Bruk av databehandler (ekstern driftsenhet)



Like dokumenter
Bruk av databehandler (ekstern driftsenhet)

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Sikkerhetskrav for systemer

Databehandleravtaler

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Databehandleravtale etter personopplysningsloven

Bilag 14 Databehandleravtale

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

Ansvar og organisering

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. behandlingsansvarlig

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Databehandleravtale etter personopplysningsloven

Krav til informasjonssikkerhet

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

Personvern - sjekkliste for databehandleravtale

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Databehandleravtale etter personopplysningsloven

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom

HVEM ER JEG OG HVOR «BOR» JEG?

Skytjenester. Forside og Databehandleravtale. Telenor Norge

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Databehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler

Databehandleravtale digitale arkiv og uttrekk for deponering

Databehandleravtale for forskningsprosjekt mellom (org nr...) og Akershus universitetssykehus HF (org nr )

Databehandleravtale for NLF-medlemmer

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehandleravtale etter personopplysningsloven

Lagring av forskningsdata i Tjeneste for Sensitive Data

Videokonsultasjon - sjekkliste

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Innsatsområder nasjonalt nivå i helsetjenesten Nasjonalt meldingsløft Kjernejournal Helsepolitiske mål E-resept Helseportal Helseregistre EPJ Velferds

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Databehandleravtale mellom Oslo universitetssykehus HF (org nr ) ved MBT-Kvalitetslaboratorium og [Sett inn foretak]

Kommunens Internkontroll

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Noen utvalgte faktaark og veiledere. Åpent kurs

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Retningslinjer for databehandleravtaler

Norm for informasjonssikkerhet Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Internkontroll og informasjonssikkerhet lover og standarder

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Databehandleravtaler. Tommy Tranvik Unit

BILAG 1 DATABEHANDLERAVTALE

Databehandleravtale. Denne avtalen er inngått mellom

Registrerte og personopplysninger som behandles

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

LÆRINGS- og GJENNOMFØRINGSPLAN

Databehandleravtale etter personopplysningsloven

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Lagring av forskningsdata i Tjeneste for

LÆRINGS- og GJENNOMFØRINGSPLAN

Databehandleravtale. Skatteetaten. [leverandør] 1 av 8

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Behandling av helse- og personopplysninger ved legekontoret

MTU - Krav til informasjonssikkerhet

DATABEHANDLERAVTALE vedrørende nettjenesten

LÆRINGS- og GJENNOMFØRINGSPLAN

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Policy for personvern

Databehandleravtale etter personopplysningsloven m.m

Databehafiileravtale ' ---

Kan du legge personopplysninger i skyen?

Transkript:

Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Bruk av databehandler (ekstern driftsenhet) Støttedokument Faktaark nr 10 Versjon: 4.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant for: Sikre at databehandler behandler helse- og personopplysninger slik databehandlingsansvarlig har bestemt. Databehandlingsansvarlig v/virksomhetens ledelse har ansvar for å utforme databehandleravtalen. Databehandler har et selvstendig ansvar for å påse at behandling av helse- og personopplysninger skjer i samsvar med lovverket, samt at Normen følges om dette er avtalefestet. Når helse- og personopplysninger behandles av ekstern driftsenhet, eller når ekstern leverandør gjennomfører vedlikehold eller oppdatering som krever tilgang til helseog personopplysninger. Alle virksomheter i helse- og omsorgstjenesten skal inngå en databehandleravtale når helse- og personopplysninger driftes eksternt. Omfanget av databehandleravtalen må være tilpasset og avgrenset til behandlingen av helse- og personopplysninger som eksterne driftsenheten skal utføre. Det skal også inngås tilsvarende avtaler med sikkerhetsleverandører som gjennomfører sikkerhetstiltak. Virksomhetens leder/ledelse Ansatt / medarbeider IKT-ansvarlig Forskningsansvarlig Forsker Databehandler Prosjektleder forskning Personvernombud Leverandør Sikkerhetsleder Hjemmel Personopplysningsloven 13 Personopplysningsforskriften 2-15 Referanser Norm for informasjonssikkerhet, kapittel 5.8 Faktaark 15 Hendelsesregistrering og oppfølging Faktaark 13 - Oversikt over behandlinger av helse- og personopplysninger Veileder for fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet Veileder for personvern og informasjonssikkerhet i forskningsprosjekter innenfor helse- og omsorgssektoren Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Bakgrunn Som vist i figuren nedenfor skal det etableres databehandleravtale mellom databehandlingsansvarlig og databehandler (ekstern driftsenhet). I tillegg må databehandler påse at kravene i databehandleravtalen gjenspeiles i avtale med sine underleverandører. En databehandler er en ekstern person eller virksomhet utenfor den databehandlingsansvarliges virksomhet. Databehandleren behandler helse- og personopplysninger på vegne av den databehandlingsansvarlige. Dette betyr at hvis virksomhetens IKT-systemer (alle eller noen) blir driftet av en ekstern driftsenhet, er denne eksterne driftsenheten en databehandler. Avtale som gjenspeiler kravene i databehandleravtalen Databehandleravtale Databehandlingsansvarlig Databehandler Underleverandør Med behandling av helse- og personopplysninger menes enhver formålsbestemt bruk av helse- og personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter. Annen bruk som krever databehandleravtale er konvertering, bearbeiding, kobling mot andre registre, analyse, rapportering, test, avhending og sletting. Faktaark 10 - Bruk av databehandler (ekstern driftsenhet) Side 1 av 8

Det er altså tilstrekkelig at databehandler lagrer opplysningene for at det må inngås en databehandleravtale. Et annet eksempel er når databehandler kun registrerer opplysningene på vegne av virksomheten, så skal det inngås en databehandleavtale. Videre for eksempel ved å oppbevare opplysningene når det er nødvendig for å utføre service på datasystemer. Et spørsmål som ofte reises er om det er nødvendig å opprette databehandleravtale når den eksterne virksomheten lagrer helse- og personopplysninger kryptert. Svaret er ja, og begrunnelsen er at kryptering kun er en sikkerhetsmekanisme og at den eksterne virksomheten fortsatt lagrer opplysningene. Eksempel på databehandler: EPJ-leverandør hvor server fysisk er lokalisert hos leverandøren og hvor databehandlingsansvarlig (i virksomheten) har tilgang til EPJ-systemet i en terminalserverløsning. Leverandør med fjernaksess som drifter hele eller deler av EPJ-systemet eller sikkerhetsløsningen En av partene i et formalisert arbeidsfellesskap drifter EPJ-systemet på vegne av de andre partene. Dette gjelder allerede etablerte formalisert arbeidsfelleskap ift at forskriften er utgått. Ny hjemmel for samarbeid mellom virksomheter om behandlingsrettede helseregistre er pasientjournalloven 9. Leverandør av lønn- og personalsystem hvor server fysisk er plassert hos leverandøren som også drifter løsningen for kunden. Vær oppmerksom på at personopplysningsloven og ikke pasientjournalloven da regulerer forholdet, og at databehandleravtalen må endres bl.a. i forhold til dette (se eksempel på databehandleravtale nedenfor) Et konsern samler driften av EPJ-systemene i en egen virksomhet for drift av virksomhetenes EPJ-systemer Kommune(r) som benytter vertskommune eller som oppretter interkommunale selskaper for drift av IKTsystemer med helse- og personopplysinger, herunder håndtering av kommunens/kommunenes tilknytning til Norsk Helsenett Virksomheten/forskningsprosjektet kan ha behov for at et utenforstående miljø, en underleverandør, bearbeider eller drifter data på vegne av prosjektet Helseforetak setter ut drift av IKT-løsning for behandling av helse- og personopplysninger til driftsenhet utenfor HF Urangering av lagringsenheter (multifunksjonsskriver, disker, osv) hvor leverandør utfører sletting av lagringsenheten Bruk av skytjeneste for behandling av helseopplysninger. Her må virksomheten kartlegge bruk av underleverandører til skytjeneste -leverandøren slik at det sikres at Normens krav gjelder for all behandling av helse- og personopplysninger Nr. Aktivitet/Beskrivelse 1 Beslutning om bruk av ekstern driftsenhet Etter at beslutningen om at IKT-systemer (alle eller noen) skal driftes av en ekstern driftsenhet og før IKT-systemene faktisk settes ut for drifting skal det utformes en databehandleravtale. 2 Identifisering av ekstern driftsenhet Hvis det allerede benyttes en ekstern driftsenhet uten at det i det eksisterende avtaleforholdet er definert krav til behandling av helse- og personopplysninger må dette utføres. Det skal alltid finnes en oversikt over alle eksterne driftsenheter som behandler helse- og personopplysninger på vegne av virksomheten 3 Utforme databehandleravtale Databehandler har et selvstendig ansvar for informasjonssikkerheten etter pasientjournalloven 22, personopplysningsloven 13, personopplysningsforskriften 2-15 Følgende minimumskrav gjelder for en databehandler og må fremgå av avtalen: a) Databehandler må tilfredsstille minimumskravene i Normen (se kapittel 4.4 Nivå for akseptabel risiko). For å sikre dette anbefales det som et minimum at virksomhetens sikkerhetsmål og strategi vedlegges avtalen (se ytterligere detaljer i punkt 4) b) Databehandler skal ikke behandle helse- og personopplysninger på annen måte enn det som er avtalt med databehandlingsansvarlig c) Hvis databehandler behandler helse- og personopplysninger for flere virksomheter skal databehandler ved hjelp av tekniske tiltak som ikke kan overstyres av brukerne ivareta at: - det er etablert skiller mellom virksomhetene i henhold til gjennomført risikovurdering, dette både i database hvor data er lagret og i kommunikasjon - ingen andre enn databehandleren, de som arbeider under databehandlerens instruksjonsmyndighet og virksomheten selv har tilgang til opplysningene Faktaark 10 - Bruk av databehandler (ekstern driftsenhet) Side 2 av 8

Nr. Aktivitet/Beskrivelse Databehandler skal i denne sammenheng også påse at det er iverksatt tiltak slik at Normens nivå for akseptable risiko følges. d) Det anbefales at databehandleravtalen etableres som et kapittel i den generelle avtalen mellom virksomheten og databehandleren. F.eks som en del av: - Tjenestenivåavtale og/eller Kjøpsavtale om driftstjenester - Eller vedlegg til tjenestenivåavtale eller Kjøpsavtale e) Databehandler skal ha prosedyrer for autorisasjon og tilgangsstyring som sikrer at det bare gis tilgang der det er nødvendig for vedkommendes arbeid eller iht særskilt hjemmel i lov eller forskrift f) Databehandler skal ha prosedyrer/løsninger for hendelsesregistrering som gjør det mulig for databehandlingsansvarlig å føre kontroll med hendelsesregistre. All autorisert bruk, ethvert forsøk på uautorisert bruk, samt andre brudd på sikkerheten i systemet skal hendelsesregistreres (se eksempel på avtale og sjekkliste nedenfor) 4 Følge opp en databehandleravtale Databehandlingsansvarlig skal ha innsyn i databehandlers prosedyrer og praksis for informasjonssikkerhet for å sikre at denne er tilfredsstillende iht. kravene. I praksis kan det være en utfordring for en liten helsevirksomhet å få et slikt innsyn. Dette gjerne pga. evt. forskjeller i virksomhetsstørrelse (ulikt maktforhold) og/eller kompetanse mellom helsevirksomheten og den eksterne driftsenheten. Det anbefales at det utformes en praktisk måte å håndtere dette på ifm avtalens utforming. F.eks. kan flere små virksomheter gå sammen om å få innsyn i relevant dokumentasjon hos databehandler. Eller en kan avtale at resultat av ledelsens gjennomgang, sikkerhetsrevisjoner og/eller avviksbehandling som er relevante, blir sendt uoppfordret til databehandlingsansvarlig. Det er viktig at databehandlingsansvarlig ved utformingen av avtalen stiller krav til den eksterne driftsenheten. Følgende momenter bør vurderes og beskrives nærmere, avhengig av virksomhetens behov: - Databehandler plikter å følge Normen - Databehandler plikter å følge standarder som f.eks. EPJ-standarden, meldingsstandarder, etc. - Databehandler plikter å følge virksomhetens akseptkriterier (iht risikovurdering) - Databehandler plikter å gjennomføre hendelsesregistrering - Databehandler plikter å inneha/følge visse sikkerhetssertifiseringer (for eksempel ISO 27002) - Klart uttrykk for ansvar bl.a. i forhold til opplysningene som behandles og sikringen av disse - Mulighet for å gjøre endringer i databehandleravtalen (hvis den databehandlingsansvarliges sikkerhetsrevisjoner av databehandleren viser at dette er nødvendig) 5 Krav til tilbakerapportering Databehandler skal jevnlig rapportere status om resultater fra sine ansvarsområder. Eksempel på forhold som kan inngå i rapportering fra databehandler (ikke uttømmende): - Antall pålogginger til aktuelle system (autorisert bruk) - Antall forsøk på uautorisert bruk - Feilsituasjoner - Oppetidsstatistikk - Avvik som kan leses av hendelsesregistre - Gjennomførte konfigurasjonsendringer 6 Avslutning av databehandleravtale Når avtaleforholdet opphører med databehandler er det viktig at databehandler straks tilbakeleverer dokumenter og alle elektroniske data i lesbart format på det medium (f.eks.: tape, CD, papir mv) som er avtalt. Ved tjenesteutsetting skal det i avtalen for tjenesteutsetting avtales tilbakeføring av helse- og personopplysninger til databehandlingsansvarlig ved opphør av avtalen. Det er viktig å sikre at databehandler ikke har noen rett til å beholde en kopi av opplysningene. Det anbefales at databehandlingsansvarlig mottar en skriftlig bekreftelse fra databehandler på at alle helseog personopplysninger er overlevert til virksomheten og at databehandler ikke har beholdt kopi, avskrift eller annen gjengivelse av noen del av opplysningene på noe medium. Faktaark 10 - Bruk av databehandler (ekstern driftsenhet) Side 3 av 8

Nr. Aktivitet/Beskrivelse Avslutningsvis skal databehandlingsansvarlig sikre at databehandler, også etter at avtaleforholdet er avsluttet, fortsatt er bundet av taushetsplikten for de helse- og personopplysningene som er behandlet. Etter at helse- og personopplysningene er overført til databehandlingsansvarlig, og bekreftet mottatt av denne, skal databehandler slette opplysningene i sitt system. Kravet til sletting omfatter også sikkerhetskopier av helse- og personopplysningene. Datatilsynet har uttalt at det ikke er nødvendig med systematisk sletting av sikkerhetskopier, men at ved rotasjon av medier vil opplysningene bli slettet. Databehandler skal slette eller forsvarlig destruere alle dokumenter, data, harddisker, cd-er og andre lagringsmedier som inneholder opplysninger som omfattes av avtalen. Sletting skal gjennomføres slik at opplysningene ikke kan gjenfinnes. Dette gjelder også for eventuelle sikkerhetskopier og utskrifter. Faktaark 10 - Bruk av databehandler (ekstern driftsenhet) Side 4 av 8

Eksempel på databehandleravtale Følgende er et eksempel på tekst som bør være med i en avtale mellom tilbyder og oppdragsgiver. Som beskrevet tidligere kan teksten inngå som en del av en kontrakt eller som et vedlegg til en kontrakt. Det anbefales at eksempelet på avtale bearbeides i det aktuelle avtaleforholdet. Databehandleravtale mellom <virksomhet> og <ekstern driftsenhet> Formål Avtale for å sikre at krav til konfidensialitet, integritet og tilgjengelighet ivaretas i henhold til pasientjournalloven og personopplysningsloven m/forskrift. Forutsetninger At det foreligger en gjennomarbeidet avtale og øvrige prosedyrer er på plass. Dato <MM.DD.ÅÅÅÅ> Versjon <1.0> Gyldig <MM.DD.ÅÅÅÅ> til <MM.DD.ÅÅÅÅ> <DATABEHANDLER> plikter å behandle personopplysinger fra <DATABEHANDLINGSANSVARLIG> slik at krav til konfidensialitet, integritet og tilgjengelighet er ivaretatt etter pasientjournalloven 22 og 23, personopplysingsloven 13, personopplysningsforskriften 2-15 og Norm for informasjonssikkerhet. Det er <DATABEHANDLINGSANSVARLIG>s ansvar å påse at <DATABEHANDLER>s informasjonssikkerhet er tilfredsstillende. Om sikkerhetsnivået ikke er tilfredsstillende plikter <DATABEHANDLER> å justere sikkerhetsnivået etter instruks fra <DATABEHANDLINGSANSVARLIG>. <DATABEHANDLER> har det praktiske ansvaret for at tilfredsstillende informasjonssikkerhet er etablert gjennom planlagte og systematiske tiltak. I den forbindelse skal <DATABEHANDLER> oversende dokumentasjon til <DATABEHANDLINGSANSVARLIG> om sine mål og strategier for informasjonssikkerhet. Dette skal skje første gang ved avtaleinngåelse og når denne avtalen blir revidert. Ved bruk av leverandører til vedlikehold og oppdatering av registre, databaser med mer, så plikter <DATABEHANDLER> å sørge for at disse leverandørene etterlever de samme krav til informasjonssikkerhet. Dette på en slik måte at sikkerhetsnivået, som er beskrevet ovenfor, ikke blir svekket. Om helse- og personopplysingene skal overføres i eksterne nettverk skal disse krypteres etter gjeldene bestemmelser. <DATABEHANDLER> plikter å ha dokumentert systemet og prosedyrer som er relevant i forbindelse med denne avtalen. Med dokumentasjon menes prosedyrer for autorisasjon og bruk, ulike tekniske og organisatoriske sikkerhetstiltak. Dokumentasjonen skal være tilgjengelig for <DATABEHANDLINGSANSVARLIG>, Datatilsynet og Helsetilsynet. Innsyn i dokumentasjonen skal reguleres strengt (gis til et begrenset antall autoriserte personer) slik at dette ikke svekker sikkerhetsnivået. 1 Når det forekommer avvik iht. vedtatt informasjonssikkerhet skal <DATABEHANDLER> som en del av avviksprosedyren sende avviksrapporter til <DATABEHANDLINGSANSVARLIG> for avvik som har betydning i denne sammenhengen. <DATABEHANDLINGSANSVARLIG> har rett til å la en tredje part revidere <DATABEHANDLER>s informasjonssikkerhet. Kostnadene for dette skal dekkes av <DATABEHANDLINGSANSVARLIG>. Ved opphør av avtaleforholdet plikter databehandler å tilbakelevere dokumenter og alle elektroniske data på det medium (tape, CD, papir mv) som <DATABEHANDLER> måtte besitte i egenskap av å være databehandler. <DATABEHANDLER> har ikke noen rett til å beholde kopi av materialet. <DATABEHANDLINGSANSVARLIG> skal motta en skriftlig bekreftelse fra <DATABEHANDLER> på at alt materiale er overlevert til <DATABEHANDLINGSANSVARLIG>, og at <DATABEHANDLER> ikke selv har beholdt noen kopi, avskrift eller annen gjengivelse av noen del av materialet på noe medium. Taushetsplikten for de helse- og personopplysningene og annen relevant informasjon i tilknytning til dette skal overholdes underveis i avtaleforholdet. Taushetsplikten gjelder også for opplysninger om hvordan sikkerheten er ivaretatt (teknisk, fysisk, administrativt og organisatorisk). <DATABEHANDLER> er bundet av den samme taushetsplikten også etter at avtaleforholdet er avsluttet for de helse- og personopplysningene som er behandlet. <Databehandlingsansvarlig> <Virksomhet> <Databehandler> <Ekstern driftsenhet> 1 Det oppfordres å henvise til faktaark i avtalen vedrørende den aktuelle tjenesten (for eksempel hjemmekontor). Faktaarkene finnes på www.normen.no. Faktaark 10 - Bruk av databehandler (ekstern driftsenhet) Side 5 av 8

Eksempel på sjekkliste med krav til databehandler og etablering av databehandleravtale Nr Krav Krav ivaretatt Kommentar Ja Nei Ikke aktuell 1. Databehandler plikter å følge Normen og oppfylle kravene i denne. 2. Databehandler plikter å følge meldingsstandarder der det er relevant. 3. Databehandler skal oversende beskrivelse av sikkerhetsmål, sikkerhetsstrategi og ansvar for informasjonssikkerheten til databehandlingsansvarlig. 4. Databehandler plikter å behandle all informasjon i henhold til databehandleravtalen. 5. Krav til hendelsesregistrering: - Databehandler skal sikre at all tilgang og bruk av IKTsystemet hendelsesregistreres - Hendelsesregistre skal samles inn og tilgjengeliggjøres for databehandlingsansvarlig for spørringer og rapporter. Databehandlingsansvarlig skal fastsette hvilke rapporter som skal kunne tas ut - Hendelsesregistre skal oppbevares til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for dem - Følgende skal som minimum registreres i hendelsesregistre: o entydig identifikator for den autoriserte brukeren o rollen den autoriserte brukeren har ved tilgangen o virksomhetstilhørighet o organisatorisk tilhørighet til den som er autorisert o hvilke type opplysninger det er gitt tilgang til o grunnlaget for tilgangen o tidspunkt og varighet for tilgangen 6. Databehandler kan ikke benytte underleverandører i forbindelse med behandling av helse- og personopplysninger uten at det er skriftlig avtalt med databehandlingsansvarlig. 7. Databehandler skal sikre at informasjon som behandles for databehandlingsansvarlig holdes adskilt fra egne og andre virksomheters informasjon og tjenester. 8. Databehandler plikter å dokumentere sitt system for behandling av helse- og personopplysninger i forbindelse med databehandleravtalen. Med dokumentasjon menes bl.a. beskrivelse av prosedyrer for autorisasjon, autentisering og bruk, samt tekniske og organisatoriske sikkerhetstiltak. Dokumentasjon skal være tilgjengelig for databehandlingsansvarlig, Datatilsynet og Helsetilsynet. 9. Databehandler skal til enhver tid oppfylle de krav til informasjonssikkerhet som følger av databehandleravtalen og databehandlingsansvarliges sikkerhetsstrategi. Resultat fra gjennomført risikovurdering skal fremlegges av databehandler som dokumentasjon av egen og eventuelle underleverandørers sikkerhet. 10. Databehandler skal sikre at følgende minimumskrav til teknisk sikkerhet er oppfylt (kravene er ikke uttømmende): - Tilgang til tjenester og opplysninger i nettverket og IKTsystemet skal være basert på individuelle brukernavn og passord - Opplysninger overlevert av databehandlingsansvarlig skal sikres, slik at kun autoriserte medarbeidere har tilgang - Tilgang til eksterne nett/internett/helsenett, inkludert databehandlerens åpne nettverk, skal sikres med Faktaark 10 - Bruk av databehandler (ekstern driftsenhet) Side 6 av 8

Nr Krav Krav ivaretatt Kommentar Ja Nei Ikke aktuell sikkerhetstiltak som ikke kan påvirkes eller omgås av eksterne og egne ansatte, og som forhindrer uforvarende eksponering av sensitive personopplysninger til nettverk med lavere sikkerhet - Ved bruk av fjernaksess skal alle sikkerhetstiltak og avtale innføres iht. til dokumentet Veileder for fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet - Meldinger og datakommunikasjon og som inneholder sensitive personopplysninger skal krypteres - Hvis databehandler behandler helse- og personopplysninger for flere virksomheter skal databehandler ved hjelp av tekniske tiltak som ikke kan overstyres av brukerne ivareta at det er etablert skiller mellom virksomhetene i henhold til gjennomført risikovurdering. Dette gjelder både i database hvor data er lagret og i kommunikasjon 11. Krav til tilgangsstyring - Databehandleren skal ha prosedyrer for å autorisere kun de av databehandlerens medarbeidere som har reelt behov for tilgang til IKT-systemer og informasjon for å gjennomføre leveransen/tjenesten - Databehandler skal til enhver tid ha oversikt over eget personell som er autorisert for tilgang til databehandlingsansvarliges IKT-systemer og informasjon. På forespørsel skal slik oversikt forelegges databehandlingsansvarlig - Dersom databehandlingsansvarlig har innvendinger mot at en gitt person har fysisk og/eller elektronisk tilgang til IKTsystemet, skal autorisasjonen inndras - Det skal benyttes personlig brukerkonto for all tilgang knyttet til gjennomføring av leveransen - Dersom databehandleren benytter mobilt utstyr til drift, skal databehandleren ha prosedyrer som sikrer at disse bare benyttes av driftspersonell og til driftsrelaterte oppgaver - Dersom tredjepart eller underleverandør til databehandler, i forbindelse med support eller tilsvarende, skal ha tilgang til IKT-systemet, skal alle sikkerhetstiltak iht. til dokumentet Veileder for fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet ivaretas 12. Taushetsplikt - Databehandlers ansatte og andre som opptrer på databehandlers vegne i forbindelse med behandling av helse- og personopplysninger i henhold til databehandleravtalen er underlagt taushetsplikt, jf. pasientjournalloven 15, helsepersonelloven og forvaltningsloven. Det samme gjelder eventuelle underleverandører. Databehandler skal påse at alle som behandler helse- og personopplysninger er kjent med taushetsplikten - Alle ansatte og andre som opptrer på databehandlers vegne i forbindelse med behandling av helse- og personopplysninger skal ha undertegnet taushetserklæring. Bestemmelsen gjelder tilsvarende for eventuelle underleverandører - Taushetsplikten gjelder også etter databehandleravtalens opphør - Partene plikter å ta de forholdsregler som er nødvendig for å sikre at materiale eller opplysninger ikke blir gjort kjent for andre i strid med dette punktet Faktaark 10 - Bruk av databehandler (ekstern driftsenhet) Side 7 av 8

Nr Krav Krav ivaretatt Kommentar Ja Nei Ikke aktuell 13. Tilbakerapportering. Databehandler skal jevnlig gi statusrapporter om resultater fra sine ansvarsområder. Eksempler på hva som skal inngå i rapportering fra databehandler: - Driftsstatus på kritiske systemer - Oppetid på systemer - Planlagte avbrudd og tidslengde på avbrudd - Planlagte endringer, forventet effekt og tidspunkt de skal utføres - Forsøk på uautorisert bruk - Sikkerhetsoppdateringer - Feilsituasjoner/ -rettinger - Manglende oppfyllelse av tjenesteavtale og mulige årsaker Faktaark 10 - Bruk av databehandler (ekstern driftsenhet) Side 8 av 8

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding