I Normen er det fastsatt krav om at det skal benyttes separate miljøer for utvikling, test og produksjon slik at helse- og personopplysninger som benyttes ved ytelse av helsehjelp ikke blir påvirket ved feil i utvikling og test, jf. Normen kap. 5.4.1 Konfigurasjonskontroll
Eksempler på scenarioer som kan inntreffe dersom det ikke benyttes separate miljøer ved testing, kan være:
- Utvikler av et journalsystem får tilgang til pasientopplysninger som vedkommende ikke skulle hatt tilgang til (konfidensialitet).
- En pasientjournal inneholder feil data som følge av at testdata er benyttet i produksjon (integritet & pasientsikkerhet).
- Ufullstendig testing fører til at helse- og personopplysninger blir utilgjengelige (tilgjengelighet).
Et testmiljø etableres som en permanent løsning eller ha en tidsavgrenset varighet.
Testmiljøet skal sikres avhengig av hva slags type data som benyttes ved testing, jf. NSMs grunnprinsipper for IKT-sikkerhet tiltak 2.1.6 (nsm.no), i kombinasjon med tiltak 2.2.3. Dersom virksomheten for eksempel benytter helse- og personopplysninger fra produksjonsmiljøet til testformål, stilles det samme krav til sikring av testmiljøet som til produksjonsmiljøet.
Se for eksempel krav til sikkerhet, tilgangstyring og logging i personvernforordningen Artikkel 32. (lovdata.no), pasientjournalloven § 22 Informasjonssikkerhet (lovdata.no) og helseregisterloven § 21. Informasjonssikkerhet (lovdata.no). Se også ROS analyse - Vurdering av datakvalitet test og opplæring i produksjon fra mars 2019.
Testing i produksjonsmiljøet skal ikke forekomme, annet enn hvis det er strengt nødvendig, som følgende eksempler:
- dersom det er nødvendig for kvalitetssikring av helse- og personopplysningenes integritet ved systemendringer. Prosess og rutiner bør legge prinsipper om endringsstyring i NSMs grunnprinsipper for IKT-sikkerhet tiltak 2.10 (nsm.no) til grunn.
- ved bytte av system eller leverandør som medfører konvertering av helse- og personopplysninger, hvor hovedregelen er at både konvertering og test av resultatet må foretas på reelle data for å kunne teste en fullstendig konvertering.
- ved test av nye og eksisterende integrasjoner mot andre produksjonssystemer hvor det ikke finnes testmiljøer og er nødvendig med tilnærmet fullstendige og reelle data, for å kunne få til en realistisk kommunikasjonstest med eksterne parter
- etter konfigurasjonsendringer eller oppdateringer på eksisterende applikasjoner som behandler helse- og personopplysninger i eksisterende produksjonssystemer, hvor det ikke finnes et separat testmiljø
Det er viktig å være oppmerksom på at situasjonene som er beskrevet ovenfor er å regne som unntak og skal ikke innarbeides som fast praksis. Dersom noen av situasjonene er aktuelle skal virksomheten planlegge for dette ved å gjennomføre risikovurderinger og implementere tiltak for å håndtere, eksempelvis gjennom definerte tekniske og organisatoriske tiltak og rutiner, jf. NSMs grunnprinsipper for IKT-sikkerhet tiltak 1.1.4 (nsm.no) sammen med 4.1.1 og 4.1.2.
