Personvern og informasjonssikkerhet i kontakten med pasient/bruker

(1)

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

En veileder i bruk av portalløsninger, SMS og e-post

Veilederen er et støttedokument til Norm for informasjonssikkerhet

Utgitt med støtte av:

Versjon 2.0

www.normen.no

(2)

Veileder for portaler sms og e-post versjon 2 side 2 av 39

INNHOLD

1 INNLEDNING ... 4

1.1 BAKGRUNN ... 4

1.2 OM VEILEDEREN ... 5

1.3 MÅLGRUPPE ... 5

1.4 LOVGRUNNLAG / HJEMMEL ... 6

1.5 VIRKSOMHETENS ANSVAR VED KOMMUNIKASJON MED PASIENTEN/BRUKEREN ... 6

2 BRUK AV SMS I KONTAKT MED PASIENTEN/BRUKEREN ... 7

2.1 ETABLERING AV SMS-LØSNING ... 7

2.1.1 Bruk av SMS ... 7

2.1.2 Avtale med tjenesteyter - databehandler ... 8

2.1.3 Samtykke fra pasienten/brukeren ... 8

2.2 INNHOLD I SMS ... 8

2.3 TEKNISK LØSNING FOR SMS ... 9

2.3.1 Hendelsesregistrering ved utsendelse og mottak av SMS ... 9

2.4 EKSEMPEL 1- TEKNISK LØSNING FOR SMS ... 11

2.5 EKSEMPEL 2- TEKNISK LØSNING FOR SMS ... 11

3 BRUK AV E-POST I KONTAKT MED PASIENTEN/BRUKEREN ... 13

3.1 E-POST SOM IKKE INNEHOLDER HELSEOPPLYSNINGER ... 13

3.2 E-POST SOM INNEHOLDER HELSEOPPLYSNINGER ... 13

3.3 INNHOLD I E-POST: ... 14

4 KRAV TIL INFORMASJONSSIKKERHET I PASIENTKOMMUNIKASJON ... 15

4.1 SAMTYKKE ... 15

4.2 AVTALER ... 16

4.3 RISIKOVURDERING ... 17

4.4 BRUK AV FØDSELSNUMMER ... 18

4.5 DRIFT OG KONFIGURASJONSENDRINGER ... 18

4.6 ONDSINNET PROGRAMVARE ... 19

4.7 KRYPTERINGSSTYRKE ... 19

4.8 HENDELSESREGISTRERING ... 20

4.9 INTEGRITET OG KVALITET ... 21

4.10 TILGJENGELIGHET FOR PASIENTKOMMUNIKASJON ... 22

4.11 AVVIK ... 22

5 KRAV TIL INFORMASJONSSIKKERHET I PORTALLØSNINGER ... 23

5.1 PASIENTEN/BRUKERENS RETT TIL INNSYN, RETTING OG SLETTING ... 23

5.2 OPPLÆRING ... 23

5.3 AUTORISERING ... 24

5.4 AUTORISASJONSREGISTER ... 24

5.5 AUTENTISERING ... 25

5.6 HENDELSESREGISTRERING ... 26

5.7 TEKNISK LØSNING ... 27

5.8 KONFIDENSIALITET... 27

5.9 EKSEMPEL 1- PORTALLØSNING – HELSEPERSONELL DRIFTER PORTALEN... 29

5.10 EKSEMPEL 2- PORTALLØSNING - HELSENORGE.NO ... 30

(3)

5.11 EKSEMPEL 3- PORTALLØSNING - PRIVAT BRUK ... 30

6 DEFINISJONER ... 31

7 VEDLEGG ... 36

7.1 EKSEMPEL PÅ SAMTYKKEERKLÆRING VED BRUK AV PASIENTKOMMUNIKASJON ... 36

7.1.1 Eksempel på samtykkeerklæring ved bruk av portalløsning ... 36

7.2 EKSEMPEL PÅ RISIKOVURDERING ... 37

7.3 DELTAGERE I UTARBEIDELSE AV VEILEDEREN ... 39

Endringshistorikk for og godkjenning av dokumentet

Versjon Endringer Godkjent av

styringsgruppen for Normen (dato)

1.0 Første utgave av veilederen 14. mars 2013

1.9 Oppdateringer etter presisering om SMS i Normen 4.0 kap 5.7.5

Tatt inn innhold fra utgått faktaark 33 (epost) Oppdaterte definisjoner (lovhenvisninger)

Endret rekkefølge på kapittlerTeksten i kapitlet om sms og epost er likt strukturert

(tatt inn opplisting over hva som kan sendes på epost med presisering av at supplerende rutiner kan være nødvendig)

2.0 Formuleringen i kap 2.2 endret til «skal ikke avdelings- 12.februar 2015 navn som ”...psykiatrisk poliklinikk...”, ” benyttes»

«Stilltiende» er tatt ut, og tilhørende omtale i 1.4 er endret.

Presisering om at vanlig e-post ikke skal benyttes til identifiserbare helseopplysninger er tatt inn først i kapittel 3.0

En del mindre innspill fra Helse Nord er tatt inn i teksten

(4)

1 INNLEDNING

1.1 Bakgrunn

Bruk av elektronisk samhandling kan ha betydelig nytteverdi for pasienten/brukeren og virksomhetene i sektoren. Tilgjengelighet og raskt å kunne få svar på spørsmål vil for mange pasienter/brukere bedre helsehjelpen og opplevelsen av tjenesten.

Bruk av elektronisk pasientkommunikasjon mellom virksomheten og pasienten/brukeren på nye områder vil utvikles raskt og oppleves som et ”krav” fra yngre og nye pasient/bruker- grupper. Løsninger for pasientkommunikasjon vil bidra til at sektoren lærer av erfaringer og tilbakemeldinger fra pasienter/brukere.

Pasientkommunikasjon i denne veilederen omhandler portalløsninger, SMS og e-post.

Eksempler på bruksområder for elektronisk pasientkommunikasjon:

 Portalløsning

o Fjernkonsultasjon (bl.a. sanntids spørsmål og svar/chat, videokommunikasjon uten lagring) med helsepersonell

o Bestille, endre, bekrefte eller avlyse timeavtale o Reseptfornying

o Føring av pasientdagbok

o Utfylling av skåringsskjemaer for egen helse (for eksempel blodtrykksverdier eller resultat av insulinmålinger)

o Utfylling av spørreskjema fra helsetjenesten (for eksempel skjema om sykdomshistorikk i forkant av kirurgisk inngrep eller annen behandling) o Tilgang til egne helseopplysninger (bl.a pasientjounal, kjernejournal,

prøvesvar og epikriser henvisningsstatus, innkallingsbrev) o Se på egne resepter i Reseptformidleren (E-resept)

o Melde bivirkninger o Bestille helsetrygdekort o Bytte fastlege

o Utskrift av vaksinasjoner

o Samtykkehåndtering generelt for en virksomhet

 SMS

o Timebestilling, -påminnelse, -innkalling og -bytte

o Aksept av timebytte (svar fra pasienten/brukeren til virksomheten) o Passord for autentisering til tjenester (sikkerhetsnivå 3)

o Abonnement på informasjon om et tema o

 E-post

o Timebestilling, -påminnelse, -innkalling og -bytte

o Aksept av timebytte (svar fra pasienten/brukeren til virksomheten) o Abonnement på informasjon om et tema

Formålet med elektronisk pasientkommunikasjon er bl.a. å:

 Øke tilgjengeligheten i samhandlingen mellom virksomheten og pasienten/brukeren

 Forenkle samhandlingen mellom virksomheten og pasienten/brukeren

(5)

 Øke effektiviteten og kvaliteten på samhandlingen mellom virksomheten og pasienten/brukeren

 Legge til rette for pasientmedvirkning og medbestemmelse

 Ivareta toveis kommunikasjon mellom helsepersonell og pasienten/brukeren

 Oppfylle lovpålagt tjeneste hvor fastlege skal kunne motta timebestilling elektronisk (jf. forskrift om fastlegeordning i kommunene § 21)

Samtidig som pasientkommunikasjon gir økte muligheter for samhandling mellom

helsepersonell og pasienten/brukeren, er det viktig å være bevisst på at mulighetene også gir sikkerhetsmessige utfordringer. Denne veilederen i personvern og informasjonssikkerhet i kontakt med pasienten/brukeren, utarbeidet under Norm for informasjonssikkerhet (Normen), er ment å være til hjelp for å møte disse utfordringene.

1.2 Om veilederen

Veilederen er utarbeidet for styringsgruppen for Normen med støtte av Helsedirektoratet og i samarbeid med leverandører i sektoren og sektorens egen referansegruppe. Se kapittel 7.3 for deltagere i referansegruppen.

Formålet med veilederen er å konkretisere og gi veiledning med hensyn til hvilke tekniske og administrative tiltak som må ivaretas i virksomheten ved etablering av løsninger for

pasientkommunikasjon for å oppfylle kravene i Normen. Virksomheten er forpliktet av Normen ved inngåelse av kundeavtale med Norsk Helsenett (jf. Normens kapittel 1.6). Av dette følger at løsningen for pasientkommunikasjon må ivareta Normens krav. Virksomheten skal oppfylle kravene i Normen.

Veilederen gjelder løsninger for pasientkommunikasjon hvor det behandles helse- og personopplysninger og veilederen gir hjelp til bl.a.:

 Ivaretakelse av kravet til samtykke fra pasienten/brukeren

 Ivaretakelse av pasienten/brukerens rettigheter

 Informasjon til pasienten/brukeren

 Mulige teknologiske løsninger

 Nødvendige prosedyrer

Veilederen gjelder uavhengig om pasienten/brukeren benytter stasjonær eller bærbar PC, lesebrett, mobiltelefon eller andre ”smarte enheter” i pasientkommunikasjon.

Veilederen må leses i sin helhet ettersom kravene er dokumentert i flere kapitler.

Veilederen gjengir krav i Normen og gir anbefalinger for hvordan kravene kan ivaretas ved pasientkommunikasjon.

1.3 Målgruppe

Målgruppen for veilederen er virksomheter som omfattes av Normen og som gjør bruk (eller planlegger å gjøre bruk) av elektroniske løsninger for pasientkommunikasjon. Internt i

(6)

virksomhetene er det særlig ledelsen, sikkerhetsleder eller sikkerhetskoordinator og IKT- ansvarlig som vil finne hjelp i veilederen.

Leverandør vil også kunne ha nytte av veilederen.

1.4 Lovgrunnlag / hjemmel

For all behandling av helse- og personopplysninger er det nødvendig med et rettsgrunnlag, Utgangspunktet og hovedregelen i personvernlovgivningen er samtykke, men dette kan f. eks også være lovhjemmel (for eksempel i form av helsepersonellets dokumentasjonsplikt).

For at et samtykke kan regnes som gyldig, må det være:

 frivillig - samtykket må være gitt under omstendigheter som sikrer at det er skjedd frivillig, etter moden overveielse og med full oversikt over konsekvensene. Det kan for eksempel ikke knyttes negative sanksjoner til ikke å gi sitt samtykke

 uttrykkelig - skriftlighet ivaretar best dette kravet, selv om det i utgangspunktet ikke er et krav

 informert – pasienten/brukeren må få relevant informasjon om hva han skal samtykke til, hva som er formålet med bruken av opplysningene osv.

Kravet til samtykkets innhold og form vil variere etter tiltakets alvor, risiko og situasjonen for øvrig. Ved spesielt risikofylte eller inngripende tiltak, vil det kunne være hensiktsmessig å innhente skriftlig samtykke.

Pasienten/brukeren kan når som helst og formfritt trekke tilbake sitt samtykke. Den enkleste måten å dokumentere et gyldig samtykke på, er å innhente skriftlig samtykke vha. et

samtykkeskjema.. Eksempel på skjema finnes i kapittel 7.1.

Vedrørende samtykke for barn under 16 år gjelder pasient- og brukerrettighetsloven § 4-4 (samtykke på vegne av barn) og § 3-4 (informasjon når pasienten er mindreårig).

Kravene til informasjonssikkerhet er hjemlet i personopplysningsloven § 13. Disse kravene er nærmere beskrevet i personopplysningsforskriftens kapittel 2 der bestemmelsene i § 2-11 (sikring av konfidensialitet), § 2-12 (sikring av tilgjengelighet) og § 2-13 (sikring av integritet) er mest relevante.

1.5 Virksomhetens ansvar ved kommunikasjon med pasienten/brukeren

Iht kapittel 5.7.5 i Normen er virksomheten ansvarlig for at:

 samtykke fra pasienten/brukeren er innhentet til å formidle helse- og personopplysninger til pasient/bruker elektronisk. Samtykket skal innhentes i tråd med alminnelige regler for samtykke. Samtykke fra pasienten/brukeren er etter Normen det eneste grunnlaget for datakommunikasjon med pasienten/brukeren.

 dersom pasient/bruker har oppgitt digital kontaktinformasjon (til virksomheten) kan dette anses som et samtykke til at virksomheten kan sende timepåminnelse per SMS. Videre skal virksomheten påse at det gjennomføres tilstrekkelige tiltak for å sikre at meldinger sendes til

(7)

rett mottaker i SMS-løsning for påminnelse om timeavtale og annet administrativt innhold.

Det skal legges til rette for at pasient/bruker kan melde fra til virksomheten om at de ikke ønsker å motta slike meldinger. Den samlede informasjonen i meldingen må vurderes ut fra om innholdet totalt sett kan medføre brudd på taushetsplikten

 pasienten/brukeren entydig identifiseres

 tekniske tiltak iverksettes slik at all kommunikasjon krypteres

 det ikke skal kunne kommuniseres samtidig med andre parter enn den angitte pasienten/brukeren

 helse- og personopplysninger skal ikke stilles til rådighet på en slik måte at

pasienten/brukeren er avhengig av å lagre opplysningene på eget utstyr for å gjøre seg kjent med informasjonen

Oppfyller virksomheten kravene ovenfor, kreves det ikke særskilt avtale med pasienten/brukeren.

Virksomheten (databehandlingsansvarlig) er ansvarlig for at løsningen for pasientkommunikasjon oppfyller kravene i Normen.

2 BRUK AV SMS I KONTAKT MED PASIENTEN/BRUKEREN

SMS benyttes i mange sammenhenger i kommunikasjon mellom pasienten/brukeren og helsetjenestetilbyder. I den anledning er det viktig å etablere løsninger som ikke benyttes til overføring av informasjon som bryter med kravet til personvern og informasjonssikkerhet.

Ved etablering av løsning for SMS kommer kravene nedenfor i tillegg til kravene i kapittel 4 merket med « SMS»

2.1 Etablering av SMS-løsning 2.1.1 Bruk av SMS

Virksomhetens leder skal beslutte om SMS kan benyttes ved kontakt med pasienten/brukeren og beskrive formålet med bruk av SMS.

Regler for utplukk av pasienten/brukeren som skal motta SMS og løsning for utsendelse og mottak av SMS bør beskrives. Hvilke data som skal sendes og mottas som SMS bør

dokumenteres og danne grunnlag for beslutningen. Endring av formål (se eksemplene i kapittel 2.2 ovenfor) og beskrivelsen skal godkjennes av virksomhetens leder.

Masseutsendelse av SMS skal følge de samme reglene som enkeltstående SMS (for eksempel en SMS som sendes alle pasienter/brukere over 70 år med ordlyd: ”Alle over 70 år tilbys vaksine mot influensa. Ta kontakt med <virksomhet> for timeavtale”).

Virksomheten skal påse at det gjennomføres tilstrekkelige tiltak for å sikre at meldinger sendes til rett mottaker i SMS-løsning for påminnelse om timeavtale og annet administrativt innhold.

Innhenting av mobilnummer fra nummeropplysningstjenester vil ikke være et tilstrekkelig tiltak.

Et godt tiltak vil være å innhente mobilnummer direkte fra pasient/bruker, eller informere om løsningen og registret kontaktinformasjon i innkallingsbrev til pasienter/brukere, f.eks med slik ordlyd:

(8)

”SMS

<Vi ønsker å gi deg en påminnelse på SMS i forkant av avtalen. Hvis ditt mobilnummer er registrert hos oss, vil det stå her:>< (nummer)<XXXXXXXX>.

<Gi oss beskjed hvis ditt nummer ikke er registrert, er registrert feil eller du ikke ønsker SMS- påminnelse.> ”

2.1.2 Avtale med tjenesteyter - databehandler Kapittelet utgår om tjenesteyter ikke benyttes.

Se kapittel 2.4 og 2.5 for eksempel med bruk av tjenesteyter og kapittel 4.2 for krav til etablering av databehandleravtale.

Databehandleravtalen bør inneholde et slettekrav når SMS er vellykket videreformidlet.

2.1.3 Samtykke fra pasienten/brukeren

Se kapittel 4.1 for krav til samtykke fra pasienten/brukeren.

Pasienten / brukeren skal informeres om at samtykket kan trekkes tilbake når som helst, f. eks hvis man ikke ønsker å motta påminnelse om timer. Virksomheten må ha rutiner og tekniske løsninger som gjør det mulig å ta i mot og behandle slike henvendelser fra pasient / bruker.

For å ivareta kravet til at det kun sendes SMS med timepåminnelse til pasient / bruker som ønsker det, kan systemet som genererer og sender ut SMS kontrollere at pasienten/brukeren ikke har reservert seg for eksempel med kontroll mot et avkrysningsfelt i fagsystemet.

Virksomheten skal påse at det gjennomføres tilstrekkelige tiltak for å sikre at meldinger sendes til rett mottaker i SMS-løsning for påminnelse om timeavtale og annet administrativt innhold, se kapittel 4.2.1.

2.2 Innhold i SMS

Virksomheten som benytter løsningen er ansvarlig for og skal påse at krav til informasjonssikkerhet ivaretas.

Den samlede informasjonen i SMS må vurderes ut fra om innholdet totalt sett kan medføre brudd på taushetsplikten.

Eksempler på informasjon som kan sendes som SMS - Navn, helst kun fornavn

- Fødselsdato, kun dato, måned og år - Bestilling av time

- Bekreftelse på timeavtale (”..minner om timeavtale hos oss tir. 5. jan kl 1430. mvh

<navn>”)

- Aksept av timeavtale (svar tilbake til avsender at avtalen er OK – Ja/Nei)

- Endring av timeavtale (Time 5. jan kl 1200 utgår. Du er satt opp med ny time 18. januar kl 1700. Bekreft om foreslått tidspunkt passer – Ja/Nei)

- Forespørsel om blodgiving

(9)

- Aksept av blodgiving (Ja/Nei)

- Bekreftelse på at en resept er klar til henting (”Resepten din er ferdig og klar for henting”) - Engangspassord for pålogging til kommunikasjonsløsninger som inneholder

helseopplysninger

- Varsling om nye meldinger i andre systemer

- Annet som er relatert til praktiske forhold vedr. kontakten mellom helsetjenestetilbyder og pasienten/brukeren, og som ikke inneholder sensitive personopplysninger (”...vi har flyttet til...”)

- Hvis det ikke kan eller skal sendes svar på SMS skal det opplyses om det i meldingen som sendes til pasienten/brukeren, f. eks kan meldingen utvides med: ”Du kan ikke sende svar på denne SMS”

Hver enkelt virksomhet må vurdere om navn på avdelinger eller oppmøtesteder som er tenkt brukt i SMS-varsel er av en slik karakter at det kan avledes opplysninger om diagnose eller helseforhold. For eksempel skal ikke avdelingsnavn som ”... psykiatrisk poliklinikk...”,

”...gynekologisk avdeling...” benyttes.

Eksempler på informasjon som ikke kan sendes som SMS - Fødselsnummer (11 siffer)

- Helseopplysninger. Dette gjelder for eksempel diagnose i form av kode eller tekst som viser pasienten/brukerens helsetilstand.

- Reseptinformasjon. Dette gjelder for eksempel innhold i eller forordning av legemiddel - Avdelingsnavn (som kan knyttes til diagnose eller helseforhold. Unngå for eksempel

”...psykiatrisk poliklinikk...”, ”...gynekologisk avdeling...”)

Eksempler på informasjon som ikke bør sendes som SMS

- Telefonnummer til avsender (slik at det ikke er mulig å identifisere avsender/avdeling med navn som kan angi helseforhold eller diagnose).

2.3 Teknisk løsning for SMS

Se kapittel 2.4 og 2.5 for eksempler på tekniske løsninger for SMS.

Se kapittel 4.5 for krav til drift og konfigurasjonsendringer og kapittel 4.8 for krav til oppbevaring og analyse av hendelsesregistre.

2.3.1 Hendelsesregistrering ved utsendelse og mottak av SMS

Kravet gjelder for: Portalløsning SMS E-post med helseopplysninger Krav i Normen kapittel 5.5.2 Anbefalt løsning Referanse til faktaark og

veiledere

”For å oppdage brudd eller forsøk på å bryte regelverket skal det som minimum føres hendelsesregistre over følgende:

Autorisert bruk av

informasjonssystemene skal registreres.”

Ved utsendelse av SMS fra virksomheten skal

hendelsesregistre som minimum inneholde

 entydig identifikator for den autoriserte brukeren

 rollen den autoriserte brukeren har ved tilgangen

 virksomhetstilhørighet

Faktaark 15 –

Hendelsesregistrering og oppfølging

(10)

Veileder for portaler sms og e-post versjon 2 side 10 av 39 Kravet gjelder for: Portalløsning SMS E-post med helseopplysninger Krav i Normen kapittel 5.5.2 Anbefalt løsning Referanse til faktaark og

veiledere

 organisatorisk tilhørighet til den som er autorisert

 tidspunkt (dato og klokkeslett)

For feilsøking og drift anbefales det at følgende

hendelsesregistreres ved bruk av SMS:

 Oppgaven eller funksjonen (for eksempel i EPJ-system) som initierer oppgaven, meldingskode, løpenummer, melding som sendes som

 SMS All utsendelse med

løpenummer, meldingskode, mobilnummer, tidspunkt

 Feil ved utsendelse av SMS med løpenummer,

meldingskode, mobilnummer, tidspunkt

 Kvittering fra tjenesteyter (om tjenesteyter benyttes.) med mobilnummer, meldingskode, tidspunkt

 Mottak av svar med

mobilnummer, meldingskode, mottatt svar, tidspunkt

(11)

2.4 Eksempel 1 - teknisk løsning for SMS Merk at det ikke er nødvendig å benytte tjenesteyter.

Virksomhet Pasient/bruker

Timebok, EPJ eller personal-/

pasientadministrativt system

Mottar SMS med melding.

Svar følger samme veien tilbake Mobilnettverk

Tjenesteyter¹⁾

SMS system

Overføring av SMS på linje (via helsenettet)

Mobiloperatør (for eksempel Telenor og Netcom)

Overføring av SMS på linje

Overføring av SMS i bakkenettet (ordinær telefoni)

Overføring av SMS uten bruk av tjenesteyter på linje (via helsenettet)

1)Ved bruk av tjenesteyter i utlandet skal data behandles iht norsk lov Databehandler

-avtale

Hendelsesregister for SMS lagres i 2 år

Eksempelet illustrer både løsning med og uten tjenesteyter. Som det fremgår fungerer tjenesteyter som en mellommann mellom virksomheten og mobiloperatøren. Tjenesteyter vil behandle

personopplysninger på vegne av virksomheten og det må inngås en databehandleravtale med tjenesteyter.

2.5 Eksempel 2 - teknisk løsning for SMS

Bestilling av time via SMS

Pasient/bruker sender inn SMS med ønske om time til sitt legekontor. SMS transporters via telenettet til teleoperatør.

Fra teleoperatør går meldingen videre til tjenesteyter over Internett. Hos tjenesteyter lagres meldingen midlertidig i DMZ før meldingen hentes inn til sikker sone.

Legg merke til at all kommunikasjon initieres fra innsiden og ikke motsatt.

Meldingen hentes så inn i f.eks. EPJ-system/timebok via helsenettet, timeavtale settes opp og melding med tildelt time sendes tilbake samme vei.

(12)

Merk at all kommunikasjon inn og ut av helsevirksomhetens sikre sone initieres fra helsevirksomheten, selv om det er pasienten som initierer kommunikasjonen.

(13)

3 BRUK AV E-POST I KONTAKT MED PASIENTEN/BRUKEREN

Ordinær e-post skal ikke benyttes til kommunikasjon av helseopplysninger, men kan benyttes til kommunikasjon av personopplysninger (se kap. 1.1 ovenfor for eksempler på

bruksområder) mellom virksomheten og pasienten/brukeren.

Det anbefales at e-post benyttes med varsomhet til kommunikasjon mellom virksomhet og pasienten/brukeren. Grunnen er at både pasienten/brukeren og helsepersonell av

ubetenksomhet lett kan sende sensitive personopplysninger og bryte gjeldende regelverk.

Virksomheten må ta stilling til om e-post skal benyttes til kommunikasjon av sensitive personopplysninger. Hvis dette er aktuelt må det sikres at kravene i kapittel 3.2 oppfylles gjennom en sikker kommunikasjonsløsning.

3.1 E-post som ikke inneholder helseopplysninger

Har virksomheten besluttet at det ikke skal benyttes e-post til kommunikasjon av sensitive personopplysninger skal virksomheten iverksette tiltak for å forhindre at helseopplysninger formidles ved hjelp av e-post. Som minimum skal databehandlingsansvarlig:

 Beskrive og informere helsepersonell i virksomheten om hva e-post kan og ikke kan benyttes til

 Ha prosedyrer for hendelsesregistrering for å kontrollere at det ikke sendes sensitive personopplysninger ifm bruk av ordinær e-post

 Sørge for at virksomhetens offentlig tilgjengelig nettsted fraråder pasienten å sende helse- og personopplysninger via e-post, evt. henvise til en sikker tjeneste for slik kommunikasjon. Det bør også opplyses at henvendelser som inneholder helseopplysninger ikke vil bli besvart, men at det må benyttes telefon, ev. sikre tjenester som måtte foreligge eller at kontakt må tas ved personlig fremmøte

 Klargjøre internt i virksomheten at dersom virksomheten likevel mottar e-post som inneholder helseopplysninger fra pasient / bruker, skal ikke slike henvendelser besvares, men at det må benyttes telefon eller at pasienten må oppfordres til personlig fremmøte eller at det henvises til en ev. sikker tjeneste

3.2 E-post som inneholder helseopplysninger

Velger virksomheten å etablere løsning for e-post med sensitive personopplysninger skal kravene merket med ” E-post med helseopplysninger” i kapittel 4 nedenfor ivaretas.

Det skal være et klart skille mellom virksomhetens e-postfunksjonalitet for kommunikasjon av helseopplysninger og generell e-postløsning.

E-postløsningen som benyttes for helseopplysninger må:

- sikre at alle oversendinger blir kryptert

(14)

- sikre at kun forhåndsdefinerte mottakere (f.eks. mottakere i virksomhetens katalogtjeneste) kan motta e-post fra løsningen

- ha tilstrekkelig beskyttelse mot ondsinnet programvare og e-post/spam

Avsender må være sikker på at mottaker også har slike tiltak implementert. Virksomheten må også ha prosedyrer som sørger for at journalverdig informasjon fra dette systemet blir riktig journalført.

3.3 Innhold i e-post:

Virksomheten som benytter løsningen er ansvarlig for og skal påse at krav til informasjonssikkerhet ivaretas.

Den samlede informasjonen i e-posten må vurderes ut fra om innholdet totalt sett kan medføre brudd på taushetsplikten.

Større virksomheter kan ha behov for å utarbeide egne rutiner for å presisere hva som kan sendes i ordinær e-post.

Eksempler på informasjon som kan sendes i ordinær e-post:

- Navn, helst kun fornavn

- Fødselsdato, kun dato, måned og år - Bestilling av time

- Bekreftelse på timeavtale (”..minner om timeavtale hos oss tir. 5. jan kl 1430. mvh

<navn>”)

- Aksept av timeavtale (svar tilbake til avsender at avtalen er OK – Ja/Nei)

- Endring av timeavtale (Time 5. jan kl 1200 utgår. Du er satt opp med ny time 18. januar kl 1700. Bekreft om foreslått tidspunkt passer – Ja/Nei)

- Forespørsel om blodgiving - Aksept av blodgiving (Ja/Nei)

- Bekreftelse på at en resept er klar til henting (”Resepten din er ferdig og klar for henting”) - Varsling om nye meldinger i andre systemer

- Annet som er relatert til praktiske forhold vedr. kontakten mellom helsetjenestetilbyder og pasienten/brukeren, og som ikke inneholder sensitive personopplysninger (”...vi har flyttet til...”)

- Hvis det ikke kan eller skal sendes svar på e-post, skal det opplyses om det i e-posten som sendes til pasienten/brukeren, f. eks kan meldingen utvides med: ”Du kan ikke sende svar på denne e-posten”.

Eksempler på informasjon som ikke kan sendes i ordinær e-post - Fødselsnummer (11 siffer)

- Helseopplysninger. For eksempel diagnose i form av kode eller tekst som viser pasienten/brukerens helsetilstand

- Reseptinformasjon. For eksempel innhold i eller forordning av legemiddel

- Avdelingsnavn (som kan knyttes til diagnose eller helseforhold. Unngå for eksempel

”...psykiatrisk poliklinikk...”, ”...gynekologisk avdeling...”)

Eksempler på informasjon som ikke bør sendes i e-post

- Telefonnummer til avsender (slik at det ikke er mulig å identifisere avsender/avdeling med navn. som kan angi helseforhold eller diagnose)

(15)

4 KRAV TIL INFORMASJONSSIKKERHET I PASIENTKOMMUNIKASJON

Kravene nedenfor gjelder for pasientkommunikasjon generelt. Det enkelte krav gjelder for de bruksområdene for pasientkommunikasjon som er avkrysset ( ) i det enkelte kapittel.

Krav som gjelder i tillegg for det enkelte bruksområdet er beskrevet i kapitlene 2, 3 og 5.

4.1 Samtykke

veiledere

”Virksomheten er ansvarlig for at: Samtykke fra pasienten/

brukeren er innhentet til å formidle helse- og

personopplysninger elektronisk.

Samtykke skal innhentes i tråd med alminnelige regler for samtykke. Samtykke fra pasienten/brukeren er etter Normen det eneste grunnlaget for datakommunikasjon med pasienten/brukeren”

”Dersom pasient/bruker har oppgitt digital

kontaktinformasjon (til virksomheten) kan dette anses som et samtykke til at

virksomheten kan sende timepåminnelse per SMS. (…).

Det skal legges til rette for at pasient/bruker kan melde fra til virksomheten om at de ikke ønsker å motta slike meldinger (…)”

Samtykket skal være informert, noe som betyr at

pasienten/brukeren må få tilstrekkelig informasjon til å forstå hva samtykket

innebærerDet anbefales at virksomheten utarbeider informasjon om bruk av løsningen for elektronisk pasientkommunikasjon som gis skriftlig eller muntlig til pasienten/brukeren. Bl.a. skal det informeres om hva den digitale kontaktinformasjonen skal brukes til og om at pasienten/brukeren ikke skal sende helseopplysninger via SMS eller e-post.

Videre må samtykke være uttrykkelig og frivillig.

Dersom pasient/bruker oppgir digital kontaktinformasjon til virksomheten regnes dette som et samtykke til elektronisk kommunikasjon av ikke- taushetsbelagt informasjon som f.eks timepåminnelse. Dette kan skje i form av at pasient / bruker oppgir telefonnummer eller e-postadresse.

Pasient/bruker må samtidig informeres om konsekvenser av å oppgi digital

kontaktinformasjon.

(16)

veiledere

Samtykket gjelder til det blir trukket tilbake. Pasient/ bruker kan når som helst trekke sitt samtykke tilbake. Dette trenger ikke gjøres skriftlig, men kan for eksempel skje muntlig i skranken i virksomheten.

Samtykke bør kunne gis elektronisk ved første gangs bruk av løsningen for pasientkommunikasjon. Det anbefales at helsepersonellet gjør en vurdering av samtykket før igangsetting av

pasientkommunkasjon.

Se kapittel 7.1 for eksempel på skjema for samtykke.

4.2 Avtaler

Kravet gjelder for: Portalløsning SMS E-post med helseopplysninger Krav i Normen kapittel 5.8 Anbefalt løsning Referanse til faktaark og

veiledere

”Det skal inngås skriftlige avtaler med leverandør.

Avtalene skal inkludere forpliktelser om at partene skal oppfylle de krav og tiltak som følger av den til enhver tid gjeldende Norm for

informasjonssikkerhet, samt regulering av sanksjoner ved brudd på Normen og avtalen for øvrig.”

Når leverandør utfører behandling av helse- og

personopplysninger på vegne av virksomheten skal det inngås en databehandleravtale. Drifter leverandør løsninger for flere kunder skal denne sørge for at det ikke opprettes felles registre som inneholder

helseopplysninger for flere kunder. Dette skal klart fremgå av databehandleravtalen.

For leverandører av utstyr og/eller programvare som må ha adgang, til systemer som behandler helse- og

personopplysninger, for vedlikehold, feilretting,

oppdatering, ved hjelp av online tilkobling og/eller fysisk

oppmøte skal det inngås en

Faktaark 10 - Bruk av databehandler (ekstern driftsenhet). Faktaarket inneholder både eksempel på databehandleravtale og sjekkliste med krav til

databehandler og etablering av databehandleravtale)

Faktaark 36 - Fjernaksess mellom leverandør og virksomhet

Veileder for fjernaksess mellom leverandør og virksomhet, versjon 2.0

(17)

Veileder for portaler sms og e-post versjon 2 side 17 av 39 Kravet gjelder for: Portalløsning SMS E-post med helseopplysninger Krav i Normen kapittel 5.8 Anbefalt løsning Referanse til faktaark og

veiledere databehandleravtale. Det må

sikres at det er inngått avtale som ivaretar taushetsplikten (enten ved inngåelse av

databehandleravtale eller annen avtale).

Drifter leverandør kun selve portalen (grensesnittet mellom pasient/bruker og

virksomhetens fagsystem) er det vesentlig å avtale at

mellomlagringen må sikres og slettes i portalen etter at kommunikasjonen er

gjennomført. Alternativt kan det benyttes PKI som sikrer

kommunikasjonen mellom pasient/bruker og

virksomhetens fagsystem.

4.3 Risikovurdering

veiledere

”Risikovurdering skal som minimum gjennomføres før:

 det iverksettes behandling av helse- og personopplysninger

 etablering av nye

informasjonsbehandlings- systemer eller registre som inneholder helse- og personopplysninger

 det iverksettes

organisatoriske endringer som kan påvirke

informasjonsbehandlingen

 det iverksettes tekniske endringer i utstyr og/eller programvare som kan påvirke informasjonsbehandlingen

 det iverksettes andre

endringer med betydning for informasjonssikkerheten Risikovurderingen skal dokumenteres. Dersom

Virksomheten skal gjennomføre risikovurdering av løsning for pasientkommunikasjon før den tas i bruk

Risikovurdering som er gjennomført av leverandøren kan være tilstrekkelig dokumentasjon på at

risikovurdering er gjennomført og danne grunnlag for

risikovurderingen som

virksomheten skal gjennomføre.

Som basis for risikovurderingen skal virksomhetenes krav til akseptabel risiko til

konfidensialitet, integritet, tilgjengelighet og kvalitet legges til grunn.Resultatet fra risikovurderingen skal

sammenstilles med nivå for akseptabel risiko og nødvendige tiltak gjennomføres.

Faktaark nr 7 – Risikovurderinger

Faktaark nr 5 – Fastsettelse av akseptkriterier for

tilgjengelighet, konfidensialitet og integritet

(18)

veiledere teknologiske tiltak for å oppnå

akseptabel risiko ikke innføres umiddelbart, kan det i en overgangsperiode benyttes administrative tiltak, f.eks. i form av prosedyrer.”

Se kapittel 7.2 for eksempel på risikovurdering.

Det anbefales at virksomheten gir informasjon til

pasient/bruker om risiko ved brukerutstyr.

4.4 Bruk av fødselsnummer

Kravet gjelder for: Portalløsning SMS E-post med helseopplysninger

Krav i Normen Anbefalt løsning Referanse til faktaark og

veiledere Kravet er ikke formulert i

Normen, men i

personopplysningsforskriften § 10-2 som lyder ”Postsendinger som inneholder fødselsnummer skal være utformet slik at nummeret ikke er tilgjengelig for andre enn adressaten.

Tilsvarende gjelder sendinger som formidles ved hjelp av telekommunikasjon.”

Fødselsnummer skal ikke sendes som SMS, i ordinær e- post eller usikre løsninger.

4.5 Drift og konfigurasjonsendringer

veiledere

 ”Konfigurasjonen skal sikre at utstyret og programvaren kun utfører de funksjoner som er formålsbestemt Konfigurasjonsendringer, dvs.

endringer i utstyr og/eller programvare, skal ikke settes i drift før følgende tiltak er gjennomført:

 Risikovurdering som viser at nivå for akseptabel risiko oppfylles

 Test som sikrer at forventede funksjoner er ivaretatt

 Implementering som sikrer mot uforutsette hendelser

 Ny konfigurasjon er

Virksomheten må etablere prosedyrer for drift og konfigurasjonsendringer av løsningen for

pasientkommunikasjon.

Faktaark 3 – Oversikt over anbefalte prosedyrer i styringssystemet for informasjonssikkerhet

(19)

veiledere dokumentert

 Konfigurasjonsendringer er godkjent av virksomhetens leder eller den ledelsen bemyndiger”

4.6 Ondsinnet programvare

veiledere

”Virksomheten skal for å ivareta konfidensialitet, integritet, tilgjengelighet og kvalitet for helse- og

personopplysninger forsikre seg om at:

leverandørens utstyr som benyttes ved online oppkobling ved hjelp av

kommunikasjonsnett eller medbrakt utstyr som knyttes til virksomhetens utstyr, ikke har ondsinnet programvare som inneholder virus e.l. og at utstyret er sikret mot adgang fra uvedkommende.”

Løsning for

pasientkommunikasjon skal ha løsning for å hindre spredning av ondsinnet programvare som inneholder virus eller lignende.

Dette gjelder både ved utgående og inngående datatrafikk.

For SMS skal meldingen kontrolleres før den sendes og ved mottak før den hentes inn til fagsystemet.

Faktaark 19 – Tiltak for å hindre ondsinnet programvare

4.7 Krypteringsstyrke

veiledere

”Sikkerhetstiltak skal hindre at personer som ikke er

autoriserte får tilgang til helse- og personopplysninger ved at:

 All kommunikasjon, enten dette skjer ved hjelp av trådløst samband eller ved hjelp av linjer sikres ved kryptering iht. Datatilsynets til enhver tid gjeldende anbefalinger.”

Ivareta krypteringsstyrke iht kravspesifikasjon for PKI i offentlig sektor, eller tilsvarende styrke. ¹

Faktaark 24 – Kommunikasjon over åpne nett

Faktaark 26 – Sikring av trådløs teknologi

Faktaark 49 – Krav ved bruk av PKI ved ekstern

kommunikasjon

1 Se https://www.regjeringen.no/globalassets/upload/fad/vedlegg/ikt- politikk/2010_kravspek_pki_norsk.pdf?id=2156639

(20)

4.8 Hendelsesregistrering Krav 1

veiledere

”All autorisert bruk og forsøk på uautorisert bruk av

informasjonssystemene skal registreres og registeret skal lagres i minimum 2 år.

Hendelsesregistrene skal enkelt kunne analyseres ved hjelp av analyseverktøy med henblikk på å oppdage brudd.

Det skal etableres prosedyrer for å analysere

hendelsesregistrene slik at hendelser oppdages før de får alvorlige konsekvenser, og fortrinnsvis innen 1 uke.

Hendelsesregistrene skal sikres mot endring og sletting av uautorisert personell”.

Virksomheten må utarbeide skriftlig prosedyre for gjennomgang av de ulike hendelsesregistrene.

Alle hendelsesregistre skal oppbevares i minst 2 år i elektronisk form.

Om det avdekkes uautoriserte hendelser skal opprettes en avviksmelding som skal behandles iht etablerte prosedyrer.

Hendelsesregistre skal kun være tilgjengelig for fastsatte roller i virksomheten.

Faktaark 15 –

Faktaark 3 – Oversikt over anbefalte prosedyrer i styringssystemet

Krav 2

veiledere

”For å oppdage brudd eller forsøk på å bryte regelverket skal det som minimum føres hendelsesregistre over følgende:

 Sikkerhetsbarrierene skal registrere sikkerhetsrelevante hendelser, bl.a. forsøk på uautorisert bruk av informasjonssystemet

 Nettverksoperativsystemer skal registrere alle forsøk på uautorisert bruk

 Alle informasjonssystemer skal registrere alle forsøk på uautorisert bruk”

For forsøk på uautorisert bruk skal følgende

hendelsesregistreres:

 Brukeridentiteten som ble benyttet

 Tidspunkt (dato og klokkeslett)

 IP-adresse eller annen identifikasjon av

PC/arbeidsstasjon som ble benyttet (for eksempel MAC- adresse eller NAT-adresse) Hendelsesregistret bør inneholde informasjon om hvilken handling som ble forsøkt utført.

Faktaark 15 –

(21)

4.9 Integritet

Krav 1

veiledere

”Helse- og personopplysninger skal være fullstendige og ajourført i forhold til behandlingen av opplysningene”

Virksomheten skal ha prosedyrer som sørger for at journalverdig informasjon fra pasientkommunikasjon blir riktig journalført.

Det anbefales en integrasjon med EPJ slik at journalverdig informasjon fra

pasientkommunikasjon kan overføres til EPJ uten å måtte registreres på nytt. Kontroll av hvilke opplysninger som skal overføres til EPJ påhviler helsepersonellet.

Overskuddsinformasjon skal ikke lagres.

Spesielt for SMS:

 Behovet for å kontrollere svaret fra pasienten/brukeren mot utsendt SMS skal vurderes ift type SMS og iht gjennomført risikovurdering.

Grunnen er virksomheten kan sende flere SMS til en pasient/bruker samtidig.

Kontrollen kan for eksempel baseres på mobilnummer i svaret, innhold i svaret og meldingskode i utsendte SMS

 Ved manglende match mellom utsendt SMS og mottatt mobilnummer og meldingskode stanses svaret og hendelsen

hendelsesregistreres

 Ansvarlig som har sendt SMS til pasienten/brukeren bør få tydelig beskjed om at svar fra pasienten/brukeren er mottatt Krav 2

veiledere

(22)

veiledere

”Ved tilkobling til nett utenfor virksomheten skal det etableres tekniske tiltak som ivaretar at:

 Kun eksplisitt angitt tillatt trafikk kan passere, annet stoppes.

 Trafikk kan ikke passere direkte utenfra og inn; all slik ekstern trafikk må initieres fra virksomhetens systemer.”

 Virksomheten skal påse at de tekniske tiltakene ivaretas ved at sikkerhetsbarrierer kun tillater godkjent trafikk

 Med ”direkte utenfra og inn”

menes at trafikken må passere via en

sikkerhetsmekanisme (for eksempel proxytjeneste eller terminalserver) eller at SMS og e-post hentes inn til nettverket (og ikke tillates sendt direkte inn til nettverket)

Faktaark 15 –

Hendelsesregistrering og oppfølging

Faktaark 22 – Kontroll og sikring av ekstern tilgang Faktaark 24 – Kommunikasjon over åpne nett

4.10 Tilgjengelighet for pasientkommunikasjon

Kravet gjelder for: Portalløsning SMS E-post med helseopplysninger

Krav i Normen Anbefalt løsning Referanse til faktaark og

veiledere Ingen relevante krav. Krav til tilgjengelighet til

løsninger for

pasientkommunikasjon baseres på resultat fra gjennomført risikovurdering (se kapittel 4.3 ovenfor).

4.11 Avvik

veiledere

”Virksomhetens ledelse, eller det organ ledelsen bemyndiger, skal behandle avvik med det formål å gjenopprette normal tilstand, fjerne årsaken til avviket og å hindre gjentagelse.

Avviksbehandlingen iverksettes ved sikkerhetsbrudd og/eller når behandling av helse- og

personopplysninger er utført i strid med gjeldende regelverk, retningslinjer eller prosedyrer.

Avviksbehandling kan også iverksettes ved tilfeller av manglende eller

uhensiktsmessige prosedyrer.”

Avvik skal behandles iht fastsatt prosedyre.

Alle regelbrudd skal håndteres som avvik og personalmessige konsekvenser skal vurderes.

Faktaark 8 - Avviksbehandling

(23)

5 KRAV TIL INFORMASJONSSIKKERHET I PORTALLØSNINGER

Ved etablering av portalløsning kommer kravene nedenfor i tillegg til kravene i kapittel 4 merket med ” Portalløsning”.

Denne veilederen beskriver hvordan en portalløsning kan etableres, mens det er

databehandlingsansvarlig som må vurdere hva en portalløsning skal benyttes til ut fra risiko og helsefaglige forhold.

Kravene nedenfor gjelder for hele kommunikasjonskjeden mellom pasient/bruker og virksomhetens fagsystem.

5.1 Pasienten/brukerens rett til innsyn, retting og sletting

veiledere

”Det skal etableres prosedyrer og gjennomføres tiltak for å sikre at:

 Pasienten/brukeren får informasjon om

virksomhetens behandling av helse- og

personopplysninger, og sine rettigheter til innsyn i, retting, sletting og sperring av

registrerte opplysninger om seg selv.

 Pasienten/brukeren sikres innsyn i egne helse- og personopplysninger.

 Pasientens/brukerens rettigheter til retting/sletting av helse- og

personopplysninger ivaretas.”

Virksomheten må utarbeide

 Informasjon til

pasienten/brukeren om behandlingen av helse- og personopplysninger og sine rettigheter

 Prosedyrer for hvordan innsyn i, retting, sletting (for eksempel om samtykke trekkes tilbake) og sperring av registrerte opplysninger utføres

5.2 Opplæring

veiledere

”Virksomheten skal iverksette tiltak som ivaretar at:

 alle som gis tilgang til og/eller drifter

informasjonssystemene og

 Helsepersonell skal ha opplæring i bruk av portalløsningen

 Portalløsningen skal

inneholde bruksanvisning for

Faktaark 9 - Opplæring av ledere og medarbeidere

(24)

veiledere tilhørende informasjon skal

ha tilstrekkelig kunnskap til å utnytte systemene for sin rolle og til å ivareta informasjonssikkerheten”

pasienten/brukeren

 Pasienten/brukeren kan også ha tilgang til elektronisk hjelp

5.3 Autorisering

veiledere

”Databehandlingsansvarlig er ansvarlig for at autorisasjoner tildeles, administreres og kontrolleres. ”

”Ved tildeling av autorisasjon skal lovbestemt taushetsplikt vurderes og ivaretas. ”

”Autorisasjon for å lese, registrere, redigere, rette, slette og/eller sperre helse- og personopplysninger skal gis til dem som har tjenstlig behov.

Autorisasjonen skal tildeles i henhold til betryggende prosedyrer”

 Pasienten/brukeren skal gis tilgang enten av

virksomheten eller ved selvbetjening i

portalløsningen

 Ved selvbetjening må samtykke aksepteres eksplisitt i portalløsningen (for eksempel ved at pasient/bruker må huke av for å akseptere at det behandles

personopplysninger)

 Pasienten/brukeren skal gis tilgang for den enkelte funksjon som skal tas i bruk

 Helsepersonell skal autoriseres til

portalløsningen iht til sin rolle og tjenstlig behov

Faktaark 14 - Tilgangsstyring

5.4 Autorisasjonsregister

Kravet gjelder for: Portalløsning SMS E-post med helseopplysninger Krav i Normen kapittel 5.2.2 og

3.3.4

Anbefalt løsning Referanse til faktaark og veiledere

”Databehandlingsansvarlig skal sørge for at det oppettes et autorisasjonsregister.

Registeret skal som minimum inneholde:

 informasjon om hvem som er tildelt autorisasjon

 til hvilken rolle

autorisasjonen er tildelt

 formålet med autorisasjonen

 tidspunkt for når

For helsepersonell skal autorisasjonsregisteret som minimum inneholde

 til hvilken rolle (for eksempel lege, tannlege, helsesøster, psykolog, kiropraktor) autorisasjonen er tildelt

Faktaark 47 -

Autorisasjonsregister

(25)

Veileder for portaler sms og e-post versjon 2 side 25 av 39 Kravet gjelder for: Portalløsning SMS E-post med helseopplysninger Krav i Normen kapittel 5.2.2 og

3.3.4

autorisasjonen ble gitt og eventuelt tilbakekalt

 informasjon om hvilken virksomhet den autoriserte er knyttet til”

”5 års lagring minimum fra det tidspunkt dokumentet ble tatt ut av bruk:

 Oversikt over tildelte

autorisasjoner og tilganger til helse- og personopplysninger (autorisasjonsregister)”

autorisasjonen ble gitt og eventuelt tilbakekalt

 informasjon om hvilken virksomhet den autoriserte er knyttet til

For pasienten/brukeren skal autorisasjonsregisteret som minimum inneholde

autorisasjonen ble gitt og eventuelt tilbakekalt Virksomheten må etablere prosedyrer og en løsning slik at tildelte autorisasjoner lagres i autorisasjonsregisteret i 5 år fra det tidspunkt autorisasjonen ble tatt ut av bruk.

5.5 Autentisering

Kravet gjelder for: Portalløsning SMS E-post med helseopplysninger Krav i Normen kapittel 5.2.1 og

5.5.2

”Ved bruk av mobilt utstyr, hjemmekontor og trådløs kommunikasjon skal

autentiseringen ikke innebære økt risiko utover det som gjelder for stasjonært utstyr. En risikovurdering må vise at autentiseringsløsningen gir tilstrekkelig sikkerhet”

”Tilgang fra hjemmekontor og/eller mobilt utstyr skal sikres ved autentisering som ikke innebære økt risiko utover det som gjelder for stasjonært utstyr. En risikovurdering må vise at autentiseringsløsningen gir tilstrekkelig sikkerhet. Dette gjelder også for avdelingskontor som kommuniserer ved hjelp av linjer man ikke har fysisk kontroll over”

 Autentisering for bruk av kun administrative funksjoner uten helseopplysninger (som for eksempel bestilling og avbestilling av time uten at grunnen for timebestilling oppgis) skal gjøres med minimum sikkerhetsnivå 3

 Autentisering for tilgang til og kommunikasjon av helseopplysninger i nasjonale løsninger (for eksempel helsenorge.no) eller løsninger levert av

helsepersonell (inklusive timebestilling der pasient/bruker oppgir

grunnen for bestilling av time og reseptfornying) skal gjøres med personlig kvalifisert sertifikat eller en annen sikker autentiseringsløsning.

Faktaark 14 – Tilgangsstyring Faktaark 49 – Krav ved bruk av PKI ved ekstern

kommunikasjon