Lækningatæki með CE-merkingu í skilningi laga nr. 132/2020

Megintilgangur nýlegrar löggjafar um lækningatæki er að auka kröfur um gæði og öryggi lækningatækja, með hagsmuni og öryggi sjúklinga í fyrirrúmi. Lækningatæki þurfa annars vegar að uppfylla kröfur varðandi öryggi, merkingar og að það nýtist sem skildi. Hins vegar að viðhaldi sé sinnt og að eftirlit sé með notkun þeirra. Það að tæki eða búnaður flokkist sem lækningatæki leggur ríkar kröfur á framleiðendur þeirra varðandi gæði og öryggi tækisins, þá sem sjá um innflutning og fyrirtæki sem ábyrg eru fyrir dreifingu þeirra.

Hugbúnaður flokkast sem lækningatæki í skilningi laga um lækningatæki nr. 132/2020 ef hann hefur sérstakan læknisfræðilegan tilgang og er notaður fyrir einstaka sjúklinga. Hugbúnaðurinn getur verið notaður einn og sér, eða í samsetningu með öðrum lækningatækjum. Lækningatæki verða að vera CE-merkt, og þeim þarf að fylgja samræmisyfirlýsing framleiðanda þar sem fram kemur að kröfum laga og reglugerða sem gilda á EES svæðinu hafi verið fylgt.

Kerfið að baki Unu heilsu, mælaborð og aðrir eiginleikar lausnarinnar hefur verið vottað af BSI sem lækningatæki í skilningi Evrópureglugerðar 2017/745 um lækningatæki (MDR). Vottunin tryggir að lausnin sem slík og öll tæknileg skjöl og klínísk gögn er varða hana uppfylla ströngustu kröfur reglugerðarinnar. Una heilsa flokkast þannig sem lækningatæki í skilningi laga um lækningatæki nr.132/2020 með CE-merkingu í áhættuflokki IIa.

Hámarksöryggi gagna og aðrar vottanir

Við þróun á vefsvæði og smáforriti Unu heilsu og uppbyggingu tæknilausnarinnar í heild var hámarksöryggi gagna haft að leiðarljósi. Lausnin byggir á þriggja laga hönnun þar sem vefþjónn, vinnsluþjónn og gagnagrunnsþjónn er á aðskildum vélbúnaði á sitt hvoru netsvæðinu sem eldveggir skilja að. Lausnin hefur verið vottuð af BSI sem lækningatæki í skilningi Evrópureglugerðar um lækningatæki og þar af leiðandi uppfylla öll tæknileg skjöl og klínísk gögn er varða kerfið og lausnina ströngustu kröfur reglugerðarinnar.

Framleiðandi lausnarinnar hefur einnig innleitt gæðastjórnunarkerfi samkvæmt ISO 13485:2016 sem er vottað af BSI. Lausnin hefur verið þróuð samkvæmt viðurkenndum hugbúnaðarþróunarstöðlum, þ.e. IEC 62304:2006/AMD1:2015 og IEC 62366-1:2015, sem leggur áherslu á notendavæna hönnun og tryggir að lausnin sé ekki aðeins árangursrík heldur einnig aðgengileg.

Framleiðandinn hefur einnig innleitt stjórnunarkerfi fyrir upplýsingaöryggi sem nær yfir öll ferli, þ.e. frá hugbúnaðarþróun, viðhaldi og til þjónustu við viðskiptavini, sem hefur hlotið ISO vottun 270001:2013 frá Qvalify, viðurkenndum vottunaraðila. Vottunin sýnir fram á skipulagða og kerfisbundna nálgun á upplýsingaöryggi og að lausnin uppfyllir reglur, leiðbeiningar, viðmið og tæknilegar útfærslur sem og aðrar kröfur sem gerðar eru til upplýsingaöryggis í fjarheilbrigðislausnum. Lausnin hefur til viðbótar fengið ISO umhverfisvottun 14001:2015 þar sem áhersla er lögð á sjálfbæra starfshætti m.a. með því að stuðla að lengri líftíma upplýsingatæknibúnaðar og samstarf við birgja sem deila skuldbindingum um umhverfisábyrgð og sjálfbærni.

Öryggisúttekt hefur verið framkvæmd á lausninni af viðurkenndum óháðum aðila sem sérhæfir sig í slíkum öryggisúttektum. Hægt er að óska eftir samantekt og niðurstöðu slíkrar úttektar með því að senda beiðni þess efnis á netfangið: info@unaheilsa.is

Una heilsa er samþykkt af embætti landlæknis

Rétt eins og þegar um hefðbundna heilbrigðisþjónustu er að ræða, er brýnt að almenningur eigi kost á öruggri fjarheilbrigðisþjónustu og að samskipti skjólstæðinga og meðferðaraðila (t.d. heilbrigðisstarfsmanna) séu örugg. Með það fyrir augum að tryggja öryggi þeirra sem nýta sér fjarheilbrigðisþjónustu hefur embætti landlæknis gefið út fyrirmæli um upplýsingaöryggi við veitingu fjarheilbrigðisþjónustu sem eiga að endurspegla sömu kröfur og gerðar eru almennt til samskipta heilbrigðisstarfsmanna og sjúklinga, það er að fyllsta öryggis sé gætt við skráningu, meðferð og vistun gagna sem oft á tíðum innihalda viðkvæmar persónuupplýsingar.

Fjarheilbrigðislausnin Una heilsa var kynnt fyrir embætti landlæknis í upphafi árs 2025. Lausnin fór í gegnum öryggisúttekt embættisins og var samþykkt sem örugg lausn í skilningi laga nr. 40/2007 um heilbrigðisþjónustu 12. júní 2025.

Öruggur tæknibúnaður og stafræn lausn í skilningi laga nr. 40/2007

Fjarheilbrigðisþjónusta er ört vaxandi hluti almennrar heilbrigðisþjónustu og notkun fjarheilbrigðislausna er í stöðugri þróun. Skilgreining á fjarheilbrigðisþjónustu samkvæmt lögum um heilbrigðisþjónustu nr. 40/2007 er það þegar stafræn samskipta- og upplýsingatækni er nýtt til að veita heilbrigðsþjónustu þar sem aðilar eru ekki á sama stað á sama tíma. Undir fjarheilbrigðisþjónustu fellur:

1. Fjarsamráð: Samráð heilbrigðisstarfsfólks og miðlun heilbrigðisupplýsinga með viðeigandi og öruggum tæknibúnaði.
2. Fjarvöktun: Notkun á stafrænum lausnum og tæknibúnaði í fjarvöktun á heilbrigðisástandi.
3. Myndsamtal: Rauntímasamskipti heilbrigðisstarfsmanns og sjúklings með öruggum tæknibúnaði.
4. Netspjall og hjálparsími: Samskipti heilbrigðisstarfsfólks við sjúklinga í hjálparsíma eða á netspjalli sem kalla á leit upplýsinga eða skráningu upplýsinga í sjúkraskrá sjúklings.
5. Velferðartækni: Notkun á stafrænum tæknilausnum heilbrigðisþjónustu sem treystir búsetu einstaklinga í heimahúsi.

Una heilsa er öruggur tæknibúnaður og stafræn lausn sem hægt er að nota við allt ofangreint við veitingu fjarheilbrigðisþjónustu þar sem aðilar eru ekki á sama stað á sama tíma.

Öruggur þjónustuaðili Unu heilsu

Icepharma Velferð, svið innan Icepharma hf. (kt. 620269-6119), er umboðs- og þjónustuaðili Unu heilsu á Íslandi. Icepharma flytur inn, selur og markaðssetur lyf, heilbrigðistækni, velferðartækni og heilsuvörur frá yfir hundruð framleiðenda og birgja. Fyrirtækið gegnir mikilvægu hlutverki í samfélagslegu tilliti en starfsemin er háð ströngu opinberu eftirliti og vörðuð lögum og reglum. Icepharma hf. er umboðsaðili fyrir nokkur af stærstu lyfja- og heilbrigðistæknifyrirtækjum heims sem framkvæma reglulega úttektir á ferlum og gæðaeftirliti starfseminnar. Stjórnkerfi upplýsingaöryggis, ferlar og eftirlit er því vel skilgreint út frá samnings- og lögbundnum kröfum, þ.m.t. þeim kröfum sem fram koma í lögum um öryggi net- og upplýsingakerfa mikilvægra innviða, nr. 78/2019 þar sem Icepharma skilgreinist sem rekstraraðili nauðsynlegrar þjónustu í skilningi laganna.

Fyrir frekari upplýsingar má hafa samband við starfsfólk Icepharma Velferð á netfangið: info@unaheilsa.is

Öryggisráðstafanir við afhendingu, uppsetningu og innleiðingu

Þegar meðferðaraðili ákveður að taka Unu heilsu í notkun fer afhending hennar og uppsetning fram í ríkulegu samstarfi við skilgreindan starfsmann hjá Icepharma velferð sem hefur hlutverk tækninotanda (e. Technical Support). Uppsetning lausnarinnar miðast við fyrirhugaða notkun, eðli meðferðar, þarfagreiningu, aðferðarfræði og kröfur meðferðaraðila hverju sinni. Nauðsynlegt er að meðferðaraðili veiti allar nauðsynlegar upplýsingar varðandi fyrirhugaða notkun lausnarinnar og taki virkan þátt í ferlinu til að tryggja rétta og örugga innleiðingu. Tækninotandi Icepharma aðstoðar við uppsetningu kerfisins, þ.e. stillir hópa og hlutverk inn í kerfið eftir því sem við á, og sinnir í framhaldi eingöngu tæknilegum stuðningi við rekstur á Unu heilsu. Tæknilegur notandi hjá Icepharma velferð hefur engan aðgang að persónuupplýsingum um skjólstæðinga sem vistast í lausninni við notkun hennar.

Fræðsla, þjálfun og leiðbeiningar

Í Unu lausninni hafa notendur meðferðaraðila aðgang að ítarlegum rafrænum notkunarleiðbeiningum. Einnig hafa notendur möguleikann á að senda beint úr kerfinu fyrirspurnir eða beiðnir um aðstoð sem berast beint á tækninotanda hjá Icepharma velferð. Tækninotanda sinnir að öðru leyti allri nauðsynlegri þjálfun notenda meðferðaraðila. Skjólstæðingar fá almennar leiðbeiningar um notkun á lausninni í formi bæklings en einnig hafa þeir aðgang að sértækum rafrænum leiðbeiningum í lausninni sjálfri eftir að þeim er veittur aðgangur að henni. Meðferðaraðili ber að öðru leyti ábyrgð á upplýsingagjöf, fræðslu og þjálfun skjólstæðinga með stuðningi Icepharma eftir þörfum.

Aðgangsstýringar

Gagnaöryggi og aðgangsstýring að upplýsingum eru grunnforsendur Unu. Aðgangstýringar byggjast á þríþættu öryggismódeli: notendum, hlutverkum og hópum. Hlutverk ákvarða hvaða heimildir og aðgerðir notandi má framkvæma en hópar skilgreina hvaða upplýsingar og kerfisgögn eru sýnileg viðkomandi. Meðferðaraðili getur skipt umhverfi og aðgangi upp í hópa, m.a. eftir landfræðilegum svæðum eða eftir skipulagi meðferðaraðila, t.d. eftir mismunandi deildum eða starfssviðum. Hópar geta einnig verið stigskiptir. Aðgangur notenda hangir á þeim hóp/hópum sem viðkomandi tilheyrir og er háður því hlutverki sem notandinn hefur fengið við stofnun. Notendur meðferðaraðilans fá aðeins aðgang að þeim skjólstæðingum og kerfishlutum sem hlutverk þeirra og hópatengingar heimila.

Aðgangsstýring meðferðaraðila:

Stjórnendur hjá meðferðaraðilum bera ábyrgð á að skilgreindir notendur hjá meðferðaraðila hafi aðeins þann aðgang sem þeir nauðsynlega þurfa starfs síns vegna og að viðkvæm gögn og upplýsingar séu vernduð í samræmi við ströngustu kröfur laga og bestu starfsvenjur. Nýir notendur meðferðaraðila (t.d. heilbrigðisstarfsmenn) eru stofnaðir í grunnkerfinu af tækninotanda Icepharma velferð (e. Technical Support), innan þess hóps/hópa sem hann tilheyrir, og hlutverk skilgreint miðað við þau réttindi sem notandinn á að hafa. Við stofnun nýs notenda þarf að velja sérstaklega með haki í ákveðið svæði hvort notandi eigi að hafa réttindi til að sjá persónuupplýsingar og viðkvæmar persónuupplýsingar um skjólstæðinga sem skráðar eru inn í Unu fyrir og við notkun lausnarinnar.

Notandi hjá meðferðaraðila sem fær skilgreint hlutverk stjórnanda í kerfinu og þar með stjórnendaaðgang (e. Administrator access) getur aldrei veitt öðrum notendum meiri réttindi en hann hefur sjálfur. Icepharma Velferð getur ekki breytt aðgangsheimildum, heldur eru þær alfarið í höndum viðkomandi meðferðaraðila og á ábyrgð þess notanda sem hefur stjórnendaaðgang.

Til þess að notandi á vegum meðferðaraðila hafi aðgang að upplýsingum um skjólstæðinga inni í Unu þarf:

1. Rétta hópaheimild enda stýrir þar hvaða skjólstæðingalista notandi á vegum meðferðaraðilans hefur aðgang að.
2. Rétt hlutverk enda stýrir það hvað notandinn á vegum meðferðaraðilans má framkvæma, t.d. lesa gögn, breyta stillingum eða stjórna kerfinu.
3. Notanda á vegum meðferðaraðila með virkt netfang innan léns meðferðaraðilans sem tryggir örugga innskráningu og auðkenningu.

Sé eitthvert af þessum ofangreindu skilyrðum óuppfyllt er aðgangi sjálfkrafa hafnað af kerfinu.

Aðgangsstýring skjólstæðinga:

Starfsmaður meðferðaraðila, sem hefur það hlutverk og þar til bær réttindi, stofnar skjólstæðing sem notanda í lausninni, innan þess hóps sem hann tilheyrir, og skráir inn nauðsynlegar stofnupplýsingar. Skjólstæðingar skrá sig svo inn í lausnina og auðkenna sig með rafrænum skilríkjum og hafa eingöngu aðgang að eigin umhverfi þar sem upplýsingar safnast inn og upplýsingagjöf og samskipti eiga sér stað er varða meðferð viðkomandi hjá meðferðaraðila.

Innskráning, auðkenning og útskráning

Una heilsa uppfyllir kröfur til auðkenningar við innskráningu sem fram koma í fyrirmælum landlæknis um upplýsingaöryggi við veitingu fjarheilbrigðisþjónustu.

Upplýsingar sem vistast inn í UNU við notkun lausnarinnar teljast viðkvæmar persónuupplýsingar í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og þær þarf að vernda sérstaklega með takmörkun aðgangs að þeim. Þá þarf að vera vissa fyrir því að sá sem óskar eftir aðgangi að lausninni, og þar með upplýsingunum, sé í raun sá sem hann segist vera. Una heilsa býður upp á mismunandi stillingar á innskráningu og auðkenningu notenda við notkun lausnarinnar eftir hlutverki notenda hverju sinni, þ.e. hvort notandinn sem skráir sig inn er t.d. heilbrigðisstarfsmaður eða skjólstæðingur/sjúklingur.

Innskráning og auðkenning meðferðaraðila:

Meðferðaraðilar tengjast lausninni í gegnum vefgátt UNU sem keyrir á sér vefslóð með því að skrá inn notendanafn og lykilorð. Notendanafnið verður að vera virkt netfang innan léns meðferðaraðilans og valið lykilorð þarf að uppfylla kröfur meðferðaraðilans um sterk og örugg lykilorð. Eftir að notendanafn og lykilorð hafa verið skráð er krafist þriggja þátta auðkenningar með auðkenningarþjónustu eða SMS-þjónustu sem er sent í skráð símanúmer notandans.

Innskráning og auðkenning skjólstæðinga:

Skjólstæðingar tengjast lausninni í gegnum smáforrit UNU og nota fullgild rafræn skilríki við hverja innskráningu og auðkenningu. Sé skjólstæðingur ólögráða skal foreldri/forráðamaður stofna til þjónustunnar með eigin rafrænum skilríkjum fyrir hönd skjólstæðingsins.

Útskráning:

Hægt er að stilla sjálfvirka útskráningu eftir þörfum aðila hverju sinni.

Lagagrundvöllur og samþykki

Meðferðaraðilar teljast ábyrgðaraðilar þeirra persónuupplýsinga sem vistast við notkun á Unu heilsu í skilningi laga um persónuvernd. Meðferðaraðilar þurfa þar af leiðandi að hafa skýran lagagrundvöll fyrir vinnslu persónuupplýsinga. Vinnsluheimildir meðferðaraðila grundvallast að jafnaði á 8. tl. 1. mgr. 11. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, þ.e. að vinnslan telst nauðsynleg til að fyrirbyggja sjúkdóma, greina sjúkdóma og veita umönnun eða meðferð á sviði heilbrigðisþjónustu, enda sé fyrir henni sérstök lagaheimild og hún er framkvæmd af starfsmanni bundnum þagnarskyldu.

Meðferðaraðili ber ábyrgð á að tryggja gagnsæi gagnvart skjólstæðingum, upplýsa þá um vinnsluna og um réttindi þeirra. Þrátt fyrir að meðferðaraðili hafi lagastoð fyrir vinnslunni er æskilegt að afla samþykkis skjólstæðings eða forráðamanns hans fyrir slíkri vinnslu. Þetta er byggt á þeim ströngu skilyrðum sem persónuverndarlögin setja um samþykki, einkum þegar um viðkvæmar upplýsingar er að ræða. Með því að afla samþykkis styrkir meðferðaraðilinn lagagrundvöll vinnslunnar til muna, eykur gagnsæi í starfsemi sinni og byggir upp traust hjá skjólstæðingum. Afla má samþykkis í gegnum lausnina sjálfa þar sem það er síðan vistað.

Vinnsluaðilar og vinnslusamningar

Meðferðaraðili sem tekur Unu heilsu í notkun telst ábyrgðaraðili þeirra persónuupplýsinga sem safnast og vistast við notkun á Unu fjarheilbrigðislausn í skilningi persónuverndarlaga. Icepharma hf., sem þjónustuaðili Unu heilsu, telst vinnsluaðili meðferðaraðila og undirvinnsluaðili Icepharma er Cuviva AB sem er framleiðandi fjarheilbrigðislausnarinnar sem Una heilsa byggir á. Meðferðaraðilar gera vinnslusamning við Icepharma þar sem ábyrgð aðila gagnvart vinnslu persónuupplýsinga er skilgreind. Vinnslusamningur er í gildi milli Icepharma og Cuviva AB, framleiðandi lausnarinnar.

Vinnsla og varðveisla upplýsinga í Unu heilsu

Skráning stofnupplýsinga við upphaf:

Þegar meðferðaraðili ákveður að taka Unu heilsu í notkun þarf tækninotandi hjá Icepharma Velferð að koma að uppsetningu kerfisins. Skrá þarf ýmsar nauðsynlegar stofnupplýsingar um notendur hjá meðferðaraðila, s.s. nöfn þess starfsfólks meðferðaraðilans sem eiga að hafa aðgang og hlutverk í kerfinu og netfang. Starfsmaður meðferðaraðilans, með þar til bær réttindi og hlutverk, skráir svo inn í Unu heilsu nauðsynlegar stofnupplýsingar um skjólstæðinga við upphaf notkunar, s.s. nafn, kennitölur og möuglegar aðrar þekktar heilsufarsupplýsingar, sbr. þyngd eða niðurstöður úr fyrri heilsufarsmælingum.

Skráning og vinnsla við notkun lausnar

Við notkun á lausninni vistast sjálfkrafa ýmsar heilsufarslegar upplýsingar inn í UNU kerfið, s.s. niðurstöður úr fjarmælingum sem fram fara eftir að lausnin er tekin í notkun o.fl. Einnig vistast þar skrifleg samskipti sem fara á milli skjólstæðings og starfsfólks meðferðaraðila. Allar þessar upplýsingar eru eingöngu aðgengilegar skjólstæðingum og skilgreindu starfsfólki meðferðaraðilans sem hafa þar til bær réttindi og hlutverk.

Vistun og varðveisla:

Una heilsa keyrir á einkaskýi framleiðanda lausnarinnar, Cuviva AB, (e. Cloud) sem hýst er innan Evrópu og framleiðandinn einn hefur yfirráð yfir og stjórn á. Allar upplýsingar sem skráðar eru inn í grunnkerfi meðferðaraðila í Unu heilsu og allar aðrar upplýsingar sem safnast í framhaldi inn í lausnina við notkun hennar geymast þar í öruggu umhverfi. Engin gögn vistast í tækjum skjólstæðinga ið notkun á lausninni.

Tilgangur með vinnslu upplýsinga

Una heilsa er fjarheilbrigðislausn á íslensku sem styður við veitingu fjarheilbrigðisþjónustu. Lausnin gerir kleift að flytja gögn og upplýsingar milli meðferðaraðila og skjólstæðinga í þeim tilgangi að aðstoða skjólstæðinga með langvinna sjúkdóma, fylgjast með heilsufari skjólstæðinga og styðja við greiningu, forvarnir eða meðferðarferli.

Mat á áhrifum á persónuvernd

Mat á áhrifum á persónuvernd (MÁP) hjálpar við að greina, meta og draga úr áhættu sem stafar af vinnslu persónuupplýsinga. Icepharma hefur framkvæmt slíkt mat en samkvæmt persónuverndarlögum ber meðferðaraðila, sem ábyrgðaraðila fyrir vinnslu persónuupplýsinga, að láta framkvæma slíkt mat áður en söfnun og vinnsla hefst er tengist notkun á lausninni til að tryggja að vinnsla persónuupplýsinga fari fram í samræmi við gildandi lög og vernd réttinda einstaklinga. Meðferðaraðili getur óskað eftir aðstoð Icepharma við framkvæmd matsins með því að senda beiðni þess efnis á netfangið: info@unaheilsa.is.

Samþætting

Samþætting er einn af sterkustu þáttum kerfisins að baki Unu heilsu en hægt er að samþætta lausnina við rafrænar sjúkraskrár. Viðræður um samtengingu við líka skrá eru nú þegar hafnar.

Réttindi einstaklinga

Einstaklingur hefur rétt á að fá upplýsingar um þau gögn, um hann sjálfan, sem vistuð eru í tengslum við notkun á Unu heilsu er varðar meðferð hans, ásamt því að fá afhent eintak af slíkum gögnum. Einstaklingur hefur einnig rétt á því að fá rangar persónuupplýsingar um sig leiðréttar og í einstaka tilvikum getur einstaklingur átt rétt á því að upplýsingunum sé eytt. Einstaklingur getur einnig óskað eftir því að vinnsla upplýsinga um hann sé hætt og afturkallað samþykki sitt fyrir henni sé vinnslan byggð á upplýstu samþykki.

Sé óskað eftir frekari upplýsingum um vinnslu persónuupplýsinga eða til að koma á framfæri ábendingum sem varða hana í tengslum við notkun á Unu heilsu er hægt að hafa samband beint við meðferðaraðila eða persónuverndarfulltrúa Icepharma með tölvupósti á netfangið: personuvernd@icepharma.is. Þá er einnig hægt að senda erindi með bréfpósti, til Icepharma hf., Lyngháls 13, 110 Reykjavík og skal umslagið þá vera merkt persónuverndarfulltrúa.

Telji einstaklingur að vinnsla persónuupplýsinga sé ekki í samræmi við þau lög sem um hana gilda getur hann sent erindi til Persónuverndar, www.personuvernd.is.