Autorisering for tilgang til helse- og personopplysninger innebærer tildeling av rettigheter til å kunne lese, registrere (inklusive rekvirere, signere og kontrasignere), redigere, rette, slette eller sperre helse- og personopplysninger. Autorisasjon kan gis gjennom systemtilganger med disse rettighetene.
Eksempler på informasjonssystem og data som personell autoriseres for kan være fagsystemer, helseregistre eller journaler med helseopplysninger om pasienter og brukere. Andre eksempler er systemer og databaser med opplysninger om personalet, legemidler eller helseberedskapen i virksomheten.
Autorisasjon skal bare gis i den grad det er nødvendig ut ifra tjenstlig behov og så langt lovbestemt taushetsplikt ikke er til hinder for det. Dataansvarlig er ansvarlig for at autorisasjon for tilgang tildeles, administreres og kontrolleres, og kan ved behov delegere myndighet til ledere for den enkelte enhet.
I dette ligger at leder, innen eget ansvarsområde, skal vurdere og godkjenne personellets behov for å få tilgang til helse- og personopplysninger. Det er ikke uvanlig at ledere for den enkelte enhet, i samråd med lederen som er gitt ansvar for systemet eller dataene autorisasjonen gjelder, gir tillatelse og ivaretar ansvaret for tildeling av tilganger. Tildeling av tilgang bør være dokumentert og det bør foreligge sporbarhet om hvem som har gitt autorisasjonen.
For personell med flere roller i virksomheten, skal autorisering skje for hver rolle, uavhengig av vedkommendes øvrige roller. Dette gjelder spesifikt for de virksomhetene som benytter roller i reglene de lager for tilgangsstyring (se kapittel 3.3 om rollebasert tilgang). Hvilken autorisasjon for tilgang som skal gis i en virksomhet skal være tilpasset risikoen ved behandling av helse- og personopplysninger.
Større virksomheter og virksomheter med særlig følsomme opplysninger vil gjerne ha flere og tydelige atskilte funksjoner og kan gi personell autorisasjon ut ifra hvilken funksjon de fyller (rollebasert). For små virksomheter der det for eksempel bare er to-tre personer, kan etablering av mange ulike roller bli mer komplekst og ressurskrevende enn nødvendig.
Autorisasjonene for tilganger skal bidra til å sikre en tilfredsstillende informasjonssikkerhet. Informasjonssikkerheten skal vurderes helhetlig og ikke ut fra autorisasjonssystemet alene. Dette innebærer at øvrige sikkerhetstiltak som logging, innsyn i logger og loggoppfølging også er komponenter som skal bidra til å oppnå tilfredsstillende informasjonssikkerhet.
For å hindre uautorisert tilgang skal det ifølge Normen etableres følgende tiltak:
|
Det siste kulepunktet i listen er tydelig på at det skal benyttes separate brukerkontoer for administratoroppgaver. Det eksisterer enkelte løsninger for tilgangsstyring som ivaretar intensjonen til dette kravet, men som håndterer brukere på litt annen måte. Et eksempel på dette er bruk av PAM for styring av administratortilganger. PAM står for «privileged access management» og er en løsning som benyttes for å håndtere og styre bruken av privilegerte brukerkontoer.
I slike tilfeller kan det være mest hensiktsmessig at brukeren benytter sin ordinære brukerkonto for å logge på PAM, og at det i PAM er regulert hvilke administratortilganger den enkelte er autorisert for å benytte seg av. Risikoen tilknyttet bruk av administratorbrukere, som kravet har til intensjon å dekke, blir da ivaretatt, og det vurderes at kravet derfor oppfylles ved bruk av en slik løsning.
