Alle virksomheter i sektoren som behandler helse- og personopplysninger elektronisk, skal føre og kontrollere logger.
Tema for faktaarket
Dette faktaarket omhandler logging, oppfølging av logg og innsyn i logg.
Formålet med faktaarket er å gi veiledning til hvordan virksomheten bør gå frem for å etterleve Normens krav til logging og loggoppfølging. Faktaarket tar også for seg prosessen for innsyn i logg fra behandlingsrettet helseregister.
Faktaarket har en teoretisk tilnærming og inneholder punkter en virksomhet må ta stilling til for å etablere tilfredsstillende rutiner for logging, loggoppfølging og logginnsyn.
Dette faktaarket er spesielt relevant for
- Dataansvarlig
- Personell som jobber daglig med logging og oppfølging av logger, som for eksempel systemansvarlig
- Virksomhetens ledelse og nøkkelressurser innen sikkerhet og personvern. Virksomhetens systemleverandører
Krav i Normen
Faktaarket gjelder følgende kapittel i Normen:
- Kapittel 3.2 Minimumskrav for å sikre konfidensialitet, integritet, tilgjengeliget og robusthet
- Kapittel 4.2.3 Innsyn
- Kapittel 4.2.6 Oppbevaring av helse og personopplysninger
- Kapittel 5.4.4 Logging
Relevante lov- og forskriftsbestemmelser, standarder og andre rammeverk
Følgende lov- og forskriftsbestemmelser er spesielt relevante for faktaarket:
Personvernforordningen
- personopplysningsloven Artikkel 5. Prinsipper for behandling av personopplysninger (lovdata.no)
- personopplysningsloven Artikkel 13. Informasjon som skal gis ved innsamling av personopplysninger fra den registrerte (lovdata.no)
- personopplysningsloven Artikkel 14. Informasjon som skal gis dersom personopplysninger ikke er blitt samlet inn fra den registrerte (lovdata.no)
- personopplysningsloven Artikkel 15. Den registrertes rett til innsyn (lovdata.no)
- personopplysningsloven Artikkel 24. Den behandlingsansvarliges ansvar (lovdata.no)
- personopplysningsloven Artikkel 32. Sikkerhet ved behandlingen (lovdata.no)
- personopplysningsloven Artikkel 33. Melding til tilsynsmyndigheten om brudd på personopplysningssikkerheten (lovdata.no)
Pasientjournalloven
- pasientjournalloven § 18. Informasjon og innsyn (lovdata.no)
- pasientjournalloven § 22. Informasjonssikkerhet (lovdata.no)
- pasientjournalloven § 23. Internkontroll (lovdata.no)
NSMs grunnprinsipper for IKT-sikkerhet
- grunnprinsipp 3.1 Oppdag og fjern kjente sårbarheter og trusler (nsm.no)
- grunnprinsipp 3.2 Etabler sikkerhetsovervåkning (nsm.no)
- grunnprinsipp 3.3 Analyser data fra sikkerhetsovervåkning (nsm.no)
Andre
- pasient og brukerrettighetsloven § 5-1. Rett til innsyn i journal (lovdata.no)
- pasientjournalforskriften § 14. Krav til loggføring (lovdata.no)
- helseregisterloven § 24. Rett til informasjon og innsyn (lovdata.no)
- helsepersonelloven § 21 a. Forbud mot urettmessig tilegnelse av taushetsbelagte opplysninger (lovdata.no)
- arbeidsmiljøloven kapittel 9 Kontrolltiltak i virksomheten (lovdata.no)
- ISO/IEC 27002 – A.12.4 Logging og overvåking
- CIS Control 8 – Audit Log Management
