Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

2.2. Tilgangsstyring i helse- og omsorgsektoren

Virksomheter i helse og omsorgssektoren skal i henhold til Normen ha rutiner for autorisering, endring og avslutning av tilganger Se mer om tilgangsstyring

Tilgangsstyring handler om hvordan virksomheten gjennomfører

  • autorisering for tilgang til informasjonssystemer
  • autorisering for tilgang til behandlingsrettet helseregister, som innebærer tildeling av tillatelser til å kunne lese, registrere, redigere, rette, slette og/eller sperre helse- og personopplysninger
  • autentisering, som sikrer identifisering av autorisert bruker
  • tilgjengeliggjøring av helse- og personopplysninger om bestemte pasienter for autorisert personell i egen virksomhet, herunder også driftspersonell og annet personell med tjenstlig behov
  • tilgjengeliggjøring av helse- og personopplysninger til samarbeidende personell i andre virksomheter
  • kontrollerende tiltak.

Kravene til tilgangsstyring gjelder uavhengig av hvilken teknisk løsning som ligger til grunn. Kravene er derfor ikke begrenset til kun å gjelde EPJ-systemer inkludert fagsystemer med lokal autentiseringsløsning.

Enkelte virksomheter har et påloggingssystem som kan benyttes i flere ulike tjenester («single sign-on») for autentisering til helse- og personopplysninger, og da vil det være vel så viktig å sikre en tilfredsstillende tilgangsstyring til den underliggende IKT-infrastrukturen.

Virksomheten skal sørge for at relevante og nødvendige helseopplysninger er tilgjengelige for helsepersonell og samarbeidende personell i andre virksomheter, når dette er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til den enkelte.

Virksomheten bestemmer på hvilken måte opplysningene skal gjøres tilgjengelige for andre virksomheter, men tilgjengeliggjøring skal skje på en måte som ivaretar taushetsplikten, informasjonssikkerheten og personvernet. Se mer om tilgang mellom virksomheter

Tilgang til behandlingsrettede helseregistre skal gis etter en konkret beslutning basert på om det er eller skal etableres tiltak for helsehjelp til pasienten. Tilgangen skal styres slik at reglene om taushetsplikt ivaretas, og at tilgang til helse- og personopplysninger kun gis til personell med tjenstlig behov. Se mer om tilgangsstyring

Normen

Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 17. mars 2022