Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

5.2. Rutiner for bruk av helse- og personopplysninger som testdata

Forberedelser

a) Vurder om det er nødvendig å gjennomføre testen med helse- og personopplysninger for å  oppnå formålet. Vurderingen skal dokumenteres, jf. personvernforordningen Artikkel 5. Prinsipper for behandling av personopplysninger, nr. 1 bokstav c (lovdata.no), jf. Artikkel 24. Den behandlingsansvarliges ansvar (lovdata.no) 

b) Vurder hvilket rettslig grunnlag som ligger til grunn for behandlingen. Vurderingen skal dokumenteres jf.Lov om behandling av personopplysninger (personopplysningsloven) - KAPITTEL II Prinsipper (lovdata.no) og Lov om behandling av personopplysninger (personopplysningsloven) - KAPITTEL II Prinsipper (lovdata.no)

c) Avklar ansvar og arbeidsoppgaver til ulike roller internt i virksomheten og hos eventuell ekstern part.

d) Dersom testen skal gjennomføres av en ekstern part, skal det inngås en skriftlig databehandleravtale med denne, jf. Lov om behandling av personopplysninger (personopplysningsloven) - Avsnitt 1 Generelle forpliktelser (lovdata.no).  I tillegg til å oppfylle kravene i denne, er det viktig at databehandleravtalen beskriver:

  • testens varighet 
  • databehandlers forpliktelse til å følge krav i Normen
  • hvem som er ansvarlig for hva under gjennomføring av testen (f.eks. prosjektleders rolle)
  • beskrivelse av om separat testmiljø benyttes eller om det skal utføres test på data i produksjonsmiljø
  • hvem som skal ha tilgang til testdataene og rutiner for tilgangsstyring
  • at de som gjennomfører testen skal være underlagt taushetsplikt
  • at det skal gjennomføres risikovurderinger knyttet til bruk av helse- og personopplysninger i testen
  • tiltak for fysisk og logisk sikring
  • at opplysningene skal slettes når testen er avsluttet og at databehandler skal bekrefte sletting
  • hvilke særskilte rutiner som gjelder

e) Gjennomfør risikovurderinger og personvernkonsekvensvurderinger, og etabler egnede sikkerhetstiltak, jf. Lov om behandling av personopplysninger (personopplysningsloven) - Avsnitt 2 Personopplysningssikkerhet (lovdata.no) og Lov om behandling av personopplysninger (personopplysningsloven) - Avsnitt 3 Vurdering av personvernkonsekvenser og forhåndsdrøftinger (lovdata.no). Virksomheten skal blant annet hensynta:

  • antall registrerte og omfanget av helse- og personopplysninger i testdataene
  • antall ansatte som skal ha tilgang til testdata 
  • testens varighet
  • de registrertes mulighet til å utøve sine rettigheter 
  • testmiljøet
  • fysisk og logisk skille mellom testdata og helse- og personopplysninger
  • fysisk og logisk driftsmiljø
  • tilgangsstyring, logging og oppfølging av tilgangsstyringen

f) Utarbeid rutiner for:

  • utplukk av testdata fra eksisterende registre (for eksempel EPJ-system)
  • tilgangsstyring til testdata og logging av tilgang
  • bruk av testdata 
  • overføring av testdata til andre (databehandler, leverandør, annen helse- eller omsorgsvirksomhet) Se Overføring av personopplysninger ut av EØS (datatilsynet.no) 
  • sletting av testdata etter at test er gjennomført

g) Etabler teknisk løsning for behandling av testdata.

  • Det skal som hovedregel etableres et eget testmiljø som er separert fra utvikling og produksjon. Unntak fra dette må risikovurderes og håndteres basert på fastsatt akseptabelt risikonivå.
  • Testmiljøet skal sikres på tilsvarende måte som produksjonsmiljøet se kap 3 i dette faktaarket
  • Ved overføring av testdata til testmiljøer utenfor den dataansvarliges eget nettverk skal det etableres tekniske tiltak, slik at all kommunikasjon av helse- og personopplysninger utenfor virksomhetens kontroll krypteres. Kryptering og dekryptering mellom kommunikasjonspunkter i infrastrukturen skal gjøres i godkjent utstyr som virksomheten har kontroll med. Kontrollen kan ivaretas gjennom avtale.
  • For testing av nasjonale løsninger vises det til Norsk Helsenett og nasjonal test- og godkjenningsordning (nhn.no).

Gjennomføring

a) Identifiser tilgjengelig datagrunnlag 

  • Syntetiske og fullverdige anonymiserte data kan fritt brukes til testformål
  • Pseudonymiserte data underlegges samme krav til sikkerhet og logging som reelle data
  • Reelle data (kopi fra produksjon) underlegges samme krav til sikkerhet og logging som i produksjon, og skal kun benyttes der det er strengt nødvendig. Behov for bruk av reelle data skal vurderes av sikkerhetsansvarlig og personvernombud i det enkelte tilfelle og nødvendigheten skal dokumenteres.

b) Plukk ut testdata til det konkrete formålet basert på datagrunnlaget iht. til fastsatt rutine.

  • Utplukksregler skal beskrives iht. det fastsatte formålet
  • Datafelter og datamengde velges utfra reelt behov (dataminimering)
  • Det benyttes syntetiske, anonymiserte eller pseudonymiserte testdata dersom det er mulig
  • Testdataene skal sikres iht, kravene i personvernforordningen og Normen

c) Ved test i produksjonsmiljøet begrenses testingen til verfisering (f.eks. ved prodsetting), og uten modifisering av data. Følgende tiltak må iverksettes:

  • Før testen gjennomføres skal det verifiseres at det er tatt sikkerhetskopier og at det finnes rutiner for tilbakekopiering dersom testen korrumperer data
  • Det skal føres logger og det anbefales å føre manuelle logger for å kunne spore uønskede hendelser til konkrete operasjoner og tidspunkter

d) Sørg for tilgangsstyring og taushetsplikt.

  • Virksomheten skal føre oversikt over hvem som har tilgang til testområdet (testbrukere) og hvilke rettigheter de har
  • Virksomheten skal sørge for at testbrukere er underlagt taushetsplikt gjennom ansettelsesavtale eller ved særskilt skjema som signeres før oppstart av testen
  • Alle testbrukere skal tildeles en egen personlig testkonto 
  • Alle testbrukere skal registreres med egen konto og rolle i logger slik at det ved analyse av logger ikke fremstår som om testbrukeren har utført ulovlige handlinger

e) Andre tiltak virksomheten må påse at ivaretas for å sikre informasjonssikkerhet er:

  • At e-post ikke benyttes til å sende helse- og personopplysninger 
  • At bærbart utstyr som benyttes til test av systemer med helse- og personopplysninger er sikret iht. Normens krav om bærbart utstyr
  • At testing utenfor egen arbeidsplass følger Normens krav for hjemmekontor og fjernaksess
  • At trådløse nettverk er sikret Introduksjon grunnsprinsipper for  IKT-sikkerhet (nsm.no)
  • At papirutskrifter, minnepinner og andre lagringsmedier som inneholder helse- og personopplysninger merkes, oppbevares og sendes iht. Normens krav
  • At bruk av eventuelle skybaserte løsninger følger akutelle krav til skytjenester i Normen
  • At feil og mangler som hovedregel ikke beskrives med identifiserbare helse- og personopplysninger. Beskrives feil og mangler med identifiserbare helse- og personopplysninger, skal datafiler og utskrifter sikres på samme måte som andre helse- og personopplysninger iht. krav i personvernforordningen og Normen
  • At alle avvik fra etablerte rutiner rapporteres som avvik iht. rutine for avviksbehandling

f) Tester av sikkerhet og sikkerhetsfunksjoner før driftsetting:

  • Vurdere gjennomføring av tester av sikkerhet, som del av utvikling og test, før programvare settes i drift i virksomhetens produksjonsmiljø. Dersom produkter fra anerkjente produsenter  benyttes er behovet for sikkerhetstest mindre. Det er imidlertid spesielt viktig å teste egenutviklet programvare eller programvare som utvikles av en innleid leverandør.
  • Ved sikkerhetstester bør tester gjennomføres iht. NSMs grunnprinsipper for IKT-sikkerhet tiltak 2.1.7 Gjennomfør tilstrekkelig testing gjennom hele utviklingsprosessen og grunnprinsipp 3.4 Gjennomfør inntregningstester
  • Tester iht. grunnprinsipp 3.4 bør også gjennomføres periodisk i produksjonssystemer, men omtales ikke i dette faktaarket.

Dokumentering og avslutning av test

a) Tester og verifikasjoner skal dokumenteres som ledd i virksomhetens endringsstyring jf. NSMs grunnprinsipper for IKT-sikkerhet (nsm.no).

b) I testmiljøer med tidsavgrenset varighet skal testdataene slettes når formålet er oppnådd og eventuelle utskriftene skal makuleres etter bruk.

c) I permanente testmiljøer skal testdata som ikke lenger har et formål slettes. Eventuelle utskrifter makuleres.

d) Ved bruk av databehandler for å gjennomføre testen, skal databehandler sende bekreftelse til dataansvarlig om at alle testdata er slettet iht. formål og avtale.

e) Alle testkontoer som er tildelt testbrukere skal deaktiveres. Testkontoene bør ikke slettes før de ikke lenger er nødvendig for å kunne spore testbrukerens aktivitet, jf. NSMs grunnprinsipper for IKT-sikkerhet (nsm.no).

f) Test som utføres på en kopi av reelle data utløser krav om innsynslogg der pasienten skal kunne be om å denne utlevert, på samme måte som produksjon.

Normen

Faktaark til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 29. september 2022