Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

5.3. Fysisk sikkerhet og håndtering av utstyr

5.3.1 Nøkler/adgangskort

Det skal etableres rutine for administrasjon av nøkler/adgangskort i adgangskontrollsystemet.

5.3.2 IKT-utstyr 

Sikkerhetstiltak skal hindre at uautoriserte får tilgang til helse- og personopplysninger. Dette kan løses ved adgangskontroll av lokaler med utstyr og ved at utstyret sikres mot misbruk eller uautorisert innsyn.

5.3.3 Infrastruktur

Sikkerhetstiltak skal hindre at annet enn autorisert personell får adgang til infrastruktur.

Alle lagringsmedier skal slettes forsvarlig når de tas ut av bruk. Plikt til arkivering av opplysningene skal uansett overholdes.

5.3.4 Mobilt utstyr og hjemmekontor

Det skal gjennomføres risikovurdering før løsningene tas i bruk, og ved endringer som kan påvirke informasjonssikkerheten. Det skal etableres administrative rutiner for bruk av mobilt utstyr og hjemmekontor.

Helse- og personopplysninger skal bare lagres lokalt på utstyret når dette er nødvendig ut fra tjenstlig behov, og skal alltid lagres kryptert.

5.3.5 Kryptering

Tekniske tiltak skal etableres slik at all kommunikasjon av helse- og personopplysninger utenfor virksomhetens kontroll krypteres.. Kryptering og dekryptering mellom kommunikasjonspunkter i infrastrukturen skal gjøres i godkjent utstyr virksomheten har kontroll med. Kontrollen kan ivaretas gjennom avtale.

All kommunikasjon, enten dette skjer ved hjelp av trådløst samband eller ved hjelp av linjer, skal sikres ved kryptering.

Se for eksempel dokumentet "NSM Cryptographic recommendations Version 1.0" (nsm.no)

Kryptering av lagrede helse- og personopplysninger kan vurderes som et sikkerhetstiltak.

I registre som er etablert med hjemmel i helseregisterloven § 10 Helseregistre der den registrerte har rett til å motsette seg behandling av helseopplysninger (lovdata.no) og § 11 Lovbestemte helseregistre (lovdata.no), skal direkte personidentifiserende kjennetegn lagres kryptert.

5.3.6 Medisinsk utstyr

Medisinsk utstyr som behandler helse- og personopplysninger, skal inkluderes i virksomhetens arbeid med informasjonssikkerhet og personvern, herunder i risikovurderinger, tilgangsstyring, endringskontroll og rutiner for bruk, på linje med andre informasjonssystemer.

Normen

Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 22. november 2022