På samme måte som ved tildeling av autorisasjon for tilgang, skal den dataansvarlige eller personalansvarlig leder sørge for at tilganger oppdateres eller deaktiveres ved behov. Endringene skal gjøres innenfor en rimelig tidsramme.
Formålet med å deaktivere tilganger for personer som ikke lengre jobber for virksomheten, eller som bytter stilling eller rolle internt, er å forhindre uautorisert tilgang når personen ikke lengre har tjenstlig behov for tilgang til de aktuelle helse- og personopplysningene.
Behov for fjerning / endring i autorisasjon skjer når:
- en medarbeider slutter, slik at tildelt autorisasjon for tilgang skal deaktiveres fra en sluttdato
- en medarbeider begynner i ny stilling i samme virksomhet, slik at eksisterende autorisasjon for tilgang deaktiveres og/eller nye tilganger tilføyes
- et tidsbegrenset engasjement, hospitering eller oppdrag utløper, slik at autorisasjon for tilgang utløper samtidig og helst automatisk
- en medarbeider skal ha permisjon, slik at autorisasjon for tilgang deaktiveres frem til permisjonen er over, med mindre leder beslutter at tilgangene skal opprettholdes i permisjonstiden. Eksempelvis vil det kunne være aktuelt å opprettholde tilgang til e-post og intranett i forbindelse med en permisjon for å holde seg oppdatert på det som skjer i avdelingen under fraværet.
Ved fjerning av autorisasjon for tilgang skal autorisasjonsregisteret oppdateres med dato og klokkeslett for når autorisasjonen for tilgang ble deaktivert.
