklaring og avtalegrunnlag
    Klargjør ansvar for behandling av opplysninger, drift, underleverandører og endringer – og hvilke forpliktelser som følger av dette i praksis.

  • Databehandlerstyring og underleverandørkontroll
    Oversikt over hvilke parter som faktisk behandler data, hvordan underleverandører godkjennes/endres, og hvilke sikkerhetskrav som gjelder i kjeden.

  • Krav til tilgangsstyring og identitetskontroll
    Støtte for minst-privilegium, rollebasert tilgang, flerfaktor der relevant, samt rutiner for opprettelse/avslutning og periodisk tilgangsrevisjon.

  • Logging, sporbarhet og innsyn
    Avklar hva som logges (tilgang, endringer, eksport, integrasjoner), hvor lenge, og hvordan klinikken får tilgang til relevante logger ved avvik og internkontroll.

  • Hendelseshåndtering og varslingsregime
    Konkrete krav til når og hvordan klinikken varsles ved sikkerhetshendelser, driftsavvik og sårbarheter – inkludert forventet innhold i varsler og statusoppdateringer.

  • Tilgjengelighet, beredskap og gjenoppretting
    Tydelige serviceparametere (tilgjengelighet, responstid, vedlikeholdsvinduer), backup- og gjenopprettingsprinsipper, samt klinikkens egne alternative rutiner ved nedetid.

  • Endringsstyring i sky
    Rutiner for endringsvarsling, vurdering av klinisk effekt, test i relevante scenarioer, og beslutningspunkt for endringer som påvirker arbeidsflyt eller dokumentasjonspraksis.

  • Dataportabilitet og exit
    Praktisk plan for eksport/overføring av data ved leverandørbytte, inkludert format, tidslinje, ansvar og verifikasjon – slik at virksomheten ikke blir operasjonelt låst.

  • Opplæring og etterlevelse i hverdagen
    Sikkerhet er avhengig av at ansatte forstår tilgang, deling, eksport, håndtering av vedlegg og bruksmønstre. Det bør derfor være en konkret opplærings- og etterlevelsesstruktur, ikke bare en policy.

Disse punktene handler ikke om å «mistenkeliggjøre» leverandøren, men om å etablere en styrbar relasjon der klinikken kan dokumentere kontroll – og der leverandøren vet hva som forventes.

Avsluttende betraktning

Sikkerhet i skybaserte journalsystemer er i praksis et spørsmål om styring: Hvilke krav klinikken setter, hvilket innsyn den har, og hvilke kontrollmekanismer som faktisk fungerer i drift. Leverandørens tekniske sikkerhet er nødvendig, men gir ikke alene klinikken kontroll over tilgang, endringer, integrasjoner og hendelser.

Når kravstilling, rolleavklaring og operativ oppfølging er tydelig, kan sky gi både effektivitet og høy sikkerhet. Uten dette kan sky bli en «svart boks» – ikke fordi teknologien er uforsvarlig, men fordi virksomheten mangler strukturen som gjør kontroll mulig.

Lawyer portrait photo

Relaterte artikler

Relaterte artikler

Redusere risiko ved KI i tannhelse

Redusere risiko ved KI i tannhelse

Læring etter hendelser der KI er brukt

Læring etter hendelser der KI er brukt

Når KI påvirker kliniske beslutninger indirekte

Når KI påvirker kliniske beslutninger indirekte

Undersøke hendelser der KI er involvert

Undersøke hendelser der KI er involvert

Avvikssystemer og KI i tannklinikk

Avvikssystemer og KI i tannklinikk

Når KI bidrar til feil i tannklinikk

Når KI bidrar til feil i tannklinikk

Avvik knyttet til KI i tannklinikk: hvordan håndtere

Avvik knyttet til KI i tannklinikk: hvordan håndtere

Risikoanalyse før KI tas i bruk i tannklinikk

Risikoanalyse før KI tas i bruk i tannklinikk

Når tannklinikker bør stoppe et KI-verktøy

Når tannklinikker bør stoppe et KI-verktøy

Redusere risiko ved KI i tannhelse

Redusere risiko ved KI i tannhelse

Læring etter hendelser der KI er brukt

Læring etter hendelser der KI er brukt

Redusere risiko ved KI i tannhelse

Redusere risiko ved KI i tannhelse

Læring etter hendelser der KI er brukt

Læring etter hendelser der KI er brukt

Når KI påvirker kliniske beslutninger indirekte

Når KI påvirker kliniske beslutninger indirekte