de å 0 Helse Fonna - Fremme be/xe og livskvalitet Kvinnherad kommune Att. Gunn Tove Pettertei g Rosendalsveien 10 5470 Rosendal Y Kvinnherad kommune Saksnr :3/lbbb 24 NOV. 2015 Saksb,,.. _ Kop: ä a? ` u off Dykkar ref: Vår ref: 2015/4024- Reidun Rasmussen Mjør, tlf STORD, 33783/2015 53491000 19.11.2015 Databehandleravtale mellom Helse Fonna HF og Kvinnherad kommune - Telemedisinsk sårbehandling Sender etter avtale vedlagt databehandleravtale for signering og retur. Helse Fonna HF,/ Reidun Rasmussen Mjør 713* klinikkdirektør %/aim" 1 vedlegg Databehandleravtale Helse Fonna Kontaktinfo: P.Boks: 2170 Sentralbord: 05253 5504 Haugesund Telefaks: 52 73 20 O2 Foret.nr: 983 974 694 post@helse-fonna.no Bank. 5082.08.47218 www.helse-fonna.no Fakturaadresse: Helse Fonna HF Rekneskap, Postboks 2170 5504 Haugesund Tlf: 05253
24 NOV. 2015 Saksnr. U Off-í Saksbeh ' K90 Databehandleravtale mellom Helse Fonna HF som databehandlingsansvarlig Organisasjonsnr.: 983 974 694 09 Kvinnherad kommune som databehandler Organisasjonsnr.: 964 967 636 Databehandlingsansvarlig Databehandler v Olav Klausen Gunn Tove Petterteig Helse Fonna HF Kvinnherad kommune
lnnhold 1. Bakgrunn for avtalen..... 3 2. Avtalens parter..... 3 3. Kontaktpersoner..... 3 4. Avtalens formål..... 3 5. Beskrivelse av formålet med bruken av Databehandler..... 4 6. Partenes ansvar og plikter..... 5 7. Avtalens varighet..... 5 8. Mislighold..... 6 9. Krav til informasjonssikkerhet..... 6 10. Ansvar for underleverandører..... 8 11. Overdragelse av rettigheter og plikter..... 8 12. Meddelelser..... 8 13. Rettsvalg og vemeting..... 8 14. Vedlegg..... 9 VEDLEGG..... 10 A. Definisjoner..... 10
1. Bakgrunn for avtalen LOV 2000-04-14-31: Lov om behandling av personopplysninger (personopplysningsloven) LOV 2014-06-20-43: Lov om helseregistre og behandling av helseopplysninger (helseregisterloven) LOV 2014-06-20-42: Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) FOR-2000-12-15-1265: Forskrift om behandling av personopplysninger (personopplysningsforskriften) Norm for informasjonssikkerhet i helsesektoren. For presisering av nøkkelbegreper, se definisjoner i vedlegg A. 2. Avtalens parter Avtalen inngås mellom Helse Fonna HF (heretter kalt Databehandlingsansvarlig) og Kvinnherad kommune (heretter kalt Databehandler). 3. Kontaktpersoner Følgende kontaktpersoner er oppnevnt i forbindelse med denne avtalen: Hos Databehandlingsansvarlig: Bodo Gunther, Bodo.erhardt.gunther@heise-fonna.no Hos Databehandler: Gunn Tove Petterfeig, Gunn.tove.petteI1eig@kvinnherad.kommune.no Kjellaug Stautland Eide kjeilaug.stautiand.eide@heise-fonna.no Svein Eikeland svein.eikeiand@kvinnherad.kommune.no 4. Avtalens formål Avtalen er utformet for à regulere ansvaret mellom Databehandlingsansvarlig og Databehandler ved databehandlers drift, forvaltning, bruk og tilgang til helse- og personopplysninger. Det skal fremgå klart dersom Databehandler overlater personopplysninger til andre for oppbevaring, bearbeiding eller annen bruk.
Stord sykehus, Helse Fonna, har fått tildelt samhandlingsmidler for å gjennomføre oppstart av telemedisinsk sårbehandling for pasientene som er henvist til Stord sykehus for behandling av akutte og kroniske sår. I den forbindelse skal løsningen «Pleie.net» tas i bruk. Løsningen baserer seg på kommunikasjon mellom spesialisthelsetjenesten og primærhelsetjenesten. Formålet med avtalen er å beskrive ansvars- og myndighetsforhold mellom databehandlingsansvarlig og databehandler, iforbindelse til behandlingen av helse- og personopplysninger i sårjournalen «Pleie.net». 5. Beskrivelse av formålet med bruken av Databehandler «Pleie.net» er et elektronisk internettbasert verktøy som gjør det mulig for helsepersonell som er involvert i behandlingen av pasienter med sår, å samarbeide om behandlingen, uavhengig av hvor helsepersonell og pasient befinner seg. Spesialisthelsetjenesten og primærhelsetjenesten kommuniserer ved å sende sårbilder og helseopplysninger seg i mellom, og derved finne frem til best mulig behandling for pasienten. Ved hjelp av denne løsningen kan de som behandler pasienten være i kontinuerlig kontakt med helseforetaket. Pasienten slipper dermed å møte opp på sykehuset hver gang det er behov for spesialisthelsetjenesten. Løsningen består av flere adskilte servere; en for helseforetaket, en for kommunehelsetjenesten og en for fastleger. Det er satt opp brannmur mellom løsningen og brukerne. All kommunikasjon går via kryptert forbindelse (HTTPS), slik at uvedkommende ikke kan avlytte forbindelsen. Sårjournalene er tilgangsstyrt, helsepersonell får kun tilgang etter tjenstlig behov, og vil kun se informasjon om pasienter en selv behandler. Det er databehandlingsansvarlig som registrerer brukere (helsepersonell, kommunalt ansatte og fastleger) og pasienter i systemet. Løsningen er kjøpt inn av Helse Fonna HF, og drift av løsningen er satt til Dansk Telemedicin.
Databehandleravtalen har fortrinn foran andre avtaler mellom partene i spørsmål relatert til behandling av helse- og personopplysninger. Partene i avtalen forplikter seg til å følge Norm for informasjonssikkerhet i helsesektoren, personopplysningsloven, helseregisterloven. 6. Partenes ansvar og plikter Databehandler skal kun behandle personopplysninger tilgjengeliggjort av Databehandlingsansvarlig i henhold til denne avtale. Eventuell annen bruk av personopplysningene skal i forkant avtales skriftlig med Databehandlingsansvarlig. Databehandler skal sikre at personopplysninger tilgjengeliggjort av Databehandlingsansvarlig holdes atskilt fra egne og andres opplysninger og tjenester. Databehandler er underlagt lovfestet taushetsplikt og skal skriftlig pålegge sine medarbeidere taushetsplikt. Taushetsplikten gjelder også etter at avtalen er opphørt. Databehandler plikter ä påse at samtlige personer i virksomheten som har tilgang til opplysningene som behandles på vegne av Databehandlingsansvarlig er kjent med denne avtalen og underlagt avtalens bestemmelser. Databehandler skal ikke ved noen handling eller unnlatelse sette Databehandlingsansvarlig i en situasjon der denne bryter noen bestemmelser i helselovgivningen. Databehandler er kjent med at Databehandlingsansvarlig plikter å påse at sine databehandlere oppfyller lovkrav knyttet til behandlingen av opplysningene. Databehandler skal til enhver tid gi nødvendig tilgang til og innsyn i dataene som behandles, samt virksomhetens internkontrollsystem. Databehandler plikter å gi Databehandlingsansvarlig øvrig informasjon og praktisk bistand så langt dette er nødvendig. Databehandlingsansvarlig plikter å orientere Databehandler om behandlingsansvarliges styringssystem for IKT-sikkerhet, retningslinjer og eventuelle spesifikke krav som er definert i forhold til behandling av helse- og personopplysninger. 7. Avtalens varighet Avtalens varighet gjelder fra den er signert av begge parter og så lenge databehandler behandler helse- og personopplysninger for databehandleransvarlig.
Avtalen kan sies opp av begge parter med gjensidig frist på 3 måneder. Endringer i avtalen eller opphør av avtalen forutsetter skriftlig bekreftelse mellom partene, og skal legges ved denne avtalen som et endringsdokument. Nár avtalen sies opp, plikter Databehandler straks å tilbakelevere alt materiale de har behandlet for Databehandlingsansvarlig. Databehandler plikter vederlagsfritt å gi Databehandlingsansvarlig alt lagret materiale i egenskap av Databehandler for Databehandlingsansvarlig på avtalt medium. Databehandler har ikke anledning til à beholde kopi, avskrift eller annen gjengivelse av materialet i noen form. Databehandler plikter innen 30 dager etter avtalens opphør à sende en skriftlig signert og datert bekreftelse på at alt materiale er overlevert Databehandlingsansvarlig, og at Databehandler ikke selv har beholdt noen kopi, avskrift eller annen gjengivelse av noen del av materialet på noe medium. 8. Mislighold Mislighold foreligger dersom en av partene ikke oppfyller sine plikter etter denne avtalen og dette ikke skyldes forhold som den andre parten har ansvaret eller risikoen for. Dersom en av partene ønsker å påberope seg mislighold, skal dette meddeles den andre parten skriftlig uten ugrunnet opphold. Ved mislighold kan den krenkede part holde tilbake sin motytelse, men ikke åpenbart mer enn det som synes påkrevd for à avhjelpe virkningene av misligholdet, og bare inntil forholdet er brakt i overensstemmelse med avtalen. Hvis det foreligger vesentlig mislighold, kan den andre parten - etter å ha gitt skriftlig varsel og rimelig frist til à bringe forholdet i orden - heve hele eller deler av avtalen med øyeblikkelig virkning og kreve erstatning for eventuelle tap dette har medført. 9. Krav til informasjonssikkerhet Begge parter skal til enhver tid tilfredsstille krav til informasjonssikkerhet i personopplysningsloven 13 og personopplysningsforskriften kapittel 2. For
helseopplysninger må krav til tilgang sikres iht. Norm for informasjonssikkerhet i helsesektoren. Det forutsettes at virksomheten har definert sikkerhetsmål, strategi, organisering og ansvar i samsvar med personopplysningsloven og forskrift og at dette følges opp med nødvendig internkontrollsystem. Databehandlingsansvarlig plikter à ha kunnskap om sikkerhetsstrategien hos Databehandler, og skal jevnlig forsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet. Databehandlingsansvarlig kan for à oppfylle denne plikten gjennomføre sikkerhetsrevisjoner hos Databehandler. Databehandlingsansvarlig har rett til å la en tredjepart revidere Databehandlers informasjonssikkerhet. Kostnadene for dette skal dekkes av Databehandlingsansvarlig. Databehandler skal sikre at all behandling av personopplysninger som er omfattet av denne avtalen utføres i samsvar med akseptabelt risikonivå definert av Databehandlingsansvarlig. Gjennomført risikovurdering skal fremlegges av Databehandler for egen og eventuelle underleverandørers sikkerhet som del av dette. Dersom Databehandlingsansvarlig anser at sikkerhetsnivàet hos Databehandler ikke er tilfredsstillende, plikter Databehandler å justere sikkerhetsnivàet etter instruks fra Databehandlingsansvarlig. Kompromittering eller mistanke om kompromittering av opplysningene, skal umiddelbart rapporteres til Databehandlingsansvarlig. Databehandler plikter à informere Databehandlingsansvarlig dersom det skjer endringer i sikkerhetsstrategien som vil kunne påvirke kravene i denne avtalen eller i andre samhandlingsavtaler mellom partene. På samme måte plikter Databehandlingsansvarlig à informere Databehandler ved endringer i sikkerhetsstrategien som vil kunne påvirke kravene i denne avtalen eller i andre samhandlingsavtaler mellom partene. Databehandler skal ha klare rutiner for logging av feil og avvik som er av betydning for Databehandlingsansvarliges informasjonssikkerhet og som er omfattet av denne avtalen. Dersom det avdekkes slike feil eller avvik, skal Databehandler så snart som mulig, og senest
innen 24 timer, varsle Databehandlingsansvarlig om dette. Databehandler skal i et slikt tilfelle straks igangsette tiltak for å minimere mulig skade for Databehandlingsansvarlig. Databehandlingsansvarlig kan til enhver tid kreve dokumentasjon hos Databehandler for å forsikre seg om at Databehandler overholder alle relevante krav i personopplysningsloven og forskrift vedrørende informasjonssikkerhet. Databehandlingsansvarlig kan kreve tilgang til Databehandlers rapporter knyttet til periodiske revisjoner av sine prosedyrer og rutiner. 10. Ansvar for underleverandører Bruk av underleverandør skal avtales med Databehandlingsansvarlig. Dersom Databehandler skal benytte underleverandør for oppfyllelse av forpliktelsene under avtalen må Databehandler sikre at underleverandør påtar seg tilsvarende forpliktelser. Databehandler er fullt ut ansvarlig overfor Databehandlingsansvarlig for alt arbeid som utføres av egne underleverandører. 11. Overdragelse av rettigheter og plikter Databehandlingsansvarlig kan helt eller delvis overdra sine rettigheter og plikter etter avtalen til en annen virksomhet, som da er berettiget til tilsvarende vilkår. Databehandler kan kreve å få dekket eventuelle merutgifter som er forbundet med overdragelsen. Databehandler kan overdra sine rettigheter og plikter etter avtalen med skriftlig samtykke fra Databehandlingsansvarlig. Slikt samtykke kan ikke nektes uten saklig grunn. Rett til vederlag etter avtalen kan fritt overdras, men overføring fritar ikke Databehandler fra ivaretakelse av plikter og ansvar etter denne avtale. 12. Meddelelser Alle meddelelser som gis i henhold til denne avtalen skal være skriftlig. Avsender plikter å vurdere om meddelelsen er av en slik art at den skal unntas offentlighet. 13. Rettsvalg og verneting Partenes rettigheter og plikter etter denne avtalen bestemmes i sin helhet av norsk rett og partene vedtar Haugaland tingrett som verneting. Dette gjelder også etter opphør av avtalen.
14. Vedlegg Denne avtalen har 1 vedlegg vedrørende definisjoner.
VEDLEGG A. Definisjoner ø personopplysninger Med personopplysning menes jf. personopplysningslovens 2 nr.1: opplysninger og vurderinger som kan knyttes til en enkeltperson. ø behandfing Med behandling menes jf. personopplysningslovens 2 nr. 2:enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter. ø (data)behandler Med (data)behandler menes jf. personopplysningslovens 2 nr. 5: den som behandler personopplysninger på vegne av den behandlingsansvarlige. ø (data)behandiingsansvariig Med (data)behandlingsansvarlig menes jf. personopplysningslovens 2 nr. 4: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes.