Formålet med logging og hendelsesregistrering er å
- gi oversikt over autorisert bruk av helse- og personopplysninger i virksomheten
- sette virksomheten i stand til å avdekke uautorisert bruk, eller forsøk på uautorisert bruk, av helse- og personopplysninger
- forebygge, avdekke og forhindre gjentagelse av sikkerhetsbrudd i informasjonssystemene
- legge til rette for pasient/brukers rett til innsyn i logger, slik at vedkommende gis mulighet til å ivareta egne rettigheter
- legge til rette for medarbeideres rett til innsyn i opplysninger som er lagret om vedkommende i loggene
1. Rutine for logging
a) Det skal utarbeides rutiner som sikrer at logging etableres, følges opp og håndteres i tråd med Normen og regulative krav. Rutinen skal:
- ivareta kravet om at loggene enkelt skal kunne analyseres ved hjelp av analyseverktøy, samt at loggene skal analyseres slik at hendelser oppdages og håndteres før de får utilsiktede konsekvenser
- ivareta kravet om at logger skal kunne sammenholdes med autorisasjonsregister
- ivareta kravet til korrekt tidsstempel på loggene for å sikre loggintegritet (se punkt 7)
- ivareta kravet til oppbevaring og lagring av logger (se punkt 12 og 13)
- ivareta kravet om at Datatilsynet skal varsles ved brudd på personopplysningssikkerheten som beskrevet i Personopplysningsloven artikkel 33. Melding til tilsynsmyndigheten om brudd på personopplysningssikkerheten.
b) Rutinen bør gjennomgås minimum årlig og ved behov, eksempelvis ved endringer i Normen eller regulative krav, for å vurdere forbedringer og sikre at rutinen er i tråd med gjeldende krav.
For ytterligere veiledning om å utarbeide en rutine og en strategi for logging vises det til NSMs grunnprinsipper 3.2 Etabler sikkerhetsovervåkning og tiltak 3.2.1. Fastsett virksomhetens strategi og retningslinjer for sikkerhetsovervåkning.
2. Når logging skal etableres
Logging skal etableres for tilgang til:
a) Behandlingsrettede helseregistre:
- tilgang til og autorisert bruk av behandlingsrettede helseregistre, inkludert bruk av selvautorisering med begrunnelse
- forsøk på uautorisert bruk av behandlingsrettede helseregistre
b) Informasjonssystem og infrastruktur for behandlingsrettet helseregister:
- autorisert bruk av informasjonssystemene
- bruk av administratortilgang
- sikkerhetsrelevante hendelser i sikkerhetsbarrierer (for eksempel brannmur og ruter), slik som
- forsøk på ulovlig tilgang både internt og eksternt
- brudd på regler som forbyr trafikk
- brudd på regler for å slippe inn lovlig trafikk fra eksterne tilknytninger
- forsøk på uautorisert bruk av nettverksoperativsystemer
- endring av konfigurasjon og programvare
- ved bruk av ukrypterte kanaler (som for eksempel e-post og SMS) skal logging etableres for å kontrollere at regler ikke brytes. Se Normen kapittel 5.5.4 E-post og SMS
- autorisert og uautorisert tilgang til logger (se også punkt 12)
For ytterligere veiledning om hvilke deler av IKT-systemene som bør overvåkes vises det til NSM Grunnprinsipper for IKT-sikkerhet 2.0 – Grunnprinsipp 3.2 Etabler sikkerhetsovervåking og tiltak 3.2.3.
3. Hva som skal logges
a) Ved autorisert bruk av behandlingsrettet helseregister skal følgende logges:
- identiteten til den som har lest, rettet, registrert, endret og/eller slettet helse- og personopplysninger (det skal være en entydig identifikator for den autoriserte brukeren)
- organisatorisk tilhørighet til den som er autorisert (avdelingsnavn eller avdelingskode er normalt tilstrekkelig). Organisatorisk tilhørighet kan være lik virksomhetstilhørighet om virksomheten ikke har avdelingsstruktur.
- grunnlaget for tilgjengeliggjøringen (for eksempel helsehjelp, selvautorisering med begrunnelse, administrativ bruk)
- tidspunkt og varighet for tilgjengeliggjøringen (dato og klokkeslett)
Det skal i tillegg registreres hvilken pasients opplysninger og hvilken type opplysninger om pasienten, som personellet har hatt tilgang til. Se Normens kapittel 4.2.3 Innsyn.
b) I tillegg til punktene over bør det vurderes å logge følgende opplysninger:
- rollen den autoriserte brukeren har ved tilgangen
- hvem som har fått utlevert helseopplysninger som er knyttet til pasientens navn eller fødselsnummer. Dette kan eksempelvis gjelde utlevering til helsepersonell som ikke er gitt tilgang til systemet, men likevel har tjenstlig behov (f.eks. helsepersonell som får utdrag fra kjernejournalen eller tilsendt utskrift i posten). Dette må da registreres manuelt.
- hvilket utstyr som er brukt for påloggingen, samt lokasjonen påloggingen er gjort fra
Selv om det ikke er lovpålagt å logge punktene listet opp i b) er det sterkt anbefalt at også disse punktene inngår i loggingen der det er mulig. Dette vil lette arbeidet med å føre kontroll med tilganger, samt behandle og gjennomføre innsyn i logg.
c) I tillegg til punktene over bør virksomheten vurdere å logge følgende punkter ved fjernaksess. Se eget veiledningsmateriell for fjernaksess mellom leverandør og virksomhet:
- initiert trafikk mot IP-adresse og portnummer
- hva som er utført (kommandoer, transaksjoner, osv.). Om mulig skal angivelse av tid for utført kommando også logges.
- hvilke data/datafiler som er lastet ned til leverandør (datafiler) eller opp til virksomhet (programfiler og patcher)
- IP-adresse eller annen identifikasjon av enheten som ble benyttet, samt lokasjonen påloggingen er gjort fra
d) I tillegg til punktene over bør virksomheten vurdere å logge følgende ved forsøk på uautorisert bruk:
- brukeridentiteten som ble benyttet
- tidspunkt (dato og klokkeslett)
- lokasjon for pålogging
- IP-adresse eller annen identifikasjon av PC/arbeidsstasjon/mobiltelefon/ nettbrett som ble benyttet (for eksempel MAC-adresse, NAT-adresse eller mobiltelefonnummer)
e) Ved behandling av helse- og personopplysninger for andre formål enn ytelse av helse- og omsorgstjenester skal kravene til logging besluttes på grunnlag av en risikovurdering.
