I helse- og omsorgssektoren har det generelt vært høyere krav til sikker autentisering enn i de fleste andre sektorer, fordi det i så stor grad behandles helse- og personopplysninger.
Journalopplysninger skal bare gjøres tilgjengelig for personell som er tildelt autorisasjon for tilgang og som gjennom autentisering kan bekrefte sin identitet på en sikker måte. Risikovurderingen som skal gjennomføres som beslutningsgrunnlag for tilstrekkelige sikkerhetstiltak for tilgangsstyring, skal også danne grunnlag for valg av sikkerhetsnivå på autentiseringen til informasjonssystemer i virksomheten.
Det er viktig at det i risikovurderingen også tas stilling til effektiviteten og enkelheten i prosedyren, i tillegg til grad av beskyttelsesbehov på den informasjonen som gis tilgang til. Kompleksiteten i autentiseringsmekanismene kan ikke være så omfattende at de i praksis kan være til hinder for forsvarlig helsehjelp.
Brukere skal autentiseres med sikker autentiseringsløsning for tilgang til virksomhetens IKT-utstyr og for tilgang til helse- og personopplysninger. Dette gjelder også for tilgang fra mobilt utstyr eller fra hjemmekontor og andre lokasjoner utenfor virksomheten.
Rutiner for autentisering og hvilket sikkerhetsnivå som skal implementeres, bør etableres i styringssystemet for informasjonssikkerhet og personvern før behandling av helse- og personopplysninger starter.
