a) Krav til konfidensialitet, integritet, tilgjengelighet og kvalitet er grunnleggende krav som alltid må ivaretas (jf. Normen):
- Prosjektet må dokumentere overordnede krav til konfidensialitet, integritet, tilgjengelighet og kvalitet tilgjengelighet i løsningen.
- Prosjektet må i samarbeid med systemeier sørge for at det fastsettes akseptansekriterier (ift. for eksempel oppetid, responstid, kapasitet mv.) som skal gjelde for den løsningen som prosjektet skal innføre/endre/utvide.
- Krav til informasjonssikkerhet må sees i sammenheng med kritikalitet og akseptkriterier for løsningen.
- Risikovurdering skal gjennomføres for løsningen som skal innføres. Dette må gjøres så tidlig at det er mulig å endre spesifikasjonen av løsningen basert på resultatene fra risikovurderingen.
- Prosjektet må avklare konsekvenser ved innføring av systemet, f.eks. avhengighet av andre systemer, behov for endringer i infrastruktur og konsekvenser av dette.
b) Prosjektleder må kontakte sikkerhetsleder/sikkerhetskoordinator i virksomheten for å informere om og diskutere den planlagte løsningen slik at den kan tas inn i ”porteføljen” til sikkerhetsledelsen. I større prosjekter bør det vurderes egen sikkerhetskoordinator som rapporterer til prosjektleder.
c) Virksomhetens eventuelle personvernombud skal kontaktes/involveres når planlagt løsning omfatter behandling av helse- og personopplysninger.
d) Prosjektleder bør gjøre en gjennomgang av hva som finnes av lignende løsninger og tidligere prosjekter for å kunne dra nytte av den kunnskap og erfaringer som finnes.
e) Prosjektleder må avklare om prosjektet og/eller planlagt løsning krever konsesjon fra Datatilsynet (må gjøres før prosjektoppstart/løsningen tas i bruk). Dette gjøres med bistand fra personvernombud for de virksomheter som har dette.
f) Prosjektleder må avklare om planlagt løsning utløser plikt til å gi pasientene informasjon om behandlingen av helse- og personopplysninger, og om nødvendig innhente samtykke, jf. kap. 4.1 i Normen om behandlingsgrunnlag.
