I Normen er det krav om tekniske tiltak slik at all kommunikasjon av helse- og personopplysninger utenfor virksomhetens kontroll krypteres. Dette gjelder åpne nett. Åpne nett er kommunikasjonskanaler virksomheten selv ikke har vurdert som godkjent for å overføre helseopplysninger uten ekstra tiltak.
Kommunikasjonskanaler som benytter åpne nett brukes mellom virksomheter og innad i en virksomhet. Eksempler på åpne nett som ikke er tilstrekkelig sikret for kommunikasjon av helseopplysninger er internett og mobilnett (3G/4G).
Helsenettet er et åpent nett og må sikres på samme måte som andre åpne nett. Ved bruk av kryptering, sikker autentisering mv. vil informasjonen bli sikret mot uautorisert tilgang.
Følgende er eksempler på tilstrekkelig sikring av åpne nett dersom anbefalte
sikkerhetsnivåer er benyttet:
- TLS (Transport Layer Security) benyttes for eksempel til kryptert webtrafikk (HTTPS)
- kryptert VPN (Virtual Private Network) benyttes ofte til sikker fjerntilgang
Ved etablering av løsninger for kommunikasjon over åpne nett skal det gjennomføres en risikovurdering.
