Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

4.2. Autentiseringsfaktorer

Autoriserte personer skal tildeles autentiseringsfaktorer for å bekrefte sin identitet før tilgang til opplysninger eller informasjonssystemer gis. Autentiseringsfaktorene skal være unike for hver enkelt for å sikre at kun den autoriserte blir gitt tilgangen det gjelder, i tillegg til at brukeraktiviteter skal kunne spores tilbake til en bestemt person.

Eksempel på autentiseringsfaktorer er

  • brukernavn og passord
  • brukernavn og passord kombinert med kode som mottas i SMS eller bekreftes gjennom en applikasjon (ulike to-faktor autentiseringsløsninger).
  • bruk av elektronisk identitetsbevis (for eksempel BankID, PKI-sertifikat fra Buypass eller Commfides, eller FIDO2-nøkler).

Tildeling av autentiseringsfaktorer skal gjennomføres på en betryggende måte som ivaretar konfidensialitet og sikrer at kun den autoriserte har kjennskap til sine unike autentiseringsfaktorer.

Virksomheten bør etablere pålitelige rutiner for å håndtere tildeling av autentiseringsfaktorer, samt rutiner for hvordan autentiseringsfaktorer på avveie skal håndteres.

 

Eksempel på utleveringskrav til autentiseringsfaktorer:

  • Den ansatte møter opp fysisk hos enheten som utsteder ID-/adgangskort og fremviser gyldig legitimasjon.
  • Den ansatte blir tilsendt autentiseringsfaktorer i form av en utstedingskode til folkeregistrert adresse. Aktivering av faktoren skjer ved å sende en SMS med koden til utsteders utstedelsessystem. SMSen må sendes fra telefonnummeret som er registrert i personalsystemet.
  • Den ansatte blir tilsendt autentiseringsfaktorer til folkeregistrert adresse. Aktivering av faktorene skjer ved elektronisk kontroll av pass og ansiktsgjenkjenning i en app fra utsteder av identifikasjonsmidlet.

 

Det bør videre utarbeides rutiner for å styre og håndtere autentiseringsfaktorer på virksomhetsnivå for å sikre at disse harmoniserer med helsepersonellets hverdag. Det kan for eksempel være hensiktsmessig å etablere en rutine som sikrer at man ikke bytter passord på fredag ettermiddag, for å unngå at det oppstår utfordringer med brukerkontoene som ikke kan løses før på mandag morgen.

Videre bør det tilstrebes å etablere rutiner som gjør pålogging mer brukervennlig og effektiv for helsepersonellet, som for eksempel å ta i bruk «single sign-on» på alle systemer og applikasjoner der dette er mulig. Det er utarbeidet et eget faktaark om bruk og håndtering av passord.

Fellesbrukere i informasjonssystemet eller journalsystemet til virksomheten representerer en risiko, ved at sporbarheten til personell som har utført handlinger blir borte og dermed hindrer ansvarliggjøring og kontroll av tilgang. Fellesbrukere skal derfor ikke benyttes ved tilgang til helse- og personopplysninger.

Det kan imidlertid være aktuelt å tillate bruk av fellesbrukere i enkelte situasjoner. Et eksempel er pålogging til felles PCer som ikke gir direkte tilgang til helse- og personopplysninger, fordi pålogging i stedet skjer på enkeltapplikasjoner der opplysningene er lagret. Et annet eksempel et enkelte typer laboratorieutstyr hvor personlig pålogging ikke er hensiktsmessig. I disse tilfellene skal autentiseringsfaktorer besluttes på grunnlag av en risikovurdering.

Normen

Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 17. mars 2022