Hopp til hovedinnhold

Direktoratet for e-helse blir en del av Helsedirektoratet

Fra 01.01.2024 er vi en del av Helsedirektoratet. Frem til juni vil vi jobbe med å overføre innholdet på denne siden til helsedirektoratet.no. Les mer om sammenslåingen her.

Sikring av mobilt utstyr utenfor virksomheten (faktaark 30)

Faktaarket gir veilledning om hvordan virksomheter skal sikre konfidensialitet, integritet og tilgjengelighet for helse- og personopplysninger som registreres, endres og lagres på mobilt utstyr.

Om faktaarket

Dette faktaarket omhandler sikker håndtering av mobilt utstyr som  som brukes utenfor virksomheten til lagring av helse- og personopplysninger. Dette Omfatter alle typer mobilt utstyr; bærbar PC, nettbrett, mobiltelefon, digitalt kamera og video som brukes av ansatte i tjeneste utenfor virksomheten (for eksempel hjemmetjeneste).

Formålet med faktaarket er å sikre konfidensialitet, integritet og tilgjengelighet for helse- og personopplysninger som registrerer, endres og lagres på mobilt utstyr. Virksomhetens leder skal beslutte bruk av mobilt utstyr. IKT-ansvarlig skal påse at det blir etablert teknisk løsning og utarbeidet nødvendige prosedyrer som ivaretar kravet til sikkerhet. Regler og prosedyrer skal etableres før mobilt utstyr benyttes til behandling av helse- og personopplysninger.

Faktaarket har en prosessorientert tilnærming og inneholder eksempel på fremgangsmåte for sikring av mobilt utstyr.  

Dette faktaarket er spesielt relevant for

Målgruppen for faktaarket er virksomheter som behandler helse-og personopplysninger og som benytter seg ulike typer mobilt utstyr for lagring av helse- og personopplysninger. Faktaarket er relevant for personer som skal vurdere om virksomhetens behandling av helse- og personopplysninger oppfyller de grunnleggende kravene i personvernforordningen. Dette vil ofte være personer som er tildelt et særlig ansvar for personvern i virksomheten som. 

  • IKT-ansvarlig
  • Prosjektleder
  • Prosjektleder forskning
  • Sikkerhetsleder / sikkerhetskoordinator
  • Virksomhetens leder/ledelse
  • Databehandler
  • Leverandør

Krav i Normen 6.0

Faktaarket gjelder følgende kapittel i Normen

Relevante lov og forskriftsbestemmelser, standarder og andre rammeverk

Følgende lov- og forskriftsbestemmelser, standarder og andre rammeverk er spesielt relevante for faktaarket:

 

Sikring av mobilt utstyr utenfor virksomheten

Definisjoner

Med ”Apparatlås” menes en kode eller et passord som benyttes til å låse en mobiltelefon eller nettbrett. Apparatlåsen kan sammenlignes med en skjermsparer med passord.

Med ”PIN-kode” menes koden som benyttes til å autentisere seg overfor SIM-kort hver gang mobiltelefonen eller nettbrettet startes.

Med "Sikkerhetskode for elektronisk ID" menes den personlige koden som benyttes til å autentisere på sikkerhetsnivå 4 ved hjelp av mobiltelefon eller nettbrett.


1. Bestemme bruksområder for mobilt utstyr

a) Avgjøre ved hvilke tjenester utenfor virksomheten mobilt utstyr skal benyttes; besøkstjenester, hjemmetjeneste, legevakt, akuttmedisinske tjenester, osv
b) Avgjøre om mobilt utstyr skal benyttes til å:

  • Motta helse- og personopplysninger fra sentrale systemer
  • Mellomlagre helse- og personopplysninger
  • Bearbeide helse- og personopplysninger
  • Overføre helse og personopplysninger til annet utstyr
  • Overføre helse- og personopplysninger til sentrale systemer
  • Utføre administrative funksjoner (for eksempel avtalebok)

c) Avgjøre hvilken type informasjon mobilt utstyr skal benyttes til

  • Tekst
  • Tale/lyd
  • Bilder
  • Video
  • Strukturert datafangst via strekkode, rfid eller annen dedikert teknologi

 

2. Bestemme tekniske sikkerhetsregler

a) Fastsette nivå for akseptabel risiko. Virksomheten skal vurdere hva som er nødvendige sikringsmekanismer ift den faktiske bruken; omfang av data på utstyret, sletteprosedyrer, sannsynligheten for at utstyret kommer på avveie, muligheten for 3. part å få innsyn, hvor lett det er å identifisere enkeltpersoner, osv. 
b) Gjennomføre risikovurdering av bruk av mobilt utstyr
c) Prioritere tiltak som ivaretar forholdsmessig sikring

 

3. Etablere tekniske sikkerhetstiltak

a) Innføre relevante tekniske tiltak

  • Kryptering av lagringsmedium eller data
  • Autorisasjon og autentisering
  • Sikkerhetsnivå 4 for autentisering ved pålogging til sentrale systemer som inneholder helseopplysninger
  • Fjerne funksjoner / tjenester som ikke skal benyttes (om dette er mulig. Alternativt må slike tiltak avtales med bruker)
  • Antivirusprogram
  • Sikker datakommunikasjon inklusive behandling av bilder og film med hensyn til SMS og MMS

 

4. Etablere prosedyrer for bruk av mobilt utstyr

a) Opplæring i bruk av mobilt utstyr slik at bruker er fortrolig med hvordan det skal brukes
b) Utlevering og innlevering av mobilt utstyr slik at behandlingsansvarlig har god kontroll med hvem som benytter mobilt utstyr til hva
c) Sikker oppbevaring. Utstyret transporteres fra virksomhet til pasient / bruker og kan u s for tyveri, tap og ødeleggelse
d) Regler for registrering, endring, retting og sletting av helse- og personopplysninger på mobilt utstyr
e) Regler for overføring av helse- og personopplysninger til/fra sentrale systemer. Slik overføring anbefales utført på kontoret/arbeidsplassen til den enkelte og ikke fra hjemmekontor
f) Regler for beskyttelse av sikkerhetskode for elektronisk ID på mobiltelefoner og nettbrett. Sikkerhetskode for elektronisk ID på mobiltelefon og nettbrett er personlig og skal være utilgjengelig for andre. Sikkerhetskode for elektronisk ID skal ikke være det samme som PIN-koden til SIM-kortet eller apparatlåsen
g) Brukeravtale. Det skal her presiseres at dette er dedikert utstyr til definerte oppgaver og skal ikke benyttes til annet enn predefinerte oppgaver 
h) Avhende eller overføre mobilt utstyr til annen bruker, herunder sletting av data

Eksempel

Eksempelet under illustrerer bruk av mobilt utstyr i en hjemmetjeneste hvor det lagres helse- og personopplysninger som bringes med hjem til pasienten/bruker. Illustrasjonen er ment å gi innspill på områder som må fokuseres på i en risikovurdering. Viktige områder som må vurderes er bl.a. overføring av helse- og personopplysninger via plugg i veggen eller mobil kommunikasjon, data på lokalt utstyr (ansattes PC), mellomlagring av data på mobilt utstyr og oppdatering av sentralt lagrede helse- og personopplysninger.

PLACEHOLDER FOR BILDE/ILLUSTRASJON

Eksempelet - bruk av mobilt utstyr i en hjemmetjeneste.jpg
Illustrerer bruk av mobilt utstyr i en hjemmetjeneste hvor det lagres helse- og personopplysninger som bringes med hjem til pasienten/bruker

 

 

Sist oppdatert: 03. mai 2023