Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

5.5. Kommunikasjonssikkerhet

5.5.1 Styring av nettverkssikkerhet

Nettverkssikkerhet er et sentralt tiltak for å sikre behandling av helse- og personopplysninger.

Virksomheten skal tydelig definere hvilke krav som gjelder for nettverkssikkerheten, og tiltakene som etableres, skal være basert på en risikovurdering.

5.5.2 Tilkobling til eksterne nett

Ved tilkobling til eksterne nett skal det etableres tekniske tiltak som ivaretar at kun eksplisitt angitt tillatt trafikk kan passere utenfra og inn eller motsatt, og at annen trafikk stoppes.

I tiltaket skal det være minst to uavhengige tekniske tiltak slik at personer utenfor virksomheten ikke skal kunne få uautorisert tilgang til og/eller kunne endre eller slette helse- og personopplysninger.

5.5.3 Elektronisk samhandling 

Referansekatalogen for e-helse som er hjemlet i forskrift om standarder og nasjonale e-helseløsninger (lovdata.no) gir oversikt over obligatoriske og anbefalte standarder for helse- og omsorgstjenesten. Forskriften skal bidra til at virksomheter i helse- og omsorgstjenesten som yter helsehjelp, bruker IKT-standarder for å fremme sikker elektronisk samhandling.

Nedenfor beskrives krav til samhandling som ellers ikke fremgår av Normens øvrige kapitler.

5.5.3.1 Krav til elektronisk samhandling

Det skal etableres klare ansvarsforhold mellom avsender, mottaker og eventuell meldingsformidler, og ansvarsforholdene skal fremgå av avtalene mellom virksomhetene og meldingsformidler. Alle avtaler skal være skriftlige.

Avsender/tilbydende virksomhet er ansvarlig for

  • egen tilkoblingssikring som hindrer utilsiktet tilgjengeliggjøring og inntrenging
  • at tjenesten ikke skal kunne formidle program som inneholder skadelig programvare e.l.
  • sikker overføringskryptering ende-til-ende

Mottaker/anvendende virksomhet er ansvarlig for

  • å sikre at tjenesten ikke skal kunne formidle skadelig kode el.
  • egen tilkoblingssikring som hindrer utilsiktet tilgjengeliggjøring og inntrenging
  • å ivareta overføringskryptering ende-til-ende

5.5.3.2 Krav til meldingskommunikasjon basert på ebXML-rammeverket

Avsender er ansvarlig for

  • rett adressering av elektroniske samhandlingsmeldinger iht. Adresseregisteret (nhn.no)
  • at meldingen ved behov skal være signert på en slik måte at virksomheten ikke kan benekte å ha sendt den
  • avviksrapportering i forbindelse med feilsending
  • at melding skal avleveres i avtalt format

Mottaker er ansvarlig for

  • å registrere mottaket ved behov slik at mottaker ikke kan benekte å ha mottatt meldingen
  • avviksrapportering i forbindelse med feil, dvs. mottak av melding som ikke er adressert til virksomheten
  • at melding skal mottas i avtalt format

Meldingsformidler er ansvarlig for

  • at melding kun skal avleveres til adressaten
  • at melding ikke skal endres eller destrueres under transport fra avsender til mottaker
  • at melding ikke skal kunne leses av andre enn avsender og mottaker
  • at melding skal avleveres innen avtalte tidsfrister fra avsendelse
  • avviksrapportering i forbindelse med alle ovenstående punkter

5.5.3.3 Datadeling i sanntid

Samhandling gjennom datadeling tilrettelegger for at innbyggere og aktører i helsesektoren kan ha en mer dynamisk informasjonsdeling. Slik informasjonsdeling kan være at en aktør etterspør eller oppdaterer informasjon hos en annen aktør over et datadelingsgrensesnitt. 

Følgende sikkerhetsprinsipper gjelder for datadeling:

  • Det må være en sikker brukerautentisering som virksomhetene som tilbyr datadelingsgrensesnitt har tillit til.
  • Virksomheten som ber om tilgang, skal kontrollere at brukeren har nødvendige autorisasjoner for det aktuelle datadelingsgrensesnittet.
  • Det skal skilles mellom lese- og skriverettigheter til forskjellige informasjonselementer basert på den enkelte brukerautorisasjon.
  • Unødvendig mellomlagring skal unngås.
  • Det skal være mulig  å kunne verifisere legitimiteten til datadelingsgrensesnittet og virksomheten som tilbyr den.
  • Felleskomponenter for autentisering av konsument skal benyttes der det er tilgjengelig og hensiktsmessig.

5.5.4 E-post og SMS

Virksomheten skal etablere tiltak for å forhindre at helse- og personopplysninger og annen informasjon med betydning for informasjonssikkerheten tilgjengeliggjøres ved hjelp av ukryptert e-post og SMS eller andre usikre kanaler.

Om virksomheten bruker ukrypterte kanaler, skal virksomheten

  • forsikre seg om ved tekniske tiltak og organisatoriske tiltak at e-post ikke inneholder identifiserbare helseopplysninger
  • etablere logging for å kontrollere at regler ikke brytes. Regelbrudd skal håndteres som avvik, og personalmessige konsekvenser skal vurderes.
  • vurdere om den samlede informasjonen i SMS og e-post kan medføre brudd på taushetsplikten

5.5.5 Tilkobling til Internett

Teknisk utstyr, f.eks. medisinsk utsyr, eller applikasjoner som kobles til Internett, skal inkluderes i virksomhetens arbeid med informasjonssikkerhet og personvern, herunder i risikovurderinger, tilgangsstyring og rutiner for bruk.

Virksomheten skal etablere

  • tekniske tiltak som bidrar til å hindre utilsiktet utlevering og uautorisert tilgang til helse- og personopplysninger
  • logging for å kontrollere at regler ikke brytes. Regelbrudd skal håndteres som avvik.
Normen

Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 22. november 2022