5. Kontroll av tilganger

Virksomhetens ledelse skal påse at det jevnlig gjennomføres kontroll av hvem som har hatt elektronisk tilgang.

Hovedformålet med kontrollen er å forebygge og avdekke snoking ved å undersøke helsepersonells tilgangsmulighet og faktiske innsyn i pasientopplysninger.

Kontrollen vil også være nyttig for å vurdere om helsepersonell har de nødvendige tilgangene for å gi forsvarlig helsehjelp og at tilgangene er i tråd med tjenstlig behov.

Det er ulike kontrolltiltak som vil bidra til å forebygge og avdekke snoking:

Gjennomgang av tilganger for å kontrollere at tilgangene er i tråd med tjenstlig behov, og sikre at tilganger ajourholdes ved for eksempel bytte av stilling/avdeling eller opphør av arbeidsforhold (se kapittel 5.1).
Aktivere logging på sentrale funksjoner og etablere en rutine for å aktivt analysere og overvåke loggene (se kapittel 5.2).
Informasjon til personell med tilgang om at tilganger logges og kontrolleres (personellet har krav på å bli informert).

I tillegg til virksomhetens kontroll, vil også pasientenes rett til innsyn i opplysninger som er registrert på vedkommende, inkludert hvem som har hatt tilgang til opplysningene (se kapittel 6.1), kunne bidra til å forebygge og avdekke snoking.

Virksomheten kan imidlertid ikke redusere sin grad av kontroll ved å begrunne det med at pasientene kan bruke innsynsretten.

5.1. Gjennomgang av tilganger

5.2. Logging av tilgang og brukeraktivitet

Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 17. mars 2022