Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Transkript

1 Personvern og informasjonssikkerhet i kontakten med pasient/bruker En veileder i bruk av portalløsninger, SMS og e-post Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 2.0

2 INNHOLD 1 INNLEDNING BAKGRUNN OM VEILEDEREN MÅLGRUPPE LOVGRUNNLAG / HJEMMEL VIRKSOMHETENS ANSVAR VED KOMMUNIKASJON MED PASIENTEN/BRUKEREN BRUK AV SMS I KONTAKT MED PASIENTEN/BRUKEREN ETABLERING AV SMS-LØSNING Bruk av SMS Avtale med tjenesteyter - databehandler Samtykke fra pasienten/brukeren INNHOLD I SMS TEKNISK LØSNING FOR SMS Hendelsesregistrering ved utsendelse og mottak av SMS EKSEMPEL 1 - TEKNISK LØSNING FOR SMS EKSEMPEL 2 - TEKNISK LØSNING FOR SMS BRUK AV E-POST I KONTAKT MED PASIENTEN/BRUKEREN E-POST SOM IKKE INNEHOLDER HELSEOPPLYSNINGER E-POST SOM INNEHOLDER HELSEOPPLYSNINGER INNHOLD I E-POST: KRAV TIL INFORMASJONSSIKKERHET I PASIENTKOMMUNIKASJON SAMTYKKE AVTALER RISIKOVURDERING BRUK AV FØDSELSNUMMER DRIFT OG KONFIGURASJONSENDRINGER ONDSINNET PROGRAMVARE KRYPTERINGSSTYRKE HENDELSESREGISTRERING INTEGRITET OG KVALITET TILGJENGELIGHET FOR PASIENTKOMMUNIKASJON AVVIK KRAV TIL INFORMASJONSSIKKERHET I PORTALLØSNINGER PASIENTEN/BRUKERENS RETT TIL INNSYN, RETTING OG SLETTING OPPLÆRING AUTORISERING AUTORISASJONSREGISTER AUTENTISERING HENDELSESREGISTRERING TEKNISK LØSNING KONFIDENSIALITET EKSEMPEL 1- PORTALLØSNING HELSEPERSONELL DRIFTER PORTALEN EKSEMPEL 2 - PORTALLØSNING - HELSENORGE.NO Veileder for portaler sms og e-post versjon 2 side 2 av 39

3 5.11 EKSEMPEL 3 - PORTALLØSNING - PRIVAT BRUK DEFINISJONER VEDLEGG EKSEMPEL PÅ SAMTYKKEERKLÆRING VED BRUK AV PASIENTKOMMUNIKASJON Eksempel på samtykkeerklæring ved bruk av portalløsning EKSEMPEL PÅ RISIKOVURDERING DELTAGERE I UTARBEIDELSE AV VEILEDEREN Endringshistorikk for og godkjenning av dokumentet Versjon Endringer Godkjent av styringsgruppen for Normen (dato) 1.0 Første utgave av n 14. mars Oppdateringer etter presisering om SMS i Normen 4.0 kap Tatt inn innhold fra utgått faktaark 33 (epost) Oppdaterte definisjoner (lovhenvisninger) Endret rekkefølge på kapittlerteksten i kapitlet om sms og epost er likt strukturert (tatt inn opplisting over hva som kan sendes på epost med presisering av at supplerende rutiner kan være nødvendig) 2.0 Formuleringen i kap 2.2 endret til «skal ikke avdelings- 12.februar 2015 navn som...psykiatrisk poliklinikk..., benyttes» «Stilltiende» er tatt ut, og tilhørende omtale i 1.4 er endret. Presisering om at vanlig e-post ikke skal benyttes til identifiserbare helseopplysninger er tatt inn først i kapittel 3.0 En del mindre innspill fra Helse Nord er tatt inn i teksten Veileder for portaler sms og e-post versjon 2 side 3 av 39

4 1 INNLEDNING 1.1 Bakgrunn Bruk av elektronisk samhandling kan ha betydelig nytteverdi for pasienten/brukeren og virksomhetene i sektoren. Tilgjengelighet og raskt å kunne få svar på spørsmål vil for mange pasienter/brukere bedre helsehjelpen og opplevelsen av tjenesten. Bruk av elektronisk pasientkommunikasjon mellom virksomheten og pasienten/brukeren på nye områder vil utvikles raskt og oppleves som et krav fra yngre og nye pasient/brukergrupper. Løsninger for pasientkommunikasjon vil bidra til at sektoren lærer av erfaringer og tilbakemeldinger fra pasienter/brukere. Pasientkommunikasjon i denne n omhandler portalløsninger, SMS og e-post. Eksempler på bruksområder for elektronisk pasientkommunikasjon: Portalløsning o Fjernkonsultasjon (bl.a. sanntids spørsmål og svar/chat, videokommunikasjon uten lagring) med helsepersonell o Bestille, endre, bekrefte eller avlyse timeavtale o Reseptfornying o Føring av pasientdagbok o Utfylling av skåringsskjemaer for egen helse (for eksempel blodtrykksverdier eller resultat av insulinmålinger) o Utfylling av spørreskjema fra helsetjenesten (for eksempel skjema om sykdomshistorikk i forkant av kirurgisk inngrep eller annen behandling) o Tilgang til egne helseopplysninger (bl.a pasientjounal, kjernejournal, prøvesvar og epikriser henvisningsstatus, innkallingsbrev) o Se på egne resepter i Reseptformidleren (E-resept) o Melde bivirkninger o Bestille helsetrygdekort o Bytte fastlege o Utskrift av vaksinasjoner o Samtykkehåndtering generelt for en virksomhet SMS o Timebestilling, -påminnelse, -innkalling og -bytte o Aksept av timebytte (svar fra pasienten/brukeren til virksomheten) o Passord for autentisering til tjenester (sikkerhetsnivå 3) o Abonnement på informasjon om et tema o E-post o Timebestilling, -påminnelse, -innkalling og -bytte o Aksept av timebytte (svar fra pasienten/brukeren til virksomheten) o Abonnement på informasjon om et tema Formålet med elektronisk pasientkommunikasjon er bl.a. å: Øke tilgjengeligheten i samhandlingen mellom virksomheten og pasienten/brukeren Forenkle samhandlingen mellom virksomheten og pasienten/brukeren Veileder for portaler sms og e-post versjon 2 side 4 av 39

5 Øke effektiviteten og kvaliteten på samhandlingen mellom virksomheten og pasienten/brukeren Legge til rette for pasientmedvirkning og medbestemmelse Ivareta toveis kommunikasjon mellom helsepersonell og pasienten/brukeren Oppfylle lovpålagt tjeneste hvor fastlege skal kunne motta timebestilling elektronisk (jf. forskrift om fastlegeordning i kommunene 21) Samtidig som pasientkommunikasjon gir økte muligheter for samhandling mellom helsepersonell og pasienten/brukeren, er det viktig å være bevisst på at mulighetene også gir sikkerhetsmessige utfordringer. Denne n i personvern og informasjonssikkerhet i kontakt med pasienten/brukeren, utarbeidet under Norm for informasjonssikkerhet (Normen), er ment å være til hjelp for å møte disse utfordringene. 1.2 Om n Veilederen er utarbeidet for styringsgruppen for Normen med støtte av Helsedirektoratet og i samarbeid med leverandører i sektoren og sektorens egen referansegruppe. Se kapittel 7.3 for deltagere i referansegruppen. Formålet med n er å konkretisere og gi veiledning med hensyn til hvilke tekniske og administrative tiltak som må ivaretas i virksomheten ved etablering av løsninger for pasientkommunikasjon for å oppfylle kravene i Normen. Virksomheten er forpliktet av Normen ved inngåelse av kundeavtale med Norsk Helsenett (jf. Normens kapittel 1.6). Av dette følger at løsningen for pasientkommunikasjon må ivareta Normens krav. Virksomheten skal oppfylle kravene i Normen. Veilederen gjelder løsninger for pasientkommunikasjon hvor det behandles helse- og personopplysninger og n gir hjelp til bl.a.: Ivaretakelse av kravet til samtykke fra pasienten/brukeren Ivaretakelse av pasienten/brukerens rettigheter Informasjon til pasienten/brukeren Mulige teknologiske løsninger Nødvendige prosedyrer Veilederen gjelder uavhengig om pasienten/brukeren benytter stasjonær eller bærbar PC, lesebrett, mobiltelefon eller andre smarte enheter i pasientkommunikasjon. Veilederen må leses i sin helhet ettersom kravene er dokumentert i flere kapitler. Veilederen gjengir krav i Normen og gir anbefalinger for hvordan kravene kan ivaretas ved pasientkommunikasjon. 1.3 Målgruppe Målgruppen for n er virksomheter som omfattes av Normen og som gjør bruk (eller planlegger å gjøre bruk) av elektroniske løsninger for pasientkommunikasjon. Internt i Veileder for portaler sms og e-post versjon 2 side 5 av 39

6 virksomhetene er det særlig ledelsen, sikkerhetsleder eller sikkerhetskoordinator og IKTansvarlig som vil finne hjelp i n. Leverandør vil også kunne ha nytte av n. 1.4 Lovgrunnlag / hjemmel For all behandling av helse- og personopplysninger er det nødvendig med et rettsgrunnlag, Utgangspunktet og hovedregelen i personvernlovgivningen er samtykke, men dette kan f. eks også være lovhjemmel (for eksempel i form av helsepersonellets dokumentasjonsplikt). For at et samtykke kan regnes som gyldig, må det være: frivillig - samtykket må være gitt under omstendigheter som sikrer at det er skjedd frivillig, etter moden overveielse og med full oversikt over konsekvensene. Det kan for eksempel ikke knyttes negative sanksjoner til ikke å gi sitt samtykke uttrykkelig - skriftlighet ivaretar best dette kravet, selv om det i utgangspunktet ikke er et krav informert pasienten/brukeren må få relevant informasjon om hva han skal samtykke til, hva som er formålet med bruken av opplysningene osv. Kravet til samtykkets innhold og form vil variere etter tiltakets alvor, risiko og situasjonen for øvrig. Ved spesielt risikofylte eller inngripende tiltak, vil det kunne være hensiktsmessig å innhente skriftlig samtykke. Pasienten/brukeren kan når som helst og formfritt trekke tilbake sitt samtykke. Den enkleste måten å dokumentere et gyldig samtykke på, er å innhente skriftlig samtykke vha. et samtykkeskjema.. Eksempel på skjema finnes i kapittel 7.1. Vedrørende samtykke for barn under 16 år gjelder pasient- og brukerrettighetsloven 4-4 (samtykke på vegne av barn) og 3-4 (informasjon når pasienten er mindreårig). Kravene til informasjonssikkerhet er hjemlet i personopplysningsloven 13. Disse kravene er nærmere beskrevet i personopplysningsforskriftens kapittel 2 der bestemmelsene i 2-11 (sikring av konfidensialitet), 2-12 (sikring av tilgjengelighet) og 2-13 (sikring av integritet) er mest relevante. 1.5 Virksomhetens ansvar ved kommunikasjon med pasienten/brukeren Iht kapittel i Normen er virksomheten ansvarlig for at: samtykke fra pasienten/brukeren er innhentet til å formidle helse- og personopplysninger til pasient/bruker elektronisk. Samtykket skal innhentes i tråd med alminnelige regler for samtykke. Samtykke fra pasienten/brukeren er etter Normen det eneste grunnlaget for datakommunikasjon med pasienten/brukeren. dersom pasient/bruker har oppgitt digital kontaktinformasjon (til virksomheten) kan dette anses som et samtykke til at virksomheten kan sende timepåminnelse per SMS. Videre skal virksomheten påse at det gjennomføres tilstrekkelige tiltak for å sikre at meldinger sendes til Veileder for portaler sms og e-post versjon 2 side 6 av 39

7 rett mottaker i SMS-løsning for påminnelse om timeavtale og annet administrativt innhold. Det skal legges til rette for at pasient/bruker kan melde fra til virksomheten om at de ikke ønsker å motta slike meldinger. Den samlede informasjonen i meldingen må vurderes ut fra om innholdet totalt sett kan medføre brudd på taushetsplikten pasienten/brukeren entydig identifiseres tekniske tiltak iverksettes slik at all kommunikasjon krypteres det ikke skal kunne kommuniseres samtidig med andre parter enn den angitte pasienten/brukeren helse- og personopplysninger skal ikke stilles til rådighet på en slik måte at pasienten/brukeren er avhengig av å lagre opplysningene på eget utstyr for å gjøre seg kjent med informasjonen Oppfyller virksomheten kravene ovenfor, kreves det ikke særskilt avtale med pasienten/brukeren. Virksomheten (databehandlingsansvarlig) er ansvarlig for at løsningen for pasientkommunikasjon oppfyller kravene i Normen. 2 BRUK AV SMS I KONTAKT MED PASIENTEN/BRUKEREN SMS benyttes i mange sammenhenger i kommunikasjon mellom pasienten/brukeren og helsetjenestetilbyder. I den anledning er det viktig å etablere løsninger som ikke benyttes til overføring av informasjon som bryter med kravet til personvern og informasjonssikkerhet. Ved etablering av løsning for SMS kommer kravene nedenfor i tillegg til kravene i kapittel 4 merket med «SMS» 2.1 Etablering av SMS-løsning Bruk av SMS Virksomhetens leder skal beslutte om SMS kan benyttes ved kontakt med pasienten/brukeren og beskrive formålet med bruk av SMS. Regler for utplukk av pasienten/brukeren som skal motta SMS og løsning for utsendelse og mottak av SMS bør beskrives. Hvilke data som skal sendes og mottas som SMS bør dokumenteres og danne grunnlag for beslutningen. Endring av formål (se eksemplene i kapittel 2.2 ovenfor) og beskrivelsen skal godkjennes av virksomhetens leder. Masseutsendelse av SMS skal følge de samme reglene som enkeltstående SMS (for eksempel en SMS som sendes alle pasienter/brukere over 70 år med ordlyd: Alle over 70 år tilbys vaksine mot influensa. Ta kontakt med <virksomhet> for timeavtale ). Virksomheten skal påse at det gjennomføres tilstrekkelige tiltak for å sikre at meldinger sendes til rett mottaker i SMS-løsning for påminnelse om timeavtale og annet administrativt innhold. Innhenting av mobilnummer fra nummeropplysningstjenester vil ikke være et tilstrekkelig tiltak. Et godt tiltak vil være å innhente mobilnummer direkte fra pasient/bruker, eller informere om løsningen og registret kontaktinformasjon i innkallingsbrev til pasienter/brukere, f.eks med slik ordlyd: Veileder for portaler sms og e-post versjon 2 side 7 av 39

8 SMS <Vi ønsker å gi deg en påminnelse på SMS i forkant av avtalen. Hvis ditt mobilnummer er registrert hos oss, vil det stå her:>< (nummer)<xxxxxxxx>. <Gi oss beskjed hvis ditt nummer ikke er registrert, er registrert feil eller du ikke ønsker SMSpåminnelse.> Avtale med tjenesteyter - databehandler Kapittelet utgår om tjenesteyter ikke benyttes. Se kapittel 2.4 og 2.5 for eksempel med bruk av tjenesteyter og kapittel 4.2 for krav til etablering av databehandleravtale. Databehandleravtalen bør inneholde et slettekrav når SMS er vellykket videreformidlet Samtykke fra pasienten/brukeren Se kapittel 4.1 for krav til samtykke fra pasienten/brukeren. Pasienten / brukeren skal informeres om at samtykket kan trekkes tilbake når som helst, f. eks hvis man ikke ønsker å motta påminnelse om timer. Virksomheten må ha rutiner og tekniske løsninger som gjør det mulig å ta i mot og behandle slike henvendelser fra pasient / bruker. For å ivareta kravet til at det kun sendes SMS med timepåminnelse til pasient / bruker som ønsker det, kan systemet som genererer og sender ut SMS kontrollere at pasienten/brukeren ikke har reservert seg for eksempel med kontroll mot et avkrysningsfelt i fagsystemet. Virksomheten skal påse at det gjennomføres tilstrekkelige tiltak for å sikre at meldinger sendes til rett mottaker i SMS-løsning for påminnelse om timeavtale og annet administrativt innhold, se kapittel Innhold i SMS Virksomheten som benytter løsningen er ansvarlig for og skal påse at krav til informasjonssikkerhet ivaretas. Den samlede informasjonen i SMS må vurderes ut fra om innholdet totalt sett kan medføre brudd på taushetsplikten. Eksempler på informasjon som kan sendes som SMS - Navn, helst kun fornavn - Fødselsdato, kun dato, måned og år - Bestilling av time - Bekreftelse på timeavtale (..minner om timeavtale hos oss tir. 5. jan kl mvh <navn> ) - Aksept av timeavtale (svar tilbake til avsender at avtalen er OK Ja/Nei) - Endring av timeavtale (Time 5. jan kl 1200 utgår. Du er satt opp med ny time 18. januar kl Bekreft om foreslått tidspunkt passer Ja/Nei) - Forespørsel om blodgiving Veileder for portaler sms og e-post versjon 2 side 8 av 39

9 - Aksept av blodgiving (Ja/Nei) - Bekreftelse på at en resept er klar til henting ( Resepten din er ferdig og klar for henting ) - Engangspassord for pålogging til kommunikasjonsløsninger som inneholder helseopplysninger - Varsling om nye meldinger i andre systemer - Annet som er relatert til praktiske forhold vedr. kontakten mellom helsetjenestetilbyder og pasienten/brukeren, og som ikke inneholder sensitive personopplysninger (...vi har flyttet til... ) - Hvis det ikke kan eller skal sendes svar på SMS skal det opplyses om det i meldingen som sendes til pasienten/brukeren, f. eks kan meldingen utvides med: Du kan ikke sende svar på denne SMS Hver enkelt virksomhet må vurdere om navn på avdelinger eller oppmøtesteder som er tenkt brukt i SMS-varsel er av en slik karakter at det kan avledes opplysninger om diagnose eller helseforhold. For eksempel skal ikke avdelingsnavn som... psykiatrisk poliklinikk...,...gynekologisk avdeling... benyttes. Eksempler på informasjon som ikke kan sendes som SMS - Fødselsnummer (11 siffer) - Helseopplysninger. Dette gjelder for eksempel diagnose i form av kode eller tekst som viser pasienten/brukerens helsetilstand. - Reseptinformasjon. Dette gjelder for eksempel innhold i eller forordning av legemiddel - Avdelingsnavn (som kan knyttes til diagnose eller helseforhold. Unngå for eksempel...psykiatrisk poliklinikk...,...gynekologisk avdeling... ) Eksempler på informasjon som ikke bør sendes som SMS - Telefonnummer til avsender (slik at det ikke er mulig å identifisere avsender/avdeling med navn som kan angi helseforhold eller diagnose). 2.3 Teknisk løsning for SMS Se kapittel 2.4 og 2.5 for eksempler på tekniske løsninger for SMS. Se kapittel 4.5 for krav til drift og konfigurasjonsendringer og kapittel 4.8 for krav til oppbevaring og analyse av hendelsesregistre Hendelsesregistrering ved utsendelse og mottak av SMS Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og For å oppdage brudd eller forsøk på å bryte regelverket skal det som minimum føres hendelsesregistre over følgende: Autorisert bruk av informasjonssystemene skal registreres. Ved utsendelse av SMS fra virksomheten skal hendelsesregistre som minimum inneholde entydig identifikator for den autoriserte brukeren rollen den autoriserte brukeren har ved tilgangen virksomhetstilhørighet Faktaark 15 Hendelsesregistrering og oppfølging Veileder for portaler sms og e-post versjon 2 side 9 av 39

10 Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og organisatorisk tilhørighet til den som er autorisert tidspunkt (dato og klokkeslett) For feilsøking og drift anbefales det at følgende hendelsesregistreres ved bruk av SMS: Oppgaven eller funksjonen (for eksempel i EPJ-system) som initierer oppgaven, meldingskode, løpenummer, melding som sendes som SMS All utsendelse med løpenummer, meldingskode, mobilnummer, tidspunkt Feil ved utsendelse av SMS med løpenummer, meldingskode, mobilnummer, tidspunkt Kvittering fra tjenesteyter (om tjenesteyter benyttes.) med mobilnummer, meldingskode, tidspunkt Mottak av svar med mobilnummer, meldingskode, mottatt svar, tidspunkt Veileder for portaler sms og e-post versjon 2 side 10 av 39

11 2.4 Eksempel 1 - teknisk løsning for SMS Merk at det ikke er nødvendig å benytte tjenesteyter. Databehandler -avtale 1) Ved bruk av tjenesteyter i utlandet skal data behandles iht norsk lov Virksomhet Timebok, EPJ eller personal-/ pasientadministrativt system Tjenesteyter 1) Mobiloperatør (for eksempel Telenor og Netcom) Pasient/bruker Hendelsesregister for SMS lagres i 2 år Overføring av SMS på linje (via helsenettet) SMS system Overføring av SMS uten bruk av tjenesteyter på linje (via helsenettet) Overføring av SMS på linje Overføring av SMS i bakkenettet (ordinær telefoni) Mobilnettverk Mottar SMS med melding. Svar følger samme veien tilbake Eksempelet illustrer både løsning med og uten tjenesteyter. Som det fremgår fungerer tjenesteyter som en mellommann mellom virksomheten og mobiloperatøren. Tjenesteyter vil behandle personopplysninger på vegne av virksomheten og det må inngås en databehandleravtale med tjenesteyter. 2.5 Eksempel 2 - teknisk løsning for SMS Bestilling av time via SMS Pasient/bruker sender inn SMS med ønske om time til sitt legekontor. SMS transporters via telenettet til teleoperatør. Fra teleoperatør går meldingen videre til tjenesteyter over Internett. Hos tjenesteyter lagres meldingen midlertidig i DMZ før meldingen hentes inn til sikker sone. Legg merke til at all kommunikasjon initieres fra innsiden og ikke motsatt. Meldingen hentes så inn i f.eks. EPJ-system/timebok via helsenettet, timeavtale settes opp og melding med tildelt time sendes tilbake samme vei. Veileder for portaler sms og e-post versjon 2 side 11 av 39

12 Merk at all kommunikasjon inn og ut av helsevirksomhetens sikre sone initieres fra helsevirksomheten, selv om det er pasienten som initierer kommunikasjonen. Veileder for portaler sms og e-post versjon 2 side 12 av 39

13 3 BRUK AV E-POST I KONTAKT MED PASIENTEN/BRUKEREN Ordinær e-post skal ikke benyttes til kommunikasjon av helseopplysninger, men kan benyttes til kommunikasjon av personopplysninger (se kap. 1.1 ovenfor for eksempler på bruksområder) mellom virksomheten og pasienten/brukeren. Det anbefales at e-post benyttes med varsomhet til kommunikasjon mellom virksomhet og pasienten/brukeren. Grunnen er at både pasienten/brukeren og helsepersonell av ubetenksomhet lett kan sende sensitive personopplysninger og bryte gjeldende regelverk. Virksomheten må ta stilling til om e-post skal benyttes til kommunikasjon av sensitive personopplysninger. Hvis dette er aktuelt må det sikres at kravene i kapittel 3.2 oppfylles gjennom en sikker kommunikasjonsløsning. 3.1 E-post som ikke inneholder helseopplysninger Har virksomheten besluttet at det ikke skal benyttes e-post til kommunikasjon av sensitive personopplysninger skal virksomheten iverksette tiltak for å forhindre at helseopplysninger formidles ved hjelp av e-post. Som minimum skal databehandlingsansvarlig: Beskrive og informere helsepersonell i virksomheten om hva e-post kan og ikke kan benyttes til Ha prosedyrer for hendelsesregistrering for å kontrollere at det ikke sendes sensitive personopplysninger ifm bruk av ordinær e-post Sørge for at virksomhetens offentlig tilgjengelig nettsted fraråder pasienten å sende helse- og personopplysninger via e-post, evt. henvise til en sikker tjeneste for slik kommunikasjon. Det bør også opplyses at henvendelser som inneholder helseopplysninger ikke vil bli besvart, men at det må benyttes telefon, ev. sikre tjenester som måtte foreligge eller at kontakt må tas ved personlig fremmøte Klargjøre internt i virksomheten at dersom virksomheten likevel mottar e-post som inneholder helseopplysninger fra pasient / bruker, skal ikke slike henvendelser besvares, men at det må benyttes telefon eller at pasienten må oppfordres til personlig fremmøte eller at det henvises til en ev. sikker tjeneste 3.2 E-post som inneholder helseopplysninger Velger virksomheten å etablere løsning for e-post med sensitive personopplysninger skal kravene merket med E-post med helseopplysninger i kapittel 4 nedenfor ivaretas. Det skal være et klart skille mellom virksomhetens e-postfunksjonalitet for kommunikasjon av helseopplysninger og generell e-postløsning. E-postløsningen som benyttes for helseopplysninger må: - sikre at alle oversendinger blir kryptert Veileder for portaler sms og e-post versjon 2 side 13 av 39

14 - sikre at kun forhåndsdefinerte mottakere (f.eks. mottakere i virksomhetens katalogtjeneste) kan motta e-post fra løsningen - ha tilstrekkelig beskyttelse mot ondsinnet programvare og e-post/spam Avsender må være sikker på at mottaker også har slike tiltak implementert. Virksomheten må også ha prosedyrer som sørger for at journalverdig informasjon fra dette systemet blir riktig journalført. 3.3 Innhold i e-post: Virksomheten som benytter løsningen er ansvarlig for og skal påse at krav til informasjonssikkerhet ivaretas. Den samlede informasjonen i e-posten må vurderes ut fra om innholdet totalt sett kan medføre brudd på taushetsplikten. Større virksomheter kan ha behov for å utarbeide egne rutiner for å presisere hva som kan sendes i ordinær e-post. Eksempler på informasjon som kan sendes i ordinær e-post: - Navn, helst kun fornavn - Fødselsdato, kun dato, måned og år - Bestilling av time - Bekreftelse på timeavtale (..minner om timeavtale hos oss tir. 5. jan kl mvh <navn> ) - Aksept av timeavtale (svar tilbake til avsender at avtalen er OK Ja/Nei) - Endring av timeavtale (Time 5. jan kl 1200 utgår. Du er satt opp med ny time 18. januar kl Bekreft om foreslått tidspunkt passer Ja/Nei) - Forespørsel om blodgiving - Aksept av blodgiving (Ja/Nei) - Bekreftelse på at en resept er klar til henting ( Resepten din er ferdig og klar for henting ) - Varsling om nye meldinger i andre systemer - Annet som er relatert til praktiske forhold vedr. kontakten mellom helsetjenestetilbyder og pasienten/brukeren, og som ikke inneholder sensitive personopplysninger (...vi har flyttet til... ) - Hvis det ikke kan eller skal sendes svar på e-post, skal det opplyses om det i e-posten som sendes til pasienten/brukeren, f. eks kan meldingen utvides med: Du kan ikke sende svar på denne e-posten. Eksempler på informasjon som ikke kan sendes i ordinær e-post - Fødselsnummer (11 siffer) - Helseopplysninger. For eksempel diagnose i form av kode eller tekst som viser pasienten/brukerens helsetilstand - Reseptinformasjon. For eksempel innhold i eller forordning av legemiddel - Avdelingsnavn (som kan knyttes til diagnose eller helseforhold. Unngå for eksempel...psykiatrisk poliklinikk...,...gynekologisk avdeling... ) Eksempler på informasjon som ikke bør sendes i e-post - Telefonnummer til avsender (slik at det ikke er mulig å identifisere avsender/avdeling med navn. som kan angi helseforhold eller diagnose) Veileder for portaler sms og e-post versjon 2 side 14 av 39

15 4 KRAV TIL INFORMASJONSSIKKERHET I PASIENTKOMMUNIKASJON Kravene nedenfor gjelder for pasientkommunikasjon generelt. Det enkelte krav gjelder for de bruksområdene for pasientkommunikasjon som er avkrysset ( ) i det enkelte kapittel. Krav som gjelder i tillegg for det enkelte bruksområdet er beskrevet i kapitlene 2, 3 og Samtykke Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Virksomheten er ansvarlig for at: Samtykke fra pasienten/ brukeren er innhentet til å formidle helse- og personopplysninger elektronisk. Samtykke skal innhentes i tråd med alminnelige regler for samtykke. Samtykke fra pasienten/brukeren er etter Normen det eneste grunnlaget for datakommunikasjon med pasienten/brukeren Dersom pasient/bruker har oppgitt digital kontaktinformasjon (til virksomheten) kan dette anses som et samtykke til at virksomheten kan sende timepåminnelse per SMS. ( ). Det skal legges til rette for at pasient/bruker kan melde fra til virksomheten om at de ikke ønsker å motta slike meldinger ( ) Samtykket skal være informert, noe som betyr at pasienten/brukeren må få tilstrekkelig informasjon til å forstå hva samtykket innebærerdet anbefales at virksomheten utarbeider informasjon om bruk av løsningen for elektronisk pasientkommunikasjon som gis skriftlig eller muntlig til pasienten/brukeren. Bl.a. skal det informeres om hva den digitale kontaktinformasjonen skal brukes til og om at pasienten/brukeren ikke skal sende helseopplysninger via SMS eller e-post. Videre må samtykke være uttrykkelig og frivillig. Dersom pasient/bruker oppgir digital kontaktinformasjon til virksomheten regnes dette som et samtykke til elektronisk kommunikasjon av ikketaushetsbelagt informasjon som f.eks timepåminnelse. Dette kan skje i form av at pasient / bruker oppgir telefonnummer eller e-postadresse. Pasient/bruker må samtidig informeres om konsekvenser av å oppgi digital kontaktinformasjon. Veileder for portaler sms og e-post versjon 2 side 15 av 39

16 Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Samtykket gjelder til det blir trukket tilbake. Pasient/ bruker kan når som helst trekke sitt samtykke tilbake. Dette trenger ikke gjøres skriftlig, men kan for eksempel skje muntlig i skranken i virksomheten. Samtykke bør kunne gis elektronisk ved første gangs bruk av løsningen for pasientkommunikasjon. Det anbefales at helsepersonellet gjør en vurdering av samtykket før igangsetting av pasientkommunkasjon. Se kapittel 7.1 for eksempel på skjema for samtykke. 4.2 Avtaler Krav i Normen kapittel 5.8 Anbefalt løsning Referanse til faktaark og Det skal inngås skriftlige avtaler med leverandør. Avtalene skal inkludere forpliktelser om at partene skal oppfylle de krav og tiltak som følger av den til enhver tid gjeldende Norm for informasjonssikkerhet, samt regulering av sanksjoner ved brudd på Normen og avtalen for øvrig. Når leverandør utfører behandling av helse- og personopplysninger på vegne av virksomheten skal det inngås en databehandleravtale. Drifter leverandør løsninger for flere kunder skal denne sørge for at det ikke opprettes felles registre som inneholder helseopplysninger for flere kunder. Dette skal klart fremgå av databehandleravtalen. For leverandører av utstyr og/eller programvare som må ha adgang, til systemer som behandler helse- og personopplysninger, for vedlikehold, feilretting, oppdatering, ved hjelp av online tilkobling og/eller fysisk oppmøte skal det inngås en Faktaark 10 - Bruk av databehandler (ekstern driftsenhet). Faktaarket inneholder både eksempel på databehandleravtale og sjekkliste med krav til databehandler og etablering av databehandleravtale) Faktaark 36 - Fjernaksess mellom leverandør og virksomhet Veileder for fjernaksess mellom leverandør og virksomhet, versjon 2.0 Veileder for portaler sms og e-post versjon 2 side 16 av 39

17 Krav i Normen kapittel 5.8 Anbefalt løsning Referanse til faktaark og databehandleravtale. Det må sikres at det er inngått avtale som ivaretar taushetsplikten (enten ved inngåelse av databehandleravtale eller annen avtale). Drifter leverandør kun selve portalen (grensesnittet mellom pasient/bruker og virksomhetens fagsystem) er det vesentlig å avtale at mellomlagringen må sikres og slettes i portalen etter at kommunikasjonen er gjennomført. Alternativt kan det benyttes PKI som sikrer kommunikasjonen mellom pasient/bruker og virksomhetens fagsystem. 4.3 Risikovurdering Krav i Normen kapittel 4.6 Anbefalt løsning Referanse til faktaark og Risikovurdering skal som minimum gjennomføres før: det iverksettes behandling av helse- og personopplysninger etablering av nye informasjonsbehandlingssystemer eller registre som inneholder helse- og personopplysninger det iverksettes organisatoriske endringer som kan påvirke informasjonsbehandlingen det iverksettes tekniske endringer i utstyr og/eller programvare som kan påvirke informasjonsbehandlingen det iverksettes andre endringer med betydning for informasjonssikkerheten Risikovurderingen skal dokumenteres. Dersom Virksomheten skal gjennomføre risikovurdering av løsning for pasientkommunikasjon før den tas i bruk Risikovurdering som er gjennomført av leverandøren kan være tilstrekkelig dokumentasjon på at risikovurdering er gjennomført og danne grunnlag for risikovurderingen som virksomheten skal gjennomføre. Som basis for risikovurderingen skal virksomhetenes krav til akseptabel risiko til konfidensialitet, integritet, tilgjengelighet og kvalitet legges til grunn. Resultatet fra risikovurderingen skal sammenstilles med nivå for akseptabel risiko og nødvendige tiltak gjennomføres. Faktaark nr 7 Risikovurderinger Faktaark nr 5 Fastsettelse av akseptkriterier for tilgjengelighet, konfidensialitet og integritet Veileder for portaler sms og e-post versjon 2 side 17 av 39

18 Krav i Normen kapittel 4.6 Anbefalt løsning Referanse til faktaark og teknologiske tiltak for å oppnå akseptabel risiko ikke innføres umiddelbart, kan det i en overgangsperiode benyttes administrative tiltak, f.eks. i form av prosedyrer. Se kapittel 7.2 for eksempel på risikovurdering. Det anbefales at virksomheten gir informasjon til pasient/bruker om risiko ved brukerutstyr. 4.4 Bruk av fødselsnummer Krav i Normen Anbefalt løsning Referanse til faktaark og Kravet er ikke formulert i Normen, men i personopplysningsforskriften 10-2 som lyder Postsendinger som inneholder fødselsnummer skal være utformet slik at nummeret ikke er tilgjengelig for andre enn adressaten. Tilsvarende gjelder sendinger som formidles ved hjelp av telekommunikasjon. Fødselsnummer skal ikke sendes som SMS, i ordinær e- post eller usikre løsninger. 4.5 Drift og konfigurasjonsendringer Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Konfigurasjonen skal sikre at utstyret og programvaren kun utfører de funksjoner som er formålsbestemt Konfigurasjonsendringer, dvs. endringer i utstyr og/eller programvare, skal ikke settes i drift før følgende tiltak er gjennomført: Risikovurdering som viser at nivå for akseptabel risiko oppfylles Test som sikrer at forventede funksjoner er ivaretatt Implementering som sikrer mot uforutsette hendelser Ny konfigurasjon er Virksomheten må etablere prosedyrer for drift og konfigurasjonsendringer av løsningen for pasientkommunikasjon. Faktaark 3 Oversikt over anbefalte prosedyrer i styringssystemet for informasjonssikkerhet Veileder for portaler sms og e-post versjon 2 side 18 av 39

19 Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og dokumentert Konfigurasjonsendringer er godkjent av virksomhetens leder eller den ledelsen bemyndiger 4.6 Ondsinnet programvare Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Virksomheten skal for å ivareta konfidensialitet, integritet, tilgjengelighet og kvalitet for helse- og personopplysninger forsikre seg om at: leverandørens utstyr som benyttes ved online oppkobling ved hjelp av kommunikasjonsnett eller medbrakt utstyr som knyttes til virksomhetens utstyr, ikke har ondsinnet programvare som inneholder virus e.l. og at utstyret er sikret mot adgang fra uvedkommende. Løsning for pasientkommunikasjon skal ha løsning for å hindre spredning av ondsinnet programvare som inneholder virus eller lignende. Dette gjelder både ved utgående og inngående datatrafikk. For SMS skal meldingen kontrolleres før den sendes og ved mottak før den hentes inn til fagsystemet. Faktaark 19 Tiltak for å hindre ondsinnet programvare 4.7 Krypteringsstyrke Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Sikkerhetstiltak skal hindre at personer som ikke er autoriserte får tilgang til helseog personopplysninger ved at: All kommunikasjon, enten dette skjer ved hjelp av trådløst samband eller ved hjelp av linjer sikres ved kryptering iht. Datatilsynets til enhver tid gjeldende anbefalinger. Ivareta krypteringsstyrke iht kravspesifikasjon for PKI i offentlig sektor, eller tilsvarende styrke. 1 Faktaark 24 Kommunikasjon over åpne nett Faktaark 26 Sikring av trådløs teknologi Faktaark 49 Krav ved bruk av PKI ved ekstern kommunikasjon 1 Se Veileder for portaler sms og e-post versjon 2 side 19 av 39

20 4.8 Hendelsesregistrering Krav 1 Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og All autorisert bruk og forsøk på uautorisert bruk av informasjonssystemene skal registreres og registeret skal lagres i minimum 2 år. Hendelsesregistrene skal enkelt kunne analyseres ved hjelp av analyseverktøy med henblikk på å oppdage brudd. Det skal etableres prosedyrer for å analysere hendelsesregistrene slik at hendelser oppdages før de får alvorlige konsekvenser, og fortrinnsvis innen 1 uke. Hendelsesregistrene skal sikres mot endring og sletting av uautorisert personell. Krav 2 Virksomheten må utarbeide skriftlig prosedyre for gjennomgang av de ulike hendelsesregistrene. Alle hendelsesregistre skal oppbevares i minst 2 år i elektronisk form. Om det avdekkes uautoriserte hendelser skal opprettes en avviksmelding som skal behandles iht etablerte prosedyrer. Hendelsesregistre skal kun være tilgjengelig for fastsatte roller i virksomheten. Faktaark 15 Hendelsesregistrering og oppfølging Faktaark 3 Oversikt over anbefalte prosedyrer i styringssystemet Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og For å oppdage brudd eller forsøk på å bryte regelverket skal det som minimum føres hendelsesregistre over følgende: Sikkerhetsbarrierene skal registrere sikkerhetsrelevante hendelser, bl.a. forsøk på uautorisert bruk av informasjonssystemet Nettverksoperativsystemer skal registrere alle forsøk på uautorisert bruk Alle informasjonssystemer skal registrere alle forsøk på uautorisert bruk For forsøk på uautorisert bruk skal følgende hendelsesregistreres: Brukeridentiteten som ble benyttet Tidspunkt (dato og klokkeslett) IP-adresse eller annen identifikasjon av PC/arbeidsstasjon som ble benyttet (for eksempel MACadresse eller NAT-adresse) Hendelsesregistret bør inneholde informasjon om hvilken handling som ble forsøkt utført. Faktaark 15 Hendelsesregistrering og oppfølging Veileder for portaler sms og e-post versjon 2 side 20 av 39

21 4.9 Integritet Krav 1 Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Helse- og personopplysninger skal være fullstendige og ajourført i forhold til behandlingen av opplysningene Krav 2 Virksomheten skal ha prosedyrer som sørger for at journalverdig informasjon fra pasientkommunikasjon blir riktig journalført. Det anbefales en integrasjon med EPJ slik at journalverdig informasjon fra pasientkommunikasjon kan overføres til EPJ uten å måtte registreres på nytt. Kontroll av hvilke opplysninger som skal overføres til EPJ påhviler helsepersonellet. Overskuddsinformasjon skal ikke lagres. Spesielt for SMS: Behovet for å kontrollere svaret fra pasienten/brukeren mot utsendt SMS skal vurderes ift type SMS og iht gjennomført risikovurdering. Grunnen er virksomheten kan sende flere SMS til en pasient/bruker samtidig. Kontrollen kan for eksempel baseres på mobilnummer i svaret, innhold i svaret og meldingskode i utsendte SMS Ved manglende match mellom utsendt SMS og mottatt mobilnummer og meldingskode stanses svaret og hendelsen hendelsesregistreres Ansvarlig som har sendt SMS til pasienten/brukeren bør få tydelig beskjed om at svar fra pasienten/brukeren er mottatt Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Veileder for portaler sms og e-post versjon 2 side 21 av 39

22 Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Ved tilkobling til nett utenfor virksomheten skal det etableres tekniske tiltak som ivaretar at: Kun eksplisitt angitt tillatt trafikk kan passere, annet stoppes. Trafikk kan ikke passere direkte utenfra og inn; all slik ekstern trafikk må initieres fra virksomhetens systemer. Virksomheten skal påse at de tekniske tiltakene ivaretas ved at sikkerhetsbarrierer kun tillater godkjent trafikk Med direkte utenfra og inn menes at trafikken må passere via en sikkerhetsmekanisme (for eksempel proxytjeneste eller terminalserver) eller at SMS og e-post hentes inn til nettverket (og ikke tillates sendt direkte inn til nettverket) Faktaark 15 Hendelsesregistrering og oppfølging Faktaark 22 Kontroll og sikring av ekstern tilgang Faktaark 24 Kommunikasjon over åpne nett 4.10 Tilgjengelighet for pasientkommunikasjon Krav i Normen Anbefalt løsning Referanse til faktaark og Ingen relevante krav. Krav til tilgjengelighet til løsninger for pasientkommunikasjon baseres på resultat fra gjennomført risikovurdering (se kapittel 4.3 ovenfor) Avvik Krav i Normen kapittel 6.3 Anbefalt løsning Referanse til faktaark og Virksomhetens ledelse, eller det organ ledelsen bemyndiger, skal behandle avvik med det formål å gjenopprette normal tilstand, fjerne årsaken til avviket og å hindre gjentagelse. Avviksbehandlingen iverksettes ved sikkerhetsbrudd og/eller når behandling av helse- og personopplysninger er utført i strid med gjeldende regelverk, retningslinjer eller prosedyrer. Avviksbehandling kan også iverksettes ved tilfeller av manglende eller uhensiktsmessige prosedyrer. Avvik skal behandles iht fastsatt prosedyre. Alle regelbrudd skal håndteres som avvik og personalmessige konsekvenser skal vurderes. Faktaark 8 - Avviksbehandling Veileder for portaler sms og e-post versjon 2 side 22 av 39

23 5 KRAV TIL INFORMASJONSSIKKERHET I PORTALLØSNINGER Ved etablering av portalløsning kommer kravene nedenfor i tillegg til kravene i kapittel 4 merket med Portalløsning. Denne n beskriver hvordan en portalløsning kan etableres, mens det er databehandlingsansvarlig som må vurdere hva en portalløsning skal benyttes til ut fra risiko og helsefaglige forhold. Kravene nedenfor gjelder for hele kommunikasjonskjeden mellom pasient/bruker og virksomhetens fagsystem. 5.1 Pasienten/brukerens rett til innsyn, retting og sletting Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Det skal etableres prosedyrer og gjennomføres tiltak for å sikre at: Pasienten/brukeren får informasjon om virksomhetens behandling av helse- og personopplysninger, og sine rettigheter til innsyn i, retting, sletting og sperring av registrerte opplysninger om seg selv. Pasienten/brukeren sikres innsyn i egne helse- og personopplysninger. Pasientens/brukerens rettigheter til retting/sletting av helse- og personopplysninger ivaretas. Virksomheten må utarbeide Informasjon til pasienten/brukeren om behandlingen av helse- og personopplysninger og sine rettigheter Prosedyrer for hvordan innsyn i, retting, sletting (for eksempel om samtykke trekkes tilbake) og sperring av registrerte opplysninger utføres 5.2 Opplæring Krav i Normen kapittel 5.6 Anbefalt løsning Referanse til faktaark og Virksomheten skal iverksette tiltak som ivaretar at: alle som gis tilgang til og/eller drifter informasjonssystemene og Helsepersonell skal ha opplæring i bruk av portalløsningen Portalløsningen skal inneholde bruksanvisning for Faktaark 9 - Opplæring av ledere og medarbeidere Veileder for portaler sms og e-post versjon 2 side 23 av 39

24 Krav i Normen kapittel 5.6 Anbefalt løsning Referanse til faktaark og tilhørende informasjon skal ha tilstrekkelig kunnskap til å utnytte systemene for sin rolle og til å ivareta informasjonssikkerheten pasienten/brukeren Pasienten/brukeren kan også ha tilgang til elektronisk hjelp 5.3 Autorisering Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Databehandlingsansvarlig er ansvarlig for at autorisasjoner tildeles, administreres og kontrolleres. Ved tildeling av autorisasjon skal lovbestemt taushetsplikt vurderes og ivaretas. Autorisasjon for å lese, registrere, redigere, rette, slette og/eller sperre helse- og personopplysninger skal gis til dem som har tjenstlig behov. Autorisasjonen skal tildeles i henhold til betryggende prosedyrer Pasienten/brukeren skal gis tilgang enten av virksomheten eller ved selvbetjening i portalløsningen Ved selvbetjening må samtykke aksepteres eksplisitt i portalløsningen (for eksempel ved at pasient/bruker må huke av for å akseptere at det behandles personopplysninger) Pasienten/brukeren skal gis tilgang for den enkelte funksjon som skal tas i bruk Helsepersonell skal autoriseres til portalløsningen iht til sin rolle og tjenstlig behov Faktaark 14 - Tilgangsstyring 5.4 Autorisasjonsregister Krav i Normen kapittel og Anbefalt løsning Referanse til faktaark og Databehandlingsansvarlig skal sørge for at det oppettes et autorisasjonsregister. Registeret skal som minimum inneholde: informasjon om hvem som er tildelt autorisasjon til hvilken rolle autorisasjonen er tildelt formålet med autorisasjonen tidspunkt for når For helsepersonell skal autorisasjonsregisteret som minimum inneholde informasjon om hvem som er tildelt autorisasjon til hvilken rolle (for eksempel lege, tannlege, helsesøster, psykolog, kiropraktor) autorisasjonen er tildelt formålet med autorisasjonen tidspunkt for når Faktaark 47 - Autorisasjonsregister Veileder for portaler sms og e-post versjon 2 side 24 av 39

25 Krav i Normen kapittel og Anbefalt løsning Referanse til faktaark og autorisasjonen ble gitt og eventuelt tilbakekalt informasjon om hvilken virksomhet den autoriserte er knyttet til autorisasjonen ble gitt og eventuelt tilbakekalt informasjon om hvilken virksomhet den autoriserte er knyttet til 5 års lagring minimum fra det tidspunkt dokumentet ble tatt ut av bruk: Oversikt over tildelte autorisasjoner og tilganger til helse- og personopplysninger (autorisasjonsregister) For pasienten/brukeren skal autorisasjonsregisteret som minimum inneholde informasjon om hvem som er tildelt autorisasjon formålet med autorisasjonen tidspunkt for når autorisasjonen ble gitt og eventuelt tilbakekalt Virksomheten må etablere prosedyrer og en løsning slik at tildelte autorisasjoner lagres i autorisasjonsregisteret i 5 år fra det tidspunkt autorisasjonen ble tatt ut av bruk. 5.5 Autentisering Krav i Normen kapittel og Anbefalt løsning Referanse til faktaark og Ved bruk av mobilt utstyr, hjemmekontor og trådløs kommunikasjon skal autentiseringen ikke innebære økt risiko utover det som gjelder for stasjonært utstyr. En risikovurdering må vise at autentiseringsløsningen gir tilstrekkelig sikkerhet Faktaark 14 Tilgangsstyring Faktaark 49 Krav ved bruk av PKI ved ekstern kommunikasjon Tilgang fra hjemmekontor og/eller mobilt utstyr skal sikres ved autentisering som ikke innebære økt risiko utover det som gjelder for stasjonært utstyr. En risikovurdering må vise at autentiseringsløsningen gir tilstrekkelig sikkerhet. Dette gjelder også for avdelingskontor som kommuniserer ved hjelp av linjer man ikke har fysisk kontroll over Autentisering for bruk av kun administrative funksjoner uten helseopplysninger (som for eksempel bestilling og avbestilling av time uten at grunnen for timebestilling oppgis) skal gjøres med minimum sikkerhetsnivå 3 Autentisering for tilgang til og kommunikasjon av helseopplysninger i nasjonale løsninger (for eksempel helsenorge.no) eller løsninger levert av helsepersonell (inklusive timebestilling der pasient/bruker oppgir grunnen for bestilling av time og reseptfornying) skal gjøres med personlig kvalifisert sertifikat eller en annen sikker autentiseringsløsning. Veileder for portaler sms og e-post versjon 2 side 25 av 39

26 Krav i Normen kapittel og Anbefalt løsning Referanse til faktaark og Ved bruk av annen autentiseringsløsning må en risikovurdering vise at denne har tilstrekkelig sikkerhet (se kapittel 4.3 ovenfor) For løsninger til private formål (helsepersonell er ikke involvert) anbefales autentisering med sikkerhetsnivå Hendelsesregistrering Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og For å oppdage brudd eller forsøk på å bryte regelverket skal det som minimum føres hendelsesregistre over følgende: Autorisert bruk av informasjonssystemene skal registreres. Det skal iverksettes hendelsesregistrering, slik at det er mulig å oppdage og oppklare brudd på sikkerheten. I virksomhetens portalløsning skal følgende hendelsesregistreres ved autorisert bruk: For helsepersonell skal hendelsesregistre som minimum inneholde: entydig identifikator for den autoriserte brukeren rollen den autoriserte brukeren har ved tilgangen virksomhetstilhørighet organisatorisk tilhørighet til den som er autorisert hvilke type opplysninger det er gitt tilgang til grunnlaget for tilgangen tidspunkt og varighet for tilgangen For pasient/bruker skal hendelsesregistre som minimum inneholde: entydig identifikator for den autoriserte pasienten/ brukeren hvilke type opplysninger det er gitt tilgang til Faktaark 15 Hendelsesregistrering og oppfølging Veileder for portaler sms og e-post versjon 2 side 26 av 39

27 Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og tidspunkt og varighet for tilgangen 5.7 Teknisk løsning Krav 1 Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Tekniske tiltak og organisatoriske tiltak skal iverksettes slik at personer ikke skal kunne få tilgang til helseog personopplysninger de ikke er autorisert for Krav 2 For pasient/bruker vil tilgang basert på sikkerhetsnivå 3 eller personlig kvalifisert sertifikat gi tilstrekkelig konfidensialitetsbeskyttelse for tilgang til portalløsningen (se kapittel 5.5 ovenfor). Virksomheten bør ta inn i samtykket med pasient/brukeren at tilganger og autentiseringsmekanismer er personlige og ikke skal lånes ut til andre. Faktaark 14 - Tilgangsstyring Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Tekniske tiltak som sikrer at Internett-tjenesten er logisk atskilt fra der helse- og personopplysninger behandles. Portalløsningen må etableres slik at nettverket hvor helse- og personopplysninger behandles er atskilt fra Internett med sikkerhetsbarrierer. Faktaark 28 - Alternative tekniske løsninger for primærhelsetjenesten 5.8 Konfidensialitet Krav 1 Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Konfidensialitet skal ivareta taushetsplikten og for øvrig sikre mot at uvedkommende får kjennskap til opplysningene. Dette innebærer blant annet: For pasient/bruker vil tilgang basert på sikkerhetsnivå 3 eller personlig kvalifisert sertifikat gi tilstrekkelig konfidensialitetsbeskyttelse for Faktaark 14 Tilgangsstyring Faktaark 22 Kontroll og sikring av ekstern tilgang Veileder for portaler sms og e-post versjon 2 side 27 av 39

28 Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Personer utenfor virksomheten uansett ressurser og kunnskap skal ikke kunne få uautorisert tilgang til helse- og personopplysninger Krav 2 tilgang til portalløsningen (se kapittel 5.5 ovenfor). Det anbefales at løsningen etableres slik at det ikke er mulig å lagre helseopplysninger på pasientens/brukerens utstyr. Skal det likevel gjøres skal opplysningene krypteres iht kapittel 4.7. Ved bruk av arbeidsgivers utstyr skal pasient/bruker gjøres oppmerksom på at arbeidsgiver kan dekryptere HTTPS ifm kontroll av datatrafikken. Faktaark 49 Krav ved bruk av PKI ved ekstern kommunikasjon Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Virksomheten er ansvarlig for at: Tekniske tiltak iverksettes slik at all kommunikasjon krypteres. All datakommunikasjon av helseopplysninger skal krypteres. Eksempel på krypteringsløsning er HTTP (Hypertext Transfer Protocol - standard for overføring av informasjon over Internett) med bruk av en kryptert SSL (Secure Sockets Layer) hvor det benyttes sertifikater som gir nødvendig krypteringsstyrke (jf. kapittel 4.7) Kommunikasjonen mellom virksomhet og pasienten/brukeren bør stenges, og ny autentisering kreves, etter et fastsatt antall minutter med inaktivitet. Stengingen bør være en del av portalløsningen og ikke overlates til pasienten/ brukeren med oppfordring til bruk av skjermsparer Ved bruk av standardiserte meldinger skal det benyttes meldingskryptering (PKI) Faktaark 24 Kommunikasjon over åpne nett Faktaark 26 Sikring av trådløs teknologi Veileder for portaler sms og e-post versjon 2 side 28 av 39

29 5.9 Eksempel 1- portalløsning helsepersonell drifter portalen Leverandør Databehandler Databehandlingsansvarlig Pasient/bruker 1 - Initiere 2 - Initiere 3 - Initiere 6 - Motta svar 5 Videresende/ presentere resultat 4 - Sende svar Personlig kvalifisert sertifikat HTTPS / PKI Portal HTTPS / PKI Fagsystem Eksempelet viser en helseportal, herunder føring av pasientdagbok etter avtale med helsepersonell. Kommunikasjonen initieres av pasient/bruker og viser kommunikasjonsprosessen sammen med viktige sikkerhetstiltak. I den sammenheng er også områder for risikovurdering angitt. Databehandler er kun med i figuren for å vise at databehandlingsansvarlig (virksomheten) kan benytte databehandler til hele eller deler av løsningen. Nr Kommunikasjon Sikkerhetstiltak Områder for risikovurdering 1. Pasient/bruker initierer - Samtykke er ivaretatt - Bruk av privat utstyr bruk av portalen - Ondsinnet programvare på privat utstyr - Bruk av internettkafé hvor det ofte er uklart hvordan utstyr blir overvåket og data blir logget / lagret - Bruk av arbeidsgivers utstyr ifm dekryptering av HTTPS - Forhold rundt pasient/bruker ift 2. Portalen initierer trafikk mellom portal og fagsystem 3. Fagsystem initierer trafikk mot portalen og åpner opp for registrering eller presentasjon av opplysninger om pasient/bruker - Autentisering av pasient/bruker - Kryptering av datakommunikasjon - Videreformidle forespørsel fra pasient/bruker til fagsystem - Hendelsesregistrering - Initiering av datakommunikasjon fra fagsystem til portal (ikke omvendt) medhjelper og familie - Kryptering ende til ende (forhindre Man-in-themiddle ) - Autentisering med kvalifisert sertifikat eller en annen tilsvarende sikker autentiseringsløsning - Lagring av opplysninger i portalen så kort tid som mulig - Datakommunikasjon skal initieres fra fagsystem til portalen - Minst to uavhengige tekniske tiltak mot eksterne nettverk - Ondsinnet programvare 4. Fagsystem henter informasjon fra portalen eller sender forespurt informasjon til portalen - Hendelsesregistrering - Kryptering av datakommunikasjon - Kontroll at kryptering fungerer etter hensikten Veileder for portaler sms og e-post versjon 2 side 29 av 39

30 Nr Kommunikasjon Sikkerhetstiltak Områder for risikovurdering 5. Portal presenterer forespurt informasjon for - Kryptering av datakommunikasjon - Sletting av opplysninger i portalen så raskt som mulig pasient/bruker - Kontroll av at informasjon vises til riktig pasient/bruker 5.10 Eksempel 2 - portalløsning - helsenorge.no Borger 1-veis SSL transportkryptering Personlig kvalifisert sertifikat Helsenorge benytter en system-til-system integrasjon med bruk av virksomhetssertifikater til to-veis kryptering av transportkanal (med bruk av SSL eller TSL) og meldingskryptering og - signering med nøkler i henhold til eller utover krav til PKI. For symmetriske nøkler brukes 1024 bits eller 2048 bits nøkler. For asymmetriske brukes 128 bits eller 256 bits nøkler med godkjente leverandører av PKI (Norsk Helsenett/Buypass). For kommunikasjon med pasient/bruker benyttes 1-veis SSL med offentlige Buypasssertifikater inn til helsenettets datasenter med Threat Management Gateway (TMG) reverseproxy/firewall/load balancer Eksempel 3 - portalløsning - privat bruk Pasient/bruker Helsepersonell HTTPS HTTPS Internett HTTPS Sikker sone leverandør Portalløsning som tilbys av leverandør Eksempelet illustrerer portalløsninger som tilbys fra kommersielle leverandører slik at pasient/bruker kan føre pasientdagbok på eget grunnlag. Pasient/bruker er selv ansvarlig for Veileder for portaler sms og e-post versjon 2 side 30 av 39