Mobilappar, införande i kommuner

En hemsida består av dynamiska och statiska komponenter som en användare kan interagera med. De skapas vanligast i programmeringsspråken html, SCC och JavaScript och fungerar på olika plattformar och enheter. Det är också vanligt att hemsidor är responsiva, det vill säga att de anpassar sig till enhetens skärmstorlek.

Hemsidor är relativt enkla att bygga och underhålla. Hemsidor kan däremot inte fullt ut använda mobiltelefoners eller surfplattors inbyggda funktioner. Det kan däremot mobilappar. Styrkan med mobilappar är att de kan förenkla användarupplevelsen genom att använda inbyggda funktioner i mobiltelefonen eller surfplattan. Det kan till exempel vara kamera och GPS, eller tilläggstjänster som Mobilt BankID.

Genom en mobilapp kan en verksamhet erbjuda en mer effektiv, snabb och omfattande användarupplevelse.

Det finns tre varianter av mobilappar:

• Native
• Webb
• Hybrid

Native

Native-appar är sådana som kan laddas ner från app-marknadsplatser. De är skapade unikt för olika mobila plattformar, till exempel iOS eller Android. Native-appar utnyttjar inbyggda funktioner i mobiltelefonen, såsom kamera, GPS och notifikationer. Dessa appar tillåter också användning av gester med fingrar[GU1] . Native-appar har dessutom en hög tillgänglighet genom att de kan utnyttja inbyggda inställningar som användaren konfigurerar, till exempel större textstorlek, kontrast och dark mode (mörkerläge). Användaren behöver inte göra separata inställningar för varje mobilapp.

Webb

En webb-app är inte en riktig applikation utan en hemsida[GU2] . De skapas ofta för att se och kännas som en native-app. Webb-appen används genom att användaren navigerar till en webbadress i mobiltelefonens eller surfplattans webbläsare. Därefter installerar användaren webb-appen genom att skapa ett bokmärke på hemskärmen. Även webb-appar kan använda sig av den mobila enhetens inbyggda funktioner, såsom kamera och GPS, genom API:er, men i begränsad omfattning. (API är ett slags protokoll som används för att program, system och applikationer på ett enkelt sätt ska kunna prata med varandra, en slags tolk som kommunikationen går genom. Man kan beskriva ett API som ett strukturerat sätt att överföra data från ett ställe till ett annat.) Webb-appar kan inte använda sig av notifikationer eller avancerade gester.

Hybrid

Hybrid-appar är en blandning av native-app och webb-app. Hybrid-appar laddas ner från app-marknadsplatser och kan använda sig av mobiltelefonens eller den bärbara surfplattans inbyggda funktioner. Hybrid-appar har precis om webb-appar en webbläsare, men inbyggd i själva appen. Hybrid-appar använder sig av korsplattformutveckling genom att återanvända html-komponenter över olika operativsystem, såsom Windows, iOS och Android. Det är vanligt att verksamheter skapar hybrid-appar som omslag till existerande hemsidor för att få in den på app-marknadsplatser utan att använda mycket resurser.

Vilka styrkor och svagheter finns det hos de olika varianterna?

Vid utveckling eller inköp av mobilapp bör man känna till de olika app-varianternas styrkor och svagheter med utgångspunkt från målgrupp och syfte. Följande frågor bör besvaras:

Vilka funktioner kommer appen behöva använda sig av?

• Hur snabbt behöver appen publiceras?
• Ska den fungera off-line?
• Hur snabb ska appen vara?
• Hur kunniga är användarna?
• Vilka resurser har vi för att skapa och underhålla tjänsten?
• Hur viktig är användarupplevelsen?

Hälso-och sjukvård kontra socialtjänsten

Det är i dagsläget inte tillåtet inom hälso- och sjukvård att tilldela behörighet för ett så kallat ombud, det vill säga att i hälso- och sjukvården ge en fysisk person som en enskild utser, exempelvis en anhörig, behörighet att få elektronisk tillgång till vårddokumentation om den enskilde. Inom en kommun får således en enskild inte utse ett ombud inom den kommunala hälso- och sjukvården.

Motsvarande begränsningar finns inte inom socialtjänsten. Det finns alltså inte några rättsliga hinder på samma sätt som inom hälso- och sjukvården för en vård- och omsorgsnämnd (eller motsvarande) att ge ett ombud tillgång till socialtjänstens dokumentation om en enskild via en mobilapp. Förutsättning är att den enskilde samtycker både till att efterge sekretessen till förmån för ombudet och till personuppgiftsbehandlingen som innefattas i ett utlämnande. Det rör sig således om två samtycken som den enskilde ska lämna till nämnden.

Samtyckena ska dokumenteras i personakten eller i därför avsedd samtyckestjänst. Givetvis ska den enskilde besitta en kognitiv förmåga att förstå innebörden av båda samtyckena. Ett samtycke krävs också av ombudet för att vård- och omsorgsnämnden eller motsvarande ska kunna behandla dennes kontouppgifter.

Vilka uppgifter får göras tillgängliga?

Det är vård- och omsorgsnämnden eller motsvarande som bestämmer vad för slags uppgifter som ska kunna tillgängliggöras för ombudet. I denna del kan ett riktmärke vara att tillgängliggöra sådan information som är nödvändig för anhörigstödet. Det kan röra sig om beslutade insatser, genomförandeplaner, journalanteckningar (i personakten) och planerade besök av hemtjänsten.

Det finns inga rättsliga hinder för att även tillgängliggöra larm och andra aktiviteter som nämnden registrerar från till exempel trygghetslarm samt digitala lås i en mobilapp som kommunen tillhandahåller invånare, men viss försiktighet är påkallad eftersom larm, särskilt felaktiga larm, kan feltolkas eller skapa onödig oro hos anhöriga. Här bör övervägas att i stället låta en professionell larmcentral förfoga över larmen.

Ombudet behörighet

Ombudet ska dock inte få tillgång till den kommunala hälso- och sjukvårdens vårddokumentation eftersom patientdatalagen inte ger stöd för detta. Inte heller får uppgifter om tredje person som förekommer i dokumentationen tillgängliggöras för ombudet.

Utseende av ombud inom socialtjänsten kan ske genom att den enskilde anger ombudets personnummer eller samordningsnummer i tjänsten. Personnumret alternativt samordningsnumret verifieras mot Navet eller liknande befolkningsregister innan behörighet medges för ombudet till den enskildes socialtjänstdokumentation. Den enskilde ska kunna frånta ombudet dennes behörighet eller begränsa denna endast till vissa uppgifter.

Det kan vidare vara bra ur ett integritetsperspektiv att den enskilde automatiskt varje år påminns om den tilldelade behörigheten till ett eller flera ombud. Funktionalitet för stark autentisering ska finnas för ombudets elektroniska åtkomst till den enskildes socialtjänstdokumentation.

En marknadsplats i en mobilapp för hushållsnära kommersiella tjänster och volontärtjänster ingår i kommunens kompetensområde enligt kommunallagen. Marknadsplatsen kan likställas med att kommunen bygger anläggningar och infrastruktur åt småföretagare eller motsvarande.

Marknadsplatsen öppen för alla

En marknadsplats i mobilappen måste dock vara öppen för alla kommersiella företag. Några inträdeskrav eller urval av företag får inte förekomma. Risken är annars att bestämmelserna i konkurrenslagen om begränsande offentlig säljverksamhet gäller på marknadsplatsen eftersom kommunen har ett bestämmande inflytande över densamma. Att kommunen själv inte bedriver säljverksamhet saknar betydelse.

De kommunala kompetensreglerna talar också mot att uppställa inträdeskrav eller urval av tjänsteleverantörer, för att inte bryta mot förbudet i kommunallagen mot ekonomiskt stöd till enskild. Marknadsplatsen ska vara öppen för alla.

Risker oseriösa aktörer

Det finns dock en påtaglig risk med en marknadsplats utan inträdesbegränsningar att den fylls med oseriösa aktörer. Eftersom vård- och omsorgstagare är i en ömtålig ställning, vissa dessutom med fysiska och kognitiva nedsättningar, kan de utgöra lätta offer för oseriösa eller till och med kriminella aktörer. Det kan få allvarliga följer för både omsorgstagarna men också för marknadsplatsens varumärke och tilltro.

Volontärtjänster

Däremot finns det inga rättsliga eller andra tveksamheter för att tillåta volontärtjänster i en mobilapp. Här finns goda förutsättningar för kommunen att utöva kontroll genom att ingå samarbetsavtal med volontärsföreningar.

Tjänster enligt lagen om valfrihetssystem (LOV)

De begränsningar som konkurrenslagen och kommunallagen ger upphov till för hushållsnära kommersiella tjänster råder inte för tjänster som faller inom kommunens skyldigheter som utförs av leverantörer inom ramen för lagen (2008:962) om valfrihetssystem (LOV).

Med valfrihetssystem enligt denna lag avses ett förfarande där den enskilde har rätt att välja den leverantör som ska utföra tjänsten och som en vård- och omsorgsnämnd eller motsvarande godkänt och tecknat kontrakt med. Nämnden får ställa särskilda sociala, miljömässiga och andra villkor för hur ett kontrakt ska fullgöras. Samtliga villkor ska anges i annonsen om valfrihetssystem eller i förfrågningsunderlaget. För ytterligare hjälp, kontakta verksamhetens upphandlingsstöd.

LOV gäller bara för tjänster (inte varor) som tillhandahålls inom socialtjänstens uppdrag. Som exempel kan nämnas äldreomsorg samt social omsorg för personer med funktionsnedsättning. LOV kan inte användas för att tillhandahålla kommersiella hushållsnära tjänster.

Ur ett övergripande perspektiv följer app-utveckling följande steg:

1. Utvärdering av app-initiativ
2. Nyttorealisering
3. Juridisk granskning alternativt konsekvensbedömning av dataskydd
4. Digital tillgänglighet
5. UX (User Experience Design)
6. Utveckling, test och kvalitetssäkring
7. Inköp
8. Förvaltning

Utvärderingen syftar till att bedöma på vad sätt en mobilapp är bättre än en hemsida.

• Utvärdera fördelar och nackdelar med införande av en mobil-app.
• Gör en nyttoanalys och nyttokalkyl med utgångspunkt från målgrupp och syfte.
• Identifiera större insatser och kostnader under appens livscykel.

Exempel på frågor som ska besvaras:

1. Hur kan tjänsten göras enklare?
2. Hur kan den kännas tryggare?
3. Bidrar appen till ökad användning?

Utvärderingen avslutas med ett beslutsunderlag.

Nyttorealisering syftar till att ta fram en plan för hur nyttorna ska realiseras, utse ansvariga personer, mäta och följa upp nyttan.

För att kunna identifiera juridiska risker bör en granskning eller konsekvensbedömning göras. Det kan röra sig om brister i skyddet för enskildas personliga integritet enligt dataskyddsförordningen eller annan registerlagstiftning. Även offentlighets- och sekretesslagstiftning kan vara berörd vid app-utveckling. Det finns vidare andra risker som kan hänföras till de kommunala kompetensreglerna i kommunallagen (vad får en kommun göra) och offentlig säljverksamhet enligt konkurrenslagen .

Om det finns en sannolik hög risk för enskildas fri- och rättigheter ska en konsekvensbedömning av dataskyddet genomföras enligt artikel 35 i dataskyddsförordningen. Till stöd för att bedöma om en dataskyddskonsekvensbedömning ska genomföras finns en vägledning från Integritetsskyddsmyndigheten, Förteckning enligt artikel 35.4 i Dataskyddsförordningen.

Kompetenscenter Välfärdsteknik har publicerat en mall för konsekvensbedömningar inom kommunens vård- och omsorgsverksamhet för att säkerställa att alla krav på en sådan konsekvensbedömning är uppfyllda. Se utveckling, test och kvalitetssäkring.

Mall för konsekvensbedömning (Word) Word, 111 kB.

Förteckning över när en konskevensbedömning bör göras, IMY

Skapa en kravlista på kriterier med utgångspunkt från digital tillgänglighet.

Till stöd kan WCAG-standarden användas (Web Content Accessibility Guidelines), Det är riktlinjer för tillgänglighetsanpassning som har tagits fram av W3C (World Wide Web Consortium) och syftar till att undersöka vilka användarna är, användarnas behov och hur appen kan designas för att tillmötesgå användarnas behov. WCAG-standarden har tre olika nivåer (A, AA och AAA). Offentliga myndigheters hemsidor och appar bör uppnå minst nivå AA i standarden. Kontakta en kommunikatör alternativt en webbredaktör för stöd.

Web Content Accessibility Guidelines (WCAG), W3C

Några exempel på tillgänglighetsanpassningar

• Formge appen med tydliga kontraster mellan bakgrund och text; ge möjlighet att förstora text och öka radavstånd
• Designa responsivt (anpassar sig till skärmens storlek).
• Se till att all kod följer en standard och att roll eller funktion för komponenter är angivna.
• Ge användaren möjlighet att navigera med hjälp av tangentbord.
• Ge användaren möjlighet att stänga av ljud, video och animationer.
• Beskriv med text allt innehåll som inte är text, det vill säga video och grafik - undantag dekorativa bilder.
• Skriv beskrivande rubriker och etiketter.
• Skriv tydliga länkar, det vill säga skriv inte bara ”Klicka här”.

UX står för User Experience Design eller på svenska användarupplevelsedesign. Det är processen att skapa evidensbaserade interaktionsdesign mellan mänskliga användare och appar eller webbplatser. Designbeslut inom UX drivs av forskning, dataanalys och testresultat snarare än estetiska preferenser och åsikter. Design får dock inte ske på bekostnad av rättsliga krav och skyddet av den personliga integriteten. Som regel används ett mockup-verktyg för UX-design för att testa sig fram till en design.

UX ligger nära UI-design, User Interface Design (design av användargränssnitt). UI syftar till att visa hur produkten kommer se ut och uppfattas.

Beroende på användningsområde ska UX syfta till att en mobilapp är:

• till nytta
• användbar
• sökbar
• trovärdig
• åtråvärd
• tillgänglig
• värdefull

I denna fas utvecklas den mobila appen. Tester av appen kan ske parallellt med utvecklingen.

I detta skede utvecklas också den systemmiljö från vilken appen verkar, så kallad backend. Här finns datalagringslösningar för användares konton och annan användardata. Delning av uppgifter sker också från back-end. Ska appen interagera med andra digitala tjänster ska detta även beaktas.

Test och kvalitetssäkring omfattar bugg-kontroll och säkerställande av att säkerhetsfunktioner fungerar.

Avser verksamheten att köpa en färdig produkt på marknaden ska den upphandlas. Innan de slutgiltiga upphandlingsdokumenten tas fram genomförs förarbetet. Detta innefattar dels att identifiera utfallet av de moment (punkt 1-6) som har angetts ovan, dels visa kompletterande aktiviteter. När det gäller att fånga utfallet av ovan angivna punkter är punkten 1 ”Utvärdering av app-initiativ” och punkten 2 ”Nytto- och effektrealisering” av särskilt avgörande betydelse.

Här är det särskilt intressant att känna till exempelvis vad som har talat för respektive emot ett införande av en mobilapp och vad som slutligen har bidragit till valet att införa en app. Genom att känna till dessa avvägningar kan upphandlingen anpassas och utformas på ett sätt som maximerar chansen för att de motiv som ligger till grund för beslutet att införskaffa en app också faktiskt kommer att realiseras. Utöver detta är marknadsanalysen en viktig ”pusselbit”. Detta moment handlar om att undersöka huruvida marknaden kan möta de identifierade behoven; både innehållsmässigt och ekonomiskt.

Upphandlingsdokumenten tas sedan fram och själva upphandlingen genomförs med utgångspunkt i utfallet av den genomförda förstudien.

Förbered upphandling av välfärdsteknik

En mobilapp kräver en förvaltningsorganisation.

Om appen är upphandlad svarar normalt tjänsteleverantören för förvaltningen som inkluderar support (helpdesk). Verksamheten brukar som regel utse administratörer för att tilldela behörigheter för egna medarbetare samt fungera som kontaktyta mot leverantören och eventuellt agera som första linjens support. Leverantören agerar då som andra linjens support.

Om verksamheten själv har utvecklat mobilappen, faller ett ansvar för att också skapa en förvaltning för densamma.

Mobilappar avsedda för verksamheter inom vård och omsorg ska ta i beaktande krav i dataskyddsförordningen, patientdatalagen och Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården.

Rättsliga krav

De rättsliga kraven innebär bland annat följande:

• Medarbetare och invånare ska ha individuella behörigheter. De ska identifiera sig genom stark autentisering, till exempel SITHS, BankID, Freja eID eller säkerhetsnycklar, eftersom åtkomst sker över öppna nät, såsom internet.
• Överföring av personuppgifter mellan klient (mobil enhet) och grundsystem (servrar och databaser) ska vara krypterad.
• Loggning ska ske av åtkomst och andra händelser med invånaruppgifter, såsom utskrifter, radering/ändring av uppgifter och delning med tredje part.
• E-post och sms får inte skickas i klartext över internet med undantag för påminnelser och kallelser till vård och behandling som riktar sig till invånare. Det är under förutsättning att invånaren har samtyckt till det, en behovs- och riskanalys genomförts och att meddelandet inte innehåller några hälsorelaterade uppgifter.
• Om mobilappen ska användas av medarbetare för direktåtkomst eller annat elektroniskt utlämnande till vård- och omsorgsdokumentation ska det finnas funktionalitet för att iaktta invånares önskemål. Det kan gälla spärrar av vård- och omsorgsdokumentation mot medarbetare vid andra vårdenheter/organisatoriska enheter inom nämnden samt aktiva val för medarbetare vid elektronisk åtkomst enligt vad som beskrivs i Socialstyrelsens föreskrifter HSLF-FS 2016:40.
• Vid direktåtkomst eller annat elektroniskt utlämnande till ett kommunalt eller med regionen gemensamt system för sammanhållen journalföring (endast inom hälso- och sjukvård) säkerställa att det finns funktionalitet för invånares önskemål om externa spärrar samt aktiva val och nödåtkomst för medarbetare enligt vad som beskrivs i Socialstyrelsens föreskrifter HSLF-FS 2016:40.

Övrigt att tänka på vid design och utveckling

• Användarvillkor och integritetspolicy ska finnas enkelt och tydligt tillgängliga i mobila appens gränssnitt.
• All information om personuppgiftsbehandlingen ska vara på ett enkelt, begripligt och tydlig språk samt översatt till de fyra största språkgrupperna (engelska, somaliska, farsi och arabiska).
• Eventuella samtycken i mobilappen ska vara lika enkla att återkalla som de lämnas.
• Information om vilka informationsmängder hos vård- och omsorgsgivaren som tillgängliggörs i mobilappen.

Det finns inte några rättsliga hinder för en vård- och omsorgsnämnd (eller motsvarande i en kommun) att ge en invånare direktåtkomst till socialtjänstdokumentation som rör honom eller henne via en mobilapp som tillhandahålls av nämnden. Det är vård- och omsorgsnämnden som bestämmer vad för slags uppgifter som ska tillgängliggöras för den enskilde elektroniskt via mobilappen.

Det kan till exempel vara beslutade insatser, genomförandeplaner, journalanteckningar, planerade besök av hemtjänsten och åtkomstloggar. Även larm och andra aktiviteter som nämnden registrerar från till exempel trygghetslarm eller digitala lås kan tillgängliggöras i en mobilapp som kommunen tillhandahåller vård- och omsorgstagaren. Direktåtkomst ska ske genom stark autentisering, det vill säga tvåfaktorsautentisering.

Vissa uppgifter i socialtjänstens dokumentation omfattas dock av sekretess mot den enskilde och får därför inte tillgängliggöras genom direktåtkomst, till exempel uppgift i anmälan till skydd för anmälare eller uppgiftslämnare. Uppgifter om andra individer än den enskilde som förekommer i socialtjänstens dokumentation får inte heller tillgängliggöras för denne genom direktåtkomst.

Vårddokumentation

En vård- och omsorgsnämnd eller motsvarande får vidare i rollen som vårdgivare tillgängliggöra vårddokumentation med stöd av patientdatalagen för en invånare, till exempel läkemedelslistor, journalanteckningar och vårdplaner. Den enskilde får under samma förutsättningar medges direktåtkomst till åtkomstloggar. Direktåtkomst får ske enbart med stark autentisering. Bara uppgifter om den enskilde ska tillgängliggöras, inte uppgifter om andra personer i vård- och omsorgsdokumentationen. Även inom hälso- och sjukvården kan det råda sekretess för vissa uppgifter i förhållande till den enskilde, såsom till exempel uppgift i anmälan till skydd för anmälare eller uppgiftslämnare.

När det gäller exponering av namn på hemtjänstpersonal vid planerade besök i ordinärt boende via en mobilapp, bör vård- och omsorgsnämnden (eller motsvarande) beakta bestämmelserna om förhandlingsskyldighet i 11-14 §§ lagen om medbestämmande i arbetslivet. Det behövs eftersom behandlingen innefattar en kartläggning av medarbetarna som tillgängliggörs inte bara för omsorgstagaren utan också för andra, till exempel anhörig.

Kakor eller cookies, är små textfiler som lagras på en klient (såsom dator, surfplatta eller mobiltelefon), när en webbsida besöks. Kakan innehåller information om webbläsare, IP-adress, skärmupplösning och olika aktiviteter på webbplatsen. Det kan exempelvis handla om
när och vilket innehåll användaren har sett och klickat på eller vilken webbplats användaren besökt innan den aktuella webbplatsen.

För att kunna använda webbplatsen och alla dess funktioner utan störningar krävs att användaren godkänner vissa eller alla kakor. Vissa kakor som är grundläggande för webbplatsens funktionalitet behöver inte godkännas av användaren (nödvändiga kakor).

Av lag och praxis ställs det krav på en så kallad cookie-banner, en dialogruta där användaren vid första besök på en webbplats informeras om vilka kakor som finns och kan neka alla kakor utom de nödvändiga. En cookie-banner ska åtminstone ha tre snabbval.

1. En knapp där alla kakor utom nödvändiga nekas.
2. En knapp för att godkänna alla kakor.
3. En knapp för att se alla kakor och göra individuella inställningar eller godkännanden för varje typ av kaka.

Att neka alla kakor på en webbplats kan påverka webbplatsen och dess funktionalitet. Kakor aktualiseras främst i webb-appar och hybrid-appar och mer sällan i native-appar.

Observera att vid köp av app ska en kontroll utföras av vilka kakor som finns i den. Det är etiskt tveksamt att som kommun tillhandahålla en app för vård och omsorg som innehåller kakor i syfte för leverantören eller tredje part att rikta marknadsföring av kommersiella tjänster eller produkter till användarna av en appen.

Beskrivning av olika kakor

Nödvändiga cookies

Vissa cookies är nödvändiga för att kunna använda en webbplats och alla dess funktioner, exempelvis för att kunna identifiera begäran från samma webbläsare under en begränsad sessionstid.

Funktionscookies

Funktionscookies innehåller ett unikt ID och hjälper webbplatsen att lagra användarinställningar, såsom uppgifter om preferenser för att kunna förse användaren med individualiserade och anpassade tjänster och innehåll.

Prestandacookies

Dessa cookies används för att analysera webbplatsens prestanda och identifiera och åtgärda eventuella problem så snart de upptäcks.

Marknadsföringscookies

Lagrar information om användarens aktivitet på en webbplats, däribland vilka sidor användaren har besökt och vilka länkar användaren har klickat på men även hur användaren rör sig mellan olika webbplatser. Dessa uppgifter används av webbplatsinnehavaren eller av tredje part för att kunna erbjuda riktad och anpassad marknadsföring som man tror är relevant och av intresse för användaren. Med hjälp av marknadsföringscookies kan webbplatsinnehavaren eller tredje part även visa annonser när användaren besöker andra webbplatser. Slutligen används dessa cookies för att samma annonser inte ska visas för användaren alltför många gånger och för att mäta effektiviteten av marknadsföringskampanjer.

Tredjepartscookies

Cookies från tredje part på en webbplats, kan samla in information om besökare på webbplatsen. Det är inte alltid webbplatsinnehavaren som mottar uppgifter från den aktuella tredje parten. Om och i den mån tredjepartscookies samlar in information som används för andra ändamål ansvarar den aktuella tredje parten för sådan behandling. Tredje parts integritetspolicy och cookiepolicy måste kontrolleras vid köp av mobilapp. Se upp för eventuell tredjelandsöverföring.

En annan form av kod eller script är pixlar som placeras i annonser och på sociala mediaplattformar. Pixeln agerar som ett spårningsverktyg, den plockar upp information och data kring personer som har interagerat med annonsen eller den sociala plattformen. Det är ett sätt för annonsörer att mäta effekten och analysera resultatet.