Vedlegg 6: Eksterne sikkerhetskrav til Elektronisk postjournal

Vedrørende datasikkerhet og tekniske løsninger, må prosjektet forholde seg til en rekke ytre krav, bestemmelser og anerkjente anbefalinger. I det følgende beskrives hvilke bestemmelser som har vært vurdert.

Datasikkerhetsdirektivet

Datasikkerhetsdirektivet inneholder regelverk for elektronisk databehandling av informasjon som etter Sikkerhetsinstruksen er gradert BEGRENSET, KONFIDENSIELT, HEMMELIG eller STRENGT HEMMELIG.

Datasikkerhetsdirektivet skal erstattes av en nye Sikkerhetsloven som pr dags dato ikke satt i kraft. Den fastsetter i § 12 taushetsplikt i forbindelse med sikkerhetsgradert informasjon. Man vil derfor, når sikkerhetsloven trer i kraft, komme innenfor offentlighetslovens automatiske unntak for opplysninger undergitt lovbestemt taushetsplikt (§ 5 a).

Statsministerens kontor har i skriv av 8. september 1994 bestemt at Datasikkerhetsdirektiver skal gjelde for informasjon som etter Beskyttelsesinstruksen er gradert FORTROLIG eller STRENGT FORTROLIG.

Selv om saksdokumenter gradert BEGRENSET eller FORTROLIG kan offentliggjøres i offentlig journal, skal arkivet sørge for at eventuell gradert journalinformasjon sladdes før offentliggjøring. Dette gjøres uavhengig av EPJ. Følgelig behandler EPJ kun ugradert informasjon. Informasjonsleverandørens lokale datanettverk som EPJ opererer i, skal være godkjent for behandling av informasjon som er unntatt offentlighet, men ikke for informasjon gradert i henhold til Sikkerhetsinstruksen eller Beskyttelsesinstruksen.

Det er derfor ingen krav til sikkerhet i EPJ fra Datasikkerhetsdirektivet. Det vises forøvrig til kapittel kapittel 4.

Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger (Datatilsynet)

Alle konsesjonspliktige registre i Depnett-virksomheten skal stå oppført i kapittel 2 i Sikkerhetshåndbokens vedlegg 4. Det finnes ingen slike registre oppført i dag.

"Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger" er Datatilsynets grunnlag for vurdering av informasjonssikkerhet. Sikkerhetsvilkår i konsesjoner har disse retningslinjene som utgangspunkt. Videre benyttes retningslinjene som underlag ved Datatilsynets kontroller.

Datatilsynet har tidligere fattet vedtak om at registre i offentlige helseinstitusjoner - og i kommuner og fylkeskommuner - som inneholder sensitive personopplysninger, skal føres i dedikerte informasjonssystem. Fra dette vedtaket kan det søkes dispensasjon hos Datatilsynet.

Sensitive personregistre kan kun behandles på Depnett-tilknyttet utstyr dersom delsystemet tilfredsstiller kravene i "Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger" og det er innhentet dispensasjon fra Datatilsynet. Denne problemstillingen er i første omgang relevant for Informasjonsleverandørens arkiv- og saksbehandlingssystem. EPJ etterbehandler deler av informasjon som er produsert og lagret i disse systemene, både elektronisk (f.eks. utgående saksdokumenter) og manuelt (f.eks. inngående papirbaserte saksdokumenter). Således må kravet til sikring av eventuelle personopplysninger i første omgang påligge disse systemene.

I neste omgang er det relevant å se om EPJ i seg selv behandler sensitive personopplysninger. Så lenge Offentlighetslovens bestemmelser følges ved at informasjon unntatt offentligheten fjernes fra den elektroniske journalen før de legges inn i operatørens database, vil EPJ i utgangspunktet ikke behandle sensitive personopplysninger. Dagens løsning med begrenset brukertilgang gjør at Datatilsynet ikke betrakter EPJ som et konsesjonspliktig personregister. Se forøvrig kapittel 2.

Det eksisterer derfor ingen spesifikke krav til EPJ i Datatilynets retningslinjer.

Overordnet sikkerhetsstrategi for Departementsnettet (Depnett)

Arbeids- og administrasjonsdepartementet (AAD) har i dokumentet "Overordnet sikkerhetsstrategi for Depnett" angitt overordnede retningslinjer og strategier for IT-sikkerhet i Depnett. Dokumentet angir ikke detaljerte sikkerhetskrav og omfatter heller ikke alle forhold som kan tenkes å ha betydning for IT-sikkerheten i Depnett sentralt eller regionalt. Dette kan bl.a. være tiltak som lokalt ansvarlige iverksetter på eget initiativ for å etablere sikkerhet ut over de krav og retningslinjer som angis i dette dokumentet eller i annen sikkerhetsdokumentasjon.

Alle sikkerhetskrav som stilles både til EPJ og Depnett (og dermed også deler av operatørens IT-system), er listet i vedlegg 5.

IT-sikkerhetshåndbok for virksomheter i Departementsnettet (Depnett)

"IT-sikkerhetshåndbok for virksomheter i Depnett" gir overordnede sikkerhetsmessige krav og retningslinjer til sentrale og regionale virksomheter tilknyttet Depnett. Disse kravene og retningslinjene skal bidra til etablering av et nødvendig og tilstrekkelig sikkerhetsnivå i Depnett, hvor partene tilbys tjenester og kan operere sine informasjonssystemer med nødvendig grad av tillit. Dokumentet har gyldighet for alle departementene.

Alle minimumskrav og anbefalinger angitt i Sikkerhetshåndboken, og som beskrevet i "Sikkerhetsmekanismer i sentrale deler av Depnett", er avledet fra en overordnet vurdering av trusler og risiko for at det kan inntreffe uønskede handlinger eller hendelser mot informasjon og IT-ressurer i Depnett. Innhold og form i "IT-sikkerhetshåndbok for virksomheter i Depnett" bygger på SRI-rapportene:

• Overordnet sikkerhetsstrategi for Statens Regionale Informasjonsnett
• Sikkerhetsmekanismer i sentral deler av Statens Regionale Informasjonsnett
• IT-sikkerhetshåndbok for virksomheter i Statens Regionale Informasjonsnett.

Tilslutning til Depnett forutsetter at sikkerhetsnivået hos informasjonsleverandøren er på angitt minimumsnivå.

Alle sikkerhetskrav som stilles både til EPJ og Depnett (og dermed også deler av operatørens IT-system), er listet i vedlegg 5.

Arbeids- og administrasjonsdepartementets veiledning i bruk av elektronisk post"

"Arbeids- og administrasjonsdepartementets veiledning i bruk av elektronisk post" gir en oversikt over regler og fremgangsmåter som må eller bør følges ved bruk av e-post i statsforvaltningen.

Veiledningen sier at sensitive personopplysninger ikke bør sendes med e-post.

Hvis det gis almenn tilgang til EPJ, kan man ikke betrakte journalene som overføres mellom informasjonsleverandør og operatør som sensitive og det stilles ingen krav fra "Arbeids- og administrasjonsdepartementets veiledning i bruk av elektronisk post".

Hvis man går for brukerbestemt tilgangskontroll i EPJ, er det relevant å betrakte opplysningene som overføres som sensitive, da opplysningene bare skal være tilgjengelig for bestemte brukere eller brukergrupper. Forholdet mellom sensitiviteten i informasjonen og anstrengelsene som må utføres for å tappe opplysningene under overføring tilsier imidlertid ingen sikring.

"Arbeids- og administrasjonsdepartementets veiledning i bruk av elektronisk post" stiller derfor spesifikke ingen krav til EPJ.

NOARK-4 Norsk arkivsystem

Noark-4 er en kravspesifikasjon for elektroniske arkivsystemer i offentlig forvaltning. EPJ vil måtte forholde seg til denne standarden, spesielt med hensyn til innhold og format på den offentlige journalen.

Det skal kunne knyttes tidsgrenser til de enkelte tilgangskoder i et saksdokument for å angi hvor lenge en skjerming skal gjelde (NOARK kapittel 8.2.3.6). Tidsgrensen registreres i form av en dato for når skjermingen skal skal vurderes eller oppheves ( Avgrader dato). Følgende datoer gjelder:

• Koder etter Sikkerhetsinstruksen og Beskyttelsesinstruksen - B, K, H, G, SH: 30 år.
• Koder som angir taushetsplikt etter Offentlighetslovens §5a med nærmere spesifikasjoner, det vil si kode 5a og spesialiserte koder med denne hjemmelen: 60 år
• Kode for midlertidig sperring, det vil si kode XX: 14 dager
• Andre koder: Blank.

NOARK-4 krever at offentlig journal skal være en standardrapport på papir- eller filformat etter beskrivelsen i kapittel 11, hvor det bl.a. er spesifisert felter og attributter.

I kapittel 10 står det at et NOARK-basert system bør kunne håndtere bruk av digitale signaturer for å bekrefte avsenders autentisitet og opprettholde dokumentets integritet ved forsendelse og arkivering, og å autorisere dokumentets innhold til erstatning for håndskrevet signatur. NOARK må derfor ha opplegg for å utnytte og administrere digitale signaturer i forbindelse med sending og mottak av eksterne dokumenter og ved arkivering.

EPJ er en løsning utenfor det NOARK-baserte arkivsystemet og må selv eventuelt implementere digitale signaturer.