.png)
De organisatie moet de volledige levenscyclus van identiteiten actief beheren om personen en systemen die toegang hebben tot informatie en activa van de organisatie op unieke wijze te kunnen identificeren. Individuele identiteiten moeten op unieke wijze aan één persoon worden gekoppeld om de verantwoordelijkheid voor hun handelingen te kunnen garanderen. Gedeelde identiteiten die aan meerdere personen worden toegewezen, zijn alleen toegestaan wanneer dit om zakelijke of operationele redenen noodzakelijk is. Deze moeten specifiek worden goedgekeurd en gedocumenteerd.
Zorgspecifieke controlemaatregel (aanvullend)
Gebruikers die toegang willen tot persoonlijke gezondheidsinformatie en andere vertrouwelijke informatie moeten formeel worden geregistreerd.
Organisaatiomme on määritellyt toimintatavat, joiden avulla koordinoidaan työsuhteen päättymishetkellä mm.:
Henkilön työsuhteen käynnistyessä hänelle huolehditaan kerralla käyttöoikeus kaikkien rooliinsa liittyvien tietojärjestelmien käyttöön.
A formal user registration process must be implemented for all individuals seeking access to Personal Health Information (PHI) and other confidential data. This involves establishing a documented access control policy that requires a standardized request form and a clear approval workflow before any user is granted system access.
The process is maintained through mandatory quarterly reviews to verify that existing permissions are still necessary and adhere to the principle of least privilege. All stages, from the initial request to the periodic audits and any subsequent access revocations, must be documented to create a complete and auditable trail of user access.
Organisaation on otettava käyttöön käytännöt ja menettelyt, joilla sallitaan pääsy suojattuihin sähköisiin terveystietoihin.
Myöntäessään pääsyn pyydettyihin suojattuihin terveystietoihin (PHI) organisaation on varmistettava, että tiedot toimitetaan yksilön pyytämässä muodossa, jos se on mahdollista (muussa tapauksessa yhteisesti sovitussa muodossa tai sähköisessä muodossa, jos se on mahdollista ja pyydetty).
PHI-kopioiden saatavuus on myös varmistettava ajoissa ja sopivasti. Kopiot on lähetettävä toiselle nimetylle henkilölle, jos yksilö sitä kirjallisesti pyytää. Yksilön suostumuksella voidaan periä vain kohtuullinen, kustannusperusteinen maksu esimerkiksi työstä, tarvikkeista, postimaksusta tai yhteenvedoista.
Dokumentoi identiteetin elinkaaren hallintaprosessit. Dokumentoinnin tulisi sisältää seuraavat asiat:
Organisaatio todentaa käyttäjien identiteetin ja yhdistää ne käyttäjätietoihin. Nämä tulisi myös vahvistaa aina ennen kanssakäymistä.
Identiteetin todentaminen täytyy suorittaa ennalta kirjoitettujen ja hyväksyttyjen sääntöjen mukaisesti.
Jaetut käyttäjätunnukset olisi sallittava vain, jos ne ovat tarpeellisia liiketoiminnallisista tai toiminnallisista syistä, ja ne olisi hyväksytettävä ja dokumentoitava.
Mikäli jaettuja käyttäjätunnuksia käytetään ylläpitokäyttöön, salasanat on vaihdettava mahdollisimman pian sen jälkeen, kun ylläpitooikeuksin varustettu käyttäjä jättää työnsä.
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.
.png)
Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.
.svg)
.svg)
