Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

2.3. Anbefalinger til forutsetninger for etablering av hjemmekontor og annet fjernarbeid

Tilgang fra hjemmekontor og annet fjernarbeid skal sikres ved sikker autentiseringsløsning

Se Normen kapittel 5.2.2 Autentisering.

  • Tilgang fra hjemmekontor og fjernarbeid skal sikres ved sikker autentiseringsløsning. Dette gjelder også for lokasjoner som kommuniserer ved hjelp av linjer virksomheten ikke har fysisk kontroll over.
  • Det skal etableres teknisk løsning hvor brukeren autentiseres med sikkerhetsnivå betydelig eller høyt (eid.difi.no) dersom det skal behandles helse- og personopplysninger.
  • All aksess inn mot virksomhetens infrastruktur og løsninger, inkludert skytjenester, bør benytte to-faktor autentisering når det er tilgjengelig.

Virksomheten skal ha kontroll på alt eget utstyr som benyttes i behandlingen av helse- og personopplysninger, også på hjemmekontor og ved annet fjernarbeid

Se Normen kapittel 5.4.1 Konfigurasjonskontroll.

  • Virksomhetens utstyr på hjemmekontor skal ikke brukes til annet enn det virksomheten har bestemt.
  • Virksomheten skal ha oversikt over hvilket IKT-utstyr som virksomheten har stilt til disposisjon for buk på hjemmekontor for tilgang til helse- og personopplysninger, jf. Normen kapittel  5.4.1 Konfigurasjonskontroll sammenholdt med definisjonen av hjemmekontor i vedlegg til Normen kapittel 6.2 Definisjoner. IKT-utstyr som virksomheten eier bør merkes.

All kommunikasjon av helse- og personopplysninger skal være kryptert

Se Normen kapittel 5.3.5 Kryptering

  • All kommunikasjon, enten dette skjer vha. trådløst nett eller vha. datalinjer, skal sikres med kryptering, jf. Grunnprinsipper for IKT-sikkerhet - beskyttelse av data i ro og data i transitt (nsm.no).
  • For kryptering av kommunikasjon anbefales det at virksomheten har konfigurert virtuelt privat nettverk (VPN), RDS eller VDI på alle datamaskiner som benyttes for hjemmekontor eller til annet fjernarbeid jf. Hjemmekontor - hva bør virksomheten tenke på? (nsm.no) Normalt er VDI og RDS sikrere enn VPN, fordi med VPN kan kopiering av data ut fra virksomhetens nettverk, utskrift og lokal lagring ikke forhindres. VDI og RDS er derfor bedre egnet enn VPN der for eksempel virksomheten ikke har kontroll med konfigurasjonen i utstyret for øvrig.
  • Dersom VPN benyttes bør brukeren instrueres om å aktivere VPN med en gang utstyret tas i bruk eller automatisere påloggingsprosessen når brukeren logger seg på datamaskinen.
  • Dersom VPN benyttes bør eget utstyr og kommunikasjonspartens utstyr konfigureres slik at det sikres at begge parter er den de gir seg ut for å være ved bruk sertifikater på server- og klientsiden.

Dersom virksomheten åpner for at ansatte og oppdragstakere kan få utføre oppgaver utenfor arbeidsplassen hos virksomheten, bør det sikres at nødvendige IKT-ressurser er tilstrekkelig tilgjengelige.

  • Virksomheten bør utarbeide veiledning for hvordan de ansatte enkelt skal kunne koble seg til virksomhetens ressurser fra hjemmekontor eller ved annet fjernarbeid.
  • Ved bruk av VPN, RDS eller VDI bør virksomheten sikre at løsningen har tilstrekkelig kapasitet til å håndtere belastningen dersom et utvidet antall ansatte jobber fra hjemmekontor eller driver fjernarbeid.
  • Virksomheten bør tilrettelegge for at den ansatte får tilstrekkelige ressurser til å jobbe effektivt fra hjemmekontor. Det vil si at den ansatte har utstyr som tilrettelegger for arbeid fra hjemmekontor eller annet fjernarbeid når det er behov for det. Eksempel på slikt utstyr er en egnet datamaskin som kan kobles opp mot virksomhetens sentrale ressurser.

Normen

Faktaark til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 11. juni 2021