Denne veilederen skal gi veiledning til og bidra til etterlevelse av kravene Normen stiller til etablering av tilfredsstillende tilgangsstyring innad i virksomheten
Veilederen gjelder tilgangsstyring i behandlingsrettede helseregistre for å yte, administrere eller kvalitetssikre helsehjelp til den enkelte pasient. Veilederen omtaler hovedsakelig temaene autorisering, autentisering og kontroll av tilgang til helse- og personopplysninger, men gir også en overordnet innføring i generelle prinsipper for tilgangsstyring.
Veilederen er i versjon 2.0, og ble godkjent av Normens styringsgruppe 17. mars 2022.
Bakgrunn
Virksomheter og helsepersonell som yter helsehjelp er ansvarlige for å gi forsvarlig helsehjelp. Virksomheter og helsepersonell må også sikre at behandling av helse- og personopplysninger som utføres i den forbindelse skjer på en måte som ivaretar taushetsplikten og sikrer pasientenes personvern.
Ved ytelse av helsehjelp vil det ofte være relevant for helsepersonell å ha tilgang til opplysninger i pasientens journal. Virksomheter som yter helsehjelp, er ansvarlig for å sørge for at relevante og nødvendige helseopplysninger om pasienten er tilgjengelig for helsepersonell og annet samarbeidende personell når de trenger det for å yte helsehjelp til pasienten.
Det er reglene om taushetsplikt i helsepersonelloven som regulerer hvilke opplysninger som kan gjøres tilgjengelig og når opplysningene skal gjøres tilgjengelig. Virksomheten må tilgjengeliggjøre opplysningene på en måte som ivaretar kravene til informasjonssikkerhet.
Tilgangsstyring er ett av flere virkemidler for å ivareta kravene til informasjonssikkerhet. Tilgangsstyringen skal gi personell tilgang til nødvendige helseopplysninger ut fra tjenstlig behov og samtidig hindre uautorisert bruk og uberettiget innsyn i opplysninger.
Tema for veilederen
Denne veilederen skal gi veiledning til og bidra til etterlevelse av kravene Normen stiller til etablering av tilfredsstillende tilgangsstyring innad i virksomheten.
Veilederen gjelder tilgangsstyring i behandlingsrettede helseregistre for å yte, administrere eller kvalitetssikre helsehjelp til den enkelte pasient. Veilederen omtaler hovedsakelig temaene autorisering, autentisering og kontroll av tilgang til helse- og personopplysninger, men gir også en overordnet innføring i generelle prinsipper for tilgangsstyring.
Veilederen er tiltenkt å gi målgruppene hjelp til blant annet å
- få oversikt over generelle prinsipper for tilgangsstyring
- forstå prinsipper for autorisering, autentisering og kontroll av tilganger
- få en forståelse for tilgangsstyring i virksomheter og på tvers av virksomheter i helse- og omsorgssektoren
- beslutte tilstrekkelige tiltak for tilgangsstyring ved behandlingen av helse- og personopplysninger.
Veilederen bør ses i sammenheng med Oversikt over Normens krav som blant annet utdyper tekniske sikkerhetskrav for systemer som er relevant for å blant annet få på plass en helhetlig tilgangsstyring.
Målgruppe
Målgruppen for veilederen er virksomheter som omfattes av Normen og som skal sikre etterlevelse av Normens krav til tilgangsstyring. Veilederen vil være særlig relevant for systemforvalter og personell som jobber praktisk med tilgangsstyring i virksomheten, men også andre roller som for eksempel dataansvarlig, informasjonssikkerhetsleder og sikkerhetsleder.
Veilederen kan også være nyttig for samarbeidspartnere til helse- og omsorgssektoren, som på grunn av sin leveranse er omfattet av Normen 6.0 gjennom avtale med virksomheten eller Norsk Helsenett SF. Eksempler på slike samarbeidspartnere er databehandlere og systemleverandører av elektronisk pasientjournal (EPJ) og fagsystemer.
Krav i Normen
Kapittel 5.2 i Normen omtaler tilgangsstyring og er delt opp i tre hovedtemaer:
Ovennevnte hovedtemaer vil være de mest sentrale temaene i denne veilederen. Det er imidlertid også andre krav i Normen til virksomhetens arbeid med tilgangsstyring, herunder følgende temaer:
- 3. Risikostyring (med tilknyttede underkapitler)
- 4.2.5 Tilgjengeliggjøring og utlevering av opplysninger i behandlingsrettet helseregister
- 5.1.2 Opplæring og kompetanse
- 5.1.3 Opphør av arbeidsforhold.
Relevante lov- og forskriftsbestemmelser, standarder og andre rammeverk
Generelle krav til håndtering av helse- og personopplysninger
I pasientjournalloven § 22 er det krav om at dataansvarlig og databehandler må gjennomføre tekniske og organisatoriske tiltak for å oppnå et egnet sikkerhetsnivå med hensyn til risikoen for de registrertes rettigheter og friheter. For å oppnå et egnet sikkerhetsnivå fastsetter bestemmelsen at den dataansvarlige og databehandleren blant annet må sørge for tilgangsstyring, logging og etterfølgende kontroll på områdene som loven regulerer. I tillegg er det i pasientjournalloven § 23 fastsatt at dataansvarlig må etablere tekniske og organisatoriske tiltak for å sikre og påvise sin egen etterlevelse av personvernforordningen. Videre fremgår det av bestemmelsen at tiltakene skal dokumenteres.
Pasientjournalloven §§ 22 og 23 bygger på, og henviser til, personvernforordningen artikkel 24 og 32. I motsetning til pasientjournalloven stilles det ikke i personvernforordningen et eksplisitt krav om tilgangsstyring. Tilgangsstyring benyttes imidlertid ofte som et tiltak for å ivareta personopplysningenes konfidensialitet og tilgjengelighet. Velfungerende tilgangsstyring vil blant annet redusere risikoen for ulovlig og uautorisert behandling av personopplysningene.
Krav til tilgjengelighet
Med «tilgjengelighet» menes i Normen at helse- og personopplysninger som skal behandles, er tilgjengelig til den tid og på det sted det er behov for opplysningene.
Kravet til tilgjengelighet kommer til uttrykk i særlovgivningen for helse- og omsorgssektoren, som har bestemmelser om når pasienters helse- og personopplysninger skal gjøres tilgjengelig for helsepersonell og andre.
For behandlingsrettet helseregister er det fastsatt i pasientjournalloven § 19 at dataansvarlig må sørge for at pasienters helseopplysninger er tilgjengelige for helsepersonell og annet samarbeidende personell når det er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp. Tilgjengeliggjøringen av opplysninger om pasienter må skje innenfor rammene av taushetsplikten. Taushetsplikten er nærmere beskrevet i punktet om konfidensialitet.
Kravet om tilgjengeliggjøring etter pasientjournalloven § 19 er i stor grad den samme som etter helsepersonelloven § 45 og helsepersonelloven § 26 tredje ledd.
Ifølge helsepersonelloven § 45 skal helseopplysninger tilgjengeliggjøres for helsepersonell i den grad dette er nødvendig for å kunne gi helsehjelp til pasienten på en forsvarlig måte. Denne plikten gjelder tilgjengeliggjøring både internt i virksomheter og på tvers av virksomheter. Plikten etter helsepersonelloven § 45 gjelder imidlertid ikke dersom pasienten har motsatt seg slik tilgjengeliggjøring.
I helsepersonelloven § 26 tredje ledd er det krav om at den som yter helsehjelp, skal gi pasientens personnummer, opplysninger om diagnose, eventuelle hjelpebehov, tjenestetilbud, innskrivnings- og utskrivningsdato, samt relevante administrative data, til virksomhetens pasientadministrasjon.
Det er i pasientjournalloven § 19 og helsepersonelloven §§ 45 og 26 tredje ledd krav om å tilgjengeliggjøre helseopplysninger for annet helsepersonell. Det finnes også flere bestemmelser som gir mulighet for å tilgjengeliggjøre helseopplysninger på visse vilkår. Disse bestemmelsene er nærmere omtalt under punkt 1.5.3 om konfidensialitet.
Krav til konfidensialitet
Med «konfidensialitet» menes i Normen at helse- og personopplysninger må være sikret mot at uvedkommende får kjennskap til opplysningene. Dette gjelder både uvedkomne internt i virksomheten og uvedkommende utenfor virksomheten.
Kravet til konfidensialitet bør ses i sammenheng med taushetsplikten. Med taushetsplikt menes i Normen; lovpålagt eller avtalt plikt til å hindre at andre får adgang eller kjennskap til helse- og personopplysninger, jf. helsepersonelloven § 21, helseregisterloven § 17, pasientjournalloven § 15, helse- og omsorgstjenesteloven § 12-1, spesialisthelsetjenesteloven § 6-1 og forvaltningsloven §§ 13 til 13e, samt annen informasjon med betydning for informasjonssikkerheten. Taushetsplikt innbefatter både en passiv plikt til å tie og en plikt til aktivt å hindre uvedkommende i å få kunnskap om taushetsbelagte opplysninger. Les mer om Normens definisjoner
Helsepersonell og annet personell har taushetsplikt om det de får kjennskap til om pasientene under utøvelsen av sitt yrke. Se blant annet helsepersonelloven § 21, pasientjournalloven § 15, helseregisterloven § 17 og helseforskningsloven § 7.
Plikten gjelder for alle som får tilgang eller kjennskap til helseopplysninger, uavhengig av hvilken rolle vedkommende har overfor pasienten og for hvilket formål opplysningene behandles.
Både opplysninger om helseforhold og andre personlige forhold er omfattet. Visse deler av sektoren er også underlagt taushetsplikt etter forvaltningsloven. Jf. spesialisthelsetjenesteloven § 6-1 og helse- og omsorgstjenesteloven § 12-1, som bygger på den generelle taushetsplikten i forvaltningsloven §§ 13 til 13e..
Virksomheter som yter helse- og omsorgstjenester skal organiseres slik at helsepersonell blir i stand til å overholde sine lovpålagte plikter, jf. helsepersonelloven § 16. Denne plikten kommer også til uttrykk i helse- og omsorgstjenesteloven § 4-1 og spesialisthelsetjenesteloven § 2-2.
Taushetsplikten er ikke absolutt. Unntak fra taushetsplikt må imidlertid følge av lov. Det er flere unntaksregler som tillater eller pålegger helsepersonell eller virksomheter som gir helsehjelp å gi tilgang til helseopplysninger. Reglene som pålegger helsepersonell eller virksomheter å gi tilgang, er omtalt under punkt 1.5.2 om tilgjengelighet. Det finnes imidlertid også regler som tillater tilgjengeliggjøring på visse vilkår. Slike regler finnes blant annet i helsepersonelloven §§ 25, 26 og 29 c.
Etter helsepersonelloven § 25 kan relevante og nødvendige opplysninger om en pasient gjøres tilgjengelig for personell som samarbeider om å yte helsehjelp til pasienten. Dette gjelder så lenge pasienten ikke har motsatt seg tilgjengeliggjøringen, og tilgjengeliggjøringen er nødvendig for å gi forsvarlig helsehjelp.
I helsepersonelloven § 26 første er det fastsatt at helseopplysninger kan deles med virksomhetens ledelse, dersom dette er nødvendig for å gi helsehjelp eller for internkontroll og kvalitetssikring. I bestemmelsens andre ledd fremgår det videre at slike opplysninger også kan deles med ledelsen i samarbeidene virksomhet, dersom det drives samarbeid om behandlingsrettede helseregistre etter pasientjournalloven § 9.
Det er på visse vilkår tillatt at opplysninger om pasienten gjøres tilgjengelig for helsepersonell som tidligere har gitt pasienten helsehjelp, jf. helsepersonelloven § 29 c. Tilgjengeliggjøringen kan skje dersom opplysningene er nødvendige for kvalitetssikring av helsehjelpen eller for helsepersonellets læring.
Krav til integritet
Med «integritet» menes i Normen at helse- og personopplysninger må være sikret mot utilsiktet eller uautorisert endring eller sletting.Se definisjoner i Normen
Kravet til integritet bør ses i sammenheng med kravet til tilgangsstyring, som blant annet skal hindre at uautoriserte personer gjør endringer i helse- og personopplysninger.
Det er viktig å være oppmerksom på at utilsiktet endring av opplysninger også kan oppstå som følge av feil i programvare, feil i integrasjoner, konfigurasjonsfeil eller konverteringsfeil når data overføres fra ett system til et annet eller fra ett format til et annet. Kravet til integritet bør derfor også ses i sammenheng med krav som skal hindre slik endring. Slike krav finnes i Normen 6.0,konfigurasjonskontroll og endringsstyring.
I særlovgivningen for helse- og omsorgssektoren kommer kravet til tilgangsstyring til uttrykk i pasientjournalloven § 22 og pasientjournalforskriften § 13. Pasientjournalforskriften § 13 første ledd stiller blant annet krav om at behandling av opplysninger i journal skal være basert på bestemte tillatelser til å redigere, rette, slette eller på annen måte behandle opplysninger i pasientjournal.
Videre er det fastsatt i bestemmelsens tredje ledd at den dataansvarlige skal ha oversikt over hvem som har tilgang til hvilke typer opplysninger og kunne kontrollere i ettertid hvem som har benyttet seg av tilgangen.
Tiltak som er aktuelle for å ivareta opplysningers integritet vil ofte være de samme tiltakene som er aktuelle for å ivareta konfidensialitet. I begge tilfeller er det et ønske om å forhindre uautorisert tilgang til opplysningene.
Krav til gjennomføring av tilgangsstyring og systemkrav
I særlovgivningen for helse- og omsorgssektoren er det flere krav til hvordan tilgangsstyring skal etableres og gjennomføres i virksomheten.
Virksomheten må sikre at helsepersonell har tilgang til relevante og nødvendige helseopplysninger som er nødvendige for å gi helsehjelp, jf. pasientjournalloven § 19 og helsepersonelloven § 45. Samtidig må virksomheten sørge for å ivareta taushetsplikten, samt pasientens rett til å motsette seg tilgjengeliggjøring etter pasientjournalloven § 17, helsepersonelloven § 25 og pasient- og brukerrettighetsloven § 5-3. Det stilles derfor krav i pasientjournalloven § 7 om at virksomheten må sørge for at systemene som benyttes for behandlingsrettet helseregister er utformet og organisert slik at disse kravene kan etterleves.
I pasientjournalloven § 22 er det krav om at virksomheten skal sørge for tilgangsstyring i behandlingsrettet helseregister. Bestemmelsen stiller ingen konkrete krav til hvordan tilgangsstyring skal etableres og gjennomføres, men at virksomheten må ha en risikobasert tilnærming ved iverksetting av tiltak som tilgangsstyring.
I pasientjournalforskriften er det imidlertid gitt noen mer konkrete krav til autorisering, autentisering og logging i pasientjournal, jf. §§ 13 og 14, samt at dataansvarlig skal ha kontroll og oversikt over bl.a. tilgjengeliggjøring av opplysninger til andre virksomheter, jf. § 12 tredje ledd.
Av pasientjournalforskriften § 14 annet ledd følger det at pasienten har rett til å få innsyn i loggene som viser hvem som har skaffet seg tilgang til pasientens helseopplysninger og hvem som har mottatt disse.
Videre følger det av pasientjournalloven § 25 at helseopplysninger skal oppbevares så lenge det er nødvendig av hensyn til helsehjelpens karakter, og at det samme gjelder for loggene over hvem som har fått utlevert helseopplysninger som er knyttet til pasientens navn eller fødselsnummer.
Standarder og rammeverk
I tillegg til at veilederen legger til grunn relevante lover og forskriftsbestemmelser, bygger veilederen på flere standarder og rammeverk for beste praksis innen tilgangsstyring. Særlig relevante standarder og rammeverk er ISO/IEC 27002, særlig områdene A9 Aksesskontroll og A12 er relevante. Logging og overvåking relevante NSMs grunnprinsipper for IKT-sikkerhet 2.0.
Centre for Internet Security (CIS) Controls v 8 CIS Controls (cisecurity.org). Tilgang til kontrollene er gratis, men krever registrering. Særlig områdene 5 – Account Management, 6 – Access Management og 8 – Audit log management er relevante.
Avgrensninger
Denne veilederen er avgrenset til tilgangsstyring i behandlingsrettede helseregistre som skal gi grunnlag for helsehjelp eller å administrere eller kvalitetssikre helsehjelp.
Veilederen dekker både tilgangsstyring for helsepersonell og annet personell, herunder administrativt personell, driftspersonell og annet personell som gis tilgang til den underliggende IKT-infrastrukturen for behandlingsrettet helseregister. Veilederen gjelder ikke tilgangsstyring for andre formål, som for eksempel i forbindelse med forskning.
For å få tilgang til helse- og personopplysninger for forskningsformål må det sendes søknad til Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK). Eventuell tilgang vil dermed følge av søknaden.
Det er utarbeidet et eget veiledningsmateriell for forskning, der tilgangsstyring blir omtalt.
Veilederen er ment å gi en praktisk tilnærming til konkrete problemstillinger innenfor området tilgangsstyring, men vil ikke nødvendigvis gi svar på alle spørsmål som kan dukke opp i praksis. Når anbefalingene i veilederen tas i bruk i virksomheten, må de tilpasses med utgangspunkt i virksomhetens kompleksitet og størrelse, samt konkrete behov og oppgaver.
Temaer som kan være relevant i forbindelse med etablering av tilfredsstillende tilgangsstyring, men som er omtalt i andre veiledere eller i annet veiledningsmateriell, vil ikke bli omtalt i detalj i denne veilederen.
For slike temaer vil det istedenfor henvises til relevant veiledningsmateriell. Det er derfor ikke en egen omtale av temaer som omhandler for eksempel tilgangsstyring til skyløsninger og portalløsninger, samt velferdsteknologi, IoT eller fjernaksess fra leverandør.
Videre vil veilederen ikke inkludere de mer tekniske og teknologispesifikke aspektene ved tilgangsstyring, da veilederen er ment å ha en praktisk tilnærming i sektoren.
