Følgende krav bør legges til grunn:
- Etablering av løsning for fjernsupport og løsningsvalg skal være forankret i virksomhetens styringssystem, behov, og risikovurdering.
- Det skal foreligge skriftlig avtale med leverandør.
- Følgende dokumentasjon skal foreligge:
- Signert taushetserklæring med henblikk på tilgang til helse- og personopplysninger. Leverandøren oppbevarer disse for eget personell.
- Lest og akseptert sikkerhetsinstruks.
- Nødvendige rutiner (f.eks. opplæring, autentisering, autorisasjon, avviksbehandling, hendelsesregistrering, sletting, oppgaver ved oppkobling og kontroll).
- Valg og etablering av teknisk løsning
- Den ytre termineringen bør skje gjennom en brannmur og i en egen DMZ-sone for fjernaksess.
- Kun forhåndsgodkjent og eksplisitt definert trafikk tillates.
- Det anbefales autentisering med høyt sikkerhetsnivå. Risikovurderingen skal vise at valgt autentiseringsløsning er sikker.
- Om det foreligger et faglig behov for at leverandøren flytter helse- og personopplysninger til leverandørens sikre nettverksområder skal det utføres i henhold til en databehandleravtale.
- All kommunikasjon, enten dette skjer ved hjelp av trådløst samband eller ved hjelp av linjer, skal sikres ved kryptering. Se også NSM Cryptographic Recommendations (nsm.no)
- Det skal være løsninger for å hindre ondsinnet programvare hos leverandøren og virksomheten.
- Det skal sikres med tekniske tiltak at leverandørens arbeidsstasjon ikke er tilkoblet andre nettverk når det gjennomføres tilkobling til virksomhetens nettverk.
- Det skal etableres hendelsesregistrering.
For utdypende informasjon om fjernsupport vises det til Normens Veileder for fjernaksess mellom virksomhet og leverandør.
