Dataansvarlig skal alltid foreta en konkret vurdering av hvorvidt skytjenester er egnet til bruk ved behandling av helse- og personopplysninger. I denne vurderingen skal det blant annet legges vekt på informasjonsbehandlingenes art, omfang, formål og sammenhengen den utføres i.
Ved behandling av særlige kategorier personopplysninger stilles det høyere krav til sikkerhet i løsningen. Behandlingens formål må også vurderes i hvert enkelt tilfelle, da enkelte behandlingsformål kan være mer belastende for personvernet enn andre. Dersom behandlingen skal foregå over lengre tid, vil det også stilles strengere krav.
Risikovurderinger skal gjennomføres:
- Alltid når det tas i bruk skytjenester. I forbindelse med en anskaffelsesprosess kan det være lurt å vurdere hvorvidt en foreløpig risikovurdering eller en full risikovurdering, bør gjennomføres før kontrakten signeres.
- Etablering eller endring i behandling av helse- og personopplysninger
- Ved større konfigurasjonsendringer
- Når det oppstår avvik av betydning og alltid ved uautorisert utlevering av helse- og personopplysninger med betydning for konfidensialitet
- Som en del av kontroll og oppfølging
Mer tilgjengelighet av helse- og personopplysninger i skyen kan være en trussel ved at store globale aktører er et større mål for angrep enn småaktører, og risikobildet og teknologien endrer seg fort.
Nedenfor er det ført opp noen eksempler på områder som bør inngå i en risikovurdering:
- Tilgangsstyring
- Brukerkontoer og roller er iht. tjenstlige behov
- Autentiseringsmetode
- Logging
- Logger i tilknytning til helse- og personopplysninger
- Logger for infrastruktur
- Kryptering
- Mellom bruker (klienten), leverandøren, internt hos leverandøren og eventuelle underleverandører
- Konfigurasjonskontroll
- Separering mellom kunder
- Bevissthet rundt hvor data ligger i leverandørens ulike datasenter, i ulike land
- Pasientrettigheter og personvern
- Pasienten/brukeren må sikres innsyn i egne helse- og personopplysninger og logger
- Pasientens/brukerens rettigheter til retting/sletting av helse- og personopplysninger må ivaretas
- Tilbakelevering
- Virksomheten har ikke tilgjengelig riktige verktøy for å behandle helse- og personopplysninger som er tilbakelevert etter evakuering/avvikling av skytjenesten.
Ved bruk av skytjenester kan virksomheten velge å la leverandøren gjennomføre risikovurdering av løsningen som tilbys. Denne skal dokumenters, og virksomheten (kunden) skal ha innsyn i eller tilgang til vurderingen. I tillegg skal virksomheten gjennomføre risikovurdering for egen behandlingen av helse- og personopplysninger.
