Avtale om leveranse av IKT-tjenester Del II - Databehandleravtale

More documents

Recommendations

Info

Avtale om leveranse av IKT-tjenester Side : 8 av 10 Del II - Databehandleravtale Versjon: 0.1 Dersom tredjepart eller underleverandør i forbindelse med support eller tilsvarende skal ha tilgang til systemet, skal det benyttes midlertidige passord eller tilsvarende. Dette skal endres/sperres umiddelbart når behovet for tilgang opphører. 4.4 Krav til fysisk sikkerhet Det skal benyttes adgangskontroll med bruk av adgangskort med personlig kode eller tilsvarende. Adgangskontroll til begrensede områder (f.eks drift og serverrom) skal være basert på faktiske behov. Personell som ikke er autoriserte, skal følges. Adgangskontroll med låste dører gjelder for følgende typer lokaler: datahall/serverrom, IT lokaler (drift/support), lokaler med IT relatert utstyr (koblingsmatriser, svitsjer/rutere), osv. 4.5 Nærmere og tjenestespesifikke krav til informasjonssikkerhet Nærmere og tjenestespesifikke bestemmelser om krav til informasjonssikkerhet er fastsatt i Tjenesteavtalens tjenestebeskrivelser. 5 Taushetsplikt Databehandlers ansatte og andre som opptrer på Databehandlers vegne i forbindelse med behandling av personopplysninger i henhold til denne avtalen er underlagt taushetsplikt, jf. helseregisterloven § 15. Det samme gjelder eventuelle underleverandører. Databehandler skal påse at alle som behandler personopplysninger er kjent med taushetsplikten. Alle ansatte og andre som opptrer på Databehandlers vegne i forbindelse med behandling av personopplysninger skal ha undertegnet taushetserklæring. Bestemmelsen gjelder tilsvarende for eventuelle underleverandører. Taushetsplikten gjelder også etter databehandleravtalens opphør. Partene plikter å ta de forholdsregler som er nødvendig for å sikre at materiale eller opplysninger ikke blir gjort kjent for andre i strid med dette punktet. 6 Innsyn og revisjon mv Databehandlingsansvarlig kan til enhver tid kreve innsyn i Databehandlers behandling av personopplysninger for Databehandlingsansvarlig, herunder i dokumentasjon for oppfyllelse av kravene til informasjonssikkerhet og Databehandlers system for internkontroll. Retten til innsyn gjelder alle tekniske, organisatoriske og administrative forhold som er relevante for sikkerheten i tjenesten som leveres Databehandlingsansvarlig. Databehandlingsansvarlig skal så vidt mulig gi Databehandler rimelig varsel om krav om innsyn og kontroll, vanligvis med minst 30 dagers varsel. For krav om dokumentinnsyn bør det gis minst 14 dagers varsel. Databehandlingsansvarlig skal medvirke til at innsyn og kontroll kan koordineres mellom flere databehandlingsansvarlige som får levert tjenester fra Databehandler. Databehandleren aksepterer at innsyn og kontroll kan gjennomføres av Databehandlingsansvarlig eller den tredjepart Databehandlingsansvarlig måtte velge til gjennomføring. Kunde: Sunnaas Sykehus HF Del 2 Avtale SP IKT - Databehandleravtale Leverandør: Sykehuspartner Parafering: _______ / _______
Avtale om leveranse av IKT-tjenester Side : 9 av 10 Del II - Databehandleravtale Versjon: 0.1 Databehandler skal gi Datatilsynet og annen relevant tilsynsmyndighet slik tilgang og innsyn i behandlingen av personopplysninger som følger av helseregisterloven og personopplysningsloven. Databehandleren skal uten ugrunnet opphold korrigere eventuelle avvik. Avvik som skyldes Databehandleren eller dennes underleverandører skal korrigeres uten kostnad for Databehandlingsansvarlig. Databehandleren skal skriftlig redegjøre for korrektive tiltak og plan for gjennomføring. 7 Databehandlerens bruk av underleverandører Databehandler kan ikke benytte underleverandører i forbindelse med behandling av personopplysninger uten at det er skriftlig avtalt med Databehandlingsansvarlig. Før behandling av personopplysninger kan skje hos eventuelle underleverandører, skal Databehandler ha inngått skriftlig avtale med underleverandøren som sikrer oppfyllelse av kravene i denne databehandleravtalen, herunder kravene til informasjonssikkerhet og at Databehandlingsansvarlig og tilsynsmyndigheten har samme innsyn og kontroll med behandling av personopplysningene som de har etter denne databehandleravtalen. Databehandler skal sikre at eventuelle underleverandører er kjent med at de er underlagt lovbestemt taushetsplikt, jf. ovenfor. Databehandleren skal sikre at eventuelle underleverandører er kjent med Databehandlingsansvarliges sikkerhetsstrategi og beslutninger med hensyn til akseptabel risiko. Databehandler er ansvarlig for utførelsen av oppgaver hos underleverandøren på samme måte som om Databehandler selv stod for utførelsen av disse. 8 Avtalens varighet og opphør Avtalen løper fra den er undertegnet og så lenge Databehandler behandler personopplysninger for Databehandlingsansvarlig i henhold til Tjenesteavtalen eller annen tilsvarende avtale. Hvis Tjenesteavtalen opphører, uten at den avløses av ny tilsvarende avtale, skal Databehandler avslutte behandlingen av personopplysningene i henhold til prosedyrene for avslutning av avtalen i punkt 9 nedenfor. 9 Avslutning av avtalen Når avtalen opphører skal Databehandler tilrettelegge for overføring (tilbakelevering) av alle opplysninger som Databehandler behandler på vegne av Databehandlingsansvarlig og medvirke til slik overføring. Partene avtaler nærmere hvordan overføring konkret skal skje. Etter at personopplysningene er overført til Databehandlingsansvarlig, og bekreftet mottatt av denne, skal Databehandler slette opplysningene i sitt system. Kravet til sletting omfatter også Kunde: Sunnaas Sykehus HF Del 2 Avtale SP IKT - Databehandleravtale Leverandør: Sykehuspartner Parafering: _______ / _______
Page 1: Versjon: 0.1 Dato oppdatert : 22.03
Page 4 and 5: Avtale om leveranse av IKT-tjeneste
Page 6 and 7: Avtale om leveranse av IKT-tjeneste
Page 10: Avtale om leveranse av IKT-tjeneste

Avtale om leveranse av IKT-tjenester Del II - Databehandleravtale

Create successful ePaper yourself

Delete template?

Save as template?