Ved etablering av fjernaksess til helse- og personopplysninger vil ulike løsninger være aktuelle. Dette avhenger av den enkelte virksomhets behov og hvorvidt løsninger som tilbys (av ulike leverandører) er relevante for formålet.
Løsningsscenarioer vil hovedsakelig være avgrenset til følgende valg:
1. Fjernaksessløsning driftes hos leverandøren (i sin helhet)
2. Fjernaksessløsning driftes hos leverandøren og virksomheten (i to delsystemer)
3. Fjernaksessløsning driftes hos virksomheten av leverandøren
Leverandørene har normalt sine egne løsninger for fjernaksess, noe som også gjelder felles nasjonal løsning gitt ved Norsk Helsenett (NHN). Et annet eksempel som kan være aktuelt, er:
4. Både fjernaksessløsning og driftsmiljøet (som det gis fjernaksess til) eies og driftes av leverandøren
Da alternativ 4 omhandler både fjernaksess i seg selv og et helt informasjonssystem og driftsmiljø, dekkes ikke alle relevante temaer innen sikkerhet av denne veilederen alene. For en slik løsning gjelder ytterligere krav i Normen og anbefalinger i Veileder i bruk av skytjenester til behandling av helse- og personopplysninger. Det gis i kapittel 8 eksempler på anbefalte løsninger, men andre løsninger kan også være aktuelle.
Selv om virksomheten har overordnet ansvar for informasjonssikkerhet og personvern, vil valgt løsning påvirke hvilket ansvar partene har for utøvelsen av oppgaver og rutiner som er nødvendige for å etterleve Normens krav.
Det er særskilt viktig at virksomheten sørger for at de krav virksomheten må etterleve, men som ivaretas i daglig drift av leverandøren, må dekkes gjennom fastsatte avtalevilkår med leverandøren. Det presiseres at behov for å avtalefeste tiltak for å etterleve krav, øker proporsjonalt med andelen av systemer og infrastruktur som eies av og driftes hos leverandøren.
