3.2. Minimumskrav for å sikre konfidensialitet, integritet, tilgjengelighet og robusthet

Virksomheten skal sørge for at virksomhetens behandlinger av helse- og personopplysninger har et egnet sikkerhetsnivå i tråd med Normens minimumskrav til informasjonssikkerhet og eventuelt egne informasjonssikkerhetsmål. Normen stiller følgende overordnede minimumskrav til informasjonssikkerhet (konfidensialitet, integritet, tilgjengelighet og robusthet):

Krav for å sikre konfidensialitet

Virksomheten skal ivareta taushetsplikten og for øvrig sikre mot at uvedkommende får kjennskap til opplysninger.

  • hindre uautorisert tilgang til helse- og personopplysninger og annen informasjon med betydning for informasjonssikkerheten
  • avgrense tilgang for autorisert personell iht. tjenstlig behov
  • ha oversikt (logger) over alle som har hatt tilgang til helse- og personopplysninger og annen informasjon med betydning for informasjonssikkerheten

Krav for å sikre integritet

Virksomheten skal sikre at helse- og personopplysninger og annen informasjon med betydning for informasjonssikkerheten er sikret mot utilsiktet eller uautorisert endring eller sletting. Integritet er en forutsetning for god og forsvarlig helsehjelp

  • logge hvem som har rettet, registrert, endret og slettet
  • hindre utilsiktet eller uautorisert endring eller sletting
  • sikre at helse- og personopplysninger registreres på rett person
  • sikre at helse- og personopplysninger føres i henhold til relevant kodeverk og terminologi
  • sikre at helse- og personopplysninger er korrekte og om nødvendig oppdaterte
  • hindre at kopier av data blir en kilde til utdatert informasjon

Krav for å sikre tilgjengelighet og robusthet

Virksomheten skal sikre at helse- og personopplysninger og annen informasjon med betydning for informasjonssikkerheten er tilgjengelig til rett tid.

  • sikre at helse- og personopplysninger er tilgjengelig iht. tjenstlig behov
  • sikre sikker og stabil drift av nettverks- og informasjonssystemer, inkludert motstandsdyktighet og evne til å gjenopprette normaltilstand ved hendelser.
  • sikre at det er etablert tekniske, organisatoriske, fysiske og personellmessige tiltak som muliggjør forebygging, deteksjon, skalerbarhet, håndtering og gjenoppretting
  • sikre at informasjonssystemene er tilgjengelig iht. virksomhetens tilgjengelighetskrav

Brudd på kravene skal behandles som avvik.

Normen

Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 25. september 2025