Avtale om leveranse av IKT-tjenester Del II - Databehandleravtale
Avtale om leveranse av IKT-tjenester Del II - Databehandleravtale
Avtale om leveranse av IKT-tjenester Del II - Databehandleravtale
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>Avtale</strong> <strong>om</strong> <strong>leveranse</strong> <strong>av</strong> <strong>IKT</strong>-<strong>tjenester</strong> Side : 6 <strong>av</strong> 10<br />
<strong>Del</strong> <strong>II</strong> - Databehandler<strong>av</strong>tale Versjon: 0.1<br />
Databehandlingsansvarlig kan til enhver tid velge å stanse videre behandling <strong>av</strong><br />
personopplysninger hos Databehandler eller kreve endringer i behandlingsmåten. De<br />
merkantile virkningene <strong>av</strong> forespørsler fra Databehandlingsansvarlig <strong>om</strong> endringer i<br />
behandlingsmåten, eller hel eller delvis <strong>av</strong>slutning <strong>av</strong> behandlingen, håndteres i henhold til<br />
Tjeneste<strong>av</strong>talens bestemmelser <strong>om</strong> endringshåndtering og/eller <strong>av</strong>bestilling/oppsigelse.<br />
Databehandler plikter å ha dokumentert sitt system for behandling <strong>av</strong> personopplysninger og<br />
rutiner s<strong>om</strong> er relevante i forbindelse med denne <strong>av</strong>talen. Med dokumentasjon menes bl.a.<br />
beskrivelse <strong>av</strong> rutiner for autorisasjon og bruk, samt tekniske og organisatoriske<br />
sikkerhetstiltak. Dokumentasjonen skal være tilgjengelig for databehandlingsansvarlig,<br />
Datatilsynet og Helsetilsynet, jf. punkt 6 nedenfor.<br />
4 Informasjonssikkerhet<br />
4.1 Overordnede kr<strong>av</strong> til informasjonssikkerhet<br />
Databehandler skal til enhver tid oppfylle de kr<strong>av</strong> til informasjonssikkerhet s<strong>om</strong> følger <strong>av</strong><br />
Tjeneste<strong>av</strong>talen og Databehandlingsansvarliges sikkerhetsstrategi og sikre at all behandling<br />
<strong>av</strong> personopplysninger s<strong>om</strong> er <strong>om</strong>fattet <strong>av</strong> denne <strong>av</strong>talen skjer i henhold til det nivå for<br />
akseptabel risiko s<strong>om</strong> er fastsatt <strong>av</strong> Databehandlingsansvarlig. Gjenn<strong>om</strong>ført risikovurdering<br />
skal fremlegges <strong>av</strong> databehandler for egen og eventuelle underleverandørers sikkerhet s<strong>om</strong><br />
del <strong>av</strong> dette.<br />
Databehandlingsansvarlig skal påse at den til enhver tid gjeldende sikkerhetsstrategi og<br />
beslutninger med hensyn til akseptabel risiko er tilgjengelig for Databehandler. Det samme<br />
gjelder oversikt over hvilke typer personopplysninger s<strong>om</strong> behandles i henhold til<br />
Tjeneste<strong>av</strong>talen.<br />
Databehandler kan etter særskilt <strong>av</strong>tale bistå Databehandlingsansvarlig i dennes arbeid med<br />
gjenn<strong>om</strong>føring <strong>av</strong> risikoanalyse og utarbeiding <strong>av</strong> sikkerhetsstrategi.<br />
Databehandler har et selvstendig ansvar for å påse at behandling <strong>av</strong> personopplysningene<br />
skjer i overensstemmelse med kr<strong>av</strong>ene til informasjonssikkerhet i helseregisterloven § 16,<br />
personopplysningsloven § 13 og personopplysningsforskriften kap. 2. Det forutsettes at<br />
Databehandleren har utarbeidet tilfredsstillende sikkerhetsmål, -strategi, -organisering og<br />
ansvar i samsvar med Personopplysningsloven og –forskriften og at dette følges opp med<br />
nødvendig Internkontrollsystem.. Databehandleren skal oppfylle kr<strong>av</strong>ene i Norm for<br />
informasjonssikkerhet i helsesektoren.<br />
Databehandler skal etablere og vedlikeholde planlagte og systematiske tiltak s<strong>om</strong> er<br />
nødvendige for å oppfylle kr<strong>av</strong>ene i eller i medhold <strong>av</strong> helseregisterloven og<br />
personopplysningsloven, jf. helseregisterloven § 17 og personopplysningsloven § 14<br />
(internkontroll), herunder <strong>om</strong> prosedyrer for logging <strong>av</strong> feil og <strong>av</strong>vik og for varsling og<br />
håndtering <strong>av</strong> slike <strong>av</strong>vik.<br />
Databehandleren skal så snart s<strong>om</strong> mulig, og senest innen 24 timer, varsle Databehandlingsansvarlig<br />
<strong>om</strong> eventuelle <strong>av</strong>vik s<strong>om</strong> er <strong>av</strong> betydning for Databehandlingsansvarliges<br />
informasjonssikkerhet, og så snart s<strong>om</strong> mulig iverksette tiltak for å <strong>av</strong>hjelpe (lukke) <strong>av</strong>vikene<br />
Kunde: Sunnaas Sykehus HF <strong>Del</strong> 2 <strong>Avtale</strong> SP <strong>IKT</strong> - Databehandler<strong>av</strong>tale<br />
Leverandør: Sykehuspartner<br />
Parafering: _______ / _______