Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Personvern og informasjonssikkerhet i kontakten med pasient/bruker En veileder i bruk av portalløsninger, SMS og e-post Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.0 www.normen.no

INNHOLD 1 INNLEDNING... 4 1.1 BAKGRUNN... 4 1.2 OM VEILEDEREN... 5 1.3 MÅLGRUPPE... 5 1.4 LOVGRUNNLAG / HJEMMEL... 6 1.5 VIRKSOMHETENS ANSVAR VED KOMMUNIKASJON MED PASIENTEN/BRUKEREN... 6 1.6 DEFINISJONER... 7 2 KRAV TIL INFORMASJONSSIKKERHET I PASIENTKOMMUNIKASJON... 11 2.1 SAMTYKKE... 11 2.2 AVTALER... 12 2.3 RISIKOVURDERING... 13 2.4 BRUK AV FØDSELSNUMMER... 13 2.5 DRIFT OG KONFIGURASJONSENDRINGER... 14 2.6 ONDSINNET PROGRAMVARE... 14 2.7 KRYPTERINGSSTYRKE... 15 2.8 HENDELSESREGISTRERING... 15 2.9 INTEGRITET OG KVALITET... 16 2.10 TILGJENGELIGHET FOR PASIENTKOMMUNIKASJON... 18 2.11 AVVIK... 18 3 KRAV TIL INFORMASJONSSIKKERHET I PORTALLØSNINGER... 19 3.1 PASIENTEN/BRUKERENS RETT TIL INNSYN, RETTING OG SLETTING... 19 3.2 OPPLÆRING... 19 3.3 AUTORISERING... 20 3.4 AUTORISASJONSREGISTER... 20 3.5 AUTENTISERING... 21 3.6 HENDELSESREGISTRERING... 22 3.7 TEKNISK LØSNING... 23 3.8 KONFIDENSIALITET... 23 3.9 EKSEMPEL 1- PORTALLØSNING HELSEPERSONELL DRIFTER PORTALEN... 25 3.10 EKSEMPEL 2 - PORTALLØSNING - HELSENORGE.NO... 26 3.11 EKSEMPEL 3 - PORTALLØSNING - PRIVAT BRUK... 26 4 BRUK AV SMS I KONTAKT MED PASIENTEN/BRUKEREN... 28 4.1 INNHOLD I SMS... 28 4.2 ETABLERING AV SMS-LØSNING... 29 4.2.1 Bruk av SMS... 29 4.2.2 Avtale med tjenesteyter - databehandler... 29 4.2.3 Samtykke fra pasienten/brukeren... 29 4.3 TEKNISK LØSNING FOR SMS... 29 4.3.1 Hendelsesregistrering ved utsendelse og mottak av SMS... 30 4.4 EKSEMPEL 1 - TEKNISK LØSNING FOR SMS... 31 4.5 EKSEMPEL 2 - TEKNISK LØSNING FOR SMS... 31 5 BRUK AV E-POST I KONTAKT MED PASIENTEN/BRUKEREN... 32 5.1 E-POST SOM IKKE INNEHOLDER HELSEOPPLYSNINGER... 32 Veileder for portaler, sms og e-post versjon 1.0 side 2 av 37

5.2 E-POST SOM INNEHOLDER HELSEOPPLYSNINGER... 32 6 VEDLEGG... 33 6.1 EKSEMPEL PÅ SAMTYKKEERKLÆRING VED BRUK AV PASIENTKOMMUNIKASJON... 33 6.1.1 Eksempel på samtykkeerklæring ved bruk av portalløsning... 33 6.1.2 Eksempel på samtykkeerklæring ved bruk av SMS... 34 6.2 EKSEMPEL PÅ RISIKOVURDERING... 35 6.3 DELTAGERE I UTARBEIDELSE AV VEILEDEREN... 37 Endringshistorikk for og godkjenning av dokumentet Versjon Endringer Godkjent av styringsgruppen for Normen (dato) 1.0 Første utgave av n 14. mars 2013 Veileder for portaler, sms og e-post versjon 1.0 side 3 av 37

1 INNLEDNING 1.1 Bakgrunn Bruk av elektronisk samhandling kan ha betydelig nytteverdi for pasienten/brukeren og virksomhetene i sektoren. Tilgjengelighet og raskt å kunne få svar på spørsmål vil for mange pasienter/brukere bedre helsehjelpen og opplevelsen av tjenesten. Bruk av elektronisk pasientkommunikasjon mellom virksomheten og pasienten/brukeren på nye områder vil utvikles raskt og oppleves som et krav fra yngre og nye pasient/brukergrupper. Løsninger for pasientkommunikasjon vil bidra til at sektoren lærer av erfaringer og tilbakemeldinger fra pasienter/brukere. Pasientkommunikasjon i denne n omhandler portalløsninger, SMS og e-post. Eksempler på bruksområder for pasientkommunikasjon: Portalløsning o Fjernkonsultasjon (bl.a. sanntids spørsmål og svar/chat, videokommunikasjon uten lagring) med helsepersonell o Bestille, endre, bekrefte eller avlyse timeavtale o Reseptfornying o Føring av pasientdagbok o Utfylling av skåringsskjemaer for egen helse (for eksempel blodtrykksverdier eller resultat av insulinmålinger) o Tilgang til egne helseopplysninger (bl.a. kjernejournal, prøvesvar og epikriser) o Se på egne resepter i Reseptformidleren (E-resept) o Melde bivirkninger o Bestille helsetrygdekort o Bytte fastlege o Utskrift av vaksinasjoner o Samtykkehåndtering generelt for en virksomhet SMS o Timebestilling, -påminnelse, -innkalling og -bytte o Aksept av timebytte (svar fra pasienten/brukeren til virksomheten) o Passord for autentisering til tjenester (sikkerhetsnivå 3) o Abonnement på informasjon om et tema E-post o Timebestilling, -påminnelse, -innkalling og -bytte o Aksept av timebytte (svar fra pasienten/brukeren til virksomheten) o Abonnement på informasjon om et tema Formålet med pasientkommunikasjon er bl.a. å: Øke tilgjengeligheten i samhandlingen mellom virksomheten og pasienten/brukeren Forenkle samhandlingen mellom virksomheten og pasienten/brukeren Øke effektiviteten og kvaliteten på samhandlingen mellom virksomheten og pasienten/brukeren Ivareta toveis kommunikasjon mellom helsepersonell og pasienten/brukeren Veileder for portaler, sms og e-post versjon 1.0 side 4 av 37

Oppfylle lovpålagt tjeneste hvor fastlege skal kunne motta timebestilling elektronisk (jf. forskrift om fastlegeordning i kommunene 21) Samtidig som pasientkommunikasjon gir økte muligheter for samhandling mellom helsepersonell og pasienten/brukeren, er det viktig å være bevisst på at mulighetene også gir sikkerhetsmessige utfordringer. Denne n i personvern og informasjonssikkerhet i kontakt med pasienten/brukeren, utarbeidet under Norm for informasjonssikkerhet (Normen), er ment å være til hjelp for å møte disse utfordringene. 1.2 Om n Veilederen er utarbeidet for styringsgruppen for Normen med støtte av Helsedirektoratet og i samarbeid med leverandører i sektoren og sektorens egen referansegruppe. Se kapittel 6.3 for deltagere i referansegruppen. Formålet med n er å gi veiledning til etterlevelse av kravene i Normen ift hvilke tekniske og administrative tiltak som må ivaretas i virksomheten ifm etablering av løsninger for pasientkommunikasjon. Virksomheten er forpliktet av Normen ved inngåelse av kundeavtale med Norsk Helsenett (jf. Normens kapittel 1.6). Av dette følger at løsningen for pasientkommunikasjon må ivareta Normens krav. Virksomheten skal oppfylle kravene i Normen. Veilederen gjelder løsninger for pasientkommunikasjon hvor det behandles helse- og personopplysninger og n gir hjelp til bl.a.: Ivaretakelse av kravet til samtykke fra pasienten/brukeren Ivaretakelse av pasienten/brukerens rettigheter Informasjon til pasienten/brukeren Mulige teknologiske løsninger Nødvendige prosedyrer Veilederen gjelder uavhengig om pasienten/brukeren benytter stasjonær eller bærbar PC, lesebrett, mobiltelefon eller andre smarte enheter med ulike web-apper og designløsninger i pasientkommunikasjon. Veilederen må leses i sin helhet ettersom kravene er dokumentert i flere kapitler. Veilederen gjengir krav i Normen og gir anbefalinger for hvordan kravene kan ivaretas ved pasientkommunikasjon. 1.3 Målgruppe Målgruppen for n er virksomheter som omfattes av Normen og som gjør bruk (eller planlegger å gjøre bruk) av løsninger for pasientkommunikasjon. Internt i virksomhetene er det særlig ledelsen, sikkerhetsleder eller sikkerhetskoordinator og IKT-ansvarlig som vil finne hjelp i n. Leverandør vil også kunne ha nytte av n. Veileder for portaler, sms og e-post versjon 1.0 side 5 av 37

1.4 Lovgrunnlag / hjemmel For all behandling av helse- og personopplysninger er det nødvendig med et rettsgrunnlag, jfr. helseregisterloven 5 og personopplysningsloven 8 og 9. Utgangspunktet og hovedregelen i personvernlovgivningen er samtykke, men dette kan f. eks også være lovhjemmel (for eksempel i form av helsepersonellets dokumentasjonsplikt). Lovverket oppstiller krav til hva som regnes som et gyldig samtykke. Et samtykke må være: frivillig - det kan for eksempel ikke knyttes negative sanksjoner til ikke å gi sitt samtykke uttrykkelig - skriftlighet ivaretar best dette kravet, selv om det i utgangspunktet ikke er et krav informert pasienten/brukeren må få relevant informasjon om hva han skal samtykke til, hva som er formålet med bruken av opplysningene osv. Pasienten/brukeren kan når som helst og formfritt trekke tilbake sitt samtykke. Den enkleste måten å oppfylle lovens krav til at samtykket skal være gyldig, er å utarbeide et samtykkeskjema. Alle disse momentene bør ivaretas ved utformingen av et slikt skjema. Eksempel på skjema finnes i kapittel 6.1. Vedrørende samtykke for barn under 16 år gjelder pasient- og brukerrettighetsloven 4-4 (samtykke på vegne av barn) og 3-4 (informasjon når pasienten er mindreårig). Kravene til informasjonssikkerhet er hjemlet i personopplysningsloven 13. Disse kravene er nærmere beskrevet i personopplysningsforskriftens kapittel 2 der bestemmelsene i 2-11 (sikring av konfidensialitet), 2-12 (sikring av tilgjengelighet) og 2-13 (sikring av integritet) er mest relevante. 1.5 Virksomhetens ansvar ved kommunikasjon med pasienten/brukeren Iht kapittel 5.7.5 i Normen er virksomheten ansvarlig for at: Samtykke fra pasienten/brukeren er innhentet til å formidle helse- og personopplysninger elektronisk. Samtykke skal innhentes i tråd med alminnelige regler for samtykke. Samtykke fra pasienten/brukeren er etter Normen det eneste grunnlaget for datakommunikasjon med pasienten/brukeren Pasienten/brukeren entydig identifiseres Tekniske tiltak iverksettes slik at all kommunikasjon krypteres Det ikke skal kunne kommuniseres samtidig med andre parter enn den angitte pasienten/brukeren Helse- og personopplysninger skal ikke stilles til rådighet på en slik måte at pasienten/brukeren er avhengig av å lagre opplysningene på eget utstyr for å gjøre seg kjent med informasjonen Oppfyller virksomheten kravene ovenfor, kreves det ikke særskilt avtale med pasienten/brukeren. Virksomheten (databehandlingsansvarlig) er ansvarlig for at løsningen for pasientkommunikasjon oppfyller kravene i Normen. Veileder for portaler, sms og e-post versjon 1.0 side 6 av 37

1.6 Definisjoner Definisjoner er hentet fra Normen. Nye begrep er definert og samlet etter definisjoner fra Normen. Definerte ord er markert i kursiv i teksten. Definisjoner fra Normen (av 29. november 2012) -A- Med autentisering menes i Normen prosessen som gjennomføres for å bekrefte en påstått identitet. Med autorisere/autorisert/autorisasjon menes i Normen at en person i en bestemt rolle kan gis eller er gitt bestemte rettigheter til lesing, registrering, redigering, retting, sletting og/eller sperring av helse- og personopplysninger. Autorisasjon kan bare gis i den grad det er nødvendig for vedkommendes arbeid, er begrunnet ut fra tjenstlig behov og er i henhold til bestemmelser om taushetsplikt. Med autorisasjonsregister menes i Normen et register over utstedte autorisasjoner som føres av den databehandlingsansvarlige. Med avvik menes i Normen enhver håndtering av helse- og personopplysninger som ikke utføres i henhold til gjeldende regelverk, retningslinjer og/eller prosedyrer, samt andre sikkerhetsbrudd. -B- Med behandling menes i Normen enhver formålsbestemt bruk av helse- og personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, jf. helseregisterloven 2 nr. 5 og personopplysningsloven 2 nr. 2). -D- Med databehandler menes den som behandler helse- og personopplysninger på vegne av den databehandlingsansvarlige, jf. helseregisterloven 2 nr. 9 og personopplysningsloven 2 nr. 5). Det presiseres at en databehandler er en ekstern person eller virksomhet utenfor den databehandlingsansvarliges virksomhet. Det vil si at den databehandlingsansvarliges egne medarbeidere ikke er dennes databehandlere. Med databehandlingsansvarlig menes den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes, hvis ikke databehandlingsansvaret er særskilt angitt i loven eller i forskrift i medhold av loven, jf. helseregisterloven 2 nr. 8 og personopplysningsloven 2 nr. 4) (her benyttes begrepet behandlingsansvarlig ). Det presiseres at det er virksomheten som er databehandlingsansvarlig for behandling av helseog personopplysninger. Ansvaret skal ivaretas av den daglige ledelsen av virksomheten, og virksomheten er pliktsubjekt. Veileder for portaler, sms og e-post versjon 1.0 side 7 av 37

-E- Med elektronisk pasientjournalsystem (EPJ-system) menes i Normen elektroniske systemer med nødvendig funksjonalitet for å registrere, søke frem, presentere, kommunisere, redigere, rette og slette opplysninger i elektronisk pasientjournal (EPJ). Dette inkluderer både radiologisystemer, systemer for somatisk og psykiatrisk journal, pasientadministrative systemer og andre systemer som inneholder helseopplysninger. -F- Med fagsystem menes i Normen en applikasjon eller et IT-system som behandler helse- og personopplysninger. Begrepet systemløsning brukes også om et fagsystem. Eksempler på fagsystem er: pleie- og omsorgsystem (PLO), legekontorsystem og barnevernsystem. Opplysninger i ulike fagsystemer kan både utgjøre elektronisk pasientjournal (EPJ) og annen tjenestedokumentasjon. -H- helse- og personopplysninger benyttes i Normen som en fellesbetegnelse for helseopplysninger og/eller personopplysninger innenfor Normens virkeområde slik det er definert i Normens pkt. 1.5. Med helsenettet menes i Normen nettverket som tilbys av Norsk Helsenett SF. Med hendelsesregister menes i Normen et logisk register der hendelser i informasjonssystemet er nedtegnet, se neste definisjon. Med hendelsesregistrering menes i Normen registrering av hendelser i et informasjonssystem, bl.a. med sikte på å forebygge, avdekke og hindre gjentagelse av sikkerhetsbrudd. -K- Med konfigurasjon menes i Normen informasjonssystemets utforming inklusive både teknisk utstyr og programvare. Med konfigurasjonsendring menes i Normen en endring av informasjonssystemets utforming som følge av installasjon, oppgradering eller fjerning av utstyr eller programvare. -L- Med leverandør menes i Normen juridisk enhet som yter tekniske og/eller administrative tjenester til virksomheten. Eksempler er EPJ-leverandør, røntgenleverandør, leverandør av løsning for SMS-meldinger, IKT-leverandør mv. -N- Med Norsk Helsenett menes i Normen Norsk Helsenett SF. Veileder for portaler, sms og e-post versjon 1.0 side 8 av 37

- P - Med personlig kvalifisert sertifikat menes i Normen to-faktor autentisering hvor en faktor er dynamisk basert på kvalifiserte sertifikater og ellers tilfredsstiller kravene til sikkerhetsnivå 4 i Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor. -R- Med registrert/pasienten/brukeren menes i Normen den som opplysninger kan knyttes til, jf. personopplysningsloven 2 nr. 6. Eksempler og begreper som brukes om pasienten/brukeren er søker, pasient/bruker og tjenestemottaker. En ansatt kan være omfattet av begrepet. Med sensitive personopplysninger menes i Normen opplysninger om: a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling c) helseforhold (helseopplysninger) d) seksuelle forhold e) medlemskap i fagforeninger, jf. personopplysningsloven 2 nr. 8). -S- -T- Med taushetsplikt menes i Normen lovpålagt eller avtalt plikt til å hindre at andre får adgang eller kjennskap til helse- og personopplysninger, jf. helsepersonelloven 21, helseregisterloven 15, helse- og omsorgstjenesteloven 12-1 og forvaltningsloven 13 til 13e, samt annen informasjon med betydning for informasjonssikkerheten, jf. personopplysningsforskriften 2-9. Taushetsplikt innbefatter både en passiv plikt til å tie og en plikt til aktivt å hindre uvedkommende i å få kunnskap om taushetsbelagte opplysninger. Med tekniske tiltak menes i Normen tiltak av teknisk karakter som ikke kan påvirkes eller omgås av medarbeidere, og ikke er begrenset av handlinger som den enkelte forutsettes å utføre. Eksempler på slike tiltak kan være autentisering på personlig kvalifisert sertifikat eller konfigurering av en brannmur slik at den kun tillater bestemt trafikk eller en meldingstjeneste som er laget slik at alle meldinger automatisk blir kryptert. Med tjenstlig behov menes i Normen at personer med nærmere bestemte arbeidsoppgaver, trenger nødvendige helse- og personopplysninger for å yte helsehjelp, omsorgs- eller sosialtjeneste og/eller utføre administrasjon i forbindelse med dette. Dersom pasienten har sperret hele eller deler av helse- og personopplysningene kreves særskilt hjemmel for tilgang til disse. Med tilgang menes i Normen at helse- og personopplysninger om en eller flere bestemte pasienter/brukere er eller gjøres tilgjengelige for autorisert personell. Beslutning om tilgang til behandlingsrettede helseregistre skal treffes etter en konkret vurdering basert på at det ytes helsehjelp til pasienten. Tilgang til fagsystemer i forbindelse med ytelser til pasient/bruker Veileder for portaler, sms og e-post versjon 1.0 side 9 av 37

skal iverksettes basert på tjenstlig behov. Tilgang i forbindelse med kvalitetssikring og administrative oppgaver skal også besluttes ut fra tjenstlig behov. -V- Med virksomhet menes i Normen juridisk enhet som helseforetak, kommune, sykehus, legepraksis, tannklinikk, apotek, apotekkjede, røntgeninstitutt, frittstående laboratorium, universitet, høyskole, stiftelse m.v. Definisjoner i denne n -M- Med meldingskode menes kode som systemet som genererer SMS benytter for å angi rett meldingstype (for eksempel melding med timebestilling eller melding med passord). Hver meldingstype vil ha en tilhørende meldingskode. Dette er koder som IT-systemet benytter for å behandle meldingene korrekt ved generering, utsendelse og mottak. Med pasientkommunikasjon menes helsepersonellets elektroniske samhandling med pasienten/brukeren for å motta eller gi informasjon eller toveis kommunikasjon for å dele helseopplysninger. -P- Med PKI/Public Key Infrastructure menes en teknologi for utstedelse, administrasjon og bruk av digitale sertifikater over datanett. Anvendelsesområder for PKI er autentisering (legitimering av en person, organisasjon eller gjenstands identitet), digital signatur (av dokumenter eller programvare), kryptering ende-til-ende og verifisering av dataintegritet (jf. lov om elektronisk signatur). Med portalløsning menes at tilbyder av helse-, sosial-, eller omsorgstjenester (virksomheten) tilbyr at pasienten/brukeren kommuniserer med virksomheten ved hjelp av en internettbasert kommunikasjonsmetode. -S- Med sikkerhetsnivå 3 menes to-faktor autentisering hvor en faktor er dynamisk med bytte av autentiseringsfaktor og ellers tilfredsstiller kravene til sikkerhetsnivå 3 i Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor Eksempler på autentiseringsfaktor som oppfyller sikkerhetsnivå 3 er passordkalkulator beskyttet med PIN-kode og engangspassord på mobiltelefon. -T- Med tjenesteyter menes den som leverer SMS-tjenesten, dvs den som sender meldingene på vegne av virksomheten. Det er en rekke løsninger som ikke krever bruk av tjenesteyter. Veileder for portaler, sms og e-post versjon 1.0 side 10 av 37

2 KRAV TIL INFORMASJONSSIKKERHET I PASIENTKOMMUNIKASJON Kravene nedenfor gjelder for pasientkommunikasjon generelt. Det enkelte krav gjelder for de bruksområdene for pasientkommunikasjon som er avkrysset ( ) i det enkelte kapittel. Krav som gjelder i tillegg for det enkelte bruksområdet er beskrevet i kapitlene 3, 4 og 5. 2.1 Samtykke Krav i Normen kapittel 5.7.5 Anbefalt løsning Referanse til faktaark og Virksomheten er ansvarlig for at: Samtykke fra pasienten/ brukeren er innhentet til å formidle helse- og personopplysninger elektronisk. Samtykke skal innhentes i tråd med alminnelige regler for samtykke. Samtykke fra pasienten/brukeren er etter Normen det eneste grunnlaget for datakommunikasjon med pasienten/brukeren (Jf. personopplysningsloven 2 pkt 7), 8 og 11 pkt c)) Samtykket skal være informert, noe som betyr at pasienten/brukeren må forstå hva samtykket innebærer. For eksempel kan pasienten/ brukeren gi samtykke til timepåminnelse, men ikke til bytte av time via SMS. Videre må samtykke være uttrykkelig og frivillig. Det anbefales at virksomheten utarbeider informasjon om bruk av løsningen for pasientkommunikasjon som gis skriftlig eller muntlig til pasienten/brukeren. Bl.a. skal det informeres om at pasienten/brukeren ikke skal sende sensitive personopplysninger / helseopplysninger via SMS Samtykket gjelder til det blir trukket tilbake. Pasienten eller brukeren kan når som helst trekke sitt samtykke tilbake. Dette trenger ikke gjøres skriftlig, men kan for eksempel skje muntlig i skranken i virksomheten. Samtykke bør kunne gis elektronisk ved første gangs bruk av løsningen for pasientkommunikasjon. Det anbefales at helsepersonellet gjør en vurdering av samtykket Veileder for portaler, sms og e-post versjon 1.0 side 11 av 37

Krav i Normen kapittel 5.7.5 Anbefalt løsning Referanse til faktaark og før igangsetting av pasientkommunkasjon. Se kapittel 6.1 for eksempel på skjemaer for samtykke. 2.2 Avtaler Krav i Normen kapittel 5.8 Anbefalt løsning Referanse til faktaark og Det skal inngås skriftlige avtaler med leverandør. Avtalene skal inkludere forpliktelser om at partene skal oppfylle de krav og tiltak som følger av den til enhver tid gjeldende Norm for informasjonssikkerhet, samt regulering av sanksjoner ved brudd på Normen og avtalen for øvrig. Når leverandør utfører behandling av helse- og personopplysninger på vegne av virksomheten skal det inngås en databehandleravtale. Drifter leverandør løsninger for flere kunder skal denne sørge for at det ikke opprettes felles registre som inneholder helseopplysninger for flere kunder. Dette skal klart fremgå av databehandleravtalen. Faktaark 10 - Bruk av databehandler (ekstern driftsenhet). Faktaarket inneholder både eksempel på databehandleravtale og sjekkliste med krav til databehandler og etablering av databehandleravtale) Faktaark 36 - Fjernaksess mellom leverandør og virksomhet For leverandører av utstyr og/eller programvare som må ha adgang, til systemer som behandler helse- og personopplysninger, for vedlikehold, feilretting, oppdatering, ved hjelp av online tilkobling og/eller fysisk oppmøte skal det inngås en databehandleravtale. Det må sikres at det er inngått avtale som ivaretar taushetsplikten (enten ved inngåelse av databehandleravtale eller annen avtale). Veileder for fjernaksess mellom leverandør og virksomhet, versjon 2.0 Drifter leverandør kun selve portalen (grensesnittet mellom pasient/bruker og virksomhetens fagsystem) er det vesentlig å avtale at mellomlagringen må sikres og slettes i portalen etter at kommunikasjonen er gjennomført. Alternativt kan det benyttes PKI som sikrer kommunikasjonen mellom Veileder for portaler, sms og e-post versjon 1.0 side 12 av 37

Krav i Normen kapittel 5.8 Anbefalt løsning Referanse til faktaark og pasient/bruker og virksomhetens fagsystem. 2.3 Risikovurdering Krav i Normen kapittel 4.6 Anbefalt løsning Referanse til faktaark og Risikovurdering skal som minimum gjennomføres før: det iverksettes behandling av helse- og personopplysninger etablering av nye informasjonsbehandlingssystemer eller registre som inneholder helse- og personopplysninger det iverksettes organisatoriske endringer som kan påvirke informasjonsbehandlingen det iverksettes tekniske endringer i utstyr og/eller programvare som kan påvirke informasjonsbehandlingen det iverksettes andre endringer med betydning for informasjonssikkerheten Risikovurderingen skal dokumenteres. Dersom teknologiske tiltak for å oppnå akseptabel risiko ikke innføres umiddelbart, kan det i en overgangsperiode benyttes administrative tiltak, f.eks. i form av prosedyrer. Virksomheten skal gjennomføre risikovurdering av løsning for pasientkommunikasjon før den tas i bruk Risikovurdering som er gjennomført av leverandøren kan være tilstrekkelig dokumentasjon på at risikovurdering er gjennomført og danne grunnlag for risikovurderingen som virksomheten skal gjennomføre. Som basis for risikovurderingen skal virksomhetenes krav til akseptabel risiko til konfidensialitet, integritet, tilgjengelighet og kvalitet legges til grunn. Resultatet fra risikovurderingen skal sammenstilles med nivå for akseptabel risiko og nødvendige tiltak gjennomføres. Se kapittel 6.2 for eksempel på risikovurdering. Det anbefales at virksomheten gir informasjon til pasient/bruker om risiko ved brukerutstyr. Faktaark nr 7 Risikovurderinger Faktaark nr 5 Fastsettelse av akseptkriterier for tilgjengelighet, konfidensialitet og integritet 2.4 Bruk av fødselsnummer Krav i Normen Anbefalt løsning Referanse til faktaark og Kravet er ikke formulert i Normen, men i personopplysningsforskriften Fødselsnummer skal ikke sendes som SMS, i ordinær e- post eller usikre løsninger. Veileder for portaler, sms og e-post versjon 1.0 side 13 av 37

Krav i Normen Anbefalt løsning Referanse til faktaark og 10-2 som lyder Postsendinger som inneholder fødselsnummer skal være utformet slik at nummeret ikke er tilgjengelig for andre enn adressaten. Tilsvarende gjelder sendinger som formidles ved hjelp av telekommunikasjon. 2.5 Drift og konfigurasjonsendringer Krav i Normen kapittel 5.5.1 Anbefalt løsning Referanse til faktaark og Konfigurasjonen skal sikre at utstyret og programvaren kun utfører de funksjoner som er formålsbestemt Konfigurasjonsendringer, dvs. endringer i utstyr og/eller programvare, skal ikke settes i drift før følgende tiltak er gjennomført: Risikovurdering som viser at nivå for akseptabel risiko oppfylles Test som sikrer at forventede funksjoner er ivaretatt Implementering som sikrer mot uforutsette hendelser Ny konfigurasjon er dokumentert Konfigurasjonsendringer er godkjent av virksomhetens leder eller den ledelsen bemyndiger Virksomheten må etablere prosedyrer for drift og konfigurasjonsendringer av løsningen for pasientkommunikasjon. Faktaark 3 Oversikt over anbefalte prosedyrer i styringssystemet for informasjonssikkerhet 2.6 Ondsinnet programvare Krav i Normen kapittel 5.8.3 Anbefalt løsning Referanse til faktaark og Virksomheten skal for å ivareta konfidensialitet, integritet, tilgjengelighet og kvalitet for helse- og personopplysninger forsikre seg Løsning for pasientkommunikasjon skal ha løsning for å hindre spredning av ondsinnet programvare som inneholder virus eller lignende. Faktaark 19 Tiltak for å hindre ondsinnet programvare Veileder for portaler, sms og e-post versjon 1.0 side 14 av 37

Krav i Normen kapittel 5.8.3 Anbefalt løsning Referanse til faktaark og om at: leverandørens utstyr som benyttes ved online oppkobling ved hjelp av kommunikasjonsnett eller medbrakt utstyr som knyttes til virksomhetens utstyr, ikke har ondsinnet programvare som inneholder virus e.l. og at utstyret er sikret mot adgang fra uvedkommende. Dette gjelder både ved utgående og inngående datatrafikk. For SMS skal meldingen kontrolleres før den sendes og ved mottak før den hentes inn til fagsystemet. 2.7 Krypteringsstyrke Krav i Normen kapittel 5.4.4 Anbefalt løsning Referanse til faktaark og Sikkerhetstiltak skal hindre at personer som ikke er autoriserte får tilgang til helseog personopplysninger ved at: All kommunikasjon, enten dette skjer ved hjelp av trådløst samband eller ved hjelp av linjer sikres ved kryptering iht. Datatilsynets til enhver tid gjeldende anbefalinger. Ivareta krypteringsstyrke iht kravspesifikasjon for PKI i offentlig sektor, eller tilsvarende styrke. 1 Faktaark 24 Kommunikasjon over åpne nett Faktaark 26 Sikring av trådløs teknologi Faktaark 49 Krav ved bruk av PKI ved ekstern kommunikasjon 2.8 Hendelsesregistrering Krav 1 Krav i Normen kapittel 5.2.6 Anbefalt løsning Referanse til faktaark og All autorisert bruk og forsøk på uautorisert bruk av informasjonssystemene skal registreres og registeret skal lagres i minimum 2 år. Hendelsesregistrene skal enkelt kunne analyseres ved hjelp av analyseverktøy med henblikk på å oppdage brudd. Virksomheten må utarbeide skriftlig prosedyre for gjennomgang av de ulike hendelsesregistrene. Alle hendelsesregistre skal oppbevares i minst 2 år i elektronisk form. Faktaark 15 Hendelsesregistrering og oppfølging Faktaark 3 Oversikt over anbefalte prosedyrer i styringssystemet 1 Se http://www.difi.no/artikkel/2010/04/kravspesifikasjon-for-pki Veileder for portaler, sms og e-post versjon 1.0 side 15 av 37

Krav i Normen kapittel 5.2.6 Anbefalt løsning Referanse til faktaark og Det skal etableres prosedyrer for å analysere hendelsesregistrene slik at hendelser oppdages før de får alvorlige konsekvenser, og fortrinnsvis innen 1 uke. Hendelsesregistrene skal sikres mot endring og sletting av uautorisert personell. Krav 2 Om det avdekkes uautoriserte hendelser skal opprettes en avviksmelding som skal behandles iht etablerte prosedyrer. Hendelsesregistre skal kun være tilgjengelig for fastsatte roller i virksomheten. Krav i Normen kapittel 5.5.2 Anbefalt løsning Referanse til faktaark og For å oppdage brudd eller forsøk på å bryte regelverket skal det som minimum føres hendelsesregistre over følgende: Sikkerhetsbarrierene skal registrere sikkerhetsrelevante hendelser, bl.a. forsøk på uautorisert bruk av informasjonssystemet Nettverksoperativsystemer skal registrere alle forsøk på uautorisert bruk Alle informasjonssystemer skal registrere alle forsøk på uautorisert bruk For forsøk på uautorisert bruk skal følgende hendelsesregistreres: Brukeridentiteten som ble benyttet Tidspunkt (dato og klokkeslett) IP-adresse eller annen identifikasjon av PC/arbeidsstasjon som ble benyttet (for eksempel MACadresse eller NAT-adresse) Hendelsesregistret bør inneholde informasjon om hvilken handling som ble forsøkt utført. Faktaark 15 Hendelsesregistrering og oppfølging 2.9 Integritet og kvalitet Krav 1 Krav i Normen kapittel 5.5.2 Anbefalt løsning Referanse til faktaark og Helse- og personopplysninger skal være fullstendige og ajourført i forhold til behandlingen av opplysningene Virksomheten skal ha prosedyrer som sørger for at journalverdig informasjon fra pasientkommunikasjon blir riktig journalført. Det anbefales en integrasjon med EPJ slik at journalverdig Veileder for portaler, sms og e-post versjon 1.0 side 16 av 37

Krav i Normen kapittel 5.5.2 Anbefalt løsning Referanse til faktaark og informasjon fra pasientkommunikasjon kan overføres til EPJ uten å måtte registreres på nytt. Kontroll av hvilke opplysninger som skal overføres til EPJ påhviler helsepersonellet. Overskuddsinformasjon skal ikke lagres. Krav 2 Spesielt for SMS: Behovet for å kontrollere svaret fra pasienten/brukeren mot utsendt SMS skal vurderes ift type SMS og iht gjennomført risikovurdering. Grunnen er virksomheten kan sende flere SMS til en pasient/bruker samtidig. Kontrollen kan for eksempel baseres på mobilnummer i svaret, innhold i svaret og meldingskode i utsendte SMS Ved manglende match mellom utsendt SMS og mottatt mobilnummer og meldingskode stanses svaret og hendelsen hendelsesregistreres Ansvarlig som har sendt SMS til pasienten/brukeren bør få tydelig beskjed om at svar fra pasienten/brukeren er mottatt Krav i Normen kapittel 5.7.1 Anbefalt løsning Referanse til faktaark og Ved tilkobling til nett utenfor virksomheten skal det etableres tekniske tiltak som ivaretar at: Kun eksplisitt angitt tillatt trafikk kan passere, annet stoppes. Trafikk kan ikke passere direkte utenfra og inn; all slik ekstern trafikk må initieres fra virksomhetens systemer. Virksomheten skal påse at de tekniske tiltakene ivaretas ved at sikkerhetsbarrierer kun tillater godkjent trafikk Med direkte utenfra og inn menes at trafikken må passere via en sikkerhetsmekanisme (for eksempel proxytjeneste eller terminalserver) eller at SMS og e-post hentes inn til nettverket (og ikke tillates sendt direkte inn til Faktaark 15 Hendelsesregistrering og oppfølging Faktaark 22 Kontroll og sikring av ekstern tilgang Faktaark 24 Kommunikasjon over åpne nett Veileder for portaler, sms og e-post versjon 1.0 side 17 av 37

Krav i Normen kapittel 5.7.1 Anbefalt løsning Referanse til faktaark og nettverket) 2.10 Tilgjengelighet for pasientkommunikasjon Krav i Normen Anbefalt løsning Referanse til faktaark og Ingen relevante krav. Krav til tilgjengelighet til løsninger for pasientkommunikasjon baseres på resultat fra gjennomført risikovurdering (se kapittel 2.3 ovenfor). 2.11 Avvik Krav i Normen kapittel 6.3 Anbefalt løsning Referanse til faktaark og Virksomhetens ledelse, eller det organ ledelsen bemyndiger, skal behandle avvik med det formål å gjenopprette normal tilstand, fjerne årsaken til avviket og å hindre gjentagelse. Avviksbehandlingen iverksettes ved sikkerhetsbrudd og/eller når behandling av helse- og personopplysninger er utført i strid med gjeldende regelverk, retningslinjer eller prosedyrer. Avviksbehandling kan også iverksettes ved tilfeller av manglende eller uhensiktsmessige prosedyrer. Avvik skal behandles iht fastsatt prosedyre. Alle regelbrudd skal håndteres som avvik og personalmessige konsekvenser skal vurderes. Faktaark 8 - Avviksbehandling Veileder for portaler, sms og e-post versjon 1.0 side 18 av 37

3 KRAV TIL INFORMASJONSSIKKERHET I PORTALLØSNINGER Ved etablering av portalløsning kommer kravene nedenfor i tillegg til kravene i kapittel 2 merket med Portalløsning. Veileder beskriver hvordan en portalløsning kan etableres, mens det er databehandlingsansvarlig som må vurdere hva en portalløsning skal benyttes til ut fra risiko og helsefaglige forhold. Kravene nedenfor gjelder for hele kommunikasjonskjeden mellom pasient/bruker og virksomhetens fagsystem. 3.1 Pasienten/brukerens rett til innsyn, retting og sletting Krav i Normen kapittel 5.3.3 Anbefalt løsning Referanse til faktaark og Det skal etableres prosedyrer og gjennomføres tiltak for å sikre at: Pasienten/brukeren får informasjon om virksomhetens behandling av helse- og personopplysninger, og sine rettigheter til innsyn i, retting, sletting og sperring av registrerte opplysninger om seg selv. Pasienten/brukeren sikres innsyn i egne helse- og personopplysninger. Pasientens/brukerens rettigheter til retting/sletting av helse- og personopplysninger ivaretas. Virksomheten må utarbeide Informasjon til pasienten/brukeren om behandlingen av helse- og personopplysninger og sine rettigheter Prosedyrer for hvordan innsyn i, retting, sletting (for eksempel om samtykke trekkes tilbake og iht helseregisterloven 28) og sperring av registrerte opplysninger utføres 3.2 Opplæring Krav i Normen kapittel 5.6 Anbefalt løsning Referanse til faktaark og Virksomheten skal iverksette tiltak som ivaretar at: alle som gis tilgang til og/eller drifter informasjonssystemene og Helsepersonell skal ha opplæring i bruk av portalløsningen Portalløsningen skal inneholde bruksanvisning for Faktaark 9 - Opplæring av ledere og medarbeidere Veileder for portaler, sms og e-post versjon 1.0 side 19 av 37

Krav i Normen kapittel 5.6 Anbefalt løsning Referanse til faktaark og tilhørende informasjon skal ha tilstrekkelig kunnskap til å utnytte systemene for sin rolle og til å ivareta informasjonssikkerheten pasienten/brukeren Pasienten/brukeren kan også ha tilgang til elektronisk hjelp 3.3 Autorisering Krav i Normen kapittel 5.2.2 Anbefalt løsning Referanse til faktaark og Databehandlingsansvarlig er ansvarlig for at autorisasjoner tildeles, administreres og kontrolleres. Ved tildeling av autorisasjon skal lovbestemt taushetsplikt vurderes og ivaretas. Autorisasjon for å lese, registrere, redigere, rette, slette og/eller sperre helse- og personopplysninger skal gis til dem som har tjenstlig behov. Autorisasjonen skal tildeles i henhold til betryggende prosedyrer Pasienten/brukeren skal gis tilgang enten av virksomheten eller ved selvbetjening i portalløsningen Ved selvbetjening må samtykke aksepteres eksplisitt i portalløsningen (for eksempel ved at pasient/bruker må huke av for å akseptere at det behandles personopplysninger) Pasienten/brukeren skal gis tilgang for den enkelte funksjon som skal tas i bruk Helsepersonell skal autoriseres til portalløsningen iht til sin rolle og tjenstlig behov Faktaark 14 - Tilgangsstyring 3.4 Autorisasjonsregister Krav i Normen kapittel 5.2.2 og 3.3.4 Anbefalt løsning Referanse til faktaark og Databehandlingsansvarlig skal sørge for at det oppettes et autorisasjonsregister. Registeret skal som minimum inneholde: informasjon om hvem som er tildelt autorisasjon til hvilken rolle autorisasjonen er tildelt formålet med autorisasjonen tidspunkt for når For helsepersonell skal autorisasjonsregisteret som minimum inneholde informasjon om hvem som er tildelt autorisasjon til hvilken rolle (for eksempel lege, tannlege, helsesøster, psykolog, kiropraktor) autorisasjonen er tildelt formålet med autorisasjonen tidspunkt for når Faktaark 47 - Autorisasjonsregister Veileder for portaler, sms og e-post versjon 1.0 side 20 av 37

Krav i Normen kapittel 5.2.2 og 3.3.4 Anbefalt løsning Referanse til faktaark og autorisasjonen ble gitt og eventuelt tilbakekalt informasjon om hvilken virksomhet den autoriserte er knyttet til autorisasjonen ble gitt og eventuelt tilbakekalt informasjon om hvilken virksomhet den autoriserte er knyttet til 5 års lagring minimum fra det tidspunkt dokumentet ble tatt ut av bruk: Oversikt over tildelte autorisasjoner og tilganger til helse- og personopplysninger (autorisasjonsregister) For pasienten/brukeren skal autorisasjonsregisteret som minimum inneholde informasjon om hvem som er tildelt autorisasjon formålet med autorisasjonen tidspunkt for når autorisasjonen ble gitt og eventuelt tilbakekalt Virksomheten må etablere prosedyrer og en løsning slik at tildelte autorisasjoner lagres i autorisasjonsregisteret i 5 år fra det tidspunkt autorisasjonen ble tatt ut av bruk. 3.5 Autentisering Krav i Normen kapittel 5.2.1 og 5.5.2 Anbefalt løsning Referanse til faktaark og Ved bruk av mobilt utstyr, hjemmekontor og trådløs kommunikasjon skal autentiseringen ikke innebære økt risiko utover det som gjelder for stasjonært utstyr. En risikovurdering må vise at autentiseringsløsningen gir tilstrekkelig sikkerhet Faktaark 14 Tilgangsstyring Faktaark 49 Krav ved bruk av PKI ved ekstern kommunikasjon Tilgang fra hjemmekontor og/eller mobilt utstyr skal sikres ved autentisering som ikke innebære økt risiko utover det som gjelder for stasjonært utstyr. En risikovurdering må vise at autentiseringsløsningen gir tilstrekkelig sikkerhet. Dette gjelder også for avdelingskontor som kommuniserer ved hjelp av linjer man ikke har fysisk kontroll over Autentisering for bruk av kun administrative funksjoner uten helseopplysninger (som for eksempel bestilling og avbestilling av time uten at grunnen for timebestilling oppgis) skal gjøres med minimum sikkerhetsnivå 3 Autentisering for tilgang til og kommunikasjon av helseopplysninger i nasjonale løsninger (for eksempel helsenorge.no) eller løsninger levert av helsepersonell (inklusive timebestilling der pasient/bruker oppgir grunnen for bestilling av time og reseptfornying) skal gjøres med personlig kvalifisert sertifikat eller en annen sikker autentiseringsløsning. Veileder for portaler, sms og e-post versjon 1.0 side 21 av 37

Krav i Normen kapittel 5.2.1 og 5.5.2 Anbefalt løsning Referanse til faktaark og Ved bruk av annen autentiseringsløsning må en risikovurdering vise at denne har tilstrekkelig sikkerhet (se kapittel 2.3 ovenfor) For løsninger til private formål (helsepersonell er ikke involvert) anbefales autentisering med sikkerhetsnivå 3 3.6 Hendelsesregistrering Krav i Normen kapittel 5.5.2 Anbefalt løsning Referanse til faktaark og For å oppdage brudd eller forsøk på å bryte regelverket skal det som minimum føres hendelsesregistre over følgende: Autorisert bruk av informasjonssystemene skal registreres. Det skal iverksettes hendelsesregistrering, slik at det er mulig å oppdage og oppklare brudd på sikkerheten. I virksomhetens portalløsning skal følgende hendelsesregistreres ved autorisert bruk: For helsepersonell skal hendelsesregistre som minimum inneholde: entydig identifikator for den autoriserte brukeren rollen den autoriserte brukeren har ved tilgangen virksomhetstilhørighet organisatorisk tilhørighet til den som er autorisert hvilke type opplysninger det er gitt tilgang til grunnlaget for tilgangen tidspunkt og varighet for tilgangen For pasient/bruker skal hendelsesregistre som minimum inneholde: entydig identifikator for den autoriserte pasienten/ brukeren hvilke type opplysninger det er gitt tilgang til Faktaark 15 Hendelsesregistrering og oppfølging Veileder for portaler, sms og e-post versjon 1.0 side 22 av 37

Krav i Normen kapittel 5.5.2 Anbefalt løsning Referanse til faktaark og tidspunkt og varighet for tilgangen 3.7 Teknisk løsning Krav 1 Krav i Normen kapittel 5.5.2 Anbefalt løsning Referanse til faktaark og Tekniske tiltak og organisatoriske tiltak skal iverksettes slik at personer ikke skal kunne få tilgang til helseog personopplysninger de ikke er autorisert for Krav 2 For pasient/bruker vil tilgang basert på sikkerhetsnivå 3 eller personlig kvalifisert sertifikat gi tilstrekkelig konfidensialitetsbeskyttelse for tilgang til portalløsningen (se kapittel 3.5 ovenfor). Virksomheten bør ta inn i samtykket med pasient/brukeren at tilganger og autentiseringsmekanismer er personlige og ikke skal lånes ut til andre. Faktaark 14 - Tilgangsstyring Krav i Normen kapittel 5.7.4 Anbefalt løsning Referanse til faktaark og Tekniske tiltak som sikrer at Internett-tjenesten er logisk atskilt fra der helse- og personopplysninger behandles. Portalløsningen må etableres slik at nettverket hvor helse- og personopplysninger behandles er atskilt fra Internett med sikkerhetsbarrierer. Faktaark 28 - Alternative tekniske løsninger for primærhelsetjenesten 3.8 Konfidensialitet Krav 1 Krav i Normen kapittel 4.4.1 Anbefalt løsning Referanse til faktaark og Konfidensialitet skal ivareta taushetsplikten og for øvrig sikre mot at uvedkommende får kjennskap til opplysningene. Dette innebærer blant annet: For pasient/bruker vil tilgang basert på sikkerhetsnivå 3 eller personlig kvalifisert sertifikat gi tilstrekkelig konfidensialitetsbeskyttelse for Faktaark 14 Tilgangsstyring Faktaark 22 Kontroll og sikring av ekstern tilgang Veileder for portaler, sms og e-post versjon 1.0 side 23 av 37

Krav i Normen kapittel 4.4.1 Anbefalt løsning Referanse til faktaark og Personer utenfor virksomheten uansett ressurser og kunnskap skal ikke kunne få uautorisert tilgang til helse- og personopplysninger Krav 2 tilgang til portalløsningen (se kapittel 3.5 ovenfor). Det anbefales at løsningen etableres slik at det ikke er mulig å lagre helseopplysninger på pasientens/brukerens utstyr. Skal det likevel gjøres skal opplysningene krypteres iht kapittel 2.7. Ved bruk av arbeidsgivers utstyr skal pasient/bruker gjøres oppmerksom på at arbeidsgiver kan dekryptere HTTPS ifm kontroll av datatrafikken. Faktaark 49 Krav ved bruk av PKI ved ekstern kommunikasjon Krav i Normen kapittel 5.7.5 Anbefalt løsning Referanse til faktaark og Virksomheten er ansvarlig for at: Tekniske tiltak iverksettes slik at all kommunikasjon krypteres. All datakommunikasjon av helseopplysninger skal krypteres. Eksempel på krypteringsløsning er HTTP (Hypertext Transfer Protocol - standard for overføring av informasjon over Internett) med bruk av en kryptert SSL (Secure Sockets Layer) hvor det benyttes sertifikater som gir nødvendig krypteringsstyrke (jf. kapittel 2.7) Kommunikasjonen mellom virksomhet og pasienten/brukeren bør stenges, og ny autentisering kreves, etter et fastsatt antall minutter med inaktivitet. Stengingen bør være en del av portalløsningen og ikke overlates til pasienten/ brukeren med oppfordring til bruk av skjermsparer Ved bruk av standardiserte meldinger skal det benyttes meldingskryptering (PKI) Faktaark 24 Kommunikasjon over åpne nett Faktaark 26 Sikring av trådløs teknologi Veileder for portaler, sms og e-post versjon 1.0 side 24 av 37

3.9 Eksempel 1- portalløsning helsepersonell drifter portalen Leverandør Databehandler Databehandlingsansvarlig Pasient/bruker 1 - Initiere 2 - Initiere 3 - Initiere 6 - Motta svar 5 Videresende/ presentere resultat 4 - Sende svar Personlig kvalifisert sertifikat HTTPS / PKI Portal HTTPS / PKI Fagsystem Eksempelet viser en helseportal, herunder føring av pasientdagbok etter avtale med helsepersonell. Kommunikasjonen initieres av pasient/bruker og viser kommunikasjonsprosessen sammen med viktige sikkerhetstiltak. I den sammenheng er også områder for risikovurdering angitt. Databehandler er kun med i figuren for å vise at databehandlingsansvarlig (virksomheten) kan benytte databehandler til hele eller deler av løsningen. Nr Kommunikasjon Sikkerhetstiltak Områder for risikovurdering 1. Pasient/bruker initierer - Samtykke er ivaretatt - Bruk av privat utstyr bruk av portalen - Ondsinnet programvare på privat utstyr - Bruk av internettkafé hvor det ofte er uklart hvordan utstyr blir overvåket og data blir logget / lagret - Bruk av arbeidsgivers utstyr ifm dekryptering av HTTPS - Forhold rundt pasient/bruker ift 2. Portalen initierer trafikk mellom portal og fagsystem 3. Fagsystem initierer trafikk mot portalen og åpner opp for registrering eller presentasjon av opplysninger om pasient/bruker - Autentisering av pasient/bruker - Kryptering av datakommunikasjon - Videreformidle forespørsel fra pasient/bruker til fagsystem - Hendelsesregistrering - Initiering av datakommunikasjon fra fagsystem til portal (ikke omvendt) medhjelper og familie - Kryptering ende til ende (forhindre Man-in-themiddle ) - Autentisering med kvalifisert sertifikat eller en annen tilsvarende sikker autentiseringsløsning - Lagring av opplysninger i portalen så kort tid som mulig - Datakommunikasjon skal initieres fra fagsystem til portalen - Minst to uavhengige tekniske tiltak mot eksterne nettverk - Ondsinnet programvare 4. Fagsystem henter informasjon fra portalen eller sender forespurt informasjon til portalen - Hendelsesregistrering - Kryptering av datakommunikasjon - Kontroll at kryptering fungerer etter hensikten Veileder for portaler, sms og e-post versjon 1.0 side 25 av 37

Nr Kommunikasjon Sikkerhetstiltak Områder for risikovurdering 5. Portal presenterer forespurt informasjon for pasient/bruker - Kryptering av datakommunikasjon - Sletting av opplysninger i portalen så raskt som mulig 3.10 Eksempel 2 - portalløsning - helsenorge.no Borger 1-veis SSL transportkryptering Personlig kvalifisert sertifikat Helsenorge benytter en system-til-system integrasjon med bruk av virksomhetssertifikater til to-veis kryptering av transportkanal (med bruk av SSL eller TSL) og meldingskryptering og - signering med nøkler i henhold til eller utover krav til PKI. For symmetriske nøkler brukes 1024 bits eller 2048 bits nøkler. For asymmetriske brukes 128 bits eller 256 bits nøkler med godkjente leverandører av PKI (Norsk Helsenett/Buypass). For kommunikasjon med pasient/bruker benyttes 1-veis SSL med offentlige Buypasssertifikater inn til helsenettets datasenter med Threat Management Gateway (TMG) reverseproxy/firewall/load balancer. 3.11 Eksempel 3 - portalløsning - privat bruk Pasient/bruker Helsepersonell HTTPS HTTPS Internett HTTPS Sikker sone leverandør Portalløsning som tilbys av leverandør Eksempelet illustrerer portalløsninger som tilbys fra kommersielle leverandører slik at pasient/bruker kan føre pasientdagbok på eget grunnlag. Pasient/bruker er selv ansvarlig for informasjonssikkerheten ettersom behandlingen av personopplysninger faller utenfor Veileder for portaler, sms og e-post versjon 1.0 side 26 av 37

personopplysningsloven og Datatilsynet ikke har tilsynsmyndighet. Det anbefales likevel at Normen følges. Kommunikasjonen fra pasient/bruker går for eksempel via HTTPS over Internett og tjenestene krever autentisering for eksempel med sikkerhetsnivå 3 (passord via SMS). Det er to uavhengige sikkerhetsbarrierer mellom portalløsningen hos leverandøren og Internett. Veileder for portaler, sms og e-post versjon 1.0 side 27 av 37

4 BRUK AV SMS I KONTAKT MED PASIENTEN/BRUKEREN SMS benyttes i mange sammenhenger i kommunikasjon mellom pasienten/brukeren og helsetjenestetilbyder. I den anledning er det viktig å etablere løsninger som ikke benyttes til overføring av informasjon som bryter med kravet til personvern og informasjonssikkerhet. Ved etablering av løsning for SMS kommer kravene nedenfor i tillegg til kravene i kapittel 2 merket med SMS. 4.1 Innhold i SMS Virksomheten som benytter løsningen er ansvarlig for og skal påse at krav til informasjonssikkerhet ivaretas. Den samlede informasjonen i SMS må vurderes ut fra om innholdet totalt sett kan medføre brudd på taushetsplikten. Eksempler på informasjon som kan sendes som SMS - Navn, helst kun fornavn - Fødselsdato, kun dato, måned og år - Bestilling av time - Bekreftelse på timeavtale (..minner om timeavtale hos oss tir. 5. jan kl 1430. mvh <navn> ) - Aksept av timeavtale (svar tilbake til avsender at avtalen er OK Ja/Nei) - Endring av timeavtale (Time 5. jan kl 1200 utgår. Du er satt opp med ny time 18. januar kl 1700. Bekreft om foreslått tidspunkt passer Ja/Nei) - Forespørsel om blodgiving - Aksept av blodgiving (Ja/Nei) - Bekreftelse på at en resept er klar til henting ( Resepten din er ferdig og klar for henting ) - Engangspassord for pålogging til kommunikasjonsløsninger som inneholder helseopplysninger - Varsling om nye meldinger i andre systemer - Annet som er relatert til praktiske forhold vedr. kontakten mellom helsetjenestetilbyder og pasienten/brukeren, og som ikke inneholder sensitive personopplysninger (...vi har flyttet til... ) - Hvis det ikke kan eller skal sendes svar på SMS skal det opplyses om det i meldingen som sendes til pasienten/brukeren, f. eks kan meldingen utvides med: Du kan ikke sende svar på denne SMS Eksempler på informasjon som ikke kan sendes som SMS - Fødselsnummer (11 siffer) - Helseopplysninger. For eksempel diagnose i form av kode eller tekst som viser pasienten/brukerens helsetilstand - Reseptinformasjon. For eksempel innhold i eller forordning av legemiddel - Avdelingsnavn (som kan knyttes til diagnose eller helseforhold. Unngå for eksempel...psykiatrisk poliklinikk...,...gynekologisk avdeling... ) Eksempler på informasjon som ikke bør sendes som SMS Veileder for portaler, sms og e-post versjon 1.0 side 28 av 37

- Telefonnr til avsender (slik at det ikke er mulig å identifisere avsender/avdeling med navn som kan angi helseforhold eller diagnose) 4.2 Etablering av SMS-løsning 4.2.1 Bruk av SMS Virksomhetens leder skal beslutte om SMS kan benyttes ved kontakt med pasienten/brukeren og beskrive formålet med bruk av SMS. Regler for utplukk av pasienten/brukeren som skal motta SMS og løsning for utsendelse og mottak av SMS bør beskrives. Hvilke data som skal sendes og mottas som SMS bør dokumenteres og danne grunnlag for beslutningen. Endring av formål (se eksemplene i kapittel 4.1 ovenfor) og beskrivelsen skal godkjennes av virksomhetens leder. Masseutsendelse av SMS skal følge de samme reglene som enkeltstående SMS (for eksempel en SMS som sendes alle pasienter/brukere over 70 år med ordlyd: Alle over 70 år tilbys vaksine mot influensa. Ta kontakt med <virksomhet> for timeavtale ). 4.2.2 Avtale med tjenesteyter - databehandler Kapittelet utgår om tjenesteyter ikke benyttes. Se kapittel 4.4 og 4.5 for eksempel med bruk av tjenesteyter og kapittel 2.2 for krav til etablering av databehandleravtale. Databehandleravtalen bør inneholde et slettekrav når SMS er vellykket videreformidlet. 4.2.3 Samtykke fra pasienten/brukeren Se kapittel 2.1 for krav til samtykke fra pasienten/brukeren. For å ivareta kravet til samtykke kan systemet som genererer og sender ut SMS kontrollere at pasienten/brukeren har gitt sitt samtykke for eksempel med kontroll mot et avkrysningsfelt i fagsystemet. Behandlende helsepersonell skal innhente mobilnummer direkte fra pasienten/brukeren. 4.3 Teknisk løsning for SMS Se kapittel 4.4 og 4.5 for eksempler på tekniske løsninger for SMS. Se kapittel 2.5 for krav til drift og konfigurasjonsendringer og kapittel 2.8 for krav til oppbevaring og analyse av hendelsesregistre. Veileder for portaler, sms og e-post versjon 1.0 side 29 av 37