Avtale om leveranse av IKT-tjenester Del II - Databehandleravtale

More documents

Recommendations

Info

Avtale om leveranse av IKT-tjenester Side : 6 av 10 Del II - Databehandleravtale Versjon: 0.1 Databehandlingsansvarlig kan til enhver tid velge å stanse videre behandling av personopplysninger hos Databehandler eller kreve endringer i behandlingsmåten. De merkantile virkningene av forespørsler fra Databehandlingsansvarlig om endringer i behandlingsmåten, eller hel eller delvis avslutning av behandlingen, håndteres i henhold til Tjenesteavtalens bestemmelser om endringshåndtering og/eller avbestilling/oppsigelse. Databehandler plikter å ha dokumentert sitt system for behandling av personopplysninger og rutiner som er relevante i forbindelse med denne avtalen. Med dokumentasjon menes bl.a. beskrivelse av rutiner for autorisasjon og bruk, samt tekniske og organisatoriske sikkerhetstiltak. Dokumentasjonen skal være tilgjengelig for databehandlingsansvarlig, Datatilsynet og Helsetilsynet, jf. punkt 6 nedenfor. 4 Informasjonssikkerhet 4.1 Overordnede krav til informasjonssikkerhet Databehandler skal til enhver tid oppfylle de krav til informasjonssikkerhet som følger av Tjenesteavtalen og Databehandlingsansvarliges sikkerhetsstrategi og sikre at all behandling av personopplysninger som er omfattet av denne avtalen skjer i henhold til det nivå for akseptabel risiko som er fastsatt av Databehandlingsansvarlig. Gjennomført risikovurdering skal fremlegges av databehandler for egen og eventuelle underleverandørers sikkerhet som del av dette. Databehandlingsansvarlig skal påse at den til enhver tid gjeldende sikkerhetsstrategi og beslutninger med hensyn til akseptabel risiko er tilgjengelig for Databehandler. Det samme gjelder oversikt over hvilke typer personopplysninger som behandles i henhold til Tjenesteavtalen. Databehandler kan etter særskilt avtale bistå Databehandlingsansvarlig i dennes arbeid med gjennomføring av risikoanalyse og utarbeiding av sikkerhetsstrategi. Databehandler har et selvstendig ansvar for å påse at behandling av personopplysningene skjer i overensstemmelse med kravene til informasjonssikkerhet i helseregisterloven § 16, personopplysningsloven § 13 og personopplysningsforskriften kap. 2. Det forutsettes at Databehandleren har utarbeidet tilfredsstillende sikkerhetsmål, -strategi, -organisering og ansvar i samsvar med Personopplysningsloven og –forskriften og at dette følges opp med nødvendig Internkontrollsystem.. Databehandleren skal oppfylle kravene i Norm for informasjonssikkerhet i helsesektoren. Databehandler skal etablere og vedlikeholde planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av helseregisterloven og personopplysningsloven, jf. helseregisterloven § 17 og personopplysningsloven § 14 (internkontroll), herunder om prosedyrer for logging av feil og avvik og for varsling og håndtering av slike avvik. Databehandleren skal så snart som mulig, og senest innen 24 timer, varsle Databehandlingsansvarlig om eventuelle avvik som er av betydning for Databehandlingsansvarliges informasjonssikkerhet, og så snart som mulig iverksette tiltak for å avhjelpe (lukke) avvikene Kunde: Sunnaas Sykehus HF Del 2 Avtale SP IKT - Databehandleravtale Leverandør: Sykehuspartner Parafering: _______ / _______
Avtale om leveranse av IKT-tjenester Side : 7 av 10 Del II - Databehandleravtale Versjon: 0.1 og begrense skadevirkningene av dem. Hvis den Databehandlingsansvarlige har personvernombud, skal også ombudet varsles. 4.2 Krav til teknisk sikkerhet Databehandleren skal sikre at følgende minimumskrav til teknisk sikkerhet er oppfylt (kravene er ikke uttømmende): Tilgang til tjenester og opplysninger i nettverket skal være basert på individuelle brukerkoder og passord. Lagring av opplysninger overlevert av databehandlingsansvarlig skal sikres, slik at kun autoriserte medarbeidere har tilgang. Tilgang til eksterne nett/Internett, inkludert Databehandlerens åpne nettverk, dersom det finnes, forutsetter at det er etablert sikkerhetstiltak som ikke kan påvirkes eller omgås av medarbeidere, og som forhindrer uforvarende eksponering av sensitive personopplysninger til lavere sikrede nettverk. Sikkerhetstiltakene skal ikke være begrenset til handlinger som den enkelte forutsetter å utføre. Sikkerhet skal ivaretas ved fjerndrift. Dette innebærer benyttelse av bærbar PC tilhørende Leverandøren, kryptert VPN forbindelse og sperring mot samtidig tilgang til Internett. DriftsPC skal ikke brukes av venner, familie eller andre ikke autoriserte personer. To-nivå autentisering skal benyttes om tilgang skjer via usikre/lavere sikrede nettverk Kommunikasjon skal sikres med kryptering dersom den går over usikre nettverk og det sendes sensitive personopplysninger eller fødselsnummer. Hvis databehandler behandler helse- og personopplysninger for flere virksomheter skal databehandler ved hjelp av tekniske tiltak som ikke kan overstyres av brukerne ivareta at det er etablert skiller mellom virksomhetene i henhold til gjennomført risikovurdering, dette både i database hvor data er lagret og i kommunikasjon. 4.3 Krav til tilgangskontroll Databehandleren skal ha rutiner for tilgangsautorisasjon og -styring som sikrer at bare de av Databehandlerens medarbeidere som har reelt behov til tilgang til Systemet og informasjonen for å gjennomføre leveransen/tjenesten, har tilgang. Tilgangsnivå skal være i henhold til reelt behov knyttet til å gjennomføre leveransen. Databehandler skal til enhver tid ha oversikt over eget personell som er autorisert for tilgang til Databehandlingsansvarliges informasjon og tjenester. På forespørsel skal slik oversikt forelegges Databehandlingsansvarlig. Dersom Databehandlingsansvarlig har innvendinger mot at en gitt person har fysisk og/eller elektronisk adgang til Systemet, skal autorisasjon for dette inndras. Det skal benyttes personlige brukerkonti for all tilgang knyttet til gjennomføring av leveransen. Dersom Databehandleren benytter bærbare klient maskiner til drift, skal Databehandleren ha rutiner som sikrer at disse bare benyttes av driftspersonell og til driftsrelaterte oppgaver. Kunde: Sunnaas Sykehus HF Del 2 Avtale SP IKT - Databehandleravtale Leverandør: Sykehuspartner Parafering: _______ / _______
Page 1: Versjon: 0.1 Dato oppdatert : 22.03
Page 4 and 5: Avtale om leveranse av IKT-tjeneste
Page 8 and 9: Avtale om leveranse av IKT-tjeneste
Page 10: Avtale om leveranse av IKT-tjeneste

Avtale om leveranse av IKT-tjenester Del II - Databehandleravtale

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?