Oppfølging og analyse av logger skal benyttes som en del av kontrollen av tilgangsstyringen. Formålet med oppfølging og analyse av loggene er blant annet å avdekke uautorisert tilgang til helse- og personopplysninger. Videre vil analyse av logger gi en indikasjon på hvorvidt virksomhetens tilgangsstyring er effektiv og fungerer optimalt.
4. Rettslige rammer for bruk av logger
a) Logger inneholder personopplysninger, og all bruk av loggene (inkludert innsamling, oppbevaring og bruk i oppfølging av det enkelte helsepersonell) må oppfylle kravene i personopplysningsloven. Virksomheten som er dataansvarlig må blant annet sikre at den oppfyller informasjonsplikten, kravet til lovlighet og de øvrige personvernprinsippene i personvernforordningen artikkel 5 Prinsipper for behandling av personopplysninger. Les mer om dette i faktaark 57 om personvernprinsippene og faktaark 56 om formål og behandlingsgrunnlag. Virksomheten bør være særlig oppmerksom på begrensningene i muligheten til å viderebehandle personopplysninger for andre formål enn de opprinnelig ble samlet inn for, Jf. prinsippet om formålsbegrensning.
b) I tillegg bør virksomheten være oppmerksom på vilkårene for bruk av kontrolltiltak overfor arbeidstakere, i arbeidsmiljøloven kapittel 9. Etablering av logging utgjør kontrolltiltak i seg selv. Dataansvarlig må derfor sikre at følgende krav i arbeidsmiljøloven kapittel 9 er oppfylt:
- For det første, så kan et kontrolltiltak bare benyttes når det har en saklig grunn i virksomhetens forhold. I tillegg må kontrolltiltaket ikke gi en uforholdsmessig belastning for arbeidstakerne til dataansvarlig. Når det kommer til disse kravene, så kan dataansvarlig vanligvis legge til grunn at kravene er oppfylt, så lenge dataansvarlig kun benytter loggene til det opprinnelige formålet. Det opprinnelige formålet vil være å forhindre uberettiget tilgang til helse- og personopplysningene.
- For det andre, så må dataansvarlig sikre at egne arbeidstakere får informasjon om kontrolltiltaket. Informasjonen skal omfatte kontrolltiltakets formål, praktiske konsekvenser for arbeidstakerne (herunder informasjon om gjennomføringen) og tiltakets antatte varighet. Oppfyllelse av denne informasjonsplikten kan kombineres med oppfyllelsen av informasjonsplikten i personvernforordningen artikkel 12 til 14.
- For det tredje, så må dataansvarlig drøfte behov, utforming og gjennomføring kontrolltiltaket med tillitsvalgt før det etableres. Det samme gjelder ved vesentlig endring av tiltaket. Behovet for kontrolltiltaket skal også reevalueres jevnlig med tillitsvalgt. Det stilles ikke krav til at dataansvarlig og tillitsvalgt skal komme til enighet.
Arbeidstilsynet og Datatilsynet har utarbeidet en veileder som beskriver hvordan dataansvarlig bør gå frem for å ivareta disse kravene, samt hvordan dataansvarlig bør benytte en risikobasert tilnærming for å sikre at kontrolltiltakene har ønsket effekt. Sistnevnte kan være særlig nyttig når dataansvarlig planlegger gjennomføringen av kontrollene som omtales i neste avsnitt.
c) Det er etter pasientjournalloven § 22 krav om at dataansvarlig og databehandler utfører etterfølgende kontroll. Med etterfølgende kontroll menes eksempelvis gjennomgang av logger for å påse at virksomheten etterlever lovpålagte krav.
5. Analyse av logger
a) Logger skal analyseres for å oppdage hendelser før de får alvorlige konsekvenser. Dette gjelder også for manuelt førte logger.
b) Elektroniske logger skal enkelt kunne analyseres ved hjelp av analyseverktøy med henblikk på å oppdage brudd på regelverket (se også pasientjournalloven § 16 Forbud mot urettmessig tilegnelse av helseopplysninger og helsepersonelloven § 21 a Forbud mot urettmessig tilegnelse av taushetsbelagte opplysninger.).
- Det anbefales å benytte standardisert format på loggene, slik at data enkelt skal kunne leses av tredjeparts logganalyseverktøy.
- Statistisk logganalyse er et eksempel på et verktøy som kan benyttes for analyse av logger for å identifisere uvanlige oppslag som videre må analyseres manuelt.
- Dersom virksomheten ikke har tekniske tiltak på plass for logganalyse, kan virksomheten i påvente av tekniske tiltak og etter en risikovurdering,implementere organisatoriske tiltak. Se Normen kapittel 3.4 Risikovurdering og risikohåndtering.
- Som et organisatorisk tiltak bør det utarbeides en rutine for jevnlig og systematisk gjennomgang av logger, der det tas stikkprøver på pasienter. Gjennomgangen bør utføres av personell som har en forutsetning til å kunne vurdere tjenstlig behov, og kan eksempelvis gjøres på avdelingsnivå. Det kan være aktuelt å utføre særlige stikkprøver på pasienter som er spesielt utsatt for snoking, som for eksempel kjente personer og ansatte ved sykehuset eller hos samarbeidspartnere.
c) Ved fastsettelse av metode for å analysere logger bør det gjøres en totalvurdering av hva som er tilstrekkelig i hvert enkelt tilfelle. Tiltakene for analyse av logger bør være en kombinasjon av tekniske tiltak og manuelle rutiner. I tillegg kan pasientens bruk av innsynsrett (omtalt i faktaarkets del 3) medvirke til at sikkerhetsbrudd avdekkes.
For ytterligere veiledning om analyse av logger vises det til grunnprinsipp 3.3 Analyser data fra sikkerhetsovervåkning.
6. Avdekking av brudd ved analyse av logger
Regelbrudd som avdekkes ved analyse av logger skal håndteres som et avvik. Regelbrudd som avdekkes i denne sammenhengen kan være brudd på lov. For informasjon om hvordan regelbrudd skal behandles, vises det til kapittel om avviksbehandling i veileder om internkontroll for informasjonssikkerhet og personvern.
7. Logger som bevis
a) Logg som skal benyttes som bevis bør speilkopieres til annet medium før analyser gjennomføres.
b) Speilkopieringen bør gjennomføres under påsyn av to eller flere personer.
c) Det bør opprettes en skriftlig protokoll for speilkopieringen der det fremgår hva som er gjort. Protokollen bør signeres av de som var til stede og oppbevares sammen med det registrerte avviket.
For å kunne benytte logger som bevis, er det avgjørende at loggene er tilstrekkelig beskyttet mot manipulering (integritetsbeskyttelse). For ytterligere veiledning om dette vises det til NSMs grunnprinsipper 3.2 Etabler sikkerhetsovervåkning og tiltak 3.2.6 Påse at innsamlet data ikke kan manipuleres.
