Periodisk gjennomgang av tilganger vil være et kontrollerende element som kan bidra til å fange opp avvik fra fastsatte rutiner for tildeling og deaktivering av autorisasjoner.
Formålet er å påse at kun de som skal ha autorisasjon for tilgang, faktisk har tilgang, samt påse at nivået på tilgangen er riktig i henhold til vedkommende sine arbeidsoppgaver og er tilrettelagt for å oppfylle tjenstlig behov.
Det er virksomhetens ledelse som skal påse at det jevnlig gjennomføres kontroll av at tilganger er og har vært i tråd med tjenstlig behov.
Gjennomgang og kontroll av tilganger, herunder tildelte autorisasjoner, skal foretas:
- ved organisasjonsendringer, overflytting av personell til annen enhet eller endring av arbeidsområde
- minimum årlig (gjerne i forbindelse med sikkerhetsrevisjon)
- ved sikkerhetsbrudd for det informasjonsområdet som blir berørt av bruddet.
Kontrollen bør gjennomføres på et overordnet nivå for ikke å komme i konflikt med taushetsplikten ved at flere enn nødvendig får tilgang til helseopplysninger om pasienten.
Med overordnet nivå menes eksempelvis å kontrollere at pasienten er inneliggende eller at det foreligger en henvisning, istedenfor å gå inn i det enkelte behandlingsforløp for å kontrollere detaljene.
Dersom det imidlertid kommer en henvendelse fra pasienten om hvorfor innsynet er gjort, eller ved en eventuell klagesak, skal kontrollen gjøres på detaljnivå for den konkrete saken (se kapittel 6.1).
Dersom kontrollen fører til mistanke om at det har skjedd en urettmessig tilgang, skal virksomhetens ledelse varsles. For øvrig skal hendelsen behandles iht. etablerte rutiner for avviksbehandling, særlig for å få avklart om eksisterende tilgangskontroll er god nok.
