Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

3.2. Minimumskrav for å sikre konfidensialitet, integritet, tilgjengelighet og robusthet

Virksomheten skal sørge for at virksomhetens behandlinger av helse- og personopplysninger har et egnet sikkerhetsnivå i tråd med Normens minimumskrav til informasjonssikkerhet og eventuelt egne informasjonssikkerhetsmål. Normen stiller følgende overordnede minimumskrav til informasjonssikkerhet (konfidensialitet, integritet, tilgjengelighet og robusthet):

Se nærmere i Normens veileder om internkontroll for informasjonssikkerhet for veiledning om hva som bør inngå i et styringssystem og Normens veileder for små helsevirksomheter.

Krav for å sikre konfidensialitet
Virksomheten skal ivareta taushetsplikten og for øvrig sikre mot at uvedkommende får kjennskap til opplysninger.

  • hindre uautorisert tilgang til helse- og personopplysninger og annen informasjon med betydning for informasjonssikkerheten
  • avgrense tilgang for autorisert personell iht. tjenstlig behov
  • ha oversikt (logger) over alle som har hatt tilgang til helse- og personopplysninger og annen informasjon med betydning for informasjonssikkerheten

Krav for å sikre integritet
Virksomheten skal sikre at helse- og personopplysninger og annen informasjon med betydning for informasjonssikkerheten er sikret mot utilsiktet eller uautorisert endring eller sletting. Integritet er en forutsetning for god og forsvarlig helsehjelp

  • logge hvem som har rettet, registrert, endret og slettet
  • hindre utilsiktet eller uautorisert endring eller sletting
  • sikre at helse- og personopplysninger registreres på rett person
  • sikre at helse- og personopplysninger føres i henhold til relevant kodeverk og terminologi
  • sikre at helse- og personopplysninger er korrekte og om nødvendig oppdaterte
  • hindre at kopier av data blir en kilde til utdatert informasjon

Krav for å sikre tilgjengelighet og robusthet
Virksomheten skal sikre at helse- og personopplysninger og annen informasjon med betydning for informasjonssikkerheten er tilgjengelig til rett tid.

  • sikre at helse- og personopplysninger er tilgjengelig iht. tjenstlig behov
  • sikre forsvarlig og stabil drift av informasjonssystemene
  • sikre at det finnes egnede tekniske og organisatoriske tiltak som muliggjør forebygging, deteksjon, skalerbarhet, håndtering og gjenoppretting
  • sikre at informasjonssystemene er tilgjengelig iht. virksomhetens tilgjengelighetskrav

Brudd på kravene skal behandles som avvik.

Normen

Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 22. november 2022