Sjekkliste for å kontrollere at virksomheten ivaretar kravene i Normen

Transkript

1 Utgitt d støtte av: m for iformasjossikkerhet Sjekkliste for å kotrollere at virksomhete ivaretar kravee i Støttedokut Faktaark r 6b Versjo: 3.7 Dato: Sjekkliste er à jour d utgave 5.3 av. Dokutet oppdateres til versjo 6.0 år de er vedtatt av styrigsgruppe. krever bl.a. at det skal utarbeides e pla for gjeomførig av sikkerhetsrevisjoer. Eksempel på e revisjospla er å revidere områdee A. D. edefor rullerede hvert 4. år: Revisjosområde A. Ledelse og asvar B. Risikostyrig C. Persover og pasietrettigheter D. Iformasjossikkerhet Delområde a. Asvar og orgaiserig av persover og iformasjossikkerhet b. Dataasvarliges asvar c. Styrigssystet d. Iformasjossikkerhetsmål e. Iformasjossikkerhetsistruks f. Persoverombud g. Ledelses gjeomgag a. Protokoll over behadliger av helse- og persoopplysiger b. Oversikt over IKT-utstyr c. Risikovurderig d. Persoverkosekvesvurderig Ytterligere vurderigskriterier e. Forhådsdrøftig d Datatilsyet a. Taushetsplikt b. De registrertes rettigheter: isy i persoopplysiger og logger c. Utleverig av helse- og persoopplysiger Til adre e virksomhetes og forvaltigsorgaets eget persoell Til virksomhetes ledelse og til admiistrative syster Til lærig og kvalitetssikrig a. Asatte, kompetase og holdigsskapede arbeid Vilkår og betigelser Opplærig og kompetase Opphør av asettelse b. Tilgagsstyrig Autoriserig Autetiserig Kotroll av tilgagsrettigheter c. Fysisk sikkerhet og hådterig av utstyr Nøkler/adgagskort Brukerutstyr (pc og pritere - stasjoære) Driftsutstyr (servere og ettverksutstyr) Mobilt utstyr og hjemkotor Krypterig Medisisk utstyr d. Sikker IT-drift Kofigurasjoskotroll Sikkerhetskopierig Loggig Styrig og hådterig av tekiske sårbarheter Utkast_ vedlegg_oversikt over s krav Side av 45

2 Revisjosområde Delområde Sikkerhetsrevisjo av iformasjossyster e. Kommuikasjossikkerhet Styrig av ettverkssikkerhet Sikrig av ettjeester Meldigsformidlig E-post, sms og sosialdier Tilkoblig til iterett f. Digital kommuikasjo d pasieter/bruker g. Leveradørforhold og avtaler Leveradør av kommuikasjostjeester Databehadler Leveradører Sikkerhetsleveradører Samarbeid llom virksomheter om behadligsrettede helseregistre Tilgag til helseopplysiger llom virksomheter 39 h. Hådterig av iformasjossikkerhetsbrudd Avvikshådterig Uderrettig til de registrerte i. IKT-beredskap Forklarig til iholdet i sjekkliste edefor Krav Sjekkliste ieholder krav markert d skal i slik at det på e ekel måte er mulig å verifisere om virksomhete følger. Alle spørsmål skal besvares d for at kravet skal være oppfylt. Det abefales å bruke sjekkliste sam d slik at kravet vurderes ift temaet som behadles i. Kap Det ekelte krav i sjekkliste er referert til kapittelumr i. Det ekelte krav i sjekkliste er referert til kapittelumr i ISO behadligsrettet Agir sikkerhetskrav som skal ivaretas i syster som behadler helse- og persoopplysiger (tidligere Faktaark 38). For ekelte krav er det agitt e utdypig av kravet som ikke direkte ka leses ut av. Disse er agitt som Utdypig av kravet:. Se også Veiledig til systemkrav i og leveradøres dokutasjo av kravet. (Må begrues) bygger på prisippet om forholdsssig sikrig. Ved bruk av sjekkliste må virksomhete derfor avgjøre hvilke spørsmål som er relevate, og foreta kokrete avveiiger i forhold til virksomhetes størrelse. Bortfaller kravet må dataasvarlig redegjøre for hvorfor kravet utgår. ivaretatt Svar om kravet er ivaretatt eller ikke. Kraver blir databehadler Koloe ka beyttes til å markere om kravet blir databehadler. For krav som ikke ka overlates til databehadler er feltet grået ut. Krav som både dataasvarlig og databehadler skal ivareta er markert d grøt. Utkast_ vedlegg_oversikt over s krav Side 2 av 45

3 Hjeml i lov Referase til lov (d leke) som hjemler kravet. Felt markert d turkis gir referase til hjeml d følgede akroym: - PJL: Pasietjourallove ( - PJF: Pasietjouralforskrifte ( - HPL: Helsepersoellove ( - PBL: Pasiet- og brukerrettighetslove ( - FEP: Forskrift om etablerig og gjeomførig av psykisk helsever ( 49) ( - HTL: Helse- og omsorgstjeestelove ( - HFL: Helseforskigslove ( - FIKT: Forskrift om IKT-stadarder i helse- og omsorgstjeeste ( o Følgede magler i 6b, står i 5.3: 4.Krav om oppdatert adresseiformasjo mv., jf kap vedr Rett adresserig 5.Krav til fuksjoalitete i IKT-systees programvare, jf kap vedr Meldig eller e-post avleveres i avtalt format - EFF: Eforvaltigsforskrifte ( o Med utgagspukt i hva et forvaltigsorga er, vurderes forskrifte som ikke relevat (jf jusifo.o: Forvaltigslove gjelder etter for de virksomhet som drives av forvaltigsorgaer (offetlig virksomhet), år ikke aet er bestemt i eller i dhold av lov. Et forvaltigsorgas virksomhet omfattes også av forvaltigslove, år forvaltige ikke fatter vedtak og utøver offetlig mydighet, dvs. år hadlige ikke ases for å være bestemde for rettigheter eller plikter og derd ikke er utøvelse av offetlig mydighet. Forvaltige er således i all si virksomhet uderlagt de lovfestede og ulovfestede regler om offetlig saksbehadlig, også år ikke mydighet eller vedtakskompetase utyttes. og Wikipedia I ge er forvaltigsorga typisk regjerige, departetee, direktorater, fylkeskommuer og kommuer. Kommuestyre og fylkestig reges også gjere d. ) - POL: Persoopplysigslove - Petter - : Persoverforordige (GDPR) Petter - FLK: Forskrift om ledelse og kvalitetsforbedrig i helse- og omsorgstjeeste Petter Utkast_ vedlegg_oversikt over s krav Side 3 av 45

4 Sjekkliste faktaark 6b (versjo 3.4) behadligsrettet virksomhete (Må begrues) Hjeml til kravet i lov (leke til hjeml) databehadler. Er virksomhete ved avtale forpliktet til å følge? 2. Er det de som har det overordede asvaret for virksomhete som etablerer og opprettholder tilfredsstillede persover og iformasjossikkerhet? 3. Er utførelse av oppgaver overført til ekstere (for eksempel databehadler)? 4. Er arbeidet d iformasjossikkerhet i virksomhete orgaisert og gjeomført slik at det komr klart frem hvem som er asvarlig på alle ivåer, og hva de er asvarlig for? 5. Omfatter arbeidet d persover og iformasjossikkerhet styrig, gjeomførig og kotroll? Blir persoveret og iformasjossikkerhete dokutert i et styrigssystem (iterkotroll)? A. LEDELSE OG ANSVAR Har dataasvarlig etablert et styrigssystem? HTL 5-0 første puktum artikkel 24 PJL 22, 23 artikkel 24 første ledd artikkel 24 første ledd sikre og påse, samt gjeomgag og oppdatere? FLK 3 og 4 PJL 23 artikke 24 første ledd FLK 3 PJL 23 artikkel 24 første ledd 8. Har databehadler etablert et styrigssystem? 2. A.5... artikkel 28 () Utkast_ vedlegg_oversikt over s krav Side 4 av 45

5 9. Etablerer og opprettholder dataasvarlig et tilfredsstillede persover og iformasjossikkerhet? 0. Har dataasvarlig ivaretatt følgede?: Gjeomført risikovurderiger og utarbeidet persoverkosekvesvurderig der det er ødvedig Etablert egede tekiske og orgaisatoriske tiltak Sikret de registrertes rett til isy og rett til iformasjo, og ivareta reglee om rettig og slettig av registrerte helse- og persoopplysiger Etablert prosedyrer for ihetig av samtykke og oppfyllelse av ev. reservasjo mot visse forr for behadlig av helseog persoopplysiger Påsett og dokutert at behadligee er lovlige Seder varsler ved brudd på persoveret og iformasjossikkerhete til Datatilsyet. Er styrigssystet tilpasset virksomhetes størrelse, egeart og aktiviteter og iformasjosbehadliges art, omfag, formål og samhege de utføres i? 2. Har virksomhetes øverste ledelse gjort styrigssystet kjet i virksomhete? 3. Blir dokuter i styrigssystet holdt løpede oppdatert og arkivert fra det tidspuktet dokutet ble erstattet d e y gjeldede versjo? behadligsrettet virksomhete (Må begrues) 2.2 A disse kravee er fjeret a) b) 2.3 f) 2.3 e) Hjeml til kravet i lov (leke til hjeml) databehadler artikkel 5 og 32 PJL 8 HPL 4, 42, 43 og 44 PBL ledd, 4-, 5-, 5-2 artikkel 32 (), 35 (), 3, 5, 7 og 8, 5 (), 33, artikkel 24 () FLK 5 FLK 3 og 7(d) FLK 5 (3) Utkast_ vedlegg_oversikt over s krav Side 5 av 45

6 4. Blir følgede dokuter arkivert i miimum 5 år fra det tidspukt dokutet ble tatt ut av bruk?: Alle dokuter i styrigssystet Resultater fra sikkerhetsrevisjoer Resultater fra risikovurderiger Resultater fra avviksbehadlig Referat fra ledelses gjeomgag Avtaler d partere, databehadlere og leveradører 5. Oversikt over tildelte autorisasjoer og tilgager til helse- og persoopplysiger (autorisasjosregisteret) skal oppbevares i miimum 5 år fra det tidspukt autorisasjoe ble tatt ut av bruk? 6. Logger d sikkerhetsssig betydig, heruder registrerig av autorisert bruk og forsøk på uautorisert bruk av iformasjossystee, skal tas vare på til det av helsehjelpes karakter ikke leger atas å bli bruk for. 7. Blir dokutasjo om tiltak kyttet til iformasjossikkerhet sikret på tilsvarede måte som helse- og persoopplysiger år kjeskap til tiltakee for uvedkomde vil iebære e risiko? 8. Har virksomhete beskrevet sikkerhetsmål i styrigssystet? 9. Har virksomhetes ledelse, på bakgru av sikkerhetsmålee, fastsatt ivå for akseptabel risiko? behadligsrettet virksomhete (Må begrues) Autoriserig 2.3 Loggig b e. Hjeml til kravet i lov (leke til hjeml) Kravet er fjeret i 6.0 Kravet er fjeret i 6.0 PJL 25 og ledd Efvf 5 () databehadler Utkast_ vedlegg_oversikt over s krav Side 6 av 45

7 20. Er valgee for å oppå iformasjossikkerhetsmålee dokutert? 2. Har virksomhete på bakgru av mål og valg av tiltak etablert egede tekiske og orgaisatoriske tiltak? 22. Er tiltakee satt i verk på bakgru av e vurderig av risiko for de registrertes persover? 23. Er iverksettig av tiltak for ver av persoopplysiger vurdert for de forskjellige behadligsaktivitetee? 24. Har øverste ledelse sørget for at virksomhete utarbeider og forvalter e iformasjossikkerhetsistruks som samfatter de vesetligste kravee til persover og iformasjossikkerhet i virksomhete? 25. Er istrukse tilpasset iformasjosbehadliges art, omfag, formål og samhege de utføres i? 26. Forplikter istrukse de asatte til å følge kravee? 27. Oppdateres istrukse ved edriger i krav og tiltak? 28. Har virksomhetes øverste ledelse utpekt et persoverombud? 29. Er persoverombudet utevt på bakgru av persolige kvalifikasjoer, særlig god kompetase på persoverlovgivig og mulighete til å utføre oppgavee? behadligsrettet virksomhete (Må begrues) 2.4 e Hjeml til kravet i lov (leke til hjeml) Efvf 5 () artikke 35 () artikkel 35 () Efvf 5 () Kravet er fjeret i 6.0 Kravet er fjeret i 6.0 Kravet er fjeret i 6.0 artikkel 37 artikkel 37 (5) databehadler Utkast_ vedlegg_oversikt over s krav Side 7 av 45

8 behadligsrettet virksomhete (Må begrues) Hjeml til kravet i lov (leke til hjeml) databehadler 30. Blir persoverombudet gitt tilstrekkelige artikkel 38 (2) ressurser og tilgag på aktuell kompetase til å 2.6 utføre sie plikter? 3. Rapporterer persoverombudet direkte til artikkel 38 (3) 2.6 øverste ledelse i virksomhete? 32. Har databehadler utpekt et persoverombud? 2.6 artikkel 37 () 33. Er persoverombudet utevt på bakgru av artikkel 37 (5) persolige kvalifikasjoer, særlig god kompetase på persoverlovgivig og 2.6 mulighete til å utføre oppgavee.? 34. Arbeider persoverombudet ute artiikel 37 (3) (6) iteressekoflikt d evetuelle adre roller som vedkomde iehar i virksomhete, og skal ikke motta istruksjoer vedrørede hvorda oppgavee skal utføres? Er det fastlagt at persoverombudet ikke skal artikkel 39 ()(a) beslutte behadliger av persoopplysiger 2.6 eller tode/verktøy for slike behadliger? 36. Bistår persoverombudet dataasvarlig, artikkel 39 ()(b) databehadler og de asatte i arbeidet d persover og iformasjossikkerhet slik at ivå for akseptabel risiko blir Evaluerer virksomhetes øverste ledelse FLK 8(f) virksomhetes aktiviteter og følger opp at iformasjossikkerhete ivaretas ved miimum årlige gjeomgager? Blir det vedtatt tiltaksplaer for å oppå fastsatt PJL 23 ivå for akseptabel risiko, d plasserig av asvar, dersom evaluerige avdekker at virkelig situasjo ikke år opp til fastsatt ivå for akseptabel risiko? Utkast_ vedlegg_oversikt over s krav Side 8 av 45

9 behadligsrettet virksomhete (Må begrues) Hjeml til kravet i lov (leke til hjeml) databehadler B. RISIKOSTYRING 39. Har både de dataasvarlige og databehadlere gjeomført forholdsssige tekiske og orgaisatoriske tiltak for å sikre kofidesialitet, itegritet, tilgjegelighet og robusthet i iformasjossystee? 40. Er det tatt hesy til de tekiske utviklige, gjeomførigskostadee og iformasjosbehadliges art, omfag, formål og samhege de utføres i, ved valg av tiltakee? 4. Er følgede overordede krav til kofidesialitet som miimum lagt til gru for etablerig av sikkerhetstiltak?: Persoer utefor virksomhete skal ikke kue få uautorisert tilgag til helse- og persoopplysiger. Persoer i virksomhete skal gis tilgag i hehold til fastsatte prisipper for tilgagsstyrig. 42. Det skal registreres i logger i behadligsrettede helseregistre (ikl elektroisk pasietjoural (EPJ)) og fagsystem hvem som har hatt tilgag. 43. Er følgede overordede krav til itegritet som miimum lagt til gru for etablerig av sikkerhetstiltak?: Sikkerhetstiltak skal iverksettes slik at persoer eller tekologi, i eller utefor virksomhete, ikke skal kue edre helseog persoopplysiger ute autorisasjo c Loggig 3 artikkel 32 ()(b) artikkel 32 () PJF 4 Utkast_ vedlegg_oversikt over s krav Side 9 av 45

10 Helse- og persoopplysiger skal være fullstedige og ajourført i forhold til behadlige av opplysigee. 44. Helse- og persoopplysiger skal være korrekte og kyttes til rett idetifisert perso 45. Helse- og persoopplysiger skal føres i hehold til relevat kodeverk 46. Det skal registreres i behadligsrettede helseregistre (ikl elektroisk pasietjoural (EPJ)) og fagsyster hvem som har foretatt registrerig, edrig, rettig og slettig 47. Er følgede overordede krav til tilgjegelighet som miimum lagt til gru for etablerig av sikkerhetstiltak?: Iefor ram av taushetsplikte skal helse- og persoopplysiger være tilgjegelig år ma har tjestlige behov. Misbruk av selvautoriserig skal følges opp som avvik. 48. Selvautoriserig ka etableres som e mulighet for autoriserte brukere til å gi seg selv tilgag ute å følge fastsatte prisipper for å få tilgag til helse- og persoopplysiger. I så tilfelle må det utarbeides ege prosedyrer for dette. Begruelse for selvautoriserig skal dokuteres. 49. Er følgede overordede krav til robusthet som miimum lagt til gru for etablerig av sikkerhetstiltak?: Det skal fies egede tekiske og orgaisatoriske tiltak som muliggjør forebyggig, deteksjo, skalerbarhet, behadligsrettet virksomhete (Må begrues) Hjeml til kravet i lov (leke til hjeml) databehadler 3 Itegritet PJF 4,. ledd 3 Itegritet PJF 6, bokstav h) 3 Loggig 3 PJL 9,. ledd PJF 4, 3. ledd 3 Autoriserig 3 Utkast_ vedlegg_oversikt over s krav Side 0 av 45

11 behadligsrettet virksomhete (Må begrues) Hjeml til kravet i lov (leke til hjeml) databehadler hådterig og gjeopprettig av persoopplysigssikkerhete og iformasjossikkerhete for øvrig 50. Er det utarbeidet e "Protokoll over behadliger av helse- og persoopplysiger" som miimum ieholder følgede opplysiger?: Navet på og kotaktopplysiger til de dataasvarlige og evetuelt felles dataasvarlig Databehadlere og databehadleravtaler Navet på og kotaktopplysiger til persoverombud Formålee d behadlige Behadligsgrulag Kategorier av registrerte (eksempelvis pasieter bar og vokse, kliet, bruker av tjeeste, asatt, helsepersoell, bruker av iformasjossystem) Kategorier av persoopplysiger (eksempelvis asattopplysiger, helseopplysiger) Hvorvidt det behadles persoopplysiger av særlige kategorier Mottakere av persoopplysiger (eksempelvis NAV, HELFO, reseptregisteret, forsikrigsselskap, o.l.) Evetuell overførig til utladet og bekreftelse på at mottaker følger regulatoriske krav Plalagt lagrigstid 3. artikkel 30 Utkast_ vedlegg_oversikt over s krav Side av 45

12 behadligsrettet virksomhete (Må begrues) Hjeml til kravet i lov (leke til hjeml) databehadler Beskrivelse av tekiske og orgaisatoriske sikkerhetstiltak, jf. styrigssystet Om det er utarbeidet persoverkosekvesvurderig eller det er utarbeides begruelse for at det ikke utarbeidet 5. Er Protokoll over behadliger av helse- og persoopplysiger skriftlig? 52. Har virksomhete oversikt over alt IKT-utstyr? 3. artikkel 30 Dee oversikte skal ikludere stasjoære og bærbare datamaskier, mobiltelefoer og aet kommuikasjosutstyr, servere, ettverksutstyr (rutere, svitsjer, bramurer, osv.), skrivere, lagrigsettverk, apper, IP-telefoer mv. 53. Gjeomføres det risikovurderiger før behadlig av helse- og persoopplysiger igagsettes? 54. Gjeomføres det e y risikovurderig ved edriger som har betydig for iformasjossikkerhete? 55. Gjeomfører virksomhetes ledelse jevlig risikovurderiger som ledd i sitt arbeid d å kotrollere iformasjossikkerhete? 56. Gjeomfører dataasvarlig og databehadlere egede tekiske og orgaisatoriske tiltak for å oppå et sikkerhetsivå som står i forhold til risikoe? 57. Idetifiserer risikovurderige behov for risikoreduserede tiltak ved å samlige avdekket risiko d ivå for akseptabel risiko? 3.2 A b b a Artikkel 32 () artikkel 32 () artikkel 32 () artikkel 32() artikkel 32 () Utkast_ vedlegg_oversikt over s krav Side 2 av 45

13 58. Gjeomføres risikovurderig som miimum før?: det iverksettes behadlig av helse- og persoopplysiger etablerig av ye iformasjosbehadligssyster eller registre som ieholder helse- og persoopplysiger det iverksettes orgaisatoriske edriger som ka påvirke iformasjosbehadlige det iverksettes tekiske edriger i utstyr og/eller programvare som ka påvirke iformasjosbehadlige det iverksettes adre edriger d betydig for iformasjossikkerhete det iverksettes tilgag til helseopplysiger llom virksomheter 59. Blir risikovurderige dokutert? 60. Blir koklusjoee fra vurderige samliget d fastlagt ivå for akseptabel risiko? 6. Blir det iverksatt tiltak (ye/edrede) for å oppå akseptabel risiko om risikoe er høyere e fastsatt ivå for akseptabel risiko? 62. Gjeomfører de dataasvarlige e vurderig av hvilke kosekveser de plalagte behadlige vil ha dersom det er sasylig at e type behadlig av helse- og behadligsrettet virksomhete (Må begrues) e) ) a) 3.4 Hjeml til kravet i lov (leke til hjeml) artikkel 32 () PJL 23 artikkel 5 (2) se egelsk ordlyd artikkel 35 () databehadler Utkast_ vedlegg_oversikt over s krav Side 3 av 45

14 behadligsrettet virksomhete (Må begrues) Hjeml til kravet i lov (leke til hjeml) databehadler persoopplysiger vil dføre e høy risiko for persoveret? 63. Blir vurderig av persoverkosekveser gjeomført før behadlige av persoopplysiger starter? 64. Blir persoverkosekvesvurderig gjeomført år det dfører høy risiko for persoveret?: ved bruk av y tekologi dersom behadliges art, omfag, formål og samhege de utføres i tilsier det Kosulter Datatilsyet for liste d år persoverkosekvesvurderig skal gjeomføres 65. Gjeomføres persoverkosekvesvurderig år behadlige er?: i stor skala av helseopplysiger eller av persoopplysiger om straffedomr og straffbare forhold e systematisk og omfattede vurderig av persolige aspekter ved persoer basert på automatisert behadlig (profilerig), som daer grulag for avgjørelser som har rettsvirkig eller påvirker de registrerte i betydelig grad 66. Ieholder persoverkosekvesvurderige mist?: e systematisk beskrivelse av behadligsaktivitetee beskrivelse av formålet d behadlige artikkel 35 () artikkel 35 () artikkel 35 () (b)(a) artikkel 35 (7) Utkast_ vedlegg_oversikt over s krav Side 4 av 45

15 behadligsrettet virksomhete (Må begrues) Hjeml til kravet i lov (leke til hjeml) databehadler vurderig om behadligsaktivitetee er ødvedige og står i rilig forhold til formålet vurderig av risikoee for persoveret til de registrerte plalagte risikoreduserede tiltak for persoveret 67. Blir persoverombudet rådført ved gjeomførig av persoverkosekvesvurderige? 68. Blir det plalagt tiltak som reduserer risikoe for persoveret iht. persoverkosekvesvurderige? 69. Rådfører de dataasvarlige seg d Datatilsyet om behadlige av helse- og persoopplysiger vil dføre e høy risiko som ikke ka reduseres ved hjelp av rilige midler? 70. Rådfører de dataasvarlige seg d Datatilsyet dersom?: persoverkosekvesvurderige tilsier at behadliger av helse- og persoopplysiger vil dføre e høy risiko, også etter at plalagte tiltak er gjeomført persoverkosekvesvurderige tilsier at behadliger av helse- og persoopplysiger vil dføre e høy risiko uasett tiltak artikkel 39 artikkel 35 artikkel 36 artikkel 36 C. PERSONVERN OG PASIENTRETTIGHETER Utkast_ vedlegg_oversikt over s krav Side 5 av 45

16 7. Påser virksomhetes leder at alt persoell som gis tilgag har taushetsplikt og at de er bevisst taushetspliktes ihold og omfag, ved å miimum?: Beskrive kosekveser ved brudd på taushetsplikte. Beskrive kosekveser ved å tilege seg eller forsøke å tilege seg opplysiger ma ikke har tjestlig behov for (ulovlig tilegelse). Beskrive kosekveser ved å edre/forsøk på å edre opplysiger ma ikke har autorisasjo til å edre. 72. Fører brudd på taushetsplikte og/eller ulovlig tilegelse som et miimum e advarsel for de som begår bruddet? 73. Behadles brudd på taushetsplikte og/eller ulovlig tilegelse iht avviksprosedyre? 74. Er det etablert prosedyrer og gjeomføres det tiltak for å sikre at?: Det ihetes skriftlig samtykke fra pasiete/brukere i alle tilfelle hvor dette er ødvedig, heruder år tilgage til de aktuelle behadlige av helse- og persoopplysiger ikke er fastsatt i lov eller har et aet gyldig grulag Pasiete/brukere sikres isy i ege helse- og persoopplysiger Pasietes/brukeres rettigheter til rettig/slettig av helse- og persoopplysiger ivaretas behadligsrettet virksomhete (Må begrues) 4. A A Hjeml til kravet i lov (leke til hjeml) PJL 5 (delvis) HPL 2 og 2 a, HTL 2- HFL 7 PBL 3-6 HPL 2 a databehadler 4. A PJL PJL 8 PJF og 5 PBL 4-, 5-, 5-2 FEP 49, 2. ledd (samtykke elektroisk kommuikasjo) Utkast_ vedlegg_oversikt over s krav Side 6 av 45

17 Pasietes rett til sperrig av hele eller deler av ege pasietjoural ivaretas 75. Det skal etableres prosedyrer og gjeomføres tiltak for å sikre at: Pasiete/brukere får iformasjo om virksomhetes behadlig av helse- og persoopplysiger, og sie rettigheter til isy i, rettig, slettig og sperrig av registrerte opplysiger om seg selv. 76. Dersom de registrerte seder e amodig elektroisk, skal iformasjoe om mulig gis elektroisk 77. Iforrer de dataasvarlige pasiete/brukere om bruk av tilgag til helseopplysiger llom virksomheter? 78. Blir iformasjoe tilpasset pasietes/brukeres forutsetiger og tilstad, og ulates dersom det er klart utilrådelig? 79. Ieholder iformasjoe blat aet: hvilke virksomheter som gis tilgag? hvilke helse- og persoopplysiger tilgage omfatter? at pasiete/brukere ka motsette seg at det gis tilgag? 80. Er det etablert prosedyrer for å sikre at de registrertes rettigheter for isy i logger blir 8. Det skal etableres prosedyrer for å sikre at de registrertes rettigheter for isy i logger blir ivaretatt. Prosedyree skal som et miimum sikre at de registrerte får iformasjo om: behadligsrettet virksomhete (Må begrues) databehadler Pasietrettigheter Pasietrettigheter Pasietrettigheter Hjeml til kravet i lov (leke til hjeml) PJL 8 artikkel 5 (3) artikkel 3 (), 4 () artikkel 2 () artikkel 3 og 4 PJL 8,. ledd PBL 5-,.ledd PJL 8,. ledd, 23 PJF 4, 2. ledd (delvis) PBR 5-,.ledd,.puktum Utkast_ vedlegg_oversikt over s krav Side 7 av 45

18 behadligsrettet virksomhete (Må begrues) Hjeml til kravet i lov (leke til hjeml) databehadler Perso og orgaisatorisk tilhørighet til de som har behadlet helseopplysigee Hvilke behadliger av helse- og persoopplysiger som er utført Når behadligee av helse- og persoopplysiger er gjort. 82. Ved bruk av tilgag til helseopplysiger llom virksomheter skal de registrerte få iformasjo om: Perso og orgaisatorisk tilhørighet til de som har hetet fram opplysigee Hvorfor helseopplysigee er hetet fram Hvilke tidsperioder vedkomde har hetet fram helseopplysigee 83. Skjer overførig til aet helsepersoell e virksomhetes eget persoell, år det er ødvedig for å kue yte forsvarlig helsehjelp, i samsvar d lovbestemte regler om taushetsplikt? 84. Skjer behadlige av forespørsel om overførig eller utleverig av helse- og persoopplysiger i samsvar d prosedyrer som ivaretar kravee til kofidesialitet, itegritet og tilgjegelighet? 85. Det skal fremgå av jourale år helse- og persoopplysiger er gitt til aet persoell e virksomhetes eget persoell 86. Når helseopplysigee utleveres til ledelse skal de så lagt som mulig behadles ute at de registrertes av og fødselsumr fremgår Pasietrettigheter Pasietrettigheter Pasietrettigheter HFL 40,.ledd artikkel 3 og 4 PJL 23 artikkel 32 PJL 7 HPL 26,. ledd Utkast_ vedlegg_oversikt over s krav Side 8 av 45

19 87. Blir pasiete/brukere orietert om si rett til å motsette seg tilgjegeliggjørig dersom det likevel er ødvedig å videreformidle persoidetifiserbare opplysiger? 88. Når helseopplysiger tilgjegeliggjøres for lærig og kvalitetssikrig skal de begreses til de opplysiger som er ødvedige og relevate for formålet 89. Det skal dokuteres i pasietes joural hvilke opplysiger som er tilgjegeliggjort for ledelse og for lærig og kvalitetssikrig og hvem de er tilgjegeliggjort for 90. Har virksomhete iverksatt tiltak som ivaretar at: alle som gis tilgag til og/eller drifter iformasjossystee og tilhørede iformasjo har tilstrekkelig kuskap til å utytte systee for si rolle og til å ivareta iformasjossikkerhete? alle som har tilgag til helse- og persoopplysiger behadler disse etter gjeldede regelverk, og virksomhetes rutier? 9. Sørger de dataasvarlige for at, iefor ram av taushetsplikte, relevate og ødvedige helseopplysiger er tilgjegelige for helsepersoell og aet samarbeidede persoell år dette er ødvedig for å yte, admiistrere eller kvalitetssikre helsehjelp til de ekelte? behadligsrettet databehadler Pasietrettigheter Pasietrettigheter D. INFORMASJONSSIKKERHET virksomhete (Må begrues) 5.2 Hjeml til kravet i lov (leke til hjeml) HPL 25,. ledd HPL 29 c HPL 29 c PJL 22 og 23 PJL 9 HPL 25 Utkast_ vedlegg_oversikt over s krav Side 9 av 45

20 92. Sørger de dataasvarlige for at opplysigee gjøres tilgjegelige på e måte som ivaretar iformasjossikkerhete? 93. Tilgagsstyrig skal etableres for alle behadligsrettede helseregistre (ikl elektroisk pasietjoural (EPJ)) og fagsyster? 94. Tilgag til behadligsrettede helseregistre skal gis etter e kokret beslutig basert på at det er iverksatt eller skal iverksettes tiltak for disisk behadlig av pasiete? 95. Blir tilgag styrt slik at taushetspliktreglee ivaretas og at tilgag til helse- og persoopplysiger ikke gis til adre e de som har tjestlig behov? 96. Ved tilgag til helseopplysiger llom virksomheter: Har begge virksomhetee tekiske og orgaisatoriske løsiger som avgreser tilgage til helseopplysiger som mist ivaretar at: helseopplysigee ikke gjøres tilgjegelige dersom pasiete/brukere har motsatt seg eller motsetter seg det? det ku gis tilgag til helseopplysiger som er relevate og ødvedige for å yte, admiistrere eller kvalitetssikre helsehjelp til pasiete/brukere? helsepersoellet er autorisert for slik tilgag, og har autetisert seg ved bruk av sikker autetiserigsløsig? behadligsrettet virksomhete (Må begrues) 5.2 A A Autoriserig Hjeml til kravet i lov (leke til hjeml) PJF 3 HFL 7,. ledd HPL 25, 2.ledd databehadler 5.2 Autoriserig 5.2 A A.9 PJF 3,. ledd, a) PJL 9, 22 PJF 7, c) Utkast_ vedlegg_oversikt over s krav Side 20 av 45

21 97. Blir lovbestemt taushetsplikt vurdert og ivaretatt ved tildelig av autorisasjo? behadligsrettet virksomhete (Må begrues) A Hjeml til kravet i lov (leke til hjeml) PJL 5, 23 databehadler PJF 3,. ledd, a), Delegerer dataasvarlig mydighet for å tildele autorisasjo til de ekelte ehets asvarlige leder? 99. Tildelt autorisasjo skal sikre at de ekelte ka få tilgag til relevate og ødvedige helse- og persoopplysiger i samsvar d persoellets asvar og oppgaver Utdypig av kravet: Tildelt autorisasjo skal kue tidsavgreses 00. Beyttes det roller i virksomhete skal autoriserig for hver rolle skje uavhegig av persoellets øvrige roller 0. Er det etablert prosedyre for tildelig og admiistrasjo av tilgagsrettigheter: Autorisasjo for å lese, registrere, rette, slette og/eller sperre helse- og persoopplysiger skal gis til dem som har tjestlig behov. Autorisasjoe skal tildeles i hehold til betryggede prosedyrer. Lovbestemt taushetsplikt skal vurderes og overholdes. Også tekiske tiltak skal iverksettes for å ivareta krav til kofidesialitet ved aktivt å hidre uvedkomde i å få tilgag og for å sikre dokutasjo av dee tildelte autorisasjo? Autoriserig PJL 9, 22 PJL 3,. ledd A.9..2 Autoriserig A.9.2 PJL 22 og 23 PJF 3 HPL 25,. ledd og 2. ledd Utkast_ vedlegg_oversikt over s krav Side 2 av 45

22 Ku tekisk persoell d særskilt behov for tilgag, ka autoriseres for større gder helse- og persoopplysiger. Det skal iverksettes tiltak slik at mulig misbruk skal kue avdekkes? Autorisasjo for adre tjeester gis etter tjestlig behov, f.eks. autorisasjo til bruk av e-post, bruk av Iterett e.l? 02. Det skal registreres i det behadligsrettede et (ikl elektroisk pasietjoural (EPJ)) eller fagsystet år autorisasjoe beyttes. 03. Autorisasjo for å lese, registrere, rette, slette og/eller sperre helse- og persoopplysiger skal gis til dem som har tjestlig behov 04. Ku tekisk persoell d særskilt behov for tilgag, ka autoriseres for større gder helse- og persoopplysiger 05. Det skal iverksettes tiltak slik at mulig misbruk skal kue avdekkes behadligsrettet virksomhete (Må begrues) Loggig Autoriserig Hjeml til kravet i lov (leke til hjeml) PJF 4, c) databehadler PJF 3,.ledd og bokstav a) Autoriserig Autoriserig PJL 4, 3. ledd Utkast_ vedlegg_oversikt over s krav Side 22 av 45

23 behadligsrettet virksomhete (Må begrues) Hjeml til kravet i lov (leke til hjeml) databehadler 06. Er følgede tiltak iverksatt for å hidre at persoer ute autorisasjo får tilgag til helseog persoopplysiger: Tekiske og orgaisatoriske tiltak skal iverksettes slik at persoer ikke skal kue få tilgag til helse- og persoopplysiger de ikke er autorisert for? Dersom det er åpet for selvautoriserig, skal tekiske tiltak etableres på e slik måte at helsepersoell ka få tilgag til ødvedige helse- og persoopplysiger. Slik tilgag skal grugis og registreres i behadligsrettede helseregistre (ikl elektroisk pasietjoural (EPJ))? A Tekiske tiltak skal iverksettes slik at persoer i eller utefor virksomhete ikke skal kue edre opplysiger ute at det registreres i behadligsrettede helseregistre (ikl elektroisk pasietjoural (EPJ)) og fagsystem hvem som har edret og hva som er edret A.9.2 Autetiserig Utdypig av kravet der det ikke beyttes PKI: Passordfil skal krypteres 08. Systet som admiistrerer autorisasjo skal skille llom rettigheter til å lese, registrere, rette, slette og/eller sperre helse- og persoopplysiger 09. All tildelig av autorisasjo skal registreres i et autorisasjosregister 0. Dersom det er åpet for selvautoriserig, skal tekiske tiltak etableres på e slik måte at A.9.2 Autoriserig A.9.2 Autorisasjo Autoriserig PJF 3,. ledd HPL 25,. ledd PJF 3,.ledd, c) PJL 9, 2. ledd Utkast_ vedlegg_oversikt over s krav Side 23 av 45

24 behadligsrettet virksomhete (Må begrues) Hjeml til kravet i lov (leke til hjeml) databehadler helsepersoell ka få tilgag til ødvedige helse- og persoopplysiger. Tilgag ved selvautoriserig skal grugis og registreres i behadligsrettede helseregistre (ikl elektroisk pasietjoural (EPJ)) 2. Misbruk av selvautoriserig skal følges opp som avvik 3. Dataasvarlig skal sørge for at det opprettes et autorisasjosregister. Registeret skal som miimum ieholde: iformasjo om hvem som er tildelt autorisasjo til hvilke rolle autorisasjoe er tildelt (om rolle beyttes i virksomhete) formålet d autorisasjoe tidspukt for år autorisasjoe ble gitt og evetuelt tilbakekalt iformasjo om hvilke virksomhet de autoriserte er kyttet til helsepersoells autorisasjo for tilgag til helseopplysiger i ae virksomhet (ku om tilgag til helseopplysiger i ae virksomhet er tatt i bruk). Autoriserig Autoriserig Autoriserig PJL 9, 2. ledd PJF 4, 3. ledd PJF 3,.ledd c) Utdypig av kravet: Det skal også registreres hvem (fysisk idetifiserbar perso) som har opprettet (registrert) autorisasjoe 4. Har dataasvarlig for asjoal kjerejoural delegert mydighet for å tildele autorisasjo til de ekelte virksomhet som skal ta i bruk kjerejoural?.2 Utkast_ vedlegg_oversikt over s krav Side 24 av 45

25 5. 6. Skjer autorisasjo til kjerejoural gjeom autorisasjosløsig i ege virksomhet? Er autorisasjoe til kjerejoural tidsbegreset? 7. Ved tilgag til helseopplysiger llom virksomheter: Blir følgede ivaretatt ved helsepersoells autorisasjo for tilgag til helseopplysiger i ae virksomhet: beskrive rettigheter og plikter som følger av autorisasjoe? være i samsvar d regler om taushetsplikt? dokuteres i virksomhetes autorisasjosregister? alltid vurderes og evetuelt edres år det oppstår edriger i asvarsområder eller asettelsesforhold? 8. Ved tilgag til helseopplysiger llom virksomheter skal autorisasjoe tidsbegreses 9. Ved tilgag til helseopplysiger llom virksomheter skal det være e fuksjo for å sperre tilgag til helseopplysiger for helsepersoell fra adre virksomheter Med sperrig es e tekisk løsig der hele eller deler av jourale gjøres utilgjegelige for helsepersoell. Opplysigee skal kue sperres overfor både ekeltpersoer, grupper av helsepersoell og virksomheter behadligsrettet virksomhete (Må begrues) Hjeml til kravet i lov (leke til hjeml) Autoriserig databehadler Pasietrettigheter PJF 3,. ledd PJF 3,. ledd, bokstav b) og c) PJL 7 PJF 3,. ledd pasiet- og brukerrettighetslove 4-3 til 4-7 Utkast_ vedlegg_oversikt over s krav Side 25 av 45

26 20. Ivaretar autetiserige miimum følgede: Tildelig av autetiserigskriteria (som brukerav og passord) skal gjeomføres på e betryggede måte? Tilgag fra hjemkotor og/eller mobilt utstyr skal sikres ved autetiserig som ikke iebære økt risiko utover det som gjelder for stasjoært utstyr? 2. Ved tilgag til behadligsrettede helseregistre (ikl elektroisk pasietjoural (EPJ)) og fagsyster skal ulike asettelsesforhold idetifiseres. 22. Flere persoer skal ikke beytte sam autetiserigskriteria. 2 2 behadligsrettet virksomhete (Må begrues) Hjeml til kravet i lov (leke til hjeml) PJF 3, 2. ledd databehadler A.9 Autetiserig PJF 3, 2. ledd Utdypig av kravet der det ikke beyttes PKI: Passordet skal kue byttes ekelt av bruker Tvuget skifte av passord skal være tekisk mulig Passordets kvalitet og varighet skal kue kofigureres 23. Om det beyttes roller skal de ekelte rolle idetifiseres Om det beyttes roller skal de ekelte rolle ved behov gis ulike autetiserigskriteria Foretar de ekelte leder gjeomgag og kotroll av tilgagsstyrig, heruder tildelte autorisasjoer: A.9 Autetiserig A.9..2 Autetiserig A.9..2 Autetiserig A.9 og 23 PJF 3,. ledd bokstav e) og 3. ledd Utkast_ vedlegg_oversikt over s krav Side 26 av 45

27 Ved orgaisasjosedriger, overflyttig av persoell til ae ehet/avdelig eller edrig av arbeidsområde? Miimum årlig (gjere i forbidelse d sikkerhetsrevisjo)? Ved sikkerhetsbrudd for det iformasjosområdet som blir berørt av bruddet? 26. Virksomhetes ledelse skal påse at det jevlig gjeomføres kotroll av hvem som har hatt elektroisk tilgag til helseopplysiger i et behadligsrettet (ikl elektroisk pasietjoural (EPJ)) eller i et fagsystem. Utdypig av kravet: Behadligsrettet ikl elektroisk pasietjoural (EPJ) eller fagsystem må ha fuksjoalitet slik at kotrolle ka gjeomføres effektivt. 27. Blir virksomhetes ledelse varlet dersom kotrolle fører til mistake om at det har skjedd e urettssig tilgag? 28. Blir hedelse behadlet iht. etablerte prosedyrer for avviksbehadlig, særlig d heblikk på å få avklart om eksisterede tilgagskotroll er god ok? 29. Blir Datatilsyet iforrt dersom kotrolle viser at det har skjedd e urettssig tilgag? 30. Vurderer virksomhetes ledelse om pasiete/brukere skal iforres? behadligsrettet virksomhete (Må begrues) A.9.4 Autoriserig A.2.4. A.2.4. Hjeml til kravet i lov (leke til hjeml) PJF 3,. ledd bokstav e) og 3. ledd PJL 23 PJL 23 databehadler artikkel 33 artikkel 33 PJF 4, 3. ledd artikkel 34 Utkast_ vedlegg_oversikt over s krav Side 27 av 45

28 3. Samarbeider avtalepartee ved bruk av tilgag til helseopplysiger llom virksomheter om kotroll av tilgager? 32. Ved tilgag til helseopplysiger llom virksomheter skal dataasvarlige, som har adgag til å autorisere helsepersoell for tilgag, løpede kotrollere: hvem i ege virksomhet som elektroisk har hetet frem helseopplysiger fra ae virksomhet hvorfor dette er gjort tidsperiode helseopplysigee er hetet frem 33. Blir pasiete/brukere varslet, av virksomhete opplysigee er hetet fra, om kotrolle viser at oe urettssig har hetet frem helseopplysiger? 34. Blir avviket behadlet iht. etablerte prosedyrer for avviksbehadlig? 35. Er det etablert prosedyre for admiistrasjo av økler/adgagskort i adgagskotrollsystet? 36. Er det etablert sikkerhetstiltak som hidrer at persoer som ikke er autoriserte får tilgag til helse- og persoopplysiger ete ved adgagsregulert kotroll av lokaler d utstyr, eller ved at utstyret sikres mot misbruk og skjerr, utskrifter mv. skjers mot uautorisert isy? 37. Er det etablert sikkerhetstiltak som hidrer at aet e autorisert persoell får adgag til driftsutstyr? behadligsrettet virksomhete (Må begrues) Hjeml til kravet i lov (leke til hjeml) databehadler Autoriserig A.2.4. A...2 A.. A... PJL 23 artikkel 33 PJL 23 PJL 22, 23 Utkast_ vedlegg_oversikt over s krav Side 28 av 45

29 38. Blir alle lagrigsdia, dvs. disker, miepie, CD, mv., rket, og alle helse- og persoopplysiger slettet år lagrigsdiet tas ut av bruk? 39. Blir det gjeomført risikovurderig av løsigee som beyttes for mobilt utstyr og hjemkotor? 40. Er det etablert admiistrative prosedyrer for bruk av mobilt utstyr og hjemkotor? 4. Er det ved bruk av mobilt utstyr og hjemkotor etablert sikkerhetstiltak som hidrer at persoer som ikke er autorisert får tilgag til helse- og persoopplysiger ved at: behadligsrettet virksomhete (Må begrues) A.8 A.8. Hjeml til kravet i lov (leke til hjeml) databehadler artikkel 7 PJL 23 Tekiske tiltak iverksettes slik at det ku ka kommuiseres d predefiert utstyr. Autetiserig skal ikke iebære økt risiko utover det som gjelder for stasjoært utstyr. E risikovurderig må vise at autetiserigsløsige gir tilstrekkelig sikkerhet? Helse- og persoopplysiger skal bare lagres lokalt år dette er ødvedig ut fra tjestlig behov og skal alltid lagres kryptert? All kommuikasjo, ete dette skjer ved hjelp av trådløst sambad eller ved hjelp av lijer sikres ved krypterig iht. «NSM Cryptographic Requirets Versio 3.»? A.8 Utkast_ vedlegg_oversikt over s krav Side 29 av 45

30 42. Er det iverksatt tekiske tiltak slik at all kommuikasjo av helse- og persoopplysiger utefor virksomhetes kotroll krypteres? 43. Blir lagrigsehet for disisk utstyr som behadler helse- og persoopplysiger plassert i avlåst rom eller i bemaet område? 44. Blir disisk utstyr som behadler helse- og persoopplysiger ikludert i virksomhetes arbeid d iformasjossikkerhet, heruder i risikovurderiger, tilgagsstyrig og prosedyrer for bruk, på lije d adre iformasjossyster? 45. Blir kofigurasjoe sikret slik at utstyret og programvare ku utfører de fuksjoer som er formålsbestemt? 46. Blir følgede gjeomført før kofigurasjosedriger, dvs. edriger i utstyr og/eller programvare, blir satt i drift: Risikovurderig som viser at ivå for akseptabel risiko oppfylles? Test som sikrer at forvetede fuksjoer er Impleterig som sikrer mot uforutsette hedelser? Ny kofigurasjo er dokutert? Kofigurasjosedriger er godkjet av virksomhetes leder eller de ledelse bemydiger? 47. Blir kofigurasjoskotroll regulert gjeom avtale ved: Bruk av databehadler? behadligsrettet virksomhete (Må begrues) A.0. A.. A.. Hjeml til kravet i lov (leke til hjeml) databehadler Hådterigsforskrifte? Utkast_ vedlegg_oversikt over s krav Side 30 av 45

31 Bruk av fjeraksess for vedlikehold og oppdateriger? 48. Blir alle edriger i orgaisasjoe, iformasjossystee og syster som har ivirkig på iformasjossikkerhete forakret på relevat lederivå? 49. Har virksomhete utarbeidet prosedyrer for edrigsledelse som tar opp i seg følgede temaer: Idetifiserig av vesetlige edriger? Plaleggig og testig av edriger? Vurderig av potesielle kosekveser, for eksempel ved å gjeomføre e risikovurderig? Godkjeelsesprosedyre for edriger? Kommuikasjo av pla til aktuelle persoer/roller? Reserveprosedyrer om edrige må avbrytes, feiler eller at uøskede hedelser oppstår? Edrigslogg d relevate opplysiger? 50. Sørger virksomhetes ledelse for sikkerhetskopierig av helse- og persoopplysiger og ae iformasjo som er ødvedig for gjeopprettig av ormal bruk? 5. Blir sikkerhetskopier oppbevart avlåst og brasikret, og adskilt fra driftsutstyret? 52. Blir det jevlig foretatt test av at sikkerhetskopiee er korrekte og ka tilbakeføres? behadligsrettet virksomhete (Må begrues) Hjeml til kravet i lov (leke til hjeml) databehadler A.2.3. PJL 23 A A.2.3. Utkast_ vedlegg_oversikt over s krav Side 3 av 45

32 53. Ka loggee ekelt kue aalyseres ved hjelp av aalyseverktøy d heblikk på å oppdage brudd? 54. Er det etablert prosedyrer for å aalysere loggee slik at hedelser oppdages før de får alvorlige kosekveser, og fortrisvis ie uke? 55. Et det etablert prosedyrer for ved behov å kue samholde loggee d autorisasjosregister? 56. Fører brudd som avdekkes til at persoalssige reaksjoer iverksettes? 57. Blir det iverksatt ødvedige tekiske tiltak dersom persoalssige reaksjoer ikke har ødvedig effekt over tid, dvs. det er gjetatt tilgag av flere persoer som ikke er autorisert? 58. Blir det, for å oppdage brudd eller forsøk på å bryte regelverket, som miimum ført logg over følgede: Sikkerhetsbarrieree skal registrere sikkerhetsrelevate hedelser, bl.a. forsøk på uautorisert bruk av iformasjossystet? Nettverksoperativsyster skal registrere alle forsøk på uautorisert bruk? 59. For å oppdage brudd eller forsøk på å bryte regelverket skal det som miimum føres logg over: Autorisert bruk av iformasjossystee skal registreres behadligsrettet virksomhete (Må begrues) A.2.4. A.2.4 Hjeml til kravet i lov (leke til hjeml) PJF 4, 3. ledd PJL 23 databehadler A.2.4 A Loggig PJF 4,. og 3. ledd Utkast_ vedlegg_oversikt over s krav Side 32 av 45

33 Alle iformasjossyster skal registrere alle forsøk på uautorisert bruk. Bruk av selvautoriserig til behadligsrettet skal registreres. 60. Logger skal sikres mot edrig og slettig av uautorisert persoell 6. Følgede skal som miimum registreres i loggee: etydig idetifikator for de autoriserte brukere rolle de autoriserte brukere har ved tilgage (om det beyttes roller) virksomhetstilhørighet orgaisatorisk tilhørighet til de som er autorisert type opplysiger det er gitt tilgag til hvem som har fått utlevert helseopplysiger som er kyttet til pasietes eller brukeres av eller fødselsumr grulaget for tilgage tidspukt og varighet for tilgage 62. Ved tilgag til helseopplysiger llom virksomheter skal i tillegg følgede logges: perso og orgaisatorisk tilhørighet til de som har hetet frem helseopplysigee hvorfor helseopplysigee er hetet frem hvilke tidsperioder vedkomde har hetet frem helseopplysigee behadligsrettet virksomhete (Må begrues) Loggig Loggig Hjeml til kravet i lov (leke til hjeml) PJF 4,. ledd (ku delvis) HPL 45,. ledd databehadler Loggig Utkast_ vedlegg_oversikt over s krav Side 33 av 45

34 63. Alle logger skal kue aalyseres ved hjelp av eget verktøy og ved behov samholdes d autorisasjosregister 64. Har virksomhete prosedyrer for å skaffe seg iformasjo om tekiske sårbarheter i utstyr og programvare? 65. Er det etablert prosedyrer og operative tiltak som ivaretar: Asvaret for: overvåkig, risikovurderig, korrigerig og koordierig? Hvorda virksomhete skal reagere og varsle om sårbarheter? Prioriterig og etablerig av tidslije for korrigerig? 66. Foreligge det e godkjet pla for sikkerhetsrevisjoer? 67. Omfatter sikkerhetsrevisjoe som miimum vurderiger av: Plasserig av asvar og orgaiserig av sikkerhetsarbeidet? Kvalitet på sikkerhetsmål og sikkerhetsstrategi? Overholdelse av prosedyrer for bruk av iformasjossyster og helse- og persoopplysiger? Resultat av opplærig? Forvaltig og bruk av helse- og persoopplysiger? Tilgag til helse- og persoopplysiger og tiltak mot uautorisert isy? behadligsrettet virksomhete (Må begrues) Hjeml til kravet i lov (leke til hjeml) databehadler A.2.4 Loggig A PJL 23,. ledd PJL 23,. ledd PJL 23,. ledd artikkel 32 ()(d),. ledd (asvar og orgaiserig, tilgagsstyrig) PJL 23 (kotroll) Utkast_ vedlegg_oversikt over s krav Side 34 av 45

35 behadligsrettet virksomhete (Må begrues) Hjeml til kravet i lov (leke til hjeml) databehadler Testig, aalyserig og vurderig av hvor effektive de tekiske og orgaisatoriske sikkerhetstiltak er? Ivaretakelse av iformasjossikkerhet hos kommuikasjospartere, databehadlere og leveradører? 68. Blir resultatee og koklusjoee fra sikkerhetsrevisjoee dokutert? 69. Blir sikkerhetsrevisjoe som avdekker bruk av iformasjossystee som ikke er forutsatt, behadlet som avvik? 70. Har virksomhete tydelig defiert hvilke krav som gjelder for ettverkssikkerhet, og er tiltakee som iverksettes basert på e risikovurderig? 7. Er det etablert tekiske tiltak ved tilkoblig til ett utefor virksomhete som ivaretar at: Ku eksplisitt agitt tillatt trafikk ka passere, aet stoppes? Mist to uavhegige, tekiske tiltak skal iverksettes slik at persoer utefor virksomhete ikke skal kue få uautorisert tilgag til og/eller kue edre eller slette helse- og persoopplysiger? Trafikk ka ikke passere direkte utefra og i; all slik ekster trafikk må iitieres fra virksomhetes syster? Loggig iverksettes for å kotrollere at regler ikke brytes; ved brudd steges kaale itil y sikker løsig fies? g 6. A.3. PJL 23, 2. ledd PJL 23,. ledd,. ledd Utkast_ vedlegg_oversikt over s krav Side 35 av 45

36 72. Har virksomhete iverksatt tiltak for å forhidre at helseopplysiger tilgjegeliggjøres ved hjelp av e-post, SMS eller adre ukrypterte kaaler: Virksomhete skal forsikre seg om ved tekiske tiltak og orgaisatoriske tiltak at e- post ikke ieholder idetifiserbare helseopplysiger? Loggig skal iverksettes for å kotrollere at regler ikke brytes. Regelbrudd skal hådteres som avvik og persoalssige kosekveser skal vurderes? 73. Har virksomhete iverksatt følgede tiltak: Tekiske tiltak som sikrer at Iteretttjeeste er logisk atskilt fra der helse- og persoopplysiger behadles? Loggig iverksettes for å kotrollere at regler ikke brytes. Regelbrudd skal hådteres som avvik og persoalssige kosekveser skal vurderes? 74. Er det igått skriftlige avtaler d kommuikasjosparter dersom ikke aet er agitt? 75. Ikluderer avtalee forpliktelser om at partee skal oppfylle de krav og tiltak som følger av de til ehver tid gjeldede m for iformasjossikkerhet, samt regulerig av saksjoer ved brudd på og avtale for øvrig? 76. Er det avtalt at databehadler bare skal behadle helse- og persoopplysiger etter istruks fra dataasvarlig? A.8.2 (og A.2.4.). behadligsrettet virksomhete (Må begrues) Hjeml til kravet i lov (leke til hjeml) databehadler 5.7 A artikkel 28 Utkast_ vedlegg_oversikt over s krav Side 36 av 45

37 behadligsrettet virksomhete (Må begrues) Hjeml til kravet i lov (leke til hjeml) databehadler 77. Er det regulert i avtale hvorda databehadler behadler data på vege av dataasvarlig? 78. Er det regulert at databehadlere ikke ka egasjere uderleveradører ute at det på forhåd er ihetet særlig eller geerell skriftlig tillatelse til dette fra de dataasvarlige? 79. Er det regulert at dersom det er ihetet e geerell, skriftlig tillatelse, skal databehadlere uderrette de dataasvarlige om evetuelle plaer for edrig av uderleveradører? Er databehadleravtale skriftlig? Fremgår det av avtale at databehadler forplikter seg til å oppfylle kravee i? 82. Beskriver databehadleravtale: Databehadlers oppgaver? Hesikte d behadlige av helse- og persoopplysiger? Varighete av behadlige? Behadliges formål og art? Type persoopplysiger? Kategorier av registrerte? Dataasvarliges rettigheter og plikter? 83. Regulerer databehadleravtale: Kokrete sikkerhetstiltak? Databehadler skal på eget iitiativ treffe alle tiltak som er ødvedig for å sikre god iformasjossikkerhet, heruder å følge kravee i? A.5 A.2. A.5... artikkel 28 (3) artikkel 28(2) artikkel 28 (4) artikkel 28 (3) artikkel 28 artikkel 28 Utkast_ vedlegg_oversikt over s krav Side 37 av 45

38 behadligsrettet virksomhete (Må begrues) Hjeml til kravet i lov (leke til hjeml) databehadler Databehadler skal bare kue overføre persoopplysigee til utladet etter istruks fra de dataasvarlige? Databehadler skal bare autorisere persoer som er uderlagt taushetsplikt for behadlig av helse- og persoopplysiger? Krav til bruk av uderleveradører (ae databehadler)? Dataasvarlig skal sikres isysrett for å forsikre seg om at kravee etterleves? 84. Regulerer databehadleravtale at databehadler har plikt til å bistå d/i: tekiske og orgaisatoriske tiltak for å utøve de registrertes rettigheter? relevate tekiske og orgaisatoriske tiltak for å sikre god iformasjossikkerhet? å lde brudd på persoveret til Datatilsyet? å varsle de registrerte om brudd på persoveret? dokutasjo av allerede gjeomført relevat persoverkosekvesvurderig eller gjeomførig av? persoverkosekvesvurderig forhådsdrøftiger d Datatilsyet slette eller tilbakelevere? persoopplysigee etter istruks gjøre tilgjegelig all iformasjo som viser at pliktee etter databehadleravtale er å bidra i sikkerhetsrevisjoer? artikkel 28 Utkast_ vedlegg_oversikt over s krav Side 38 av 45