Tilgang mellom virksomheter forutsetter at man har etablert en sikkerhetsarkitektur som sikrer at kun autorisert personell får tilgang til helse- og personopplysninger.
Virksomheten har etablert minst to tekniske tiltak for å hindre uautorisert tilgang. I eksempelet har vi følgende tekniske tiltak:
- Kommunikasjon mellom EPJ sikres med maskinsertifikat. Sertifikatet benyttes til to formål:
- Gjensidig autentisere EPJ serverne for å sikre at trafikken kommer fra riktige servere plassert i sikker sone hos virksomhetene.
- Sikrer at trafikken mellom serverne er kryptert ende til ende.
- Brannmurer som styrer hvilken trafikk som slipper inn og ut av virksomheten.
- Personlige sertifikater på brukernivå for sikker autentisering av den som skal hente informasjon.
- Hendelsesregistrering hos begge virksomhetene sikrer muligheten for etterkontroll av tilganger.
- Autorisasjonsregister hos begge virksomhetene sikrer muligheten for rollebasert tilgangsstyring og lovpålagt lagring av autorisasjonsregisteret.
