Med NIS2 skjerpes kravene til cybersikkerhet for digitale journalsystemer og håndtering av pasientdata. Tannklinikker og deres IT-leverandører må nå ta et større ansvar for å forhindre dataangrep og informasjonslekkasjer. I denne delen går vi gjennom hva dette betyr i praksis og hvordan ulike journalsystemer forholder seg til de nye kravene.

‍

Strengere krav til journalsystemer

‍

‍Digitale journalsystemer omfattes av NIS2-regelverket og må implementere sikkerhetstiltak som:

‍

• Kryptering av pasientdata – Data må være beskyttet både ved lagring og overføring.
• Flerfaktorautentisering (MFA) – Brukere må identifisere seg med mer enn kun et passord.
• Regelmessige sikkerhetsgranskninger – Systemleverandører må kontinuerlig teste systemene for sårbarheter.
• Hendelsesrapportering – Eventuelle cybersikkerhetshendelser må rapporteres til ansvarlige myndigheter innen 24 timer.

‍

Forskjeller mellom journalsystemer

‍

• Muntra: Et skybasert og CE-merket journalsystem som allerede oppfyller alle NIS2-krav, inkludert kryptering, MFA og regelmessige sikkerhetsgranskninger. Fordi Muntra er skybasert slipper klinikker å bekymre seg for lokale servere og oppdateringer.
• Lokalt installerte journalsystemer og eldre servere: Mange serverbaserte journalsystemer oppfyller ikke NIS2-kravene. De mangler ofte grunnleggende sikkerhetsfunksjoner som MFA, bruker utdaterte databaser uten support og kjører på operativsystemer som ikke lenger får sikkerhetsoppdateringer (f.eks. Windows 7). Klinikker som bruker slike systemer risikerer alvorlige sikkerhetsbrudd og datainnbrudd, ettersom alt ansvar ligger på dem selv.

‍

Hvordan skal klinikker håndtere pasientdata?

‍

• Velg et journalsystem som oppfyller NIS2 – Muntra er et eksempel på et system med innebygde sikkerhetstiltak.
• Opplær de ansatte – Ansatte skal få opplæring i cybersikkerhet og datasikkerhet.
• Tilgangskontroll – Kun autorisert personell skal ha tilgang til pasientjournaler.
• Sikkerhetskopiering – Det må tas regelmessige sikkerhetskopier for å beskytte mot datatap.
• Risikovurdering – Klinikker bør regelmessig gjennomføre risikovurderinger for å identifisere potensielle trusler.

‍

Hva skjer hvis man ikke følger NIS2?

‍

• Store bøter.
• Stengning av systemer ved alvorlige sikkerhetsbrudd.
• Tapt tillit blant pasienter.

‍

Å fremtidssikre klinikken

‍

‍For å si det rett ut: enkelte journalsystemer på markedet i dag vil ikke kunne oppfylle lovkravene som forventes innført i Norge. Klinikker som bruker eldre systemer må velge mellom å investere i kostbare oppgraderinger av lokale servere, eller bytte til et moderne, skybasert journalsystem som allerede oppfyller kravene og kontinuerlig forbedrer datasikkerheten. Muntra er et eksempel på en fremtidssikker løsning som hjelper klinikker med å beskytte pasientdata og unngå bøter eller driftsstans.

‍

‍

I neste del ser vi på konkrete tiltak tannklinikker kan gjøre for å etterleve NIS2 og styrke sin cybersikkerhet.

‍