Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

7.1. Tilgangsstyring, tildeling av rettigheter (autorisasjon) og autentisering 

Tilgangsstyring handler om hvordan virksomheten gjennomfører:

  • autorisering, som er tildeling av rettigheter til å kunne lese, registrere, redigere, rette, slette og/eller sperre helse- og personopplysninger
  • autentisering, som sikrer identifisering av autorisert bruker
  • tilgjengeliggjøring av helse- og personopplysninger om bestemte pasienter/brukere for autorisert personell
  • tilgjengeliggjøring av helse- og personopplysninger til annet personell enn virksomhetens eget personell
  • regulering av privat bruk av virksomhetens informasjonssystemer
  • kontroll av tildelte rettigheter og kontroll av logger

Les mer i veileder for tilgang til helse- og personopplysninger  

Tilgang skal tildeles medarbeiderne etter hvilke arbeidsoppgaver de har. Tilgangen som gis skal være basert på et konkret tjenstlig behov (arbeidsoppgaver). Ved tildeling av autorisasjon skal lovbestemt taushetsplikt vurderes og ivaretas.

Tilgangsstyringen må ta utgangspunkt i hvordan den enkelte virksomheten konkret er organisert og tilgangen må avpasses etter forholdene i virksomheten. F.eks. må sekretæren til tannlegen ofte håndtere røntgenbilder, lese eller på annen måte fremskaffe informasjon i løpet av en behandlingsseanse. Tannlegen kan også la sekretæren føre journal etter diktat under behandlingsseansen.

Prosedyrene som beskriver tilgangsrettighetene skal speile denne praksisen i virksomheten. Momenter som vil kunne påvirke den konkrete tilgangsstyringen er bl.a.:

  • Størrelsen på praksisen: en liten praksis med få ansatte vil ha en enkel tilgangsstyring mens en stor praksis med mange ansatte i virksomheten, felles pasientjournal og mulig hjelpepersonell som sekretær vil ha behov for mer nyansert tilgangsstyring.
  • Når databehandler har tilgang til helse- og personopplysninger (skal reguleres i databehandleravtale)
  • Leverandør av journalsystem, der leverandøren har fjernaksess
  • Med "fjernaksess" menes i dette dokumentet ekstern tilgang fra leverandør til virksomhet via kommunikasjonslinje. Eksempler på anvendelsesområder er: feilretting, oppdateringer, fjernadministrasjon, test- og utvikling, overføring av datafiler, driftsovervåkning (databaser, servere, lagringsløsninger), behandling av feilmeldinger og datafiler hos leverandør og sending av feildiagnoser, m.v. av fagsystemer og IKT-infrastruktur. Les mer i veileder for fjernaksess mellom virksomhet og leverandør 
  • Nødrettstilgang

Autentiseringen  

Autentisering vil si å bekrefte en påstått identitet. Journalopplysninger kan bare gjøres tilgjengelig for personell som gjennom autentisering kan bekrefte sin identitet på en sikker måte.

I praksis gjøres dette ved hjelp av et passord eller PKI (personlige sertifikater som BuyPass eller Comfides eller Bank-ID), som sikrer identifisering av autorisert bruker. Autentisering skal være forholdsmessig ut fra virksomhetens størrelse og virkefelt.

Det skal etableres rutine for tildeling og administrasjon av tilgangsrettigheter:

  • Autorisasjon for å lese, registrere, redigere, rette, slette og/eller sperre helse- og personopplysninger skal gis til dem som har tjenstlig behov. Lovbestemt taushetsplikt skal vurderes og overholdes. Også tekniske tiltak skal etableres for å ivareta krav til konfidensialitet ved aktivt å hindre uvedkommende i å få tilgang og for å sikre dokumentasjon av denne tildelte autorisasjonen.
  • Autorisasjonen skal angi hvilke virksomheter autorisasjonen omfatter (om samme autorisasjon gir tilgang til helse- og personopplysninger i flere virksomheter)
  • Autorisasjonen skal være tidsbegrenset.
  • Teknisk personell (f.eks. en leverandør eller IT-service) med særskilt behov for tilgang kan autoriseres for større mengder helse- og personopplysninger. Det skal etableres tiltak slik at mulig misbruk skal kunne avdekkes.
  • Autorisasjon for andre tjenester gis etter tjenstlig behov.

Autorisasjonen skal vurderes på nytt når det oppstår endringer i ansvarsområder eller ansettelsesforhold

Når en person er autorisert for tilgang, skal vedkommende rent faktisk oppnå tilgang i samsvar med autorisasjonen. Virksomheten må derfor opprette brukere i informasjonssystemet (brukerkontoer) iht. dette. Virksomheten bør lage en oversikt som viser tilgangene per rolle.

Gjennomgang og kontroll av tilgangsstyring, herunder tildelte autorisasjoner, skal foretas av den enkelte leder

  • minimum årlig (gjerne i forbindelse med sikkerhetsrevisjon)
  • ved sikkerhetsbrudd for det informasjonsområdet som blir berørt av bruddet
  • ved organisasjonsendringer, overflytting av personell til annen enhet/avdeling eller endring av arbeidsområde

Virksomhetens ledelse skal påse at det jevnlig gjennomføres kontroll av hvem som har hatt elektronisk tilgang.

Eksempel:

Normland helsesenter har etter en vurdering av arbeidsprosessene på kontoret satt opp tilgangsstyringen sin slik at helsepersonellet har tilgang til hverandres pasienter. De merkantilt ansatte har tilgang til pasientadministrasjon for alle pasienter.

 

Hvis f.eks. familiemedlemmer til de ansatte på kontoret er pasienter, hender det at helsepersonellet på eget initiativ sperrer journalnotater for innsyn fra de andre på kontoret.

Normen

Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 17. september 2020