Videokonsultasjon - sjekkliste

Transkript

1 Utgitt med støtte av: Norm for informasjonssikkerhet Videokonsultasjon - sjekkliste Støttedokument Faktaark nr. 54 Versjon: 1.0 Dato: Sjekkelisten inneholder krav som skal ivaretas før videokonsultasjon tas i bruk og krav som skal ivaretas ved bruk av videokonsultasjon. Sjekklisten må tilpasses til løsningen som skal benyttes. Merk at sjekklisten gjenspeiler at faktaarket ikke dekker lagring av videoopptak. Siste kolonne angir om kravet gjelder for eksempel 1 i Faktaark 54 Videokonsultasjon, med bruk av utstyr. Før videokonsultasjon tas i bruk Nr Databehandleravtale 1. Benyttes ekstern driftsleverandør for tjenesten skal det opprettes databehandleravtale mellom databehandler og virksomheten ekstern driftsleverandør Drift og teknisk løsning 2. Prosedyrer for drift og konfigurasjonsendringer av løsningen 3. Kryptering skal etableres ende-til-ende for kommunikasjon utenfor kontroll Når er kravet relevant: Når virksomheten ikke har fysisk kontroll på kommunikasjonslinjer og -utstyr 4. Kommunikasjonen mellom helsepersonell og pasient skal ha en styrke og nøkkellengde som oppfyller NSM Cryptographic Requirements (Moderate) 1 Når er kravet relevant: Når kryptering benyttes 5. Kommunikasjonen mellom virksomheten og pasienten stenges, og ny autentisering kreves, etter et fastsatt antall minutter ved inaktivitet og pasienten autentiseres for tilgang 1 (som er kravene Datatilsynet viser til)

2 6. All autorisert bruk og forsøk på uautorisert bruk av tjenesten skal logges Når er kravet relevant: Ved autentisering for tilgang 7. For helsepersonell skal logger som minimum inneholde: - entydig identifikator for den autoriserte brukeren - rollen den autoriserte brukeren har ved tilgangen - virksomhetstilhørighet - organisatorisk tilhørighet til den som er autorisert - hvem det ble kommunisert med - tidspunkt og varighet for kommunikasjonen autentiseres for tilgang 8. For pasient skal logger som minimum inneholde: - entydig identifikator for den autoriserte pasienten - hvem det ble kommunisert med - tidspunkt og varighet for kommunikasjonen Når er kravet relevant: Når pasient autentiseres for tilgang 9. Logger av bruk av tjenesten (autorisert bruk) skal oppbevares til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for dem Når er kravet relevant: Når det logges 10. For forsøk på uautorisert bruk skal følgende logges (tilpasses type løsning) - Brukeridentiteten som ble benyttet - Tidspunkt (dato og klokkeslett) - IP-adresse eller annen identifikasjon av PC/ arbeidsstasjon som ble benyttet (for eksempel MAC-adresse eller NAT-adresse) og pasienten autentiseres for tilgang Opplæring 11. Opplæring av helsepersonell i bruk av løsningen Autorisering 12. Virksomheten må etablere autorisasjonsregister for helsepersonell Faktaark 54 - Videokonsultasjon - sjekkliste v1.0.doc Side 2 av 5

3 Kravet retter seg mot løsninger hvor helsepersonell har tilgang til et administrasjonsgrensesnitt med registrering av avtaler for, oversikt/plan over kommende, oversikt over egne pasienter i løsningen, gjennomførte, osv. 13. For helsepersonell skal autorisasjonsregisteret som minimum inneholde: - informasjon om hvem som er tildelt autorisasjon - til hvilken rolle (for eksempel lege, sykepleier) autorisasjonen er tildelt - formålet med autorisasjonen - tidspunkt for når autorisasjonen ble gitt og eventuelt tilbakekalt - informasjon om hvilken virksomhet den autoriserte er knyttet til 14. Etablere prosedyre og løsning slik at tildelte autorisasjoner lagres i autorisasjonsregisteret i 5 år fra det tidspunkt autorisasjonen ble tatt ut av bruk Annet 15. Prosedyre for journalføring av helseopplysninger fra. Prosedyren må fastsette at det ikke er lov til å lagre bilder av videosamtalen (fordi faktaarket ikke omhandler lagring av video eller stillbilder) 16. Risikovurdering av hele løsningen er gjennomført før den tas i bruk for ytelse av helsehjelp. 17. Oppdatert oversikt over behandlinger av helse- og personopplysninger i virksomheten. Faktaark 54 - Videokonsultasjon - sjekkliste v1.0.doc Side 3 av 5

4 Ved bruk av videokonsultasjon Nr Samtykke 18. Virksomheten skal innhente informert samtykke fra pasienten til å formidle helse- og personopplysninger elektronisk 19. Helsepersonell skal innhente samtykke fra pasienten til bruk av tolk tolk i 20. Samtykket med pasient må forutsette at tilganger og autentiseringsmekanismer er personlige og ikke skal lånes ut til andre Viktig at det informeres om dette til pasienten Når er kravet relevant: Når det benyttes autentiseringsmekanismer for å sikre at det er rett pasient som mottar helsehjelp 21. Informasjon til pasienten om behandlingen av helseopplysninger og pasientens rettigheter Opplæring 22. Opplæring av pasient i bruk av løsningen inkludert ivaretakelse av eget personvern 23. Bruksanvisning for pasienten Når er kravet relevant: Når pasienten skal bruke løsningen alene Autorisering 24. Pasienten skal gis tilgang enten av ansatte i virksomheten eller ved selvbetjening i løsningen. Ved selvbetjening må samtykke aksepteres eksplisitt i løsningen (for eksempel ved at pasient må huke av for å akseptere at det behandles personopplysninger) for hvordan kravet er ivaretatt Faktaark 54 - Videokonsultasjon - sjekkliste v1.0.doc Side 4 av 5

5 for hvordan kravet er ivaretatt 25. Helsepersonell skal autoriseres til løsningen iht til sin rolle og tjenstlig behov for tilgang Når er kravet relevant: Når løsningen har tilgangsstyring Autentisering 26. Autentisering for bruk av kun administrative funksjon for bestilling av time i -løsningen (uten helseopplysninger), gjøres med minimum sikkerhetsnivå 3 (for eksempel brukernavn, passord og kode på SMS) Når er kravet relevant: Når pasient kan bestille/avbestille time uten at grunnen for timebestilling oppgis 27. Autentisering for tilgang til og kommunikasjon av helseopplysninger (inklusive timebestilling der pasient oppgir grunnen for bestilling av time) gjøres med en sikker autentiseringsløsning. (For eksempel Bank-ID eller en annen løsning hvor risikovurdering viser at autentiseringen sikrer at pasienten entydig identifiseres). Alternativt kan autentiseringen gjelde utstyret som benyttes. Dette kan være bruk av kvalifiserte sertifikater mellom virksomheter og identifisering av utstyr med MAC-adresse Når er kravet relevant: Når det er behov for sikker identifisering av pasienten Faktaark 54 - Videokonsultasjon - sjekkliste v1.0.doc Side 5 av 5