Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

2.2. Anbefalinger til tiltak ut ifra om virksomheten har kontroll med konfigurasjonen på IKT-utstyret som benyttes på hjemmekontor eller til annet fjernarbeid

Det skal alltid gjennomføres risikovurdering for å avgjøre hvilke administrative og tekniske sikkerhetstiltak som skal etableres for å redusere risikoen for at eksterne får tilgang til helse- og personopplysninger.

Virksomheten skal ha kontroll med konfigurasjonen i eget IKT-utstyr og programvare som er tildelt for hjemmekontor eller som brukes til annet fjernarbeid

Se Normen Kapittel 5.4.1 Konfigurasjonskontroll.

  • Virksomheten er konfigurasjonsansvarlig for datamaskin slik at utstyret konfigureres på sikker måte.
  • Kun godkjent utstyr og programvare skal benyttes til behandling av helse- og personopplysninger, herunder eksterne lagringsmedier. Privat utstyr kan godkjennes, men da bør kompenserende tiltak brukes, se neste avsnitt.
  • Konfigurasjonen skal sikre at utstyret og programvaren kun utfører de funksjoner som er formålsbestemt.
  • IKT-utstyr på hjemmekontor skal ikke ha helse- og personopplysninger lagret lokalt, så fremt dette ikke er nødvendig ut fra tjenstlig behov. Opplysningene bør kun nåes ved oppkobling til sentralt lagrede data i (i virksomheten og/eller hos databehandler).
  • Det skal etableres antivirus- og brannmursikring på datamaskin.
  • Sikkerhetsoppdateringer for programvare skal installeres løpende og bør automatiseres om mulig.
  • Virksomheten bør aktivere tidsstyring for skjermlåsing av datamaskin tilpasset brukerens arbeidsøkt.

Dersom virksomheten har godkjent at annet enn virksomhetens eget IKT-utstyr brukes (for eksempel privat IKT-utstyr), hvor virksomheten ikke har kontroll på konfigurasjonen, bør løsningen hindre lokal lagring av helse- og personopplysninger og kompenserende sikkerhetstiltak bør etableres

En privatperson vil være et annet rettssubjekt enn virksomheten. Lagring av personopplysninger på privat utstyr vil derfor normalt mangle behandlingsgrunnlag etter personopplysningsloven, selv om privatpersonen er ansatt i virksomheten

  • Dersom IKT-utstyret som er godkjent brukt på hjemmekontoret ikke er tildelt av virksomheten, skal virksomheten etablere programvareløsninger som likevel tilrettelegger for sikker og kryptert lagring og behandling av tilgang til helse- og personopplysninger. I tillegg bør løsningen hindre at helse- og personopplysninger lagres lokalt. Eksempler på slik løsning er desktop-virtualisering (VDI) eller Remote Desktop Services (RDS), hvor bruker kan aksessere en virtuell desktop knyttet til virksomhetens sentrale servere. Det er da viktig at løsningen settes opp til å forhindre at data hentes ut av virksomhetens nettverk (forhindre kopiering ut fra virksomhetens nettverk, utskrift og lokal lagring mm.).
Normen

Faktaark til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 11. juni 2021