Avtale om leveranse av IKT-tjenester Del II - Databehandleravtale

Versjon: 0.1
Dato oppdatert : 22.03.11
Avtale om leveranse av IKT-tjenester
Tjenesteavtale nr.: SUNHF-2011
Del II - Databehandleravtale

Databehandleravtale
mellom
Sunnaas Sykehus HF
Organisasjonsnr.: 883 971 752
heretter "Databehandlingsansvarlig"
og
Helse Sør-Øst RHF ved Sykehuspartner IKT
Organisasjonsnr.: 991 324 968
heretter "Databehandler "
i fellesskap kalt "Partene"

Avtale om leveranse av IKT-tjenester Side : 4 av 10
Del II - Databehandleravtale Versjon: 0.1
Kunde: Sunnaas Sykehus HF Del 2 Avtale SP IKT - Databehandleravtale
Leverandør: Sykehuspartner
Parafering: _______ / _______

Avtale om leveranse av IKT-tjenester Side : 5 av 10
Del II - Databehandleravtale Versjon: 0.1
1 Avtalens bakgrunn og formål
Databehandlingsansvarlig har inngått avtale med Sykehuspartner om leveranse av IKTtjenester
til Databehandlingsansvarlig ("Tjenesteavtalen"). For hver databehandling beskrives
formålet med behandlingen, beskrivelsen av type personopplysninger, utlevering, koblinger
med mer i ”Tjenesteavtalen”.
Sykehuspartner er databehandler for Databehandlingsansvarlig i forbindelse med bl.a. drift og
forvaltning av it-systemer som Databehandlingsansvarlig benytter under Tjenesteavtalen.
Databehandler vil i denne forbindelse behandle helseopplysninger og andre
personopplysninger slik disse begrepene er definert i henholdsvis helseregisterloven
(lov 18. mai 2001 nr. 24) og personopplysningsloven (lov 14. april 2000 nr. 31).
Helseopplysninger og personopplysninger er heretter med et fellesbegrep kalt
personopplysninger.
Denne databehandleravtalen er inngått for å regulere Partenes rettigheter og plikter som
henholdsvis databehandlingsansvarlig og databehandler i forbindelse med behandling av
personopplysninger under Tjenesteavtalen. Med behandling av personopplysninger menes
enhver behandling av slike opplysninger, herunder innsamling, registrering, sammenstilling,
lagring, utlevering og sletting eller en kombinasjon av disse.
2 Partenes roller og oppgaver
Databehandlingsansvarlig bestemmer formålet med behandlingen av personopplysningene
og er bl.a. ansvarlig for at det foreligger et lovlig behandlingsgrunnlag for
personopplysningene, at den behandling som databehandlingsansvarlig gir anvisning på er i
overensstemmelse med gjeldende lovgivning og at behandlingen skjer i henhold til
Databehandlingsansvarliges sikkerhetsmål og sikkerhetsstrategi. Databehandlingsansvarlig
har ansvaret også når det benyttes databehandler. Det innebærer blant annet at
Databehandlingsansvarlig har ansvaret for å påse at kravene er oppfylt i forbindelse med
oppbevaring og bruk av personopplysningene hos Databehandleren, jf
personopplysningsloven § 15 og personopplysningsforskriften § 2-15.
Databehandler behandler personopplysninger på vegne av, og i henhold til avtale med,
Databehandlingsansvarlig.
3 Behandling av personopplysninger
Databehandler skal bare behandle personopplysninger slik det er skriftlig avtalt med
Databehandlingsansvarlig i Tjenesteavtalen eller skriftlig tilleggsavtale og i den utstrekning
det er nødvendig for å oppfylle slik avtale. Opplysningene kan heller ikke uten slik avtale
overlates til noen andre for lagring eller bearbeidelse. Eventuell tilleggsavtale skal vedlegges
denne databehandleravtalen.
Databehandleren skal sikre at personopplysninger som behandles for én Databehandlingsansvarlig
holdes atskilt fra egne og andre databehandlingsansvarliges opplysninger og
tjenester.
Kunde: Sunnaas Sykehus HF Del 2 Avtale SP IKT - Databehandleravtale
Leverandør: Sykehuspartner
Parafering: _______ / _______

Avtale om leveranse av IKT-tjenester Side : 6 av 10
Del II - Databehandleravtale Versjon: 0.1
Databehandlingsansvarlig kan til enhver tid velge å stanse videre behandling av
personopplysninger hos Databehandler eller kreve endringer i behandlingsmåten. De
merkantile virkningene av forespørsler fra Databehandlingsansvarlig om endringer i
behandlingsmåten, eller hel eller delvis avslutning av behandlingen, håndteres i henhold til
Tjenesteavtalens bestemmelser om endringshåndtering og/eller avbestilling/oppsigelse.
Databehandler plikter å ha dokumentert sitt system for behandling av personopplysninger og
rutiner som er relevante i forbindelse med denne avtalen. Med dokumentasjon menes bl.a.
beskrivelse av rutiner for autorisasjon og bruk, samt tekniske og organisatoriske
sikkerhetstiltak. Dokumentasjonen skal være tilgjengelig for databehandlingsansvarlig,
Datatilsynet og Helsetilsynet, jf. punkt 6 nedenfor.
4 Informasjonssikkerhet
4.1 Overordnede krav til informasjonssikkerhet
Databehandler skal til enhver tid oppfylle de krav til informasjonssikkerhet som følger av
Tjenesteavtalen og Databehandlingsansvarliges sikkerhetsstrategi og sikre at all behandling
av personopplysninger som er omfattet av denne avtalen skjer i henhold til det nivå for
akseptabel risiko som er fastsatt av Databehandlingsansvarlig. Gjennomført risikovurdering
skal fremlegges av databehandler for egen og eventuelle underleverandørers sikkerhet som
del av dette.
Databehandlingsansvarlig skal påse at den til enhver tid gjeldende sikkerhetsstrategi og
beslutninger med hensyn til akseptabel risiko er tilgjengelig for Databehandler. Det samme
gjelder oversikt over hvilke typer personopplysninger som behandles i henhold til
Tjenesteavtalen.
Databehandler kan etter særskilt avtale bistå Databehandlingsansvarlig i dennes arbeid med
gjennomføring av risikoanalyse og utarbeiding av sikkerhetsstrategi.
Databehandler har et selvstendig ansvar for å påse at behandling av personopplysningene
skjer i overensstemmelse med kravene til informasjonssikkerhet i helseregisterloven § 16,
personopplysningsloven § 13 og personopplysningsforskriften kap. 2. Det forutsettes at
Databehandleren har utarbeidet tilfredsstillende sikkerhetsmål, -strategi, -organisering og
ansvar i samsvar med Personopplysningsloven og –forskriften og at dette følges opp med
nødvendig Internkontrollsystem.. Databehandleren skal oppfylle kravene i Norm for
informasjonssikkerhet i helsesektoren.
Databehandler skal etablere og vedlikeholde planlagte og systematiske tiltak som er
nødvendige for å oppfylle kravene i eller i medhold av helseregisterloven og
personopplysningsloven, jf. helseregisterloven § 17 og personopplysningsloven § 14
(internkontroll), herunder om prosedyrer for logging av feil og avvik og for varsling og
håndtering av slike avvik.
Databehandleren skal så snart som mulig, og senest innen 24 timer, varsle Databehandlingsansvarlig
om eventuelle avvik som er av betydning for Databehandlingsansvarliges
informasjonssikkerhet, og så snart som mulig iverksette tiltak for å avhjelpe (lukke) avvikene
Kunde: Sunnaas Sykehus HF Del 2 Avtale SP IKT - Databehandleravtale
Leverandør: Sykehuspartner
Parafering: _______ / _______

Avtale om leveranse av IKT-tjenester Side : 7 av 10
Del II - Databehandleravtale Versjon: 0.1
og begrense skadevirkningene av dem. Hvis den Databehandlingsansvarlige har personvernombud,
skal også ombudet varsles.
4.2 Krav til teknisk sikkerhet
Databehandleren skal sikre at følgende minimumskrav til teknisk sikkerhet er oppfylt
(kravene er ikke uttømmende):
Tilgang til tjenester og opplysninger i nettverket skal være basert på individuelle
brukerkoder og passord.
Lagring av opplysninger overlevert av databehandlingsansvarlig skal sikres, slik at
kun autoriserte medarbeidere har tilgang.
Tilgang til eksterne nett/Internett, inkludert Databehandlerens åpne nettverk, dersom
det finnes, forutsetter at det er etablert sikkerhetstiltak som ikke kan påvirkes eller
omgås av medarbeidere, og som forhindrer uforvarende eksponering av sensitive
personopplysninger til lavere sikrede nettverk. Sikkerhetstiltakene skal ikke være
begrenset til handlinger som den enkelte forutsetter å utføre.
Sikkerhet skal ivaretas ved fjerndrift. Dette innebærer benyttelse av bærbar PC
tilhørende Leverandøren, kryptert VPN forbindelse og sperring mot samtidig tilgang
til Internett. DriftsPC skal ikke brukes av venner, familie eller andre ikke autoriserte
personer.
To-nivå autentisering skal benyttes om tilgang skjer via usikre/lavere sikrede nettverk
Kommunikasjon skal sikres med kryptering dersom den går over usikre nettverk og
det sendes sensitive personopplysninger eller fødselsnummer.
Hvis databehandler behandler helse- og personopplysninger for flere virksomheter
skal databehandler ved hjelp av tekniske tiltak som ikke kan overstyres av brukerne
ivareta at det er etablert skiller mellom virksomhetene i henhold til gjennomført
risikovurdering, dette både i database hvor data er lagret og i kommunikasjon.
4.3 Krav til tilgangskontroll
Databehandleren skal ha rutiner for tilgangsautorisasjon og -styring som sikrer at bare de av
Databehandlerens medarbeidere som har reelt behov til tilgang til Systemet og informasjonen
for å gjennomføre leveransen/tjenesten, har tilgang. Tilgangsnivå skal være i henhold til reelt
behov knyttet til å gjennomføre leveransen.
Databehandler skal til enhver tid ha oversikt over eget personell som er autorisert for tilgang
til Databehandlingsansvarliges informasjon og tjenester. På forespørsel skal slik oversikt
forelegges Databehandlingsansvarlig.
Dersom Databehandlingsansvarlig har innvendinger mot at en gitt person har fysisk og/eller
elektronisk adgang til Systemet, skal autorisasjon for dette inndras.
Det skal benyttes personlige brukerkonti for all tilgang knyttet til gjennomføring av
leveransen.
Dersom Databehandleren benytter bærbare klient maskiner til drift, skal Databehandleren ha
rutiner som sikrer at disse bare benyttes av driftspersonell og til driftsrelaterte oppgaver.
Kunde: Sunnaas Sykehus HF Del 2 Avtale SP IKT - Databehandleravtale
Leverandør: Sykehuspartner
Parafering: _______ / _______

Avtale om leveranse av IKT-tjenester Side : 8 av 10
Del II - Databehandleravtale Versjon: 0.1
Dersom tredjepart eller underleverandør i forbindelse med support eller tilsvarende skal ha
tilgang til systemet, skal det benyttes midlertidige passord eller tilsvarende. Dette skal
endres/sperres umiddelbart når behovet for tilgang opphører.
4.4 Krav til fysisk sikkerhet
Det skal benyttes adgangskontroll med bruk av adgangskort med personlig kode eller
tilsvarende. Adgangskontroll til begrensede områder (f.eks drift og serverrom) skal være
basert på faktiske behov. Personell som ikke er autoriserte, skal følges. Adgangskontroll med
låste dører gjelder for følgende typer lokaler: datahall/serverrom, IT lokaler (drift/support),
lokaler med IT relatert utstyr (koblingsmatriser, svitsjer/rutere), osv.
4.5 Nærmere og tjenestespesifikke krav til informasjonssikkerhet
Nærmere og tjenestespesifikke bestemmelser om krav til informasjonssikkerhet er fastsatt i
Tjenesteavtalens tjenestebeskrivelser.
5 Taushetsplikt
Databehandlers ansatte og andre som opptrer på Databehandlers vegne i forbindelse med
behandling av personopplysninger i henhold til denne avtalen er underlagt taushetsplikt, jf.
helseregisterloven § 15. Det samme gjelder eventuelle underleverandører. Databehandler skal
påse at alle som behandler personopplysninger er kjent med taushetsplikten.
Alle ansatte og andre som opptrer på Databehandlers vegne i forbindelse med behandling av
personopplysninger skal ha undertegnet taushetserklæring. Bestemmelsen gjelder tilsvarende
for eventuelle underleverandører.
Taushetsplikten gjelder også etter databehandleravtalens opphør.
Partene plikter å ta de forholdsregler som er nødvendig for å sikre at materiale eller
opplysninger ikke blir gjort kjent for andre i strid med dette punktet.
6 Innsyn og revisjon mv
Databehandlingsansvarlig kan til enhver tid kreve innsyn i Databehandlers behandling av
personopplysninger for Databehandlingsansvarlig, herunder i dokumentasjon for oppfyllelse
av kravene til informasjonssikkerhet og Databehandlers system for internkontroll. Retten til
innsyn gjelder alle tekniske, organisatoriske og administrative forhold som er relevante for
sikkerheten i tjenesten som leveres Databehandlingsansvarlig.
Databehandlingsansvarlig skal så vidt mulig gi Databehandler rimelig varsel om krav om
innsyn og kontroll, vanligvis med minst 30 dagers varsel. For krav om dokumentinnsyn bør
det gis minst 14 dagers varsel. Databehandlingsansvarlig skal medvirke til at innsyn og
kontroll kan koordineres mellom flere databehandlingsansvarlige som får levert tjenester fra
Databehandler. Databehandleren aksepterer at innsyn og kontroll kan gjennomføres av
Databehandlingsansvarlig eller den tredjepart Databehandlingsansvarlig måtte velge til
gjennomføring.
Kunde: Sunnaas Sykehus HF Del 2 Avtale SP IKT - Databehandleravtale
Leverandør: Sykehuspartner
Parafering: _______ / _______

Avtale om leveranse av IKT-tjenester Side : 9 av 10
Del II - Databehandleravtale Versjon: 0.1
Databehandler skal gi Datatilsynet og annen relevant tilsynsmyndighet slik tilgang og innsyn
i behandlingen av personopplysninger som følger av helseregisterloven og
personopplysningsloven.
Databehandleren skal uten ugrunnet opphold korrigere eventuelle avvik. Avvik som skyldes
Databehandleren eller dennes underleverandører skal korrigeres uten kostnad for
Databehandlingsansvarlig. Databehandleren skal skriftlig redegjøre for korrektive tiltak og
plan for gjennomføring.
7 Databehandlerens bruk av underleverandører
Databehandler kan ikke benytte underleverandører i forbindelse med behandling av
personopplysninger uten at det er skriftlig avtalt med Databehandlingsansvarlig.
Før behandling av personopplysninger kan skje hos eventuelle underleverandører, skal
Databehandler ha inngått skriftlig avtale med underleverandøren som sikrer oppfyllelse av
kravene i denne databehandleravtalen, herunder kravene til informasjonssikkerhet og at
Databehandlingsansvarlig og tilsynsmyndigheten har samme innsyn og kontroll med
behandling av personopplysningene som de har etter denne databehandleravtalen.
Databehandler skal sikre at eventuelle underleverandører er kjent med at de er underlagt
lovbestemt taushetsplikt, jf. ovenfor.
Databehandleren skal sikre at eventuelle underleverandører er kjent med Databehandlingsansvarliges
sikkerhetsstrategi og beslutninger med hensyn til akseptabel risiko.
Databehandler er ansvarlig for utførelsen av oppgaver hos underleverandøren på samme måte
som om Databehandler selv stod for utførelsen av disse.
8 Avtalens varighet og opphør
Avtalen løper fra den er undertegnet og så lenge Databehandler behandler
personopplysninger for Databehandlingsansvarlig i henhold til Tjenesteavtalen eller annen
tilsvarende avtale.
Hvis Tjenesteavtalen opphører, uten at den avløses av ny tilsvarende avtale, skal
Databehandler avslutte behandlingen av personopplysningene i henhold til prosedyrene for
avslutning av avtalen i punkt 9 nedenfor.
9 Avslutning av avtalen
Når avtalen opphører skal Databehandler tilrettelegge for overføring (tilbakelevering) av alle
opplysninger som Databehandler behandler på vegne av Databehandlingsansvarlig og
medvirke til slik overføring. Partene avtaler nærmere hvordan overføring konkret skal skje.
Etter at personopplysningene er overført til Databehandlingsansvarlig, og bekreftet mottatt av
denne, skal Databehandler slette opplysningene i sitt system. Kravet til sletting omfatter også
Kunde: Sunnaas Sykehus HF Del 2 Avtale SP IKT - Databehandleravtale
Leverandør: Sykehuspartner
Parafering: _______ / _______

Avtale om leveranse av IKT-tjenester Side : 10 av 10
Del II - Databehandleravtale Versjon: 0.1
sikkerhetskopier av personopplysningene fra perioden etter at regulær behandling av
personopplysningene opphørte. Databehandlingsansvarlig kan kreve at også sikkerhetskopier
av personopplysninger fra tidligere perioder overføres til Databehandlingsansvarlig og
deretter slettes hos Databehandler.
Databehandler skal gi Databehandlingsansvarlig skriftlig bekreftelse på at opplysningene er
overført og slettet som angitt ovenfor.
10 Mislighold, sanksjoner og tvisteløsning mv
For Partenes eventuelle midlighold, sanksjoner og prosedyrer for tvisteløsning gjelder
bestemmelsene i Tjenesteavtalen del I.
11 Partenes kontaktpersoner mv
Partenes kontaktpersoner i forbindelse med meddelelser som gjelder forhold regulert av
databehandleravtalen fremgår nedenfor. Meddelelser skal normalt gis skriftlig, eller bekreftes
skriftlig. Partene kan avtale at meddelelser kan gis ved hjelp av e-post til slik e-postadresse
som er angitt nedenfor.
Kontaktperson/-adresse Databehandlingsansvarlig: …
Kontaktperson/-adresse Databehandler: …
12 Undertegning
Denne avtalen er undertegnet to eksemplarer, hvorav hver part beholder ett eksemplar.
Sted: ………….., den .................
………………………….
Databehandlingsansvarlig (signatur)
(med trykte bokstaver)
Stilling:……………………………………..
Navn: ………………………………………
…………………………………..
Databehandler (signatur)
(med trykte bokstaver)
Stilling: ………………………….
Navn: ……………………………
Kunde: Sunnaas Sykehus HF Del 2 Avtale SP IKT - Databehandleravtale
Leverandør: Sykehuspartner
Parafering: _______ / _______