Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11
Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.: 883 971 752 heretter "Databehandlingsansvarlig" og Helse Sør-Øst RHF ved Sykehuspartner IKT Organisasjonsnr.: 991 324 968 heretter "Databehandler " i fellesskap kalt "Partene"
Avtale om leveranse av IKT-tjenester Side : 4 av 10
Avtale om leveranse av IKT-tjenester Side : 5 av 10 1 Avtalens bakgrunn og formål Databehandlingsansvarlig har inngått avtale med Sykehuspartner om leveranse av IKTtjenester til Databehandlingsansvarlig ("Tjenesteavtalen"). For hver databehandling beskrives formålet med behandlingen, beskrivelsen av type personopplysninger, utlevering, koblinger med mer i Tjenesteavtalen. Sykehuspartner er databehandler for Databehandlingsansvarlig i forbindelse med bl.a. drift og forvaltning av it-systemer som Databehandlingsansvarlig benytter under Tjenesteavtalen. Databehandler vil i denne forbindelse behandle helseopplysninger og andre personopplysninger slik disse begrepene er definert i henholdsvis helseregisterloven (lov 18. mai 2001 nr. 24) og personopplysningsloven (lov 14. april 2000 nr. 31). Helseopplysninger og personopplysninger er heretter med et fellesbegrep kalt personopplysninger. Denne databehandleravtalen er inngått for å regulere Partenes rettigheter og plikter som henholdsvis databehandlingsansvarlig og databehandler i forbindelse med behandling av personopplysninger under Tjenesteavtalen. Med behandling av personopplysninger menes enhver behandling av slike opplysninger, herunder innsamling, registrering, sammenstilling, lagring, utlevering og sletting eller en kombinasjon av disse. 2 Partenes roller og oppgaver Databehandlingsansvarlig bestemmer formålet med behandlingen av personopplysningene og er bl.a. ansvarlig for at det foreligger et lovlig behandlingsgrunnlag for personopplysningene, at den behandling som databehandlingsansvarlig gir anvisning på er i overensstemmelse med gjeldende lovgivning og at behandlingen skjer i henhold til Databehandlingsansvarliges sikkerhetsmål og sikkerhetsstrategi. Databehandlingsansvarlig har ansvaret også når det benyttes databehandler. Det innebærer blant annet at Databehandlingsansvarlig har ansvaret for å påse at kravene er oppfylt i forbindelse med oppbevaring og bruk av personopplysningene hos Databehandleren, jf personopplysningsloven 15 og personopplysningsforskriften 2-15. Databehandler behandler personopplysninger på vegne av, og i henhold til avtale med, Databehandlingsansvarlig. 3 Behandling av personopplysninger Databehandler skal bare behandle personopplysninger slik det er skriftlig avtalt med Databehandlingsansvarlig i Tjenesteavtalen eller skriftlig tilleggsavtale og i den utstrekning det er nødvendig for å oppfylle slik avtale. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse. Eventuell tilleggsavtale skal vedlegges denne databehandleravtalen. Databehandleren skal sikre at personopplysninger som behandles for én Databehandlingsansvarlig holdes atskilt fra egne og andre databehandlingsansvarliges opplysninger og tjenester.
Avtale om leveranse av IKT-tjenester Side : 6 av 10 Databehandlingsansvarlig kan til enhver tid velge å stanse videre behandling av personopplysninger hos Databehandler eller kreve endringer i behandlingsmåten. De merkantile virkningene av forespørsler fra Databehandlingsansvarlig om endringer i behandlingsmåten, eller hel eller delvis avslutning av behandlingen, håndteres i henhold til Tjenesteavtalens bestemmelser om endringshåndtering og/eller avbestilling/oppsigelse. Databehandler plikter å ha dokumentert sitt system for behandling av personopplysninger og rutiner som er relevante i forbindelse med denne avtalen. Med dokumentasjon menes bl.a. beskrivelse av rutiner for autorisasjon og bruk, samt tekniske og organisatoriske sikkerhetstiltak. Dokumentasjonen skal være tilgjengelig for databehandlingsansvarlig, Datatilsynet og Helsetilsynet, jf. punkt 6 nedenfor. 4 Informasjonssikkerhet 4.1 Overordnede krav til informasjonssikkerhet Databehandler skal til enhver tid oppfylle de krav til informasjonssikkerhet som følger av Tjenesteavtalen og Databehandlingsansvarliges sikkerhetsstrategi og sikre at all behandling av personopplysninger som er omfattet av denne avtalen skjer i henhold til det nivå for akseptabel risiko som er fastsatt av Databehandlingsansvarlig. Gjennomført risikovurdering skal fremlegges av databehandler for egen og eventuelle underleverandørers sikkerhet som del av dette. Databehandlingsansvarlig skal påse at den til enhver tid gjeldende sikkerhetsstrategi og beslutninger med hensyn til akseptabel risiko er tilgjengelig for Databehandler. Det samme gjelder oversikt over hvilke typer personopplysninger som behandles i henhold til Tjenesteavtalen. Databehandler kan etter særskilt avtale bistå Databehandlingsansvarlig i dennes arbeid med gjennomføring av risikoanalyse og utarbeiding av sikkerhetsstrategi. Databehandler har et selvstendig ansvar for å påse at behandling av personopplysningene skjer i overensstemmelse med kravene til informasjonssikkerhet i helseregisterloven 16, personopplysningsloven 13 og personopplysningsforskriften kap. 2. Det forutsettes at Databehandleren har utarbeidet tilfredsstillende sikkerhetsmål, -strategi, -organisering og ansvar i samsvar med Personopplysningsloven og forskriften og at dette følges opp med nødvendig Internkontrollsystem.. Databehandleren skal oppfylle kravene i Norm for informasjonssikkerhet i helsesektoren. Databehandler skal etablere og vedlikeholde planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av helseregisterloven og personopplysningsloven, jf. helseregisterloven 17 og personopplysningsloven 14 (internkontroll), herunder om prosedyrer for logging av feil og avvik og for varsling og håndtering av slike avvik. Databehandleren skal så snart som mulig, og senest innen 24 timer, varsle Databehandlingsansvarlig om eventuelle avvik som er av betydning for Databehandlingsansvarliges informasjonssikkerhet, og så snart som mulig iverksette tiltak for å avhjelpe (lukke) avvikene
Avtale om leveranse av IKT-tjenester Side : 7 av 10 og begrense skadevirkningene av dem. Hvis den Databehandlingsansvarlige har personvernombud, skal også ombudet varsles. 4.2 Krav til teknisk sikkerhet Databehandleren skal sikre at følgende minimumskrav til teknisk sikkerhet er oppfylt (kravene er ikke uttømmende): Tilgang til tjenester og opplysninger i nettverket skal være basert på individuelle brukerkoder og passord. Lagring av opplysninger overlevert av databehandlingsansvarlig skal sikres, slik at kun autoriserte medarbeidere har tilgang. Tilgang til eksterne nett/internett, inkludert Databehandlerens åpne nettverk, dersom det finnes, forutsetter at det er etablert sikkerhetstiltak som ikke kan påvirkes eller omgås av medarbeidere, og som forhindrer uforvarende eksponering av sensitive personopplysninger til lavere sikrede nettverk. Sikkerhetstiltakene skal ikke være begrenset til handlinger som den enkelte forutsetter å utføre. Sikkerhet skal ivaretas ved fjerndrift. Dette innebærer benyttelse av bærbar PC tilhørende Leverandøren, kryptert VPN forbindelse og sperring mot samtidig tilgang til Internett. DriftsPC skal ikke brukes av venner, familie eller andre ikke autoriserte personer. To-nivå autentisering skal benyttes om tilgang skjer via usikre/lavere sikrede nettverk Kommunikasjon skal sikres med kryptering dersom den går over usikre nettverk og det sendes sensitive personopplysninger eller fødselsnummer. Hvis databehandler behandler helse- og personopplysninger for flere virksomheter skal databehandler ved hjelp av tekniske tiltak som ikke kan overstyres av brukerne ivareta at det er etablert skiller mellom virksomhetene i henhold til gjennomført risikovurdering, dette både i database hvor data er lagret og i kommunikasjon. 4.3 Krav til tilgangskontroll Databehandleren skal ha rutiner for tilgangsautorisasjon og -styring som sikrer at bare de av Databehandlerens medarbeidere som har reelt behov til tilgang til Systemet og informasjonen for å gjennomføre leveransen/tjenesten, har tilgang. Tilgangsnivå skal være i henhold til reelt behov knyttet til å gjennomføre leveransen. Databehandler skal til enhver tid ha oversikt over eget personell som er autorisert for tilgang til Databehandlingsansvarliges informasjon og tjenester. På forespørsel skal slik oversikt forelegges Databehandlingsansvarlig. Dersom Databehandlingsansvarlig har innvendinger mot at en gitt person har fysisk og/eller elektronisk adgang til Systemet, skal autorisasjon for dette inndras. Det skal benyttes personlige brukerkonti for all tilgang knyttet til gjennomføring av leveransen. Dersom Databehandleren benytter bærbare klient maskiner til drift, skal Databehandleren ha rutiner som sikrer at disse bare benyttes av driftspersonell og til driftsrelaterte oppgaver.
Avtale om leveranse av IKT-tjenester Side : 8 av 10 Dersom tredjepart eller underleverandør i forbindelse med support eller tilsvarende skal ha tilgang til systemet, skal det benyttes midlertidige passord eller tilsvarende. Dette skal endres/sperres umiddelbart når behovet for tilgang opphører. 4.4 Krav til fysisk sikkerhet Det skal benyttes adgangskontroll med bruk av adgangskort med personlig kode eller tilsvarende. Adgangskontroll til begrensede områder (f.eks drift og serverrom) skal være basert på faktiske behov. Personell som ikke er autoriserte, skal følges. Adgangskontroll med låste dører gjelder for følgende typer lokaler: datahall/serverrom, IT lokaler (drift/support), lokaler med IT relatert utstyr (koblingsmatriser, svitsjer/rutere), osv. 4.5 Nærmere og tjenestespesifikke krav til informasjonssikkerhet Nærmere og tjenestespesifikke bestemmelser om krav til informasjonssikkerhet er fastsatt i Tjenesteavtalens tjenestebeskrivelser. 5 Taushetsplikt Databehandlers ansatte og andre som opptrer på Databehandlers vegne i forbindelse med behandling av personopplysninger i henhold til denne avtalen er underlagt taushetsplikt, jf. helseregisterloven 15. Det samme gjelder eventuelle underleverandører. Databehandler skal påse at alle som behandler personopplysninger er kjent med taushetsplikten. Alle ansatte og andre som opptrer på Databehandlers vegne i forbindelse med behandling av personopplysninger skal ha undertegnet taushetserklæring. Bestemmelsen gjelder tilsvarende for eventuelle underleverandører. Taushetsplikten gjelder også etter databehandleravtalens opphør. Partene plikter å ta de forholdsregler som er nødvendig for å sikre at materiale eller opplysninger ikke blir gjort kjent for andre i strid med dette punktet. 6 Innsyn og revisjon mv Databehandlingsansvarlig kan til enhver tid kreve innsyn i Databehandlers behandling av personopplysninger for Databehandlingsansvarlig, herunder i dokumentasjon for oppfyllelse av kravene til informasjonssikkerhet og Databehandlers system for internkontroll. Retten til innsyn gjelder alle tekniske, organisatoriske og administrative forhold som er relevante for sikkerheten i tjenesten som leveres Databehandlingsansvarlig. Databehandlingsansvarlig skal så vidt mulig gi Databehandler rimelig varsel om krav om innsyn og kontroll, vanligvis med minst 30 dagers varsel. For krav om dokumentinnsyn bør det gis minst 14 dagers varsel. Databehandlingsansvarlig skal medvirke til at innsyn og kontroll kan koordineres mellom flere databehandlingsansvarlige som får levert tjenester fra Databehandler. Databehandleren aksepterer at innsyn og kontroll kan gjennomføres av Databehandlingsansvarlig eller den tredjepart Databehandlingsansvarlig måtte velge til gjennomføring.
Avtale om leveranse av IKT-tjenester Side : 9 av 10 Databehandler skal gi Datatilsynet og annen relevant tilsynsmyndighet slik tilgang og innsyn i behandlingen av personopplysninger som følger av helseregisterloven og personopplysningsloven. Databehandleren skal uten ugrunnet opphold korrigere eventuelle avvik. Avvik som skyldes Databehandleren eller dennes underleverandører skal korrigeres uten kostnad for Databehandlingsansvarlig. Databehandleren skal skriftlig redegjøre for korrektive tiltak og plan for gjennomføring. 7 Databehandlerens bruk av underleverandører Databehandler kan ikke benytte underleverandører i forbindelse med behandling av personopplysninger uten at det er skriftlig avtalt med Databehandlingsansvarlig. Før behandling av personopplysninger kan skje hos eventuelle underleverandører, skal Databehandler ha inngått skriftlig avtale med underleverandøren som sikrer oppfyllelse av kravene i denne databehandleravtalen, herunder kravene til informasjonssikkerhet og at Databehandlingsansvarlig og tilsynsmyndigheten har samme innsyn og kontroll med behandling av personopplysningene som de har etter denne databehandleravtalen. Databehandler skal sikre at eventuelle underleverandører er kjent med at de er underlagt lovbestemt taushetsplikt, jf. ovenfor. Databehandleren skal sikre at eventuelle underleverandører er kjent med Databehandlingsansvarliges sikkerhetsstrategi og beslutninger med hensyn til akseptabel risiko. Databehandler er ansvarlig for utførelsen av oppgaver hos underleverandøren på samme måte som om Databehandler selv stod for utførelsen av disse. 8 Avtalens varighet og opphør Avtalen løper fra den er undertegnet og så lenge Databehandler behandler personopplysninger for Databehandlingsansvarlig i henhold til Tjenesteavtalen eller annen tilsvarende avtale. Hvis Tjenesteavtalen opphører, uten at den avløses av ny tilsvarende avtale, skal Databehandler avslutte behandlingen av personopplysningene i henhold til prosedyrene for avslutning av avtalen i punkt 9 nedenfor. 9 Avslutning av avtalen Når avtalen opphører skal Databehandler tilrettelegge for overføring (tilbakelevering) av alle opplysninger som Databehandler behandler på vegne av Databehandlingsansvarlig og medvirke til slik overføring. Partene avtaler nærmere hvordan overføring konkret skal skje. Etter at personopplysningene er overført til Databehandlingsansvarlig, og bekreftet mottatt av denne, skal Databehandler slette opplysningene i sitt system. Kravet til sletting omfatter også
Avtale om leveranse av IKT-tjenester Side : 10 av 10 sikkerhetskopier av personopplysningene fra perioden etter at regulær behandling av personopplysningene opphørte. Databehandlingsansvarlig kan kreve at også sikkerhetskopier av personopplysninger fra tidligere perioder overføres til Databehandlingsansvarlig og deretter slettes hos Databehandler. Databehandler skal gi Databehandlingsansvarlig skriftlig bekreftelse på at opplysningene er overført og slettet som angitt ovenfor. 10 Mislighold, sanksjoner og tvisteløsning mv For Partenes eventuelle midlighold, sanksjoner og prosedyrer for tvisteløsning gjelder bestemmelsene i Tjenesteavtalen del I. 11 Partenes kontaktpersoner mv Partenes kontaktpersoner i forbindelse med meddelelser som gjelder forhold regulert av databehandleravtalen fremgår nedenfor. Meddelelser skal normalt gis skriftlig, eller bekreftes skriftlig. Partene kan avtale at meddelelser kan gis ved hjelp av e-post til slik e-postadresse som er angitt nedenfor. Kontaktperson/-adresse Databehandlingsansvarlig: Kontaktperson/-adresse Databehandler: 12 Undertegning Denne avtalen er undertegnet to eksemplarer, hvorav hver part beholder ett eksemplar. Sted:.., den.... Databehandlingsansvarlig (signatur).. Databehandler (signatur) (med trykte bokstaver) Stilling:.. Navn: (med trykte bokstaver) Stilling:. Navn: