Logging skal benyttes som en del av virksomhetens kontroll av tilgangsstyringen. Logging er en muliggjører for å oppdage brudd eller forsøk på brudd på taushetsplikten.
For å oppdage brudd eller forsøk på brudd, er det viktig at loggene analyseres. Det bør gjennomføres en analyse på alle loggoppslag for kombinasjonen loggdata, ansattdata og pasientdata. Analysene bør være risikobaserte.
Oppslag som statistisk sett er vanlige (normale) bør antas å være legitime, mens uvanlige oppslag skal vurderes nærmere. Dersom det avdekkes brudd eller forsøk på brudd, skal dette håndteres som avvik og personalmessige reaksjoner vurderes.
Dersom personalmessige reaksjoner ikke har nødvendig effekt over tid, det vil si at det er gjentatt tilgang for flere personer som ikke har tjenstlig behov, skal nødvendige tekniske tiltak iverksettes.
Logger skal også benyttes ved innsynsforespørsel fra pasient. Pasientens rett til innsyn er en vel så viktig og effektiv kilde til å avdekke misbruk. Det er derfor viktig at loggene er på et format som kan tolkes av pasienten.
Logging og analyse av logger er også et viktig verktøy for å kartlegge hvorvidt tilgangsstyringen er satt opp på en hensiktsmessig måte som ivaretar både tilstrekkelig sikring av tilgang og begrensing av tilgang.
Eksempelvis kan man gjennom analyse av logger få en oversikt over hvor hyppig selvautorisering benyttes, og gjennom dette vurdere om tilgangsstyringen fungerer optimalt.
Dersom selvautorisering forekommer hyppig kan det tyde på at tilgangene som er gitt, er for snevre. På den andre siden kan sjelden bruk av selvautorisering signalisere at tilgangene som er gitt, er for vide.
Hva skal logges?
I henhold til Normen skal minimum følgende handlinger relevant for tilgangsstyring logges:
- Autorisert bruk av informasjonssystemene
- All system- og administratorbruk til informasjonssystemer og infrastrukturen
- Forsøk på uautorisert bruk av informasjonssystemer og infrastrukturen
- Bruk av selvautorisering.
Med «bruk» menes ikke bare innlogging og bruk av systemer og infrastruktur, men også hvilken type aktivitet brukeren har foretatt seg. Det kan gjelde for eksempel behandling av individdata, utdypende vurdering, rettet kontroll, søk etter identitet, eksportering av data, uttrekk fra tabeller og sammenstilling av individdata.
Følgende skal som minimum registreres i loggene ved autorisert bruk av behandlingsrettet helseregister:
- Identiteten til den som har lest, rettet, registrert, endret og/eller slettet helse- og personopplysninger
- Organisatorisk tilhørighet
- Grunnlaget for tilgjengeliggjøringen
- Tidsperioden for tilgjengeliggjøringen.
I tillegg til minimumskravene for hva som skal logges, bør følgende vurderes logget:
- Rollen den autoriserte brukeren har ved tilgangen
- Virksomhetstilhørighet
- Type opplysninger det er gitt tilgang til
- Hvem som har fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens navn eller fødselsnummer.
Analyse av logger
I Normen er det krav om at elektroniske logger enkelt skal kunne analyseres ved hjelp av analyseverktøy med henblikk på å oppdage brudd på regelverket.
Ikke alle virksomheter har fått på plass tekniske løsninger og verktøy for å analysere logger, og skal i påvente av dette etablere organisatoriske tiltak på området.
Organisatoriske tiltak som kan kompensere for manglende tekniske tiltak, kan for eksempel være å etablere en rutine for jevnlig gjennomgang av logger, der det blir tatt stikkprøver på tilfeldige pasienter.
Eksempelet under skisserer hvordan gjennomgangen kan utføres hos en liten virksomhet.
Eksempel: Normvik Helsesenter er en liten helsevirksomhet som består av åtte behandlende helsepersonell. Normvik Helsesenter har et pågående prosjekt der det jobbes med å få på plass et verktøy for automatisk analyse av logger. I påvente av at prosjektet ferdigstilles har virksomheten, på bakgrunn av en risikovurdering, etablert en rutine for periodisk kontroll av logger som vil kompensere for manglende tekniske tiltak. Lege Lars har god oversikt over de ansattes tjenstlige behov, og har fått ansvar for å gjennomføre kontrollen av loggene. Hvert kvartal gjennomgår han loggene for å foreta stikkprøver på tilfeldig utvalgte pasienter, for å påse at kravet om tjenstlig behov overholdes. Det hender at kontrollen utføres hyppigere, eksempelvis dersom det er observert avvik i tidligere gjennomganger eller ved pasientinnsyn, eller dersom annen informasjon indikerer at kontrollen bør utføres. Hvor mange stikkprøver som utføres hvert kvartal har også en risikobasert tilnærming, og avhenger blant annet av antall pasienter og behandlinger for inneværende periode. I tillegg til den tilfeldige utvelgelsen av pasienter, foretas det også stikkprøver på pasienter som er særlig utsatt for snoking, som for eksempel kjente personer og tidligere ansatte. Når kontrollen er gjennomført, registreres dette i internkontrollsystemet. Avvik som eventuelt oppdages rapporteres til daglig leder, som har ansvar for avvikshåndtering og vil vurdere personalmessige reaksjoner. |
For å etablere tilstrekkelige tiltak for å oppdage uautoriserte handlinger og sikkerhetstruende hendelser, bør det brukes en kombinasjon av tekniske tiltak og manuelle rutiner for analyse av logger. Ved fastsettelse av metode for å analysere logger bør det gjøres en totalvurdering av hva som er tilstrekkelig i hvert enkelt tilfelle.
For ytterligere detaljer om hvordan logging kan benyttes for å avdekke uautorisert bruk eller forsøk på uautorisert bruk av helse- og personopplysninger, samt detaljer om hvordan logger skal sikres og oppbevares, henvises det til dokumentet Logging og innsyn i logg (faktaark 15)
