Wiki - Administrator / Systemansvarlig

≡ Tilbake til oversikt

Merk: Innholdet på denne siden er under utvikling og kan bli oppdatert.

Har du forslag til forbedringer eller oppdager noe som bør rettes, send gjerne en e-post til post@digitalvelferd.no.

Administrator og systemansvarlig

Kort sammendrag

Administrator og systemansvarlig er en rolle som sørger for at velferdsteknologiske systemer kan brukes trygt i kommunale helse og omsorgstjenester. Rollen handler om tilgangsstyring, brukeradministrasjon, sikkerhetskontroller, logging og oppfølging av avvik. I praksis er dette bindeleddet mellom helsefaglig drift, teknisk drift og leverandør. Når rollen er tydelig, blir det enklere å få stabil drift, forutsigbar arbeidsflyt og sporbarhet ved hendelser. Når rollen er uklar, oppstår ofte feil tilganger, manglende kontroll og usikkerhet rundt hvem som faktisk skal følge opp. (Helsedirektoratet, Normen).

Kontekst og definisjon

I velferdsteknologi betyr administratorrollen mer enn vanlig IT administrasjon. Systemene håndterer ofte helse og personopplysninger, og de inngår i arbeidsflyt der feil kan påvirke pasientsikkerhet og dokumentasjon. Rollen finnes typisk i kommuner som har flere teknologier i drift, som trygghetsalarm, sensorer, digitalt tilsyn, medisindispensere og løsninger for digital hjemmeoppfølging. Administratorrollen kan ligge i helse og omsorg, i IKT, i en teknisk driftsenhet, eller være delt mellom flere funksjoner. Uansett plassering må ansvar, fullmakter og eskaleringsløp være tydelige. (KS, Helsedirektoratet).

Omfang og avgrensning

Denne siden beskriver administrator og systemansvarlig som fagrolle knyttet til velferdsteknologi i kommunale helse og omsorgstjenester. Den dekker ansvar for tilgangsstyring, kontroll med kontoer og roller, logging, sikkerhetskontroller, koordinering og grunnleggende driftsoppfølging. Siden dekker ikke leverandørspesifikke klikkguider eller opplæring i én bestemt plattform. Den dekker heller ikke alt ansvar som ligger hos kommunens øverste ledelse, behandlingsansvarlig eller databehandler. Målet er å forklare hva rollen må få til for at teknologien skal fungere i praksis over tid. (Helsedirektoratet, Normen).

Begreper og forkortelser

Tilgangsstyring

Regler og praksis for hvem som får tilgang til hvilke opplysninger og funksjoner. Tilgang skal som hovedregel styres etter tjenstlig behov og taushetsplikt. (Helsedirektoratet, Normen).

Logging

Registrering av brukeraktivitet og systemhendelser for kontroll, læring og oppfølging ved avvik. Logging har liten verdi uten jevnlig analyse og tydelig oppfølging. (Helsedirektoratet, Normen).

Privilegert tilgang

Tilganger som gir mulighet til å endre systemoppsett, se mer data enn andre, eller utføre administrative handlinger. Slike tilganger krever ekstra kontroll, fordi konsekvensen ved feil ofte blir større. (Helsedirektoratet, Normen).

MFA

Multifaktorautentisering, en innlogging som krever mer enn passord. Brukes for å redusere risiko ved kontoer med høy tilgang. (Helsedirektoratet, Normen).

VKP

Velferdsteknologisk knutepunkt, en nasjonal løsning for informasjonsflyt mellom velferdsteknologiske løsninger og EPJ. Norsk helsenett har varslet at VKP erstattes av en ny løsning med API baserte informasjonstjenester i løpet av 2026. (Norsk helsenett).

Historikk og utvikling

I tidlige faser av velferdsteknologi ble administratoroppgaver ofte håndtert som en del av generell IT drift. Etter hvert som teknologien ble tettere koblet til tjenesteflyt, responssenter og journalføring, ble behovet for tydeligere rolleavklaring større. Samtidig økte kravene til informasjonssikkerhet og personvern, og Normen beskriver forventninger til tilgangsstyring, logging og kontroll. Parallelt har nasjonale komponenter for dataflyt, som VKP, gjort at rolle og ansvar ofte må beskrives både lokalt og i samspill med nasjonal infrastruktur. (Helsedirektoratet, Norsk helsenett).

Arkitektur og dataflyt

I et typisk kommunalt oppsett går informasjon fra enheter hos innbygger, videre til en plattform eller tjeneste, og derfra til responssenter, fagapplikasjoner og eventuelt EPJ. Administratorrollen påvirker hele kjeden, fordi rolle og tilgang ofte avgjør hvem som kan se varsler, hvem som kan gjøre endringer, og hvor data blir synlig. Når data skal journalføres eller deles, må integrasjoner og rettigheter fungere stabilt. VKP er et eksempel på en nasjonal løsning som muliggjør dataflyt mot EPJ, og den har også egne sider for administrasjon og rollebruk. (Norsk helsenett).

I praksis betyr dette at administratorrollen må forstå mer enn menyer og knapper. Rollen må forstå hva som faktisk skjer når en alarm opprettes, når et varsel rutes, når en endring publiseres, og når loggmateriale trengs i ettertid. Det er her drift og kvalitet ofte står og faller. (Helsedirektoratet, Normen).

• Enheter og sensorer: sender hendelser og målinger, ofte via mobilnett eller lokalt nettverk. (KS).


• Plattform og administrasjon: håndterer kontoer, roller, oppsett, regler og integrasjoner. (KS).


• Responstjeneste og EPJ: mottar varsler og dokumentasjon, og krever at tilgang og logging er under kontroll. (Helsedirektoratet, Norsk helsenett).

Drift og organisering

Administratorrollen må være koblet til rutiner, ikke bare til systemet. Det betyr tydelige bestillingsveier for nye brukere, endringer i roller, endringer i arbeidssted, og avslutning av kontoer. Det betyr også avklart ansvar ved avvik, som hvem som tar første vurdering, hvem som eskalerer, og hvem som dokumenterer. KS beskriver organisering, roller og ansvar som en del av det som må være på plass for at velferdsteknologi skal bli en integrert del av tjenestene. (KS).

• Helse og omsorg: definerer behov, arbeidsflyt og hvem som faktisk skal ha tilgang. (KS).


• Administrator og systemansvarlig: gjennomfører tilgangsendringer, kontrollerer logging, følger opp avvik og sikrer at oppsett speiler praksis. (Helsedirektoratet, Normen).


• Teknisk drift og IKT: følger opp nettverk, enheter, klientstyring, oppdateringer og tekniske feilsituasjoner. (KS).


• Leverandør: støtter plattform, feilretting, endringer og avtalt sikkerhetsoppfølging, og må håndteres via tydelige eskaleringsløp. (KS).

Informasjonssikkerhet og personvern

Administratorer har ofte privilegerte tilganger, og rollen er derfor tett knyttet til internkontroll. Normen beskriver forventninger til tilgangsstyring, og til at tilgang gis etter tjenstlig behov. Normen beskriver også behovet for logging av tilgang og aktivitet, og at logging må brukes som en del av kontrollen. (Helsedirektoratet, Normen).

I velferdsteknologi er risikobildet ofte sammensatt. Data kan flyte mellom enheter, plattformer, responstjenester og journal. I slike kjeder kan en svak konto, en feil rolle eller en manglende logg gi store konsekvenser. Derfor må det være rutiner for tilgangsbeslutninger, jevnlig kontroll av privilegerte kontoer, og oppfølging når avvik oppdages. (Helsedirektoratet, Normen).

• Tilgangsstyring: definer rolleprofiler, bruk tjenstlig behov, og dokumenter hvem som beslutter tilgang. (Helsedirektoratet, Normen).


• Logging og kontroll: sørg for at aktivitet logges, og at logg brukes aktivt til kontroll og læring. (Helsedirektoratet, Normen).


• Privilegert tilgang: gi ekstra kontroll på kontoer som kan endre oppsett, integrasjoner og rettigheter. (Helsedirektoratet, Normen).

Lover og regler

Administrator og systemansvarlig jobber tett på tilgang til helse og personopplysninger, og rollen må derfor forstå hva regelverket krever i praksis. Det handler ikke om å kunne lovtekst utenat. Det handler om sporbarhet, riktig tilgang og trygg håndtering i drift. (Lovdata, Helsedirektoratet, Normen).

I praksis betyr dette at tilgang gis etter tjenstlig behov, at tilganger fjernes når behovet opphører, og at virksomheten har kontroll på hvem som kan se hva. Det betyr også at logging og kontroll er en del av normal drift, ikke noe man starter med først etter en hendelse. (Helsedirektoratet, Normen).

• Tilgang og taushetsplikt: rutiner må sikre at rett person får rett tilgang, og at tilgang ikke blir stående igjen ved rollebytte. (Helsedirektoratet, Normen).


• Internkontroll: kommunen må kunne vise hvordan sikkerhet følges opp i praksis, med faste kontroller og dokumentasjon. (Digitaliseringsdirektoratet).


• Databehandler og avtaler: leverandørforhold må ha tydelige rammer for sikkerhet, drift og avviksbehandling. (Helsedirektoratet, Normen).

Tilgangslivsløp i praksis

Mange feil i velferdsteknologi starter som små avvik i tilgang. En konto som burde vært deaktivert. En rolle som gir mer innsyn enn nødvendig. En superbruker som ubevisst får administratorrettigheter fordi det går raskere der og da. (Helsedirektoratet, Normen).

• Opprettelse: dokumenter hvem som bestiller tilgang, hvem som godkjenner, og hva som er grunnlaget. (Helsedirektoratet, Normen).


• Endring: koble rolleendringer til klare hendelser, som bytte av avdeling, arbeidssted eller funksjon. (Helsedirektoratet, Normen).


• Avslutning: sett en fast frist for deaktivering når behovet er borte, og kontroller at det faktisk skjer. (Helsedirektoratet, Normen).


• Årlig kontroll: gjennomgå rolleprofiler og privilegerte kontoer minst årlig, og ved organisasjonsendringer. (Helsedirektoratet, Normen).

Økonomi og drift

Administratorrollen blir ofte undervurdert i budsjetter, fordi kostnadene sjelden ligger i ett enkelt system. Kostnaden ligger i summen av tid, kontroll, opplæring, avviksoppfølging og koordinering. Når kommunen har mange systemer og mange brukere, blir det også flere endringer, flere rollebehov og flere hendelser som må følges opp. (KS, DFØ).

En viktig del av økonomien er å forstå livsløpet. Nye løsninger gir ofte en oppstartskostnad, men de største kostnadene kommer gjerne i drift. Kontoer som ikke fjernes, roller som ikke vedlikeholdes, og manglende kontroll av privilegerte tilganger gir økt risiko og mer feilretting. Det slår ut som tidstap og redusert tillit i tjenesten. (Helsedirektoratet, Normen, DFØ).

• Kostnader: driftstid til tilgangshåndtering, opplæring, kontroll av logger, revisjoner, koordinering og leverandørdialog ved feil og endringer. (DFØ, KS).


• Gevinster: færre feiltilganger, raskere onboarding, bedre sporbarhet ved hendelser, og mer stabil arbeidsflyt for helsepersonell. (DFØ, Helsedirektoratet, Normen).


• Styring: gevinster blir sjelden tatt ut av seg selv, og bør følges opp med en enkel gevinstplan med ansvar, indikatorer og rytme. (DFØ).

Måling i drift

Administratorrollen er vanskelig å måle hvis man kun teller antall saker. Det som gir verdi er å måle det som påvirker drift, sikkerhet og arbeidsflyt. Målingene bør være få, enkle og knyttet til rutiner som faktisk gjennomføres. (DFØ, Helsedirektoratet, Normen).

• Tid til tilgang: tid fra behov er meldt til riktig rolle og tilgang er på plass. (DFØ).


• Andel avsluttede kontoer: prosentandel brukere deaktivert innen fast frist etter avsluttet behov. (Helsedirektoratet, Normen).


• Kontrollfrekvens: hvor ofte privilegerte kontoer og rolleprofiler gjennomgås og bekreftes. (Helsedirektoratet, Normen).


• Loggoppfølging: antall loggavvik funnet og lukket per periode, med dokumentert læring og tiltak. (Helsedirektoratet, Normen).


• Avvik knyttet til tilganger: antall hendelser der feil tilgang eller manglende tilgang påvirket tjenesten. (Digitaliseringsdirektoratet, Helsedirektoratet, Normen).

Målingene bør knyttes til en fast rytme, for eksempel månedlig eller kvartalsvis. Det viktigste er at tallene fører til beslutninger. Hvis måling kun blir rapportering uten tiltak, mister den effekt. (DFØ).

Implementering i praksis

Administratorrollen må etableres som en driftsfunksjon, ikke som et prosjektansvar som forsvinner etter innføring. Det betyr at kommunen må definere hvem som bestiller tilgang, hvem som godkjenner, hvem som utfører, og hvordan endringer dokumenteres. (Digitaliseringsdirektoratet, Helsedirektoratet, Normen).

• Behov: avklar hvilke tjenester og arbeidsprosesser systemet skal støtte, og hvem som faktisk trenger tilgang. (KS).


• Roller: etabler rolleprofiler som speiler praksis i tjenesten, og unngå personbaserte unntak som blir permanente. (Helsedirektoratet, Normen).


• Rutiner: lag en tydelig flyt for opprettelse, endring og avslutning av tilganger, med frister og ansvar. (Helsedirektoratet, Normen).


• Verifikasjon: test at rolleprofiler fungerer, at logging fanger relevante hendelser, og at avvik kan følges opp i praksis. (Helsedirektoratet, Normen).


• Drift: sett en fast rytme for tilgangsgjennomgang, loggkontroll og revisjon av privilegerte kontoer. (Helsedirektoratet, Normen).


• Ettermåling: følg opp indikatorer, og juster rollemodellen når tjenesten endrer seg. (DFØ, Digitaliseringsdirektoratet).

Utfordringer og kvalitetssikring

Mange utfordringer i administratorrollen handler om at kommunen har flere systemer som ikke oppfører seg likt. Rollemodeller, begreper og integrasjoner varierer. Det kan gjøre det krevende å holde kontroll uten gode rutiner og tydelig ansvar. (KS, Digitaliseringsdirektoratet).

Normen beskriver at tilganger skal gjennomgås ved organisasjonsendringer og minimum årlig, og at ledelsen skal påse at kontroll faktisk gjennomføres. Det er et viktig kvalitetstiltak, fordi feil tilganger ofte blir liggende lenge uten at noen merker det. (Helsedirektoratet, Normen).

• Risiko: privilegerte kontoer brukes for ofte i daglig drift. Mottiltak: del opp roller, logg privilegert bruk, og ha egen godkjenning for ekstra tilgang. (Helsedirektoratet, Normen).


• Risiko: tilgang blir ikke fjernet ved rollebytte eller avslutning. Mottiltak: koble tilgangsrutiner til HR prosess og jevnlig tilgangsgjennomgang. (Helsedirektoratet, Normen).


• Risiko: logger finnes, men brukes ikke. Mottiltak: sett en fast kontrollplan, og dokumenter oppfølging. (Helsedirektoratet, Normen).


• Risiko: uklart eskaleringsløp ved feil og avvik. Mottiltak: skriv ned hvem som gjør hva, og hva som skal dokumenteres ved hendelser. (Digitaliseringsdirektoratet, KS).


• Risiko: rollemodell stemmer ikke med tjenestens praksis. Mottiltak: involver superbrukere og fagledelse i rolleutforming, og juster jevnlig. (KS).

God kvalitetssikring i denne rollen er ofte det som gjør at resten av teknologien oppleves stabil. Det er sjelden det som gir mest synlighet. Det er ofte det som gjør at ting fungerer når det gjelder. (KS, Helsedirektoratet, Normen).

Videre lesning

Under er et utvalg kilder som kan brukes som støtte når kommunen skal beskrive roller, rutiner og kontroll i velferdsteknologi. Dette er også nyttig når man skal forklare hvorfor administratorrollen må være en del av ordinær drift.

Referanser

• Helsedirektoratet, Normen, Tilgang til helse og personopplysninger
• Helsedirektoratet, Normen, Gjennomgang av tilganger
• Helsedirektoratet, Normen, Logging av tilgang og brukeraktivitet
• Helsedirektoratet, Normen, Tilgangsstyring
• Digitaliseringsdirektoratet, Internkontroll i praksis, informasjonssikkerhet
• DFØ, Gevinstrealisering, fagområde og metodikk
• DFØ, Veileder, gevinstrealisering, planlegging og oppfølging
• KS, Velferdsteknologiens ABC
• Norsk helsenett, Velferdsteknologisk knutepunkt
• Lovdata, Personopplysningsloven med personvernforordningen
• Lovdata, Helsepersonelloven
• Lovdata, Pasientjournalloven
• Lovdata, Helseregisterloven

Se også

• Superbruker i velferdsteknologi
• Teknikerens rolle i velferdsteknologi
• ASK, alternativ og supplerende kommunikasjon
• Blodsukkermåling

Sist oppdatert: 2025-12-18

≡ Tilbake til oversikt

Merk: Innholdet på denne siden er ment som faglig kunnskapsdeling og læringsstøtte. Regelverk, praksis og anbefalinger kan endre seg over tid. Det er alltid virksomhetens ansvar å vurdere lokale forhold, ansvar og gjeldende krav.

Forslag eller korreksjoner? Skriv til post@digitalvelferd.no.