5.3.1 Nøkler/adgangskort
5.3.1 Nøkler/adgangskort
Det skal etableres rutine for administrasjon av nøkler/adgangskort i adgangskontrollsystemet.
5.3.2 IKT-utstyr
Sikkerhetstiltak skal hindre at uautoriserte får tilgang til helse- og personopplysninger. Dette kan løses ved adgangskontroll av lokaler med utstyr og ved at utstyret sikres mot misbruk eller uautorisert innsyn.
5.3.3 Infrastruktur
Sikkerhetstiltak skal hindre at annet enn autorisert personell får adgang til virksomhetens infrastruktur, nettverk- og informasjonssystemer.
Det skal etableres prosedyrer, retningslinjer og iverksette tiltak for fysisk sikkerhet for å opprettholde egnet sikkerhet til nettverk- og informasjonssystemer.
Fysiske sikkerhetstiltak skal minst omfatte:
- tiltak for å forhindre at uvedkommende får tilgang til lokasjoner, fysisk og teknisk infrastruktur som nettverk- og informasjonssystemer benytter eller er avhengig av
- tiltak for å identifisere og beskytte bygninger, rom og tilstøtende lokaler og områder som har betydning for sikkerhetsnivået til nettverk- og informasjonssystemer
- tiltak for å ivareta eksterne avhengigheter, herunder datakommunikasjon og strømtilførsel
Alle lagringsmedier skal slettes forsvarlig når de tas ut av bruk. Dette gjelder også for helse- og opplysninger som ikke lenger er nødvendige for formålet de ble samlet inn for. Plikt til lagring og arkivering av helse- og personopplysninger skal uansett overholdes i henhold til helselovgivningen og arkivlovens bestemmelser.
5.3.4 Mobilt utstyr og hjemmekontor
Det skal gjennomføres risikovurdering før mobilt utstyr, hjemmekontor og annet fjernarbeid. tas i bruk, og ved endringer som kan påvirke informasjonssikkerheten. Det skal etableres prosedyrer og retningslinjer for fjernarbeid eks. hjemmekontor og mobilt fjernarbeid fra ulike lokaler og geografiske steder. Det skal videre iverksettes sikkerhetstiltak når ansatte, leverandører og innleid personell utfører fjernarbeid, for å beskytte informasjon, nettverk- og informasjonssystemer, produkter og tjenester som behandles eller lagres utenfor virksomhetens lokaler.
Helse- og personopplysninger skal bare lagres lokalt på utstyret når dette er nødvendig ut fra tjenstlig behov, og skal alltid lagres kryptert.
5.3.5 Kryptering
Tekniske tiltak skal defineres og etableres slik at all kommunikasjon av helse- og personopplysninger utenfor virksomhetens kontroll krypteres. Kryptering og dekryptering mellom kommunikasjonspunkter i infrastrukturen skal gjøres i godkjent utstyr virksomheten har kontroll med. Kontrollen kan ivaretas gjennom avtale.
All kommunikasjon, enten dette skjer ved hjelp av trådløst samband eller ved hjelp av linjer, skal sikres ved kryptering.
Se for eksempel dokumentet "NSM Cryptographic recommendations Version 1.0" (nsm.no)
Kryptering av lagrede helse- og personopplysninger kan vurderes som et sikkerhetstiltak.
I registre som er etablert med hjemmel i helseregisterloven § 10 (lovdata.no) og helseregisterloven § 11 (lovdata.no), skal direkte personidentifiserende kjennetegn lagres kryptert.
5.3.6 Medisinsk utstyr
Medisinsk utstyr og velferdsteknologi som behandler helse- og personopplysninger, skal inkluderes i virksomhetens arbeid med informasjonssikkerhet og personvern, herunder i risikovurderinger, tilgangsstyring, endringskontroll og rutiner for bruk, på linje med andre informasjonssystemer.
