.png)
De organisatie moet de volledige levenscyclus van identiteiten actief beheren om personen en systemen die toegang hebben tot informatie en activa van de organisatie op unieke wijze te kunnen identificeren. Individuele identiteiten moeten op unieke wijze aan één persoon worden gekoppeld om de verantwoordelijkheid voor hun handelingen te kunnen garanderen. Gedeelde identiteiten die aan meerdere personen worden toegewezen, zijn alleen toegestaan wanneer dit om zakelijke of operationele redenen noodzakelijk is. Deze moeten specifiek worden goedgekeurd en gedocumenteerd.
Zorgspecifieke controlemaatregel (aanvullend)
Gebruikers die toegang willen tot persoonlijke gezondheidsinformatie en andere vertrouwelijke informatie moeten formeel worden geregistreerd.
Organisaatiomme on määritellyt toimintatavat, joiden avulla koordinoidaan työsuhteen päättymishetkellä mm.:
Henkilön työsuhteen käynnistyessä hänelle huolehditaan kerralla käyttöoikeus kaikkien rooliinsa liittyvien tietojärjestelmien käyttöön.
Kaikille henkilöille, jotka haluavat päästä käsiksi henkilökohtaisiin terveystietoihin ja muihin luottamuksellisiin tietoihin, on otettava käyttöön virallinen käyttäjien rekisteröintiprosessi. Tämä edellyttää dokumentoidun käyttöoikeuksien valvontakäytännön laatimista, joka edellyttää vakiomuotoista pyyntölomaketta ja selkeää hyväksymisprosessia ennen kuin kenellekään käyttäjälle myönnetään pääsy järjestelmään.
Prosessia ylläpidetään pakollisilla neljännesvuosittaisilla tarkistuksilla, joilla varmistetaan, että nykyiset käyttöoikeudet ovat edelleen tarpeellisia ja että ne noudattavat vähimmän etuoikeuden periaatetta. Kaikki vaiheet alkuperäisestä pyynnöstä määräaikaistarkastuksiin ja mahdollisiin myöhempiin käyttöoikeuksien peruuttamisiin on dokumentoitava, jotta käyttäjien käyttöoikeuksista saadaan kattava ja tarkastettavissa oleva jäljitys.
Organisaation on otettava käyttöön käytännöt ja menettelyt, joilla sallitaan pääsy suojattuihin sähköisiin terveystietoihin.
Myöntäessään pääsyn pyydettyihin suojattuihin terveystietoihin (PHI) organisaation on varmistettava, että tiedot toimitetaan yksilön pyytämässä muodossa, jos se on mahdollista (muussa tapauksessa yhteisesti sovitussa muodossa tai sähköisessä muodossa, jos se on mahdollista ja pyydetty).
PHI-kopioiden saatavuus on myös varmistettava ajoissa ja sopivasti. Kopiot on lähetettävä toiselle nimetylle henkilölle, jos yksilö sitä kirjallisesti pyytää. Yksilön suostumuksella voidaan periä vain kohtuullinen, kustannusperusteinen maksu esimerkiksi työstä, tarvikkeista, postimaksusta tai yhteenvedoista.
Dokumentoi identiteetin elinkaaren hallintaprosessit. Dokumentoinnin tulisi sisältää seuraavat asiat:
Organisaatio todentaa käyttäjien identiteetin ja yhdistää ne käyttäjätietoihin. Nämä tulisi myös vahvistaa aina ennen kanssakäymistä.
Identiteetin todentaminen täytyy suorittaa ennalta kirjoitettujen ja hyväksyttyjen sääntöjen mukaisesti.
Jaetut käyttäjätunnukset olisi sallittava vain, jos ne ovat tarpeellisia liiketoiminnallisista tai toiminnallisista syistä, ja ne olisi hyväksytettävä ja dokumentoitava.
Mikäli jaettuja käyttäjätunnuksia käytetään ylläpitokäyttöön, salasanat on vaihdettava mahdollisimman pian sen jälkeen, kun ylläpitooikeuksin varustettu käyttäjä jättää työnsä.
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.
.png)
Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.
.svg)
.svg)
