Virksomheter som har ansvar for at behandling av helse- og personopplysninger skal ivareta informasjonssikkerhet, taushetsplikt og sikre pasientenes personvern. Dette samtidig som opplysningene er tilgjengelige for personell som trenger det.
For de fleste virksomheter i sektoren, er det nødvendig at leverandører bistår ved hjelp av fjernaksess. Dokumentet skal veilede virksomheten i etablering av avtalefestede sikrings- og kontrolltiltak mellom virksomheten og leverandøren, for å ivareta sikkerhet og akseptabel risiko i IKT-løsninger og tjenester som ytes for fjernaksess til helse- og personopplysninger.
Med «virksomhet» menes i Normen juridisk enhet som helseforetak, helseforvaltning, kommune, sykehus, legepraksis, tannklinikk, apotek, apotekkjede, røntgeninstitutt, frittstående laboratorium, universitet, høyskole, stiftelse mv.1 I denne veilederen presiseres det at «virksomheten» er dataansvarlig for helse- og personopplysninger som løsning for fjernaksess behandler eller gir tilgang til, og oppdragsgiver for «leverandøren».
Med «leverandør» menes i Normen juridisk enhet som yter tekniske og/eller administrative tjenester til virksomheten. I denne veilederen presiseres det at «leverandøren» er tjenesteleverandør for IKT-tjenester som ytes for å oppnå fjernaksess til helse- og personopplysninger som virksomheten er dataansvarlig for. Leverandøren er normalt databehandler.
Tema for veilederen
Virksomheten er (som dataansvarlig) ansvarlig for at fjernaksess til helse- og personopplysninger, teknisk løsning og tjenestene som ytes, oppfyller krav i norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen). Leverandøren (som databehandler) skal oppfylle krav i Normen, og avtalen som tas frem med grunnlag i denne veilederen, skal tilrettelegge for dette.
Oppgaver som utøves i sammenheng med fjernaksess kan deles mellom virksomheten og leverandøren, etter skriftlig avtale. Dokumentet gir veiledning i etterlevelse av krav, med teknologiske og administrative tiltak som skal eller anbefales oppfylt av virksomheten og leverandøren i henhold til Normen.
Teknisk fjernaksessløsning skal ivareta Normens gjeldende krav, uavhengig av valgt løsning, tjenesteleverandør eller organisering. Dette gjelder f.eks. uavhengig om virksomheten inngår kundeavtale med Norsk Helsenett SF eller ikke.
Veilederen gjelder fjernaksess til alle typer informasjonssystemer som brukes til å behandle helse- og personopplysninger. Eksempler kan være fagsystemer, teknisk utstyr (MTU) og IKT-infrastruktur.
Målgruppe
Målgruppen for veilederen er virksomheter og leverandører som omfattes av Normen, ved etablering og sikring av fjernaksess til helse- og personopplysninger.
Veilederen gir virksomheten grunnlag for valg av løsning for fjernaksess samt etablering av løsningen og organisering iht. krav i Normen. Virksomheten kan bruke veilederen som et hjelpemiddel for utarbeidelse av krav til og avtale med leverandører.
Veilederen gir leverandøren av systemer og tekniske løsninger, som benyttes til behandling av helse- og personopplysninger, et grunnlag for å etablere løsning for fjernaksess iht. Normen. Leverandøren kan også vise til veilederen overfor virksomheter, slik at personell med helhetlig bestillerkompetanse5 i virksomheten involveres.
Krav i Normen
I Normen er flere krav relevante for fjernaksess mellom virksomhet og leverandør, men omtales spesifikt i følgende kapitler:
5.4 Sikker IT-drift, herunder
- Vedlikehold og oppdateringer (av enheter- og programvare)
- Bruk av tiltrodde kanaler for fjernaksess (som virksomheten har kontroll med)
5.7 Leverandørforhold og avtaler,
- Generelt om avtaler og leverandøroppfølging
- Vedlikehold, fjernaksess eller fysisk service
IT-infrastruktur, herunder
- Leverandørens (IT-)utstyr
- Medbrakt (IT-)utstyr
- Kommunikasjonsnettverk
Tilgangsstyring, herunder
- Autoriserte tilganger,
- Logging av tilganger,
- Kontroll av tilganger
- Tilgjengelighet til opplysninger (når leverandøren utfører arbeid).
I tillegg til overnevnte kapitler, som omtaler fjernaksess spesifikt, er også følgende krav i Normen relevante for fjernaksess:
- Leverandørforhold og avtaler (kapittel 5.7),
- Tilgangsstyring (kapittel 5.2),
- Sikker IT-drift (kapittel 5.4)
- Kommunikasjonssikkerhet (kapittel 5.5),
- Fysisk sikkerhet og håndtering av utstyr (kapittel 5.3)
- Håndtering av informasjonssikkerhetsbrudd (kapittel 5.8)
Ved etablering og endring av løsninger for behandling av helse- og personopplysninger (herunder løsninger for fjernaksess) er også følgende krav aktuelle:
- Risikostyring (kapittel 3), herunder risikovurdering og risikohåndtering
- Endringsstyring (under (kapittel 5.4 Sikker IT-drift), jfr. konfigurasjonskontroll og konfigurasjonsendringer
Relevante lov- og forskriftsbestemmelser, standarder og andre rammeverk
Lov- og forskriftsbestemmelser:
- Personvernforordningen artikkel 5, 24, 28 og 32 (Prinsipper, ansvar og sikker behandling av personopplysninger)
- Pasientjournalloven §§ 22 og 23 (Informasjonssikkerhet og internkontroll)
- Helseregisterloven §§ 17, 18, 21 og 22 (Behandling av helseopplysninger)
- Helsepersonelloven § 17 (Taushetsplikt. Referert til fra helseregisterloven)
- Forvaltningsloven § 13 (Taushetsplikt)
- e-IDAS-forordningen (Krav til elektroniske tillitstjenester)
Standarder og andre rammeverk:
- ISO/IEC 27001 og 27002
- NSMs grunnprinsipper for IKT-sikkerhet 2.06 (nsm.no)
- Centre for Internet Security (CIS) Controls v.87 (cisecurity.org)
Avgrensninger
Virksomheter som etablerer informasjonssystemer som behandler helse- og personopplysninger, skal legge alle relevante krav i Normen til grunn for å etablere og ivareta tilstrekkelige sikringstiltak. Tiltakene skal bidra til akseptabel risiko i og i tilknytning til informasjonssystemene. Relevante krav finnes i følgende kapitler i Normen:
- Kapittel 2: Ledelse og ansvar
- Kapittel 3: Risikostyring
- Kapittel 4: Grunnleggende om behandling av helse- og personopplysninger
- Kapittel 5: Informasjonssikkerhet.
Teknisk løsning for fjernaksess vil kunne anses som et eget IKT-system, avhengig av valgt løsning. Fjernaksessløsningen må uansett anses å utgjøre en mindre del av en større helhet i et informasjonssystem8 hvor helse- og personopplysninger behandles.
Veilederen omhandler ikke informasjonssystem(er) i sin helhet eller virksomhetens helhetlige styringssystem for informasjonssikkerhet og personvern. Kun utstyr, infrastruktur, løsninger eller systemer som enten introduseres og utgjør del av fjernaksessløsningen, eller påvirkes direkte av fjernaksessløsningen, som f.eks. fagsystemer fjernaksessløsningen gir tilgang til
(for databehandling10 eller vedlikehold), er dekket av veilederen.
Stedlige (on-site) IT-støttetjenester (som ikke krever bruk av fjernaksessløsning) dekkes ikke.
Veilederen avgrenses derfor til kontekstspesifikke krav og anbefalinger til fjernaksess. Dette inkluderer funksjonalitet og tjenester som fjernaksessløsningen introduserer i informasjonssystem(er), og som er av teknologisk art, men også tilhørende menneskelige og organisatoriske aspekter i behandlingen av helse- og personopplysninger.
Veilederen bør derfor leses sammen med Normens vedlegg 6.1 "Oversikt over Normens krav". Vedlegget utdyper blant annet sikkerhetskrav til informasjonssystemer som fjernaksess og tjenesten som ytes, gir tilgang til eller utgjør en del av. Temaer som utdypes i annet veiledningsmateriell eller rammeverk, blir ikke beskrevet i detalj.
