Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

2.4. Anbefalinger til krav og vilkår som virksomheten bør stille til brukerne av hjemmekontor og annet fjernarbeid

Virksomheten skal etablere interne administrative prosedyrer for brukerne av hjemmekontor og ha retningslinjer for privat bruk av informasjonssystemer og utstyr. Videre bør virksomhetens prosedyrer for bruk av Internett og e-post følges i forbindelse med hjemmekontor og annet fjernarbeid.

Følgende forhold bør inngå i virksomhetens retningslinjer til brukerne:

  • Ved arbeid med helse- og personopplysninger på hjemmekontor skal det iverksettes tiltak for å hindre innsyn fra eksterne (f.eks. familiemedlemmer og andre). Det bør vurderes sikring av
    • vinduer og dører (åpning og innsyn)
    • utstyret og hvordan det oppbevares
    • det aktuelle rommet hvor utstyret er plassert
  • Skjermfilter bør brukes for å hindre innsyn fra uvedkommende.
  • Bruker bør sørge for at andre ikke kan overhøre samtaler i videomøter. For opplysninger det er taushetsplikt om er dette et krav.
  • Ingen andre enn den som er autorisert til å bruke virksomhetens datamaskin skal benytte den.
  • Papirutskrifter av helse- og personopplysninger skal ikke forekomme, så fremt det ikke er strengt nødvendig. Utskrifter som inneholder helse- og personopplysninger, skal oppbevares sikkert og/eller umiddelbart makuleres etter bruk. Uautorisert innsyn til (papir)utskrifter med helse- og personopplysninger skal forhindres.
  • Datamaskin på hjemmekontor bør låses med skjermlås med en gang brukeren forlater datamaskinen.
  • Datamaskin på hjemmekontor skal til enhver tid være oppdatert med sikkerhetsoppdateringer (nettvett.no), både for operativsystem og annen programvare.
  • Kun lagringsenheter som er godkjent av virksomheten skal benyttes i arbeidet (f.eks. eksterne harddisker og minnepinner).
  • Virksomheten bør beskrive om det er tillatt å lagre helse- og personopplysninger lokalt på datamaskinen og i så fall i hvilke tilfeller.
  • Helse- og personopplysninger skal ikke lages i skylagringsløsninger for privat bruk eller på privat eide datalagringsmedia.
  • Virksomheten bør fraråde eller blokkere nedlastning av ikke godkjent programvare.
  • Brukeren bør kun koble opp mot nettverk som er sikret.
    • Trådløst hjemmenett bør sikres med passord (WPA2 eller helst WPA3 (nsm.no)
    • Ved behandling av helse- og personopplysninger bør bruk av åpne og offentlige nettverk unngås (f.eks. på hotell, cafeer, offentlige transportmidler og flyplasser). Dersom sikkert nettverk ikke er tilgjengelig, bør bruker søke å benytte 4G (eller nyere) for tilkobling (f.eks. tilkobling via mobiltelefon).
Normen

Faktaark til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 11. juni 2021