Tilmelding til Sundhedsdatanettet (SDN)

Transkript

1 Tilmelding til Sundhedsdatanettet (SDN) 1. MedCom Tilmelding til SDN skal ske til MedCom, Forskerparken 10, 5230 Odense M. E-post: 2. Brugeren Organisation Adresse Postnummer og by EAN-nummer og reference 3. Brugerens kontaktpersoner Overordnet kontaktperson Titel og navn Telefon Teknisk kontaktperson vedrørende opkobling til SDN Titel og navn Telefon 4. Tilmelding Brugeren tilmelder sig herved SDN. For tilmeldingen gælder Betingelser for tilslutning til og brug af Sundhedsdatanettet, som brugeren accepterer ved denne tilmelding. Betingelserne omfatter en databehandleraftale, som brugeren tiltræder ved sin tilmelding, jf. punkt 4.1, og samtidig bemyndiger brugeren MedCom til at anmelde databehandleraftalen til Datatilsynet, jf. punkt 4.2. De til enhver tid gældende betingelser findes på Tilmelding træder i kraft ved MedComs bekræftelse af tilmeldingen. 5. Underskrifter For brugeren Dato Titel og navn Underskrift For MedCom Dato Titel og navn Underskrift

2 Betingelser for tilslutning til og brug af Sundhedsdatanettet (Version 1.1 af 1. februar 2013) (MedCom og brugeren benævnes hver for sig Part og i fællesskab Parterne ). 1. Generelt 1.1. MedCom er et samarbejde mellem myndigheder, organisationer og private firmaer med tilknytning til den danske sundhedssektor. MedCom har til formål at bidrage til udvikling, afprøvning, udbredelse og kvalitetssikring af elektronisk kommunikation og information i sundhedssektoren med henblik på at understøtte det gode patientforløb. En styregruppe er øverste myndighed i MedCom Sundhedsdatanettet (SDN) er et netværk til datakommunikation i den danske sundhedssektor MedCom er ansvarlig for driften af knudepunktet for SDN ( Knudepunktet ), og MedCom har indgået aftale med en operatør om driften af knudepunktet ( Driftsoperatøren ) Disse betingelser ( Betingelserne ) gælder for brugerens tilslutning til og brug af SDN, og brugeren har accepteret betingelserne ved sin tilmelding til SDN ( Tilmeldingen ) Efter modtagelse af en underskrevet tilmeldingsblanket fra brugeren underskriver MedCom en kopi heraf og tilbagesender kopien til brugeren som bekræftelse på tilmeldingen. MedCom forbeholder sig ret til undtagelsesvist at afvise en tilmelding. 2. Tilslutning til SDN 2.1. Tilslutning til SDN sker ved opkobling til knudepunktet. Brugeren skal for egen regning og risiko etablere sin forbindelse til knudepunktet via internettet eller fast forbindelse Parterne kan indgå særskilt aftale om, at MedCom skal overtage driftsansvaret for brugerens faste forbindelse til knudepunktet. Vilkår for driftsansvaret, herunder betaling og servicekrav, fastsættes i den særskilte aftale Hvis knudepunktet flytter til en anden lokalitet, herunder som følge af udbud, skal brugeren selv afholde omkostninger til flytning af sin forbindelse til dets nye lokalitet, med mindre MedComs styregruppe beslutter, at MedCom helt eller delvist skal dække omkostningerne. 3. Brug af SDN 3.1. Datakommunikation mellem brugerne af SDN kræver indgåelse af bilaterale aftaler mellem brugerne. De bilaterale aftaler skal indgås ved anvendelse af et aftalesy-

3 stem. Aftalesystemet er web-baseret og tilgængeligt via internettet på adressen aftale.medcom.dk MedCom skal stille en eller flere SDN-IP-adresser til rådighed for brugeren Brugeren er ansvarlig for, at forbindelsen fra brugeren til knudepunktet er sikret mod uautoriseret indtrængen udefra i overensstemmelse med god it-praksis Brugeren skal overholde lovgivning og anden retslig regulering, som til enhver tid gælder for netværkstrafik og datakommunikation Brugeren skal overholde de regler om brug og sikkerhed, som MedCom til enhver tid fastsætter. De regler, som er fastsat på tidspunktet for indgåelse af tilslutningsaftalen, fremgår af bilag 1. MedCom kan fremsende ændrede regler til brugeren. De til enhver tid gældende regler om brug og sikkerhed findes på Brugeren skal til enhver tid overholde driftsoperatørens vejledninger og henstillinger om brug af SDN Brugeren accepterer, at MedCom eller driftsoperatøren kan afbryde SDN-trafik til og fra brugeren uden varsel i tilfælde af brugerens manglende betaling af forfaldne beløb vedrørende SDN eller brugerens misbrug af SDN. MedCom eller driftsoperatøren skal straks give brugeren skriftlig meddelelse om afbrydelsen med angivelse af årsagen. Åbning af trafikken skal ske på brugerens anmodning, når brugeren på fyldestgørende måde har afhjulpet årsagen til afbrydelsen MedCom og driftsoperatøren er uden ansvar for datas eller tjenesters korrekthed, fortrolighed eller ægthed i forbindelse med brug af SDN MedCom og driftsoperatøren er ikke erstatningsansvarlige for brugerens tab i forbindelse med brug af SDN Aftaler om rettigheder til tjenester, informationer mv., som er tilgængelige via SDN, træffes med rettighedshaveren Brugeren skal holde MedCom og driftsoperatøren skadesløs for krav fra tredjemand som følge af brugerens krænkelse af dennes rettigheder ved eller i forbindelse med brug af SDN. Skadesløsholdelsen skal omfatte sagsomkostninger, som med rimelighed er afholdt i anledning af et krav. 4. Databehandleraftale 4.1. Transmission af persondata gennem Knudepunktet kan udgøre databehandling i henhold til persondataloven. Ved brugerens tilmelding indgår brugeren og MedCom derfor i henhold til persondatalovens 42, stk. 2, en databehandleraftale på de vilkår, som fremgår af bilag 2.

4 4.2. MedCom skal på brugerens vegne (a) anmelde MedCom som databehandler for brugeren til Datatilsynet, jf. persondatalovens 43, og (b) indhente Datatilsynets udtalelse i henhold til persondatalovens 45, stk. 1, nr. 1. Ved tilmeldingen meddeler brugeren MedCom den dertil fornødne bemyndigelse. 5. Priser og betaling 5.1. Priser for tilslutning og abonnement fastsættes af MedComs styregruppe. Prisændringer kan ske uden varsel efter beslutning i MedComs styregruppe. Den til enhver tid gældende finansieringsmodel for SDN offentliggøres på MedCom opkræver betaling halvårligt bagud ved e-faktura Brugeren er under ingen omstændigheder berettiget til hel eller delvis reduktion eller tilbagebetaling af betalinger for tilslutning og brug af SDN som følge af fejl og mangler ved SDN og services. 6. Support og fejlmeldinger 6.1. MedCom yder administrativ support til brugeren. Oplysninger om åbningstid og henvendelse findes på Driftsoperatøren yder teknisk 2. level support vedrørende Knudepunktet til brugeren. Oplysninger om åbningstid og henvendelse findes på 7. Ændringer i brugerens kontaktpersoner 7.1. Brugeren skal straks give MedCom skriftlig meddelelse om ændringer vedrørende de kontaktpersoner, som brugeren har angivet i tilmeldingen. 8. Overdragelse 8.1. Efter styregruppens beslutning kan MedCom helt eller delvist overdrage sine rettigheder og forpligtelser i henhold til tilmeldingen og betingelserne til tredjemand Brugeren er uberettiget til at overdrage sine rettigheder og forpligtelser i henhold til tilmeldingen og betingelserne til tredjemand uden MedComs skriftlige samtykke. Overdragelse kan dog ske uden MedComs samtykke, hvis overdragelsen sker som led i strukturændringer eller anden offentlig omorganisering.

5 8.3. MedCom er hos RIPE registreret som rettighedshaver til de IP-adresser, som benyttes til SDN. Hvis styregruppen måtte træffe beslutning om, at MedCom skal ophøre som driftsansvarlig for SDN, skal styregruppen samtidig træffe beslutning om den fremtidige anvendelse af IP-adresserne. Beslutningen om den fremtidige benyttelse af IP-adresserne skal i videst muligt omfang tilgodese brugernes og andre interessenters interesse i en fortsat benyttelse af IP-adresserne til SDN eller et tilsvarende formål, herunder (hvis relevant) ved beslutning om MedComs overdragelse af rettighederne til de enkelte brugere og andre interessenter. Overdragelse af rettighederne vil forudsætte RIPE s godkendelse. 9. Ikrafttrædelse og ophør 9.1. Tilmeldingen er bindende for brugeren og gælder fra datoen for MedComs underskrift af tilmeldingsblanketten og indtil ophør i henhold til pkt. 9.2 og Hver af parterne kan opsige tilmeldingen med et skriftligt varsel på 14 dage Hvis en part væsentligt misligholder betingelserne, kan den anden part skriftligt ophæve tilmeldingen uden varsel Ved ophør af tilmeldingen vil tilslutningen til Knudepunktet blive afbrudt, og tildelte SDN-IP-adresser vil blive inddraget med henblik på genanvendelse. 10. Ændringer MedCom kan efter styregruppens beslutning ændre betingelserne ved fremsendelse af ændrede betingelser til brugeren. Bilag Bilag 1: Bilag 2: Regler om brug og sikkerhed Databehandleraftale

6 Bilag 1: Regler om brug og sikkerhed (Version 1.0 af 11. maj 2010) 1. Generelt 1.1. Reglerne om sikkerhed og ansvar ved brug af sundhedsdatanettet ( SDN ) er fastsat af MedCom, som er ansvarlig for driften af SDN s knudepunkt MedCom kan ændre reglerne efter behov. MedCom offentliggør de til enhver tid gældende regler på Brugere af SDN har ved tilmelding til SDN forpligtet sig til at overholde reglerne og eventuelle senere ændringer heraf. 2. Regler for brug 2.1. Sundhedsdatanettet må kun anvendes til formål, som vedrører sundhedssektoren Brugeren må ikke anvende SDN til kommercielle formål uden skriftlig aftale med MedCom Anvendelse af sundhedsdatanettet skal ske inden for de rammer, som følger af gældende love og regler Anvendelse af sundhedsdatanettet skal overholde almindelig takt og tone på åbne net (Acceptable Use Policy AUP ) Som overtrædelse af AUP skal blandt andet anses a) forsøg på uautoriseret adgang til ressourcer (systemer) på netværk i ind- og udland, b) forsøg på at bryde igennem sundhedsdatanettets sikkerhedssystemer, c) brug af nettet til formidling af informationer (tekst, billeder, lyd m.v.), som det ifølge dansk lov er forbudt at distribuere eller formidle, d) ødelæggelse eller forvanskning af indhold af it-baseret information (databaser), herunder bevidst spredning af virus, e) undersøgelse eller afsløring af andre brugeres anvendelser (f.eks. indhold af elektronisk post), f) videresalg af netforbindelser eller netydelser uden særlig skriftlig aftale med MedCom, g) tilsløring af sin identitet, bortset fra de tilfælde, hvor det eksplicit er tilladt, h) forstyrrelse af netværkets normale funktioner eller bevidst spild af ressourcer (personer, it-udstyr og transmissionskapacitet), i) gene for andre netværksbrugere med upassende meddelelser, f.eks. fremsendt som elektronisk post, edi-junkmail, hat mv.

7 j) anden brug eller adfærd udover de litra a) i) omtalte overtrædelser, som har samme eller tilsvarende uacceptable indhold eller virkning som de omtalte overtrædelser Brugeren skal sikre, at de personer, som brugeren har givet adgang til at bruge SDN på sine vegne, er bekendt med reglerne for brug af SDN, og indskærpe overholdelse af reglerne overfor dem, jf. pkt Regler for sikkerhed 3.1. I forbindelse med tilslutning til og brug af SDN skal brugeren til enhver tid a) sikre den del af interessentens net, som kan have forbindelse med sundhedsdatanettet mod indtrængen udefra, på et niveau mindst svarende til DS484:2005, b) oprette fast forbindelse eller krypteret VPN-internetforbindelse til SDN s knudepunkt, c) opsætte NAT til sundhedsdatanettets interne IP-adresser, d) dokumentere antal IP-adresser, som NAT'es bag en SDN-adresse, e) videresende DNS-opslag, som vedrører SDN til den centrale DNS-server. f) indgå bilaterale aftaler med tjenesteudbydere, g) forhindre, at trafik eller services fra sundhedsdatanettet kan benyttes af parter, der er placeret uden for brugerens net, med mindre der foreligger en skriftlig aftale med MedCom herom. 4. Misligholdelse 4.1. Brugeren er ansvarlig for overholdelse af reglerne. Brugerens ansvar gælder tillige de personer, som brugeren har givet adgang til at bruge SDN på sine vegne, jf. pkt Overtrædelse af reglerne udgør en misligholdelse af Betingelser for tilslutning til og brug af sundhedsdatanettet. Væsentlig misligholdelse af betingelserne giver MedCom ret til at ophæve brugerens tilmelding til SDN.

8 Bilag 2: Databehandleraftale (Version 1.0 af 1. februar 2013) Brugeren er dataansvarlig myndighed MedCom er databehandler for brugeren i forbindelse med behandling af personoplysninger ved transmission af persondata gennem Knudepunktet. Databehandleraftalen omfatter alene vilkårene for MedComs behandling af brugerens data i Knudepunktet. 3. MedCom handler alene efter instruks fra brugeren. 4. MedCom skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondataloven. 5. MedCom skal på brugerens anmodning give brugeren tilstrækkelige oplysninger til, at denne kan påse, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet. Hvis brugeren og/eller offentlige myndigheder ønsker at foretage en fysisk inspektion af de ovennævnte foranstaltninger, forpligter MedCom sig til med et rimeligt varsel at stille tid og ressourcer til rådighed herfor. Brugeren skal aktivt sikre, at de krævede sikkerhedsforanstaltninger overholdes hos Med- Com og dennes driftsoperatør, jf. 8, og MedCom skal på brugerens forlangende levere en auditrapport herom for det forudgående år. Auditrapporten udarbejdes af en uafhængig tredjepart, og udgifterne dertil afholdes af MedCom. 6. Databehandlingen skal foregå i henhold til persondataloven og justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, der behandles for den offentlige forvaltning (sikkerhedsbekendtgørelsen) (med senere ændringer) samt den brugerens informationssikkerhedspolitik- og bestemmelser.

9 Principperne og anbefalingerne i DS med senere ændringer skal på alle relevante områder finde anvendelse, med mindre andet fremgår af denne databehandleraftale. 7. MedCom skal til enhver tid at overholde lovgivningsmæssige krav med tilhørende retningslinjer i forbindelse med den databehandling, som udføres for brugeren. 8. Denne databehandleraftale udgør tillige aftale om gennemførelse af databehandling som databehandler hos MedComs driftsoperatør. MedCom skal indgå en særskilt databehandleraftale med driftsoperatøren. Driftsoperatøren skal alene handle efter instruks fra MedCom og reglerne i persondatalovens 41, stk. 3-5, der skal ligeledes gælde for behandling ved driftsoperatøren. Driftsoperatørens fornødne tekniske og organisatoriske sikkerhedsforanstaltninger auditeres årligt pr. [indsæt dato]i overensstemmelse med DS 484 og ISO Brugeren kan til enhver tid anmode om indsigt i den seneste auditrapport, herunder en kopi (renset for oplysninger, som kan henføres til driftsoperatørens andre kunder), og MedCom skal meddele eller fremskaffe brugeren enhver oplysning og medvirke til enhver undersøgelse, som brugeren finder nødvendig for at påse, at driftsoperatøren har truffet ovennævnte fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, jf. persondatalovens 42, stk. 1. Vilkårene for indsigt i seneste auditrapport skal være fastlagt i databehandleraftalen mellem MedCom og dennes driftsoperatør.