Mange av disse oppgavene kan settes ut til eksterne leverandører, f.eks. driftsleverandør og/eller EPJ-leverandør. Men ansvaret for at det gjøres, ligger alltid på dataansvarlig/ virksomheten.
Oversikt over utstyr og programvare
Virksomheten skal ha oversikt over alt utstyr og programvare som benyttes i behandlingen av helse- og personopplysninger.
Dokumentasjonen skal inneholde en oversikt / tekstlig beskrivelse med:
- sikkerhetsbarrierer (for eksempel brannmur)
- hvor eventuelle servere er plassert
- hvor journalsystemet / røntgensystemet er plassert
- plassering av arbeidsstasjoner og skrivere
- plassering av betalingsterminal(er)
- Internettilknytning (gitt at gjeldende sikkerhetskrav ivaretas)
- eventuell tilknytning til helsenett
Endringer i utstyr og/eller programvare, skal ikke settes i drift før følgende tiltak er gjennomført:
- risikovurdering som viser at nivå for akseptabel risiko oppfylles
- test som sikrer at forventede funksjoner er ivaretatt
- implementering som sikrer mot uforutsette hendelser
- ny konfigurasjon er dokumentert
- konfigurasjonsendringer er godkjent av virksomhetens leder eller den ledelsen bemyndiger
Sikkerhetskopiering
Virksomheten skal sørge for at helse- og personopplysninger sikkerhetskopieres etter en fastsatt rutine. I tillegg skal oppsett av pasientjournalsystemet, røntgensystemet, servere mv. sikkerhetskopieres jevnlig slik at hele informasjonssystemet kan gjenopprettes.
- Sikkerhetskopier skal oppbevares avlåst og brannsikret, og adskilt fra driftsutstyret.
- Det skal jevnlig foretas test av at sikkerhetskopiene er korrekte og kan tilbakeføres.
- Minimum en sikkerhetskopi skal beskyttes mot ondsinnet programvare
| Siden EPJ-systemet benyttes som en tjeneste behøver ikke helsesenteret tenke på backup av EPJ. Filserveren for kontorstøtte sikkerhetskopieres via en nettbasert løsning i helsenettet, så det eneste Morten må følge opp er at status på er OK på sikkerhetskopiering. |
Beskyttelse mot ondsinnet programvare (f.eks. datavirus)
Virksomheten skal sørge for at datamaskinene (PC. MAC, mobiltelefon, nettbrett mv.) som benyttes i virksomheten har installert en løsning for å hindre ondsinnet programvare.
Programvaren skal være satt opp slik at den automatisk henter ned og installerer oppdateringer. Dette forutsetter en sikker Internettilknytning. Om virksomheten ikke har Internettilknytning til hele eller deler av sin tekniske løsning, må oppdateringer installeres i henhold til spesifikasjoner fra leverandøren.
Lagres helse- og personopplysninger på fysisk adskilt utstyr er behovet for sikring mot ondsinnet programvare mindre.
Utfasing av utstyr
Ved utfasing av utstyr (for eksempel kopimaskin, telefaks, multifunksjonsskriver, PC, server mv.) skal virksomheten påse at helse- og personopplysninger blir overført til nytt utstyr eller slettes slik at opplysningene ikke kan gjenskapes. Vanlig sletting av datafiler og formatering er ikke tilstrekkelig. Et godkjent sletteprogram skal benyttes, alternativt kan lagringsmediene ødelegges fysisk.
Det anbefales at virksomheten benytter en leverandør som påtar seg sikker sletting av utrangert utstyr.
Der leverandør må inn og behandle personopplysninger må virksomheten inngå databehandleravtale. Sletting er også en behandling av personopplysninger.
