Autentisering skal foregå på en sikker måte når det blir gitt tilgang til helse- og personopplysninger mellom virksomheter. Ved autentisering av personer som kommuniserer helseopplysninger over et åpent nett skal den autoriserte brukeren autentiseres med sikker autentiseringsløsning.
Dette innebærer at den autoriserte skal bekrefte sin identitet på en sikker måte. Sikker måte må besluttes på grunnlag av en risikovurdering.
Sikring av konfidensialitet og integritet
Ved overføring av helse- og personopplysninger over åpne nett skal opplysningene sikres mot at uvedkommende får kjennskap til opplysningene.
I tillegg skal overføringen være sikret mot utilsiktet eller uautorisert endring eller sletting. All overføring av helse- og personopplysninger over åpne nett må derfor alltid krypteres slik at innholdet i overføringen alltid er uleselig for andre enn mottakende virksomhet.
Kommunikasjonskanaler som benytter åpne nett for kommunikasjon av helse- og personopplysninger skal som et minimum alltid krypteres.
Det finnes flere alternative metoder for slik kryptering, jf. NSMs grunnprinsipper for IKT-sikkerhet punkt 2.7.4. Krypter alle trådløse forbindelser, og krypter kablede nettverk som er utenfor fysisk kontroll (2.4.2). For mer informasjon, se også veiledning fra NSM for sikring av kommunikasjon med TLS (nsm.no).
Kryptering er bare effektivt så lenge nøkler beskyttes. Private nøkler og passord må beskyttes mot uvedkommende. Sørg for at sertifikater er signert av en betrodd part eller etabler en egen strategi for håndtering av kryptografi i virksomheten, jf. NSMs grunnprinsipper for IKT-sikkerhet punkt 2.7.1.
Dersom man etter risikovurdering kommer frem til at det må benyttes innholdskryptering, må det sørges for at kommunikasjonsmetoden støtter dette på en standardisert måte.
