Manglende tilgjengelighet til informasjonssystemene kan medføre skader både for virksomheten, virksomhetens autoriserte brukere, pasienten/brukeren ved ytelse av helsehjelpen og den registrerte.
Virksomheten skal sørge for at nødvendige helse- og personopplysninger er tilgjengelige.
For å kunne etablere nødrutiner for å ivareta tilgjengelighet ved bortfall skal virksomheten kartlegge konsekvensen av bortfall. Dette skal vurderes både for virksomheten og for dens autoriserte brukere.
Systemer skal klassifiseres etter følgende prioritering:
Systemer hvor stopp av tjeneste kan være kritisk, som
- livstruende for pasient
- kritisk for virksomhetens drift
Systemer hvor stopp av tjeneste får alvorlige konsekvenser, som
- økt risiko for feil behandling av pasient
- utsettelse av utredning og behandling som kan gå ut over liv og helse
- betydelig merarbeid for personell
- tapte inntekter for virksomheten
Systemer hvor stopp av tjeneste får moderate konsekvenser, som
- forsinkelser i utredning og behandling uten alvorlige helsekonsekvenser
- noe merarbeid for personell
- tapte inntekter for virksomheten
- redusert omdømme
- svekket tillit
- tapt effektivitet
Systemer hvor lengre stopp kan aksepteres
Systemer som ikke prioriteres
Det skal også kartlegges hvilke andre systemer og hvilken infrastruktur de klassifiserte systemene er avhengige av. Disse skal ha samme klassifisering og sikkerhetsnivå som for de klassifiserte systemene.
For hver aktuell klassifisering skal ledelsen beslutte akseptabel risiko for tilgjengelighet. Som minimum skal det fastsettes maksimal avbruddstid.
Med utgangspunkt i klassifiseringen av informasjonssystemene skal virksomheten etablere nødrutiner:
- Alternativ drift uten bruk av informasjonssystemene
- Alternativ drift med delvis støtte fra informasjonssystemene
Nødrutinene skal øves på, testes, revideres og oppdateres minst en gang i året.
