Tilgangsstyring
Virksomheten skal ha rutiner for autorisering, endring og avslutning av tilganger til verktøy som benyttes til pasientkommunikasjon. Tilgangsstyring skal etableres for alle informasjonssystemer. Det gjelder også for administrator- og systembrukere. Bare autorisert personell med tjenstlige behov skal få tilgang til helse- og personopplysninger.
Innenfor rammen av taushetsplikten skal virksomheten sørge for at relevante og nødvendige helseopplysninger er tilgjengelige for helsepersonell og samarbeidende personell når dette er nødvendig for å yte eller administrere helsehjelp til den enkelte.
Virksomheten bestemmer på hvilken måte opplysningene skal gjøres tilgjengelige. Opplysningene skal gjøres tilgjengelige på en måte som ivaretar informasjonssikkerheten og personvernet.
Autorisering
Virksomheten er ansvarlig for at autorisasjoner tildeles, administreres og kontrolleres. Ved tildeling av autorisasjon skal lovbestemt taushetsplikt vurderes og ivaretas.
Det er kun autorisert personell som skal ha tilgang til å benytte seg av digitale verktøy for pasientkommunikasjon. I helsevirksomheter hvor man har ulike typer helsepersonell, for eksempel et helsesenter med leger og fysioterapeuter som benytter samme EPJ-system, må de ha ulike roller.
Autentifisering
Autorisert personell skal bekrefte sin identitet på en sikker måte, det samme gjelder for pasienter.
Sikkerhetsnivået for autentisering må fastsettes på grunnlag av en risikovurdering. I risikovurderingen må man blant annet ta hensyn til løsningen som benyttes og hva slags opplysninger som skal behandles.
Autentisering for bruk av kun administrative funksjoner uten helse- og personopplysninger (for eksempel bestilling og avbestilling av time uten at grunnen for timebestilling oppgis), skal gjøre med minimum sikkerhetsnivå betydelig (Tilsvarer sikkerhetsnivå 3)
For autentisering for tilgang til og kommunikasjon av helseopplysninger i nasjonale løsninger (for eksempel Helsenorge) eller løsninger levert av helsepersonell (inklusive timebestilling der pasient/bruker oppgir grunnen for bestilling av ny time og reseptfornying) kreves sikkerhetsnivå høy (Tilsvarer sikkerhetsnivå 4)]
For løsninger til private formål (helsepersonell er ikke involvert) anbefales autentisering med sikkerhetsnivå betydelig.
| eIDAS-forordningen (910/2015) erstattet e-signaturdirektivet og ble inntatt i norsk rett 15.06.2018. ID-porten og bank-ID er anerkjent som e-ID-ordning under dette direktivet. |
