Etableringen av sikkerhetstiltak knyttet til tilgangsstyring skal, som øvrige sikkerhetstiltak, baseres på Normens krav til forholdsmessighet
Forholdsmessighet innebærer at omkostningene med tiltak skal stå i et rimelig forhold til hva som oppnås med tiltakene. Omkostninger kan være redusert pasientsikkerhet, økte økonomiske utgifter eller inngrep i personvernet.
I enkelte situasjoner, som for eksempel ved systemovervåking og kontroll av brukere, kan økt personvern for noen personer (for eksempel pasienter) oppnås ved å gjøre inngrep i andres personvern (for eksempel helsepersonell). Også da må avveininger gjøres for å oppnå forholdsmessighet.
Ved etablering av tilgangsstyring skal virksomheten vurdere hva som er forholdsmessig ut fra virksomhetens størrelse, kompleksitet, art og omfang av behandling av helse- og personopplysninger, pasientsikkerhet og risikobildet.
Dette kan for eksempel bety at større og mer komplekse virksomheter som behandler et stort omfang av helse- og personopplysninger, kan være nødt til å etablere flere tiltak enn mindre virksomheter som behandler helse- og personopplysninger i mindre omfang, og der risikoen er mindre kompleks og lettere håndterbar.
Det er imidlertid viktig å poengtere at pasientens rettighet til god sikkerhet ikke under noen omstendighet skal gå på bekostning av forholdsmessighet knyttet til virksomhetens størrelse. De tekniske tiltakene som ligger til grunn for god tilgangsstyring bør derfor være på samme sikkerhetsnivå uavhengig av virksomhetens størrelse.
Når det gjelder organisatoriske tiltak, kan det være aktuelt for større og mer komplekse virksomheter å iverksette flere og annerledes tiltak enn mindre komplekse virksomheter. Organisatoriske tiltak kan kompensere noe for nivået på digitale eller fysiske tekniske tiltak.
For å oppnå akseptabel risiko, kan det implementeres risikoreduserende administrative tiltak i form av rutiner og menneskelige tiltak i form av opplæring, for eksempel dersom planlagte tekniske tiltak ikke kan innføres umiddelbart. Les mer om risikovurdering og risikohåndtering
Et viktig grunnlag for å kunne vurdere forholdsmessighet, er å vurdere risiko.
