Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

4.6. Sikkerhetstiltak ved bruk av skytjenester

Informasjonssikkerheten skal være tilfredsstillende og handler om å ivareta konfidensialitet, integritet og tilgjengelighet ved behandling av helse- og personopplysninger. 

I dette kapitlet beskrives et utvalg av informasjonssikkerhetstiltak som er viktige å følge opp ved bruk av skytjenester. Utvalget er basert på beste praksis for områder som er spesielle for skytjenester. Etter Normen er det stilt krav om en rekke flere tiltak enn det som framkommer av dette kapitlet.  

Egnede sikkerhetstiltak skal velges på bakgrunn av en risikovurdering. 

Konfigurasjonskontroll 

Det er en forutsetning at virksomheten har oversikt over og kontroll på alt eget utstyr og programvare som benyttes i behandlingen av helse- og personopplysninger slik at konfidensialitet, integritet og tilgjengelighet blir ivaretatt.

Konfigurasjonsendringer, dvs. endringer i utstyr og/eller programvare, skal ikke settes i drift før følgende tiltak er gjennomført:

  • Risikovurdering som viser at nivå for akseptabel risiko er oppnådd.
  • Test som sikrer at forventede funksjoner er ivaretatt.
  • Implementering som sikrer mot uforutsette hendelser.
  • Ny konfigurasjon er dokumentert.
  • Konfigurasjonsendringer er godkjent av virksomhetens leder eller den ledelsen bemyndiger.

Leverandøren av skytjenesten plikter å dokumentere alle konfigurasjoner i et konfigurasjonskart over informasjonssystemene og teknisk beskrivelse av konfigurasjonen.  Konfigurasjonskartet skal vise leverandørens datasenter(e) (lokasjon(er)) og eventuelle underleverandørers lokasjon.

Konfigurasjonskontroll skal avtales i databehandleravtalen (jf. kap. 3.2).

Tilgangsstyring

Som nevnt flere ganger i denne veilederen er det ofte flere aktører/roller involvert i skytjenester. Skytjenestene er normalt delt med en rekke andre kunder av leverandøren. Det er derfor av særlig betydning at virksomheten påser at det blir etablert tilstrekkelige prinsipper for tilgangsstyring.

Prinsippene for tilgang til helse- og personopplysninger skal følge tjenstlige behov hos den Dataansvarlig, uansett hvilken aktør som har tilgang. All tilgang skal gis under bestemmelsene om taushetsplikt.

Om det benyttes roller skal dataansvarlig etablere roller som bygger på prinsippene om tilgangsstyring. Tilgangsstyring skal etableres i alle systemer.

Systemet som administrerer autorisasjon av tilganger til skytjenestene skal skille mellom rettigheter til å lese, registrere, redigere, rette, slette og/eller sperre helse- og personopplysninger. All tildeling av autorisasjon skal registreres i et autorisasjonsregister. For detaljer om autorisasjonsregister vises det til Normens veileder om tilgang.

I prinsippene og løsningen for tilgangsstyring må tilgjengelighet for brukeren fastsettes slik at brukeren får de rette tilganger iht. sitt tjenstlige behov til enhver tid.

For administrasjonskontoer gjelder Normens krav:

  • Bruker med administratortilganger skal benytte personlig separat brukerkonto for administratoroppgaver, og
  • driftspersonell skal ha personlige brukerkontoer for oppgaver som ikke krever administratortilganger.

All autentisering for tilgang til helse- og personopplysninger i skytjenestene skal være personlige. For tilgang til helse- og personopplysninger skal det benyttes en sikker autentiseringsløsning. Risikovurderingen må vise at autentiseringsløsningen gir tilstrekkelig sikkerhet.

Se også Veileder for tilgang til helse- og personopplysninger 

For veiledning om å etablere tilgangsstyring, se Faktaark 14 - Tilgangsstyring 

Logging

Virksomheten skal påse at det er etablert logging og rutine for kontroll av logger, slik at den har kontroll med aktiviteten i skytjenesten.

Loggene som er knyttet til pasientjournalen har de samme lovregler for tilgang, endring, innsyn, oppbevaring og sletting som selve pasientjournalen.

Nedenfor behandles logger som ikke er en del av pasientjournalen. Eksempler på slike logger er:

  • Autentiseringsinformasjon i skytjenesten
  • Systeminformasjon med betydning for informasjonssikkerheten
  • Sikkerhetsbarrierer (brannmurer mv.)

All autorisert bruk og forsøk på uautorisert bruk av løsningene skal registreres. Loggene skal enkelt kunne analyseres ved hjelp av analyseverktøy med henblikk på å oppdage brudd.

Det skal etableres rutiner for å analysere loggene slik at hendelser oppdages før de får alvorlige konsekvenser.

Loggene skal sikres mot endring og sletting.

Alle oppføringer i loggene skal oppbevares til det ikke er bruk for dem lenger. Ved bruk og konfigurasjon av skytjenester som kan være flyktig (dvs. tjenester kan oppstå og avvikles på kort tid), kan man være nødt til å oppbevare loggene etter at den tekniske tjenesten er avviklet for å sikre sporbarhet.

Det anbefales å skille på relevante og ikke relevante logger for tilgang til helse- og personopplysninger.

Om det avdekkes hendelser som viser uautorisert bruk, skal det opprettes en avviksmelding som skal håndteres iht. etablerte rutiner.

Faktaark 15 - ​Logging og oppfølging av logger 

Kryptering

Kryptering er et virkemiddel for å sikre konfidensialitet til helse- og personopplysninger.

I denne forbindelse kan kryptering brukes til tre formål:

  1. Kryptering av data som er i transport over datanettverket kan være et godt alternativ for sikring fra ende til ende
  2. Kryptering av kanalen for overføring – et annet alternativ. Sikring av overføringskanal omfatter som hovedregel kun én kanal, men det kan også være ulike kanaler for ansatte og pasienter, samt leverandører
  3. Kryptering av data som lagres - et godt alternativ for sikring mot misbruk

Disse tre formålene er utdypet nedenfor.

For mer informasjon om kryptering, se for eksempel NSM Cryptographic Recommendations versjon 1.0. 

Kryptering av data som overføres over datanettverket

All datakommunikasjon med helse- og personopplysninger, som skjer i datanettverk som virksomheten ikke selv har kontroll over, skal krypteres. Overføring av helse- og personopplysninger mellom leverandøren og eventuelle underleverandør(er) skal sikres tilsvarende.

Virksomheten må påse at helse- og personopplysninger som overføres er krypterte . Kryptering og dekryptering mellom kommunikasjonspunkter i infrastrukturen skal gjøres i godkjent utstyr virksomheten har kontroll med. Kontrollen kan ivaretas gjennom avtale.

Kryptering forutsetter en forsvarlig behandling av partenes krypteringsnøkkel(er). Virksomheten må utarbeide prosedyrer som sikrer at krypteringsnøkler og/eller sertifikater blir forsvarlig sikret og at krypteringsnøklene er unike for hver enkelt bruker iht. krav beskrevet i "Kravspesifikasjon for PKI i offentlig sektor". Se også Normens faktaark 49 om Krav ved bruk av PKI ved ekstern kommunikasjon.

Kryptering av kanalen for overføring

Nettverkskommunikasjonen skal sikres med minst to uavhengige, tekniske virkemidler (jf. Normen kap. 5.5.2).

Sikring av kanaler kan f.eks. løses ved:

  • Bruk av VPN (Virtual Private Network)
  • Kombinasjon av VPN og prinsipper for VLAN (Virtual LAN (Local Area Network))

Om overføringskanalen er etablert over Internett skal virksomheten etablere tekniske tiltak som sikrer at Internett-tjenesten er logisk atskilt fra der helse- og personopplysninger behandles.

Mer hjelp til sikkerhetsarkitektur og datakommunikasjon fins i Faktaark 24 - Kommunikasjon over åpne nett 

Kryptering av data som lagres

Data som lagres hos leverandøren kan sikres med kryptering. Dette er en metode som kan benyttes for data som er i transitt mellom datasentre på ulike lokasjoner.

Ved bruk av kryptering av lagrede data bør en undersøke om løsningen er tilfredsstillende iht. krav til kryptering.

Normen

Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 08. juni 2023