Det er et krav i Normen at virksomheten skal gjennomføre risikovurderinger. Når risikovurderingen gjøres bør virksomheten også vurdere behovet for bruk av hjemmekontor, samt annet fjernarbeid og sikkerhetsnivået som da skal etableres.
Et sentralt forhold virksomheten bør vurdere er i hvilken grad virksomheten skal ha kontroll med konfigurasjonen i IKT-utstyret på hjemmekontoret eller i annet fjernarbeid. I noen tilfeller kan det være en akseptabel risiko at for eksempel privat utstyr brukes til pålogging til løsninger, dersom det er innført tiltak for å hindre lokal lagring, flytting av informasjon og at skadevare gir uautoriserte tilgang til informasjonen. Normalt vil imidlertid risikoen være vesentlig høyere der virksomheten ikke har kontroll med konfigurasjonen. Dette fordi det kan finnes sikkerhetshull i løsninger for fjernaksess, kombinert med at privat IKT-utstyr normalt vil ha færre sikkerhetsmekanismer for øvrig (manglende sikkerhetsovervåkning, mindre sporbarhet i sikkerhetstilstanden, samt lavere kompetanse og bevissthet om sikring av IKT-utstyret). Det bør derfor utvises varsomhet med å tillate privat IKT-utstyr for tilgang til helse- og personopplysninger og det anbefales ikke.
Når risikoen vurderes, er det spesielt viktig at behovet for konfidensialitet og tilgjengelighet vurderes.
Med hensyn til konfidensialitet vil skadepotensialet dersom uvedkommende får tilgang til helse- og personopplysninger, og muligheten for at det kan skje, være en viktig faktor. I en slik vurdering bør det tas i betraktning at også familiemedlemmer er å anse som uvedkommende.
Når det gjelder tilgjengelighet, er det viktig å vurdere konsekvensen dersom opplysningene ikke er tilgjengelige for den som har hjemmekontor eller annet fjernarbeid når denne trenger det, og muligheten for at tilgjengelighetsbrudd kan oppstå. Stabiliteten til fjernaksessløsninger bør derfor vurderes. Videre bør det inngå i vurderingen at nettilgangen fra et privat hjem eller andre steder fjernarbeid skjer fra, kan være mindre stabilt enn på arbeidsplassen.
Ved valg av egnede tekniske og organisatoriske tiltak skal virksomheten alltid vurdere tiltakene opp mot virksomhetens art og omfang for behandling av helse- og personopplysninger, pasientsikkerhet, risikobildet mv. Tiltak skal ikke gå utover virksomhetens plikt til å levere forsvarlige helsetjenester, jf. spesialisthelsetjenesteloven § 2-2. Plikt til forsvarlighet (lovdata.no) og forskrift om ledelse og kvalitetsforbedring §§ 6 – 9, jf. § 5 (lovdata.no).
Oversikt
[SE PÅ alt under denne overskriften - har endret litt. Kan avsnittene fjernes?]
Anbefalinger om sikkerhetstiltak for hjemmekontor presenteres i de neste kapitlene, inndelt i følgende hovedpunkter:
- Anbefalinger til tiltak ut ifra om virksomheten har kontroll med konfigurasjonen på IKT-utstyret som benyttes hjemmekontor eller til fjernarbeid.
- Anbefalinger til forutsetninger for etablering av hjemmekontor og fjernarbeid.
- Anbefalinger til krav og vilkår som virksomheten bør stille til brukerne av hjemmekontor og fjernarbeid.
- Anbefalinger til avvikling av hjemmekontor.
De ulike temaene er i hvert sitt kapittel markert med overskrifter. I overskriften og underpunktene er ordet «skal» brukt om krav som står i Normen, mens «bør» er brukt om tiltak som normalt anbefales.
