Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

5.2. Tilgangsstyring

Tilgangsstyring handler om hvordan virksomheten gjennomfører:

  • Autorisering for tilgang til informasjonssystemer.
  • Autorisering for tilgang til behandlingsrettet helseregister, som innebærer tildeling av tillatelser til å kunne lese, registrere, redigere, rette, slette og/eller sperre helse- og personopplysninger.
  • Autentisering, som sikrer identifisering av autorisert bruker.
  • Tilgjengeliggjøring av helse- og personopplysninger om bestemte pasienter/brukere for autorisert personell.
  • Tilgjengeliggjøring av helse- og personopplysninger til annet personell enn virksomhetens eget personell.
  • Kontrollerende tiltak.

Virksomheten skal ha rutiner for autorisering, endring og avslutning av tilganger.

Innenfor rammen av taushetsplikten skal virksomheten sørge for at relevante og nødvendige helseopplysninger er tilgjengelige for helsepersonell og samarbeidende personell når dette er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til den enkelte.

Virksomheten bestemmer på hvilken måte opplysningene skal gjøres tilgjengelige. Opplysningene skal gjøres tilgjengelige på en måte som ivaretar informasjonssikkerheten og personvernet.

Tilgangsstyring skal etableres for alle informasjonssystemer. Det gjelder også for administrator- og systembrukere.

Bare autorisert personell med tjenstlige behov skal få tilgang til helse- og personopplysninger.

Tilgang til behandlingsrettede helseregistre skal gis etter en konkret beslutning basert på om det er eller skal etableres tiltak for medisinsk behandling av pasienten. Tilgang skal styres slik at taushetspliktreglene ivaretas, og at tilgang til helse- og personopplysninger ikke gis til andre enn dem som har tjenstlig behov.

5.2.1 Autorisering

Virksomheten er ansvarlig for at autorisasjoner tildeles, administreres og kontrolleres.

Ved tildeling av autorisasjon skal lovbestemt taushetsplikt vurderes og ivaretas.

Dataansvarlig kan delegere myndighet for å tildele autorisasjon til den enkelte enhets leder. I dette ligger at leder, innen eget ansvarsområde, vurderer og godkjenner autorisasjonen. Tildelt autorisasjon skal sikre at medarbeideren kan få tilgang til nødvendige og relevante helse- og personopplysninger i samsvar med personellets ansvar og oppgaver, så langt lovbestemt taushetsplikt ikke er til hinder for det. Autorisasjonen skal vurderes på nytt når det oppstår endringer i ansvarsområder, ansettelsesforhold eller langvarig fravær.

Dersom tilgangsstyringen er basert på roller, skal autorisering skje for hver rolle uavhengig av medarbeiderens øvrige roller.

Autorisasjonen for tilgang til behandlingsrettede helseregister skal

  • tidsbegrenses, og 
  • angi hvilke virksomheter autorisasjonen omfatter.

For autorisering av teknisk personell med særskilt behov for tilgang til større mengder helse- og personopplysninger skal det etableres tiltak slik at mulig misbruk skal kunne avdekkes.

For å hindre uautorisert tilgang skal følgende tiltak etableres:

  • Dersom det er åpnet for selvautorisering, skal tilgang grunngis og registreres.
  • Tekniske tiltak skal sikre at personer i eller utenfor virksomheten ikke skal kunne endre opplysninger uten at det registreres i informasjonssystemene hvem som har endret, og hva som er endret.
  • All tildeling av autorisasjon skal registreres i et autorisasjonsregister (jf. 5.2.1.1. Autorisasjonsregister).
  • Tekniske tiltak skal også sikre at personer i eller utenfor virksomheten ikke skal kunne endre konfigurasjon og programvare uten at det logges (jf. 5.4.4. Logging).
  • Bruker med administratortilganger skal benytte personlig separat brukerkonto for administratoroppgaver. Driftspersonell skal ha personlige brukerkontoer for oppgaver som ikke krever administratortilganger.
  • Risikovurdering skal begrunne behovet for ulike administratorbrukere.

5.2.1.1 Autorisasjonsregister

Virksomheten skal sørge for at det opprettes et autorisasjonsregister. Registeret skal som minimum inneholde

  • informasjon om hvem som er tildelt autorisasjon
  • informasjon om til hvilken rolle autorisasjonen er tildelt (om rollen benyttes i virksomheten)
  • formålet med autorisasjonen
  • tidspunkt for når autorisasjonen ble gitt og eventuelt tilbakekalt
  • informasjon om hvilken virksomhet den autoriserte er knyttet til
  • helsepersonells autorisasjon for tilgang til helseopplysninger i annen virksomhet (kun om tilgang til helseopplysninger i annen virksomhet er tatt i bruk)

 5.2.1.2 Tilgang til helse- og personopplysninger mellom virksomheter

5.2.2 .Autentisering

Autentisering skal som minimum ivareta følgende:

  • Den autoriserte skal bekrefte sin identitet på en sikker måte. Sikker måte må besluttes på grunnlag av en risikovurdering.
  • Ulike ansettelsesforhold skal identifiseres.
  • Flere personer skal ikke benytte samme autentiseringskriterier.
  • Tildeling av autentiseringskriterier (for eksempel brukernavn og passord) skal gjennomføres på en betryggende måte.
  • Tilgang fra hjemmekontor eller mobilt utstyr (og mobilnettverk) skal sikres ved sikker autentiseringsløsning. Dette gjelder også for lokasjoner som kommuniserer ved hjelp av linjer virksomheten ikke har fysisk kontroll over.
  • Alle standardpassord (fabrikkinnstillinger) på systemer og utstyr skal endres før behandling av helse- og personopplysninger starter.
  • Ved bruk av trådløse nettverk for behandling av helse- og personopplysninger skal den autoriserte brukeren autentiseres med sikker autentiseringsløsning.

Benyttes roller, skal ulike roller identifiseres, og ved behov gis ny autentisering.

5.2.3 Kontroll av tilgang

Virksomhetens ledelse skal påse at det jevnlig gjennomføres kontroll av hvem som har hatt elektronisk tilgang.

Gjennomgang og kontroll av tilgangsstyring, herunder tildelte autorisasjoner, skal foretas av den enkelte leder:

  • ved organisasjonsendringer, overflytting av personell til annen enhet/avdeling eller endring av arbeidsområde
  • minimum årlig (gjerne i forbindelse med sikkerhetsrevisjon)
  • ved sikkerhetsbrudd for det som blir berørt av bruddet

Dersom kontrollen fører til mistanke om at det har skjedd en urettmessig tilgang, skal virksomhetens ledelse varsles. For øvrig skal hendelsen behandles iht. etablerte rutiner for avviksbehandling, særlig med henblikk på å få avklart om eksisterende tilgangskontroll er god nok.

Misbruk av selvautorisering skal følges opp som avvik.

Dersom kontrollen viser at det har skjedd en urettmessig tilgang, skal dette behandles som et avvik.

Ved bruk av tilgang til helseopplysninger mellom virksomheter skal avtalepartene samarbeide om kontroll av tilganger. Den dataansvarlige som har adgang til å autorisere helsepersonell for tilgang, skal løpende kontrollere:

  • hvem i egen virksomhet som elektronisk har hentet frem helseopplysninger fra annen virksomhet
  • hvorfor dette er gjort
  • tidsperioden helseopplysningene er hentet frem

Dersom kontrollen viser at noen urettmessig har hentet frem helseopplysninger, skal virksomheten opplysningene er hentet fra, og pasienten/brukeren opplysningene gjelder, varsles. Avviket skal behandles iht. etablerte rutiner for avviksbehandling.

 

 

Normen

Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 22. november 2022