Pro-seksjonen i Helseetaten er systemforvalter for fagsystemet Gerica på oppdrag fra byrådsavdlingen for helse, eldre og innbyggertjenester. Pro-seksjonen har ansvar for denne rutinen, virksomhetene er pliktig til å følge denne. Det må utarbeides lokale rutiner for hvilken funksjon som skal utføre kontrollen og når de ulike kontroller skal gjennomføres.

Virksomhentene er ansvarlig for at tildeling av tilganger er i tråd med gjeldende føringene for informasjonssikkerhet, personvern og tilgangsstyring i kommunen.

Definisjoner

Tjenstlig behov: Med «tjenstlig behov» menes i Normen at personer med nærmere bestemte arbeidsoppgaver trenger nødvendige helse- og personopplysninger for å yte helsehjelp, omsorgstjeneste og/eller utføre administrasjon i forbindelse med dette. Dersom pasienten har sperret hele eller deler av helse- og personopplysningene, kreves særskilt hjemmel for tilgang til disse (Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren Versjon 6.0, kap 6.2)

Virksomhet: Med «virksomhet» menes en juridisk enhet som helseforetak, helseforvaltning, kommune, sykehus, legepraksis, tannklinikk, apotek, apotekkjede, røntgeninstitutt, frittstående laboratorium, universitet, høyskole, stiftelse mv., eller databehandler/leverandør som ved avtale er forpliktet til å følge Normen (Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren Versjon 6.0, kap 6.2)

Utførelse av rutine

Om Gerica tilgangsstyring og internkontroll i Gerica

Virksomheter som yter helsehjelp har ansvar for at behandling av helse- og personopplysninger skjer på en måte som ivaretar taushetsplikten og sikrer pasientenes personvern, samtidig som opplysningene skal være tilgjengelige for personell ved virksomheten som trenger det. Det er kun personell ved virksomheten som har tjenstlig behov som skal ha tilgang til taushetsbelagt informasjon, og de skal ikke få tilgang til flere opplysninger enn det som er relevant og nødvendig for å kunne utføre sine oppgaver (Jfm Veileder for tilgangsstyring).

.."Tildeling av tilgangsrettigheter skal gjøres ut fra en konkret vurdering av den enkelte medarbeiders behov. Ved endring i behov, skal tilgangsrettighetene endres slik at de blir i samsvar med de nye behovene. Når en medarbeider slutter eller får tildelt oppgaver som gjør at vedkommende ikke lenger har behov for tilgang til Gerica, skal tilgangen stanses umiddelbart etter at behovet har opphørt"... (Fellesskriv til bydelene; Tildeling av tilgangsrettigheter i Gerica)

For å sikre at dette ivaretas, må den enkelte virksomheten sikre korrekt tilgangsstyring for sine ansatte. Dette inkluderer å foreta jevnlig internkontroll av tilganger og tilgangsstrying i egen virksomhet. Se egen rutine for tildeling av roller og tilganger i Gerica.

1. Kontroll av ansattes aktive roller i virksomheten

1.1 Oversikt over ansattes aktive roller i virksomheten

Det skal månedlig tas ut en oversikt fra Gerica som viser ansatte med aktiv rolle i virksomheten. Denne skal gjennomgås av tjenesteleder (med personalansvar).

Det finnes ulike måter å ta ut en slik oversikt, se eksempler i Manual Rapporter og seleksjoner for tilgangskontroll i Gerica.

1.2 Hva skal kontrolleres på ansattes aktive roller

Tjenesteleder (med personalansvar) skal gjennomgå alle aktive roller for sin virksomhet hos den enkelte ansatte, og kontrollere om den ansatte (fortsatt) har:

Et aktivt ansettelsesforhold i virksomheten
Aktive roller som tilsvarer den ansattes formalkompetanse/yrkesgruppe?
- Hvis ikke; er det dokumentert årsak til hvorfor tilgang er gitt ut over formalkompetanse/yrkesgruppe (hvilke oppgaver medarbeideren faktisk utfører)?
Tjenestlig behov for rollen
- OBS! Rolle tilknyttet enkeltbrukere

Dersom ett eller flere av punkter ikke oppfylles, skal rollen avsluttes umiddelbart ut fra gjeldende rutiner for avslutte roller (se Manual Registrering og autorisering av ansatte i Gerica). Husk å også avslutte tilgang til enkeltbrukere. Avviket dokumenteres, se kap. 10.2 Melde avvik

Det skal også sjekkes at det ligger korrekte og oppdaterte opplysinger i ansattkartoteket (status, type, tittel, helseprofesjon).

Kontrollen dokumenteres, se eget punkt.

2. Kontroll av Bestillere, Iverksettere og Overordnet godkjennere i Kompass

Virksomhetene skal gjennomføre halvårlig kontroll av hvem som har aktiv rolletilgang i Kompass.

2.1 Rapporter fra Kompass

Bydel:

Månedlig sendes det rapporter fra Kompass som viser aktive rolletilganger (Bestiller, Iverksetter og Overordnet godkjenner). Disse sendes på mail til Systemkoordinator.

SYE:

Månedlig sendes det rapporter fra Kompass som viser aktive iverksetter-roller og manuelt tildelte bestiller-roller (til ansatte uten formelt lederansvar; SYE har automatisk tildeling av Bestillertilgang for alle sine ledere på ledernivå).

NB! Rollen Overordnet godkjenner benyttes ikke av SYE, da godkjenningsflyten går til den ansattes nærmeste leder. SYE mottar derfor ikke rapport over overordnet godkjenner.

2.2 Hvordan skal Kompassrollene kontrolleres

Ved gjennomgang av aktive Kompassroller skal det vurderes om den ansatte (fortsatt) har:

Et aktivt ansettelsesforhold i virksomheten
Tilstrekkelig kompetanse for tildelt rolle (Bestiller/iverksetter/overordnet godkjenner)
- Hvis ikke; er det dokumentert årsak til hvorfor tilgang er gitt ut over kompetanse
Tjenestlig behov for tildelt rolle (Bestiller/iverksetter/overordnet godkjenner)
- Hvis ikke; er det dokumnetert årsak til hvorfor tilgang er gitt ut over tjenstlig behov
At ansatte ikke innehar mer enn èn Kompassrolle

Dersom ett eller flere av punkter ikke oppfylles, skal rollen avsluttes umiddelbart ut fra gjeldende rutiner for avlutte roller (se rutiner Legge til/ fjerne Bestiller, Iverkser eller Overordnet godkjenner). Avviket dokumenteres, se kap. 10.2 Melde avvik

3. Kontroll av hvem som kan tildele tilganger i Gerica

Tilgang til å tildele roller i Gerica er primimært forbeholdt systemforvalter og systemkoordinatorrollen. Tilgangen kan unntaksvis tildeles andre funksjoner for å sikre smidigere tilgangsstyring; for eksempel til Superbruker med autorisasjonsansvar, Koordinerende superbruker eller stedfortreder for Systemkoordinator.

Det skal utføres halvårlig kontroll av hvem som har tilgang til å tildele roller i Gerica.

3.1 Rapport over ansatte med tilgang til å tildele roller i Gerica

Systemforvalter og Systemkoordinator har tilgang til tildeling av rolle i sin Hovedrolle Administrator/ Systemkoordinator (Innslag i Sikkerhetsprofil: Ansatt Tildeling av rolle_Userrole).

Andre funksjoner må ha tildelt rollen "OK_Tildele roller".

Det anbefales å benytte seleksjon 21394 OK_Ans med gitt sikkerhetsfilter. SYE erstatter X (i seleksjonen) med 77, mens bydel erstatter X med 258 osv.

3.2 Hva skal kontrolleres på tildelingsroller

I gjennomgang av aktive tildelingsroller i Gerica skal det vurderes om den ansatte (fortsatt) har:

Et aktivt ansettelsesforhold i virksomheten
Tilstrekkelig kompetanse for rollen
- Hvis ikke; er det dokunentert årsak til hvorfor tilgang er gitt ut over kompetanse
Tjenestlig behov rollen
- Hvis ikke; er det dokumnetert årsak til hvorfor tilgang er gitt ut over tjenstlig behov

4. Egenkontroll av aktive roller hos systemkoordinator

Kontroll av egne roller

Det skal minimum årlig gjennomføres egenkontroll på systemkoordinatorenes aktive roller i Gerica. Kun relevante roller skal være aktiv.

Kontroll av aktive systemkoordinatorroller i virksomheten

PRO-seksjoen skal årlig ta ut oversikt over hvem i vikrsomheten som har aktive systemkoordinatorrolle. Oversikten skal gjennomgås av viksomheten selv, og gjennomført kontroll dokumenteres med signatur og dato. Dokumentasjon av gjennomført kontroll oversendes Pro-seksjonen.

4.1 Hva skal gjennomgås i egenkontrollen

Foreligger det er tjenestlig behov rollen
Er det satt sluttdato for rollen ved kjent sluttdato/midlertidig behov.

Dersom ett eller flere av punkter ikke oppfylles, skal rollen avsluttes umiddelbart ut fra gjeldende rutiner for avlutte roller. Avviket dokumenteres, se kap. 10.2 Melde avvik

5. Gjennomgang av virksomhetens roller

Gjennomgang av virksomhets roller

Det skal minimum årlig gjennomføres en gjennomgang av virksomhetens opprettede roller.

Gjennomgang av sikkerhetsprofiler

Det skal minimum årlig gjennomføres en gjennomgang av sikkerhetsprofiler, i regi av Pro-seksjonen. Gjennomgangen gjøres i samarbeid med systemkoordinator i bydel/etat.

5.1 Hva skal gjennomgås i virksomhetens roller og tilhørende sikkerhetsprofiler

Roller:

Er rollen fortsatt i bruk
Er rollens navn i tråd med tilknyttet sikkerhetsprofil
Er tilgangene i rollens sikkerhetsprofil fortsatt i tråd med rolleprofilen (=gir rollen kun/tilstrekkelig tilgang til det man har tjenestlig behov for?)

Roller som ikke er i bruk, skal avsluttes med sluttdato.

Sikkerhetsprofiler:

Er det behov for å avslutte noen sikkerhetsprofiler
Er det aktuellt å slå sammen noen sikkerhetsprofiler (som er tilnærmet lik, eller liknende)
Er innholdet i sikkerhetsprofilene i tråd med tilgangsbehovet (=gir sikkerhetsprofilen kun/tilstrekkelig tilgang til det man har tjenestlig behov for?)
Er navningen på sikkerhetsprofilen opptimal/ beskrivende

Sikkerhetsprofiler som avsluttes, navnes om til IKKE I BRUK_

6. Kontroll av blålysinnlogginger

Hvert havlvår skal det gjennomføres kontroll av blålysinnlogginger hos ansatte. Benytt Rapport -139 Oversikt over blålysinnlogginger.

6.1 Hva skal kontrolleres på blålysinnlogginger

Kontrollerer hvem har tilgangen, tjenstlig behov og hvilke innlogginger er gjort
Kontroller at det foreligger begrunnelse for oppslag med blålysrolle
- Sjekk logg opp mot dokumentasjon i blålysrollen, se Gerica_Bruk og dokumentasjon av innlogging på blålysroller samt Gerica - Kontroll bruk av blålysroller
Fremkommer det i begrunnelsen hvordan tilgangen er benyttet i tjenestlig øyemed.

Dersom ett eller flere av punkter ikke oppfylles, skal det håndteres som avvik, se kap. 10.2 Melde avvik.

7. Kontroll Brukersøk sperret

Hvert halvår skal det gjøres en kontroll av om noen ansatte har søkt på brukere de er sperret for. Benytt rapport Brukersøk sperret (Se Manual tilgangsstyring, Kap 7.2 Standard rapporter i syslogg).

Ved mistanke om snoking, se egen rutine for dette.

7.1 Hva skal kontrolleres på brukersøk sperret

Dersom noen kommer i listen etter kjørt rapport, betyr det at vedkommende har søkt på brukere de er sperret for. Saken håndteres som avvik, se kap. 12.2 Melde avvik.

8. Kontroll av aktive tjenester/ tiltak

Hvert tertial skal det gjøres en kontroll av tjenestene som ikke er avsluttet ved dødsfall, behov opphørt ol. Se beskrivelsen Kontroll av aktive tjenester hvordan filtrere på de ulike seleksjonene.

8.1 Hva skal kontrolleres på aktive tjenester/tltak

Brukere som kommer opp i filterene har aktive tjenester eller tiltak som skulle vært avsluttet.

Avlutt tjeneste/tiltak med riktig sluttdato. Saken håndteres som avvik, se kap. 10.2 Melde avvik.

9. Kontroll av nivå i brukerkortet

Hvert tertial skal det gjøres en kontroll av det er satt riktig nivå på brukerkort hos alle brukere. Se beskrivelsen Kontroll av nivå for nærmere beskrivelse av hvordan ta ut oversikt.

9.1 Hva skal kontrolleres på nivå i brukerkortet

De brukerne som kommer opp i seleksjonen har feil nivåsetting på brukerkortet. Nivået rettes umiddelbart, og håndteres som avvik, se kap. 10.2 Melde avvik.

10. Dokumentasjon av utført kontroll

Utført kontroll må dokumenteres og kunne fremvises ved ettersyn.

Kontrolldokumentet må minimum inneholde informasjon om:

Når ble kontrollen utført
Hvem har utført kontrollen

Dersom det legges opp til delt ansvar i rutinene, for eksempel at listen som skal kontrolleres tas ut av noen andre enn den som utfører kontrollen, kan også følgende punkter vurderes:

Hvilken dato rapporten er sendt til kontrollør
Hvem rapporten er sendt til
Eventuell dato for purring (og til hvem)

TIPS! Oversikt fra Gerica eller Kompass, kan benyttes som utgangspunkt for å dokumentere utført kontroll. Opplysninger som ikke er nødvendige for kontrollen bør imidlertid fjernes (dataminimering), slik at den ikke inneholder sensitive personopplysninger. All dokumentasjon knyttet til internkontroll bør samles og lagres ett sted for enklere revisjon og oppfølging.

11. Lagring av og dataminimering i rapporter og kontrolldokumenter

Dokumenter tilknyttet tilgangskontroll (oversikt og/eller kontrolldokument) må lagres etter gjeldende føringer for informsjonssikkerhet og personvern, samt lovverk for dokumentasjon og arkivering.

Det skal kun tas ut opplysninger som er nødvendig for kontrollen, og det må ved lagring eller distribusjon vurderes lagringsområde ut fra hvilken verdi opplysningene kan ha for uvedkommende. Eksempel: Kan opplysningene om en ansatts tjenestested, få alvorlige konsekvenser dersom opplysningene kommer på avveie (feks ved hemmelig adresse).

TIPS! Rapprter som tas ut fra Gerica kan lagres på Felles sikkert lagringsområde (X:/-området). Det kan derfor være hensiktsmessig å benytte dette som lagringssted for rapportene (feks under Gerica- Rutiner i bydel, hvor kontrollskjemaet tidligere har ligget).

12. Avvik

12.1 Hva er et avvik

"Med «avvik» menes i Normen enhver håndtering av helse- og personopplysninger som ikke utføres i henhold til gjeldende regelverk, retningslinjer og/eller rutiner, samt andre sikkerhetsbrudd. Et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet"...

..Uønskede hendelser (for eksempel brudd på rutiner, personvernet eller informasjonssikkerheten) skal behandles som avvik. Avvik skal behandles for å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse". (Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren, Versjon 6.0)

Det regnes som avvik når det avdekkes at rutiner knyttet til tilganger ikke er fulgt. Dette kan være dersom tilganger er tildelt ut over tjenestlig behov og/eller kompetanse (uten at rimelig årsak er tilstede og dokuemtert i saken), dersom tilganger ikke er avsluttet etter endt behov/ ansettelsesforhold, at tjenester/tiltak ikke er avsluttet eller at nivåsetting på brukerkort ikke er korrekt. Det regnes også som avvik dersom disse rutinenene for kontroll ikke er fulgt og dokumentert etter gjeldende føringer.

12.2 Melde avvik

Virksomheten skal ha rutiner for å oppdage og håndtere avvik. Avviksbehandlingen skal være dokumentert". (Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren, Versjon 6.0)

Avdekkede avvik skal rettes umiddelbart og meldes etter interne rutiner i virksomheten.

Hjemmel/ Referanser

Rollekort

Fellesskriv til bydelene; Tildeling av tilgangsrettigheter i Gerica

Kommentar til fellesskriv; Tildeling av tilgangsrettigheter i Gerica

Instruks for viksomhetsstyring i Oslo Kommune

Instruks for informasjonssikkerhet i Oslo Kommune

IKT reglement Oslo Kommune

Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren, Versjon 6.0

Manual Roller og tilgangsstyring

Legge til/ fjerne Bestiller, Iverkser eller Overordnet godkjenner

Registrering og autorisering av ansatte i Gerica

Manual Rapporter og seleksjoner for tilgangskontroll i Gerica

Gerica_Mistanke om snoking

Kontroll av aktive tjenester

Kontroll av nivå

Hjemmeside for Norm for informasjonssikkerhet helse- og omsorgstjenesten

Helsedirektoratets rundskriv og veiledere

Kravspesifikasjon for PKI i offentlig sektor

Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor

Referansekatalogen for e-helse. E-helsestandarder og andre kravdokumenter som er obligatoriske med hjemmel i forskrift, eller anbefalt av offentlig myndighet

Digitaliseringsdirektoratets hjemmeside om informasjonssikkerhet

Datatilsynet

The European Union Agency for Network and Information Security (ENISA)

NIST

Det europeiske personvernrådet (European Data Protection Board – EDPB)

Forfatter:	Iris Olsen Sandsengen
Godkjent av:	Irene Oksdøl (Seksjonssjef)
Dokumentadministrator:	Evelyn Palma Haram Larsen (Spesialkonsulent)
Dokument-ID:	32586
Gyldig fra:	23.08.2024
Revisjonsfrist:	23.08.2025

Innhold