BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

Transkript

1 BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

2 INSTRUKTION TIL BESVARELSE AF BILAGET: Teksten i dette afsnit er ikke en del af Kontrakten og vil blive fjernet ved kontraktindgåelse. Formål med bilag: Formålet med Bilag 14 er at synliggøre relevant lovgivning, Kundens politikker og retningslinjer om it-sikkerhed samt sikre indgåelse af databehandleraftale, som Leverandøren skal overholde. Instruks vedrørende bilag: Bilag 14 skal ikke udfyldes af Tilbudsgiver. Databehandleraftalen, jf. Underbilag 14A, underskrives af Parterne i forbindelse med kontraktindgåelse. Evaluering af besvarelse: Bilaget indgår ikke i tilbudsevalueringen. Udbudsbetingelsernes bilag X: Det vil være muligt at angive forbedringsforslag i Udbudsbetingelsernes bilag X, Tilbudsgivers forbedringsforslag. Sådanne forslag kan blive drøftet i forhandlingsfasen, men vil ikke nødvendigvis blive det

3 1. Overblik over dokumentpakken Databehandleraftale Præceptive regler Informationssikkerhedspolitikker og retningslinjer Udmøntning af IT-sikkerhed Adgangsbegrænsning på rolle-/medarbejderniveau Privacy by design og privacy by default Værdispringsreglen Logning Samtykke... 5

4 1.Overblik over dokumentpakken Bilag 14 skal forstås som et introducerende bilag, der giver et overblik over de underbilag, der knytter sig til bilaget, samt en introduktion til persondatalovgivningen og IT-sikkerhedsreglerne på området. Herudover indeholder bilaget nogle specifikke krav til sikkerhed og persondatabeskyttelse i Løsningen. Bilag 14 skal således læses i sammenhæng med de dertilhørende underbilag. Til Bilag 14 knytter sig som nævnt en række underbilag, herunder bl.a. en fællesregional databehandleraftale samt en ny databehandleraftale. Sidstnævnte skal indgås af Parterne og erstatte førstnævnte umiddelbart inden den 25. maj 2018, hvor Persondataforordningens 1 regler finder anvendelse. Underbilagene til den nye databehandleraftale består af henvisninger til underbilagene i den fællesregionale databehandleraftale i Underbilag 14A, således at underbilagene til den nye databehandleraftale vil blive udarbejdet med udgangspunkt i underbilagene til Underbilag 14A. Bilag 14 omfatter følgende underbilag: Underbilag 14A: Fællesregional databehandleraftale o Underbilag 14A.1: Databehandlerinstruks o Underbilag 14A.2: Den dataansvarliges informationssikkerhedspolitik Underbilag 14A.2.1: Informationssikkerhedspolitik ( Fællesregional Informationssikkerhedspolitik samt Tillæg til Fællesregional Informationssikkerhedspolitik for Region Syddanmark ) o Underbilag 14A.2.1.1: Retningslinje for Videregivelse og indhentning af helbredsoplysninger i sygehusvæsenet o Underbilag 14A.2.1.2: Retningslinje for Sikkerhed og fortrolighed ved personoplysninger o Underbilag 14A.2.1.3: Retningslinje for Indgåelse af databehandleraftaler og tilsyn med databehandlere o Underbilag 14A.2.1.4: Retningslinje for autorisationer og brugerrettigheder o Underbilag 14A.2.1.5: Retningslinje for Logning o Underbilag 14A.2.1.6: Retningslinje for Datasikkerhed o Underbilag 14A.3: Informationssikkerheds- og risikostyring o Underbilag 14A.4: Underdatabehandlere o Underbilag 14A.5: Ad hoc arbejdspladser o Underbilag 14A.6: Revisionserklæring Underbilag 14A.7: Databehandleraftale pr. 25. maj 2018 Underbilag 14A.7.1: Databehandlerinstruks Underbilag 14A.7.2: Informationssikkerhedspolitik Underbilag 14A.7.3: Informationssikkerheds- og risikostyring Underbilag 14A.7.4: Underdatabehandlere Underbilag 14A.7.5: Ad hoc arbejdspladser Underbilag 14A.7.6: Revisionserklæring og audit I Bilag 14 samt i underbilagene til dette benyttes betegnelserne Kunde/Dataansvarlig og Leverandør/Databehandler som synonymer. 1 Europaparlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger 1

5 2. Databehandleraftale Idet Leverandøren i forbindelse med levering og vedligeholdelse af Løsningen, herunder afprøvning, vedligehold og support, behandler visse personoplysninger, som Kunden selv behandler og/eller er ansvarlig for, anses Leverandøren som databehandler, og er følgeligt forpligtet til at indgå en databehandleraftale med Kunden, jf. Underbilag 14A og Underbilag 14A.7, samt overholde retningslinjerne i den dertilhørende instruks, jf. Underbilag 14A.1 og Underbilag 14A Præceptive regler Leverandøren garanterer, at Løsningen, herunder de leverede ydelser, opfylder relevante regler vedrørende persondatabeskyttelse. Leverandøren er til enhver tid forpligtet til at holde sig orienteret om og sikre, at gældende dansk persondatalovgivning overholdes. Leverandøren er desuden til enhver tid forpligtet til at sikre, at reglerne vedrørende behandlingssikkerhed overholdes, jf. også retningslinjerne i Underbilag 14A, Fællesregional Databehandleraftale, og Underbilag 14A.7, Databehandleraftale per 25. maj Informationssikkerhedspolitikker og retningslinjer Kundens ramme for informationssikkerhed understøtter Kundens værdigrundlag og de strategiske mål, der er fastlagt i Kundens målbilleder. Kundens ramme for informationssikkerhed er udarbejdet i henhold til ISO Rammen for informationssikkerhed fastlægger det overordnede ansvar, krav og rammer for at beskytte Kundens informationer både papirbaserede og elektroniske. I særlig grad skal kritiske og følsomme informationer sikres, hvormed de bevarer deres fortrolighed, integritet og tilgængelighed. Dette stiller krav til sikkerheden i udvikling, implementering og drift af Løsningen, og Leverandøren skal opretholde et informationssikkerhedsniveau, som ikke er lavere, end hvad er beskrevet i den Fællesregionale Informationssikkerhedspolitik samt underliggende bilag, jf. Underbilag 14A A Se hertil desuden Databehandleraftalen i Underbilag 14A og 14A.7A, samt Databehandlerinstruksen i Underbilag 14A.1 og Underbilag 14A Udmøntning af IT-sikkerhed Nedenstående er en ikke-udtømmende liste for udmøntning af IT-sikkerheden, indeholdende konkrete områder, som er af særlig betydning for Kunden. 5.1.Adgangsbegrænsning på rolle-/medarbejderniveau Det følger af de persondataretlige regler, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at blandt andet helbredsoplysninger hændeligt eller ulovligt tilintetgøres, fortabes, forringes, kommer til uvedkommendes kendskab (ubeføjet udbredelse), misbruges eller i øvrigt behandles i strid med loven. Heri ligger bl.a., at alene brugere, der har et sagligt behov for at få adgang til Løsningen, skal autoriseres hertil, og at den enkelte bruger alene må autoriseres til anvendelser (og derfor få teknisk adgang til oplysninger), som vedkommende har behov for. Sundhedslovens bestemmelser om brugeres juridiske adgang til indhentning af oplysninger i EPJ-systemer regulerer ikke direkte spørgsmålet om teknisk adgang. Spørgsmålet om, i hvilket omfang der vil være tale om ubeføjet udbredelse af oplysninger fra it-løsninger, afhænger imidlertid af reglerne om, hvilke oplysninger de forskellige grupper af brugere må indhente. De juridiske betingelser for indhentning vil således have betydning for, i hvilket omfang brugere må få teknisk adgang (adgangsrettigheder) til oplysningerne efter persondatalovgivningen. 2

6 Det afhænger af medarbejderens organisatoriske rolle eller arbejdsfunktion og tilknytning til en bestemt del af organisationen, hvilken information vedkommende kan autoriseres til at få adgang til. En uddybning af dette, herunder audit/kontrol af brugerrettigheder, fremgår af Underbilag 14A.2.1.4, Retningslinje for autorisationer og brugerrettigheder samt i Underbilag 14A.1 punkt 3.3 (og 14A.7.1), Databehandlerinstruks. Leverandøren skal sikre, at Løsningen understøtter overholdelsen af de gældende regler for området. I nedenstående figur er bestemmelserne i sundhedsloven sat op som en beslutningsgraf, der bidrager til at tydeliggøre, hvornår der juridisk (og for så vidt teknisk) set kan eller ikke kan indhentes oplysninger elektronisk Privacy by design og privacy by default Reglerne om privacy by design og privacy by default følger af Persondataforordningens artikel 25, og Leverandøren skal ved etablering og videreudvikling Løsningen efterleve disse principper. Det følger af reglerne om Privacy by design, at Kunden, ud fra det aktuelle tekniske niveau, karakter og omfanget af personoplysningerne med videre, har en pligt til som dataansvarlig at sikre, at der teknisk og organisatorisk kan ske understøttelse af overholdelsen af kravene til behandling af personoplysninger. Ydermere betyder reglerne om privacy by default, at databeskyttelse skal være indlejret og tænkt ind i Løsningen. Den grundlæggende idé bag privacy by default er at sikre en arkitektur og konfiguration, der 2 Figur: Beslutningsgraf vedrørende sundhedspersoners indhentning af patientoplysninger (Kilde: Vejledning om informationssikkerhed i sundhedsvæsenet, april 2016, Sundhedsdatastyrelsen). 3

7 beskytter de personoplysninger, der behandles i it-løsninger, mod misbrug, kompromittering eller uautoriseret brug. Løsningen og videreudviklinger heraf skal efterleve principperne om privacy by design og default således, at graden af indgriben i de registreredes privatliv reduceres, og således at databeskyttelse er tænkt ind i Løsningen. Nedenfor følger en række ikke-udtømmende eksempler på, hvilke funktioner systemets teknologi bl.a. skal understøtte: Løsningen skal sikre, at brugeren som udgangspunkt kun kan se personoplysninger i forhold til de patienter, vedkommende selv har i behandling. Som følge af sundhedslovens 41, stk. 2, nr. 4, og 42a, stk. 5, skal der dog indarbejdes en undtagelse til dette udgangspunkt, der muliggør opfyldelsen af værdispringsreglen, jf. punkt 5.3. Løsningen skal sikre en teknisk funktionalitet således, at lægemiddelinspektører m.v., ifm. kliniske forsøg, kun gives adgang til relevante forsøgspersoners data. Løsningen skal indarbejde en særskilt adgangsmulighed for eksterne brugere, således at der er mulighed for, på ugentlig basis, at indhente oplysninger omkring disse eksterne brugeres anvendelse af Løsningen (tracing af eksterne brugere). Leverandøren skal, om nødvendigt, bistå med udtræk af data i denne henseende. Løsningen skal kunne opsættes således, at det tydeligt fremgår af journalen, at der findes skærmede personoplysninger. De skærmede personoplysninger må ikke være tilgængelige for den bruger, der åbner journalen. Løsningen skal desuden helt overordnet sikre, at der ikke indsamles flere oplysninger end nødvendigt, at der ikke opbevares personoplysninger i længere tid end nødvendigt, at der ikke gives teknisk adgang til flere oplysninger end nødvendigt samt, at der ikke anvendes oplysninger til andre formål, end de formål, som oplysningerne oprindeligt er indsamlet til. Ligeledes skal der være mulighed for sletning, pseudonymisering og kryptering af personoplysninger i Løsningen Værdispringsreglen Med værdispring menes, at hensynet til hemmeligholdelse kan vige for hensynet til andre væsentlige interesser. Værdispring optræder i sundhedslovens 41, stk. 2, nr. 4, og 42a, stk. 5. Værdispringsreglen kan være med til at sikre, at en medarbejder ikke kommer i en situation, hvor vedkommende mangler vigtige patientoplysninger og dermed påfører patienten en risiko. På den anden side er det vigtigt, at værdispringsreglen ikke anvendes til at omgå eksisterende sikkerhedsløsninger, og det er derfor vigtigt, at anvendelsen dokumenteres, og at der foretages den nødvendige logning af brugerens anvendelse. Værdispringsreglen betyder derfor ikke, at der kan ses bort fra krav om tekniske sikkerhedsforanstaltninger, der regulerer brugernes adgang, men Løsningen skal give en mulighed for at overskride de normale gældende adgangsrettigheder, hvis der er behov herfor. Der skal således ved enhver anvendelse af værdispringsreglen ske en elektronisk registrering af dette og begrundelsen herfor, se også ovenfor under punkt 5.2. Det skal være muligt at kontrollere, hvornår der sker anvendelse af reglen og med hvilke begrundelser. Det skal være muligt via logningen af Løsningen at se, at værdispringsreglen har været anvendt. Brugeren skal altid være vidende om, at værdispringsreglen tages i anvendelse (det skal altså være brugerens aktive beslutning og ikke blot et systemmæssigt valg). 4

8 5.4. Logning Som udgangspunkt skal Løsningen sikre, at kun personer, for hvem det er relevant, kan få adgang til data, men i nogle situationer kan det være svært elektronisk at afgøre relevansen på det tidspunkt, hvor oplysningerne efterspørges. I disse situationer kan logning understøtte sikkerheden, dels ved, at brugerne er bekendt med, at der aktivt logges, dels ved, at der kan foretages opfølgning på, at brugernes adgang til personoplysninger har været berettiget. Løsningen skal således foretage logning af al anvendelse af personoplysninger i Løsningen. Logningen skal, ud over de generelle krav til loghændelser, kunne konfigureres til at logge følgende detaljegrad i brugerloggen: Type af anvendelse Angivelse af den person, de anvendte oplysninger vedrørte Det anvendte søgekriterium Tidspunkt Der henvises endvidere til retningslinje om logning, jf. Underbilag 14A samt Underbilag 14A.1 punkt 3.4 (og 14A.7.1), Databehandlerinstruks Samtykke Sundhedsloven opererer såvel med patientens samtykke til videregivelse af oplysninger i behandlingsøjemed som til andre formål end behandling samt patientens ret til at frabede sig videregivelse eller indhentning af oplysninger. I relation til elektronisk indhentning af patientoplysninger skal patienten være orienteret om sin ret til at frabede sig indhentning, men der er ikke krav om, at man ved den konkrete indhentning skal udbede sig patientens samtykke. I bemærkningerne til sundhedsloven er det angivet, at denne ret ved nye it-løsninger skal understøttes elektronisk, dvs. patienten selv eller en sundhedsperson på patientens vegne skal kunne markere, hvilke kategorioplysninger man frabeder sig videregives. Løsningen skal understøtte denne ret. Der henvises endvidere til retningslinje om videregivelse og indhentning af helbredsoplysninger i sygehusvæsenet, jf. Underbilag 14A