Tilmelding til Sundhedsdatanettet (SDN)

Relaterede dokumenter
Tilmelding til Sundhedsdatanettet (SDN)

Tilmelding til Sundhedsdatanettet (SDN)

MedComs informationssikkerhedspolitik. Version 2.2

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

Kontraktbilag 7: Databehandleraftale

BILAG 5 DATABEHANDLERAFTALE

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

Bilag A Databehandleraftale pr

BILAG 14: DATABEHANDLERAFTALE

Bilag B Databehandleraftale pr

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]

Bilag 9 Databehandleraftale

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

Kontraktbilag 3. Databehandleraftale

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Aftale omkring behandling af persondata.

DATABEHANDLERAFTALE. Journalnummer.: Vedrørende Vaskeriydelse

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

Databehandleraftale ISS

Underbilag 14A DATABEHANDLERAFTALE

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

EU-udbud af WAN infrastruktur. Bilag 11 - Databehandleraftale

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Rammeaftalebilag 5 - Databehandleraftale

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Generel Databehandleraftale for administrationer under Naver Ejendomsadministration ApS

1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

Databehandleraftale. om [Indsæt navn på aftale]

TILSLUTNINGSAFTALE FOR SUNDHEDSDATANETTET (SDN)

Sundhedsdatanet (SDN) Tilslutningsaftale

Databehandlingsvilkår - vilkår for behandling af personoplysninger på vegne af en dataansvarlig kunde

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Tønder Kommune BILAG 10

DATABEHANDLERAFTALE [LEVERANDØR]

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem

Bilag X Databehandleraftale

Databehandleraftale. 1. Baggrund, formål og definitioner. mellem. xxxxxxxxxx xxxxxxxxxx xx xxxx xxxxxxx CVR.nr. xxxxxx

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

DATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: (i det følgende benævnt KUNDEN)

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

DATABEHANDLERAFTALE

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata

DATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )

1) Generelt På baggrund af nuværende aftale gives klinikken adgang til data der forefindes på ClinicCare s servere. Dvs.:

Databehandleraftale

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

D A T A B E H A N D L E R A F T A L E

(hver for sig kaldet en "Part" og samlet "Parterne")

1.1. Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

Underbilag 14A.7 DATABEHANDLERAFTALE

DATABEHANDLERAFTALE. Journalnummer.: X-X-XX-XX-XX. Vedrørende projektnavn/titel/system/beskrivelse

DATABEHANDLERAFTALE. ("Aftalen") om Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige.

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

3 Omfattede typer af personoplysninger og kategorier af registrerede

DATABEHANDLERAFTALE Version 1.1a

Driftskontrakt. Databehandleraftale. Bilag 14

Databehandleraftale. Mellem. Webdomain CVR (herefter "Databehandleren")

Kontraktbilag 16 - Databehandleraftale

PERSONDATAPOLITIK (EKSTERN)

Databehandlervilkår. 1: Baggrund, formål og definitioner

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

1) Generelt På baggrund af nuværende aftale gives klinikken adgang til data der forefindes på ClinicCare s servere. Dvs.:

BILAG 1 DATABEHANDLERAFTALE Rambøll som databehandler

Aftalen kan i aftaleperioden opsiges af Parterne med 1 måneders varsel til udløbet af en måned.

Databehandleraftale e-studio.dk Side 1 af 6

Bilag 11 - Databehandleraftale

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Bilag 1 Databehandlerinstruks

Databehandler aftale Bilag til Aftale om MemberLink

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

DATABEHANDLERAFTALE. Mellem: Kunden (herefter Den Dataansvarlige ) atriumweb A/S (herefter Databehandleren ) CVR-nr Dalsagervej Egå

Databehandleraftale. Dataansvarlig. Databehandler. Navn: CVR nr.: Adresse:

Databehandlingsaftale

Databehandleraftale mellem. Heyloyalty ApS Jens Baggesens Vej Aarhus N Cvr: (i det følgende HL eller databehandleren)

! Databehandleraftale

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Samarbejds- og fortrolighedsaftale

2. Leverandøren er som databehandler forpligtet til følgende:

Transkript:

Tilmelding til Sundhedsdatanettet (SDN) 1. MedCom Tilmelding til SDN skal ske til MedCom, Forskerparken 10, 5230 Odense M. E-post: medcom@medcom.dk 2. Brugeren (den dataansvarlige) Organisation Adresse Postnummer og by De organisationer, der er listet i bilag 3 Se bilag 3 Se bilag 3 3. Brugerens databehandler Organisation / virksomhed Adresse Postnummer og by EAN-nummer og reference 4. Databehandlers kontaktpersoner Overordnet kontaktperson Titel og navn [Her indsættes kontaktperson for den dataansvarliges databehandler] Telefon E-mail Sikkerhedsansvarlig kontaktperson vedrørende opkobling til SDN Titel og navn Telefon E-mail

Teknisk kontaktperson vedrørende opkobling til SDN Titel og navn Telefon E-mail Finansiel kontaktperson vedrørende fakturering af opkobling til SDN Titel og navn Telefon E-mail 5. Tilmelding Brugeren tilmeldes herved SDN. For tilmeldingen gælder Betingelser for tilslutning til og brug af Sundhedsdatanettet, som accepteres af brugeren ved denne tilmelding. Betingelserne omfatter en databehandleraftale, som tiltrædes af brugeren ved sin tilmelding, jf. punkt 4.1. De til enhver tid gældende betingelser findes på www.medcom.dk. Tilmelding træder i kraft ved MedComs bekræftelse af tilmeldingen. 6. Underskrifter For brugeren Dato Titel og navn [Her indsættes overordnet kontaktperson for brugerens databehandler] Underskrift Underskrift sker af brugerens databehandler i henhold til fuldmagt fra brugeren (den dataansvarlige). Databehandler indestår over for MedCom for at have fornøden fuldmagt til at indgå nærværende tilmelding til sundhedsdatanettet med sikkerhedsvilkår, databehandleraftale med tilhørende instruks. Såfremt databehandlers fuldmagt opsiges af brugeren, påhviler det databehandler straks at standse brugerens adgang til Sundhedsdatanettet og give MedCom meddelelse herom, indtil instruks rettelig er indgået med brugeren. For MedCom Dato Titel og navn Underskrift

Betingelser for tilslutning til og brug af Sundhedsdatanettet (Version 2.2 af 13. maj 2016) (MedCom og brugeren benævnes hver for sig Part og i fællesskab Parterne ). 1. Generelt 1.1. MedCom er et samarbejde mellem myndigheder, organisationer og private firmaer med tilknytning til den danske sundhedssektor. MedCom har til formål at bidrage til udvikling, afprøvning, udbredelse og kvalitetssikring af elektronisk kommunikation og information i sundhedssektoren med henblik på at understøtte det gode patientforløb. En styregruppe er øverste myndighed i MedCom. 1.2. Sundhedsdatanettet (SDN) er et netværk til datakommunikation i den danske sundhedssektor. 1.3. MedCom er ansvarlig for driften af knudepunktet for SDN ( Knudepunktet ), og MedCom har indgået aftale med en operatør om driften af knudepunktet ( Driftsoperatøren ). 1.4. Disse betingelser ( Betingelserne ) gælder for brugeren og brugerens databehandlers tilslutning til og brug af SDN, og brugeren og brugerens databehandler har accepteret betingelserne ved sin tilmelding til SDN ( Tilmeldingen ). 1.5. Efter modtagelse af en underskrevet tilmeldingsblanket fra brugerens databehandler underskriver MedCom en kopi heraf og tilbagesender kopien til brugerens databehandler som bekræftelse på tilmeldingen. MedCom forbeholder sig ret til undtagelsesvist at afvise en tilmelding. 2. Tilslutning til SDN 2.1. Tilslutning til SDN sker ved opkobling til knudepunktet. Brugerens databehandler skal for egen regning og risiko etablere sin forbindelse til knudepunktet via internettet eller fast forbindelse. 2.2. Parterne kan indgå særskilt aftale om, at MedCom skal overtage driftsansvaret for brugerens databehandlers faste forbindelse til knudepunktet. Vilkår for driftsansvaret, herunder betaling og servicekrav, fastsættes i den særskilte aftale. 2.3. Hvis knudepunktet flytter til en anden lokalitet, herunder som følge af udbud, skal brugerens databehandler selv afholde omkostninger til flytning af sin forbindelse til dets nye lokalitet, med mindre MedComs styregruppe beslutter, at MedCom helt eller delvist skal dække omkostningerne.

3. Brug af SDN 3.1. Datakommunikation mellem brugerne af SDN kræver indgåelse af bilaterale aftaler mellem brugerne. De bilaterale aftaler skal indgås ved anvendelse af et aftalesystem. Aftalesystemet er web-baseret og tilgængeligt via internettet på adressen aftale.medcom.dk. 3.2. MedCom skal stille en eller flere SDN-IP-adresser til rådighed for brugerens databehandler. 3.3. Brugeren og brugerens databehandler er ansvarlig for, at forbindelsen er sikret mod uautoriseret indtrængen udefra i overensstemmelse med god it-praksis. 3.4. Brugeren og brugerens databehandler skal overholde lovgivning og anden retslig regulering, som til enhver tid gælder for netværkstrafik og datakommunikation. 3.5. Brugeren og brugerens databehandler skal overholde de regler om brug og sikkerhed, som MedCom til enhver tid fastsætter. De regler, som er fastsat på tidspunktet for indgåelse af tilslutningsaftalen, fremgår af bilag 1. MedCom kan fremsende ændrede regler til brugeren og brugerens databehandler. De til enhver tid gældende regler om brug og sikkerhed findes på www.medcom.dk. 3.6. Brugeren og brugerens databehandleren skal til enhver tid overholde driftsoperatørens vejledninger og henstillinger om brug af SDN 3.7. Brugeren og brugerens databehandler accepterer, at MedCom eller driftsoperatøren kan afbryde SDN-trafik til og fra brugeren uden varsel i tilfælde af brugerens databehandlers manglende betaling af forfaldne beløb vedrørende SDN eller misbrug af SDN. MedCom eller driftsoperatøren skal straks give brugerens databehandler skriftlig meddelelse om afbrydelsen med angivelse af årsagen. Åbning af trafikken skal ske på brugerens databehandlers anmodning, når brugeren eller brugerens databehandler på fyldestgørende måde har afhjulpet årsagen til afbrydelsen. 3.8. Hverken MedCom eller driftsoperatøren er erstatningsansvarlige for brugerens tab eller forvanskning af data i forbindelse med brugerens anvendelse af SDN med mindre tabet kan henføres til MedCom eller driftsoperatørens forhold. 3.9. Aftaler om rettigheder til tjenester, informationer mv., som er tilgængelige via SDN, træffes med rettighedshaveren. 3.10. Brugeren og brugerens databehandler skal holde MedCom og driftsoperatøren skadesløs for krav fra tredjemand som følge af brugeren eller brugerens databehandlers krænkelse af dennes rettigheder ved eller i forbindelse med brug af SDN. Skadesløsholdelsen skal omfatte sagsomkostninger, som med rimelighed er afholdt i anledning af et krav.

4. Databehandleraftale 4.1. Transmission af persondata gennem knudepunktet er databehandling i henhold til persondataloven. Ved brugerens tilmelding indgår brugeren og MedCom derfor i henhold til persondatalovens 42, stk. 2, en databehandleraftale på de vilkår, som fremgår af bilag 2. 5. Priser og betaling 5.1. Priser for tilslutning og abonnement fastsættes af MedComs styregruppe. Prisændringer kan ske uden varsel efter beslutning i MedComs styregruppe. Den til enhver tid gældende finansieringsmodel for SDN offentliggøres på www.medcom.dk. 5.2. MedCom opkræver betaling halvårligt forud ved e-faktura. 5.3. Brugerens databehandler er under ingen omstændigheder berettiget til hel eller delvis reduktion eller tilbagebetaling af betalinger for tilslutning og brug af SDN som følge af fejl og mangler ved SDN og services. 6. Support og fejlmeldinger 6.1. MedCom yder administrativ support til brugeren. Oplysninger om åbningstid og henvendelse findes på www.medcom.dk. 6.2. Driftsoperatøren yder teknisk 2. level support vedrørende Knudepunktet til brugerens databehandler. Oplysninger om åbningstid og henvendelse findes på www.medcom.dk. 7. Ændringer i brugerens kontaktpersoner 7.1. Brugerens databehandler skal straks give MedCom skriftlig meddelelse om ændringer vedrørende de kontaktpersoner, som brugerens databehandler har angivet i tilmeldingen. 7.2. Brugerens databehandler er ansvarlig for både at oprette og slette brugerprofiler der skal have adgang til SDN s aftalesystem. 8. Overdragelse 8.1. Efter styregruppens beslutning kan MedCom helt eller delvist overdrage sine rettigheder og forpligtelser i henhold til tilmeldingen og betingelserne til tredjemand. 8.2. Brugerens databehandler er uberettiget til at overdrage sine rettigheder og forpligtelser i henhold til tilmeldingen og betingelserne til tredjemand uden MedComs skriftlige samtykke. Overdragelse kan dog ske uden MedComs samtykke, hvis overdragelsen sker som led i strukturændringer eller anden offentlig omorganisering.

8.3. MedCom er hos RIPE registreret som rettighedshaver til de IP-adresser, som benyttes til SDN. Hvis styregruppen måtte træffe beslutning om, at MedCom skal ophøre som driftsansvarlig for SDN, skal styregruppen samtidig træffe beslutning om den fremtidige anvendelse af IP-adresserne. Beslutningen om den fremtidige benyttelse af IP-adresserne skal i videst muligt omfang tilgodese brugernes og andre interessenters interesse i en fortsat benyttelse af IP-adresserne til SDN eller et tilsvarende formål, herunder (hvis relevant) ved beslutning om MedComs overdragelse af rettighederne til de enkelte brugere og andre interessenter. Overdragelse af rettighederne vil forudsætte RIPE s godkendelse. 9. Ikrafttrædelse og ophør 9.1. Tilmeldingen er bindende for brugeren og brugerens databehandler og gælder fra datoen for MedComs underskrift af tilmeldingsblanketten og indtil ophør i henhold til pkt. 9.2 og 9.3. 9.2. Hver af parterne kan opsige tilmeldingen med et skriftligt varsel på 14 dage. 9.3. Hvis en part væsentligt misligholder betingelserne, kan den anden part skriftligt ophæve tilmeldingen uden varsel. 9.4. Ved ophør af tilmeldingen vil tilslutningen til Knudepunktet blive afbrudt, og tildelte SDN-IP-adresser vil blive inddraget med henblik på genanvendelse. 10. Ændringer 10.1. MedCom kan efter styregruppens beslutning ændre betingelserne ved fremsendelse af ændrede betingelser til brugerens databehandler. Bilag Bilag 1: Bilag 2: Regler om brug og sikkerhed Databehandleraftale

Bilag 1: Regler om brug og sikkerhed (Version 2.1 af 4. maj 2015) 1. Generelt Reglerne om sikkerhed og ansvar ved brug af sundhedsdatanettet (SDN) er i form af denne informationssikkerhedspolitik fastsat af MedCom på vegne af de tilsluttede organisationer (de dataansvarlige) med hvem der er indgået databehandleraftale som fastlægger MedComs ansvar som databehandler. MedCom er ansvarlig for driften af SDN og denne informationssikkerhedspolitik revideres og godkendes af SDNsikkerhedsgruppen, som er et sikkerhedsforum sammensat af de dataansvarlige og MedCom. MedCom har efter udbud indgået aftale med NetDesign som driftsoperatør på SDN og har indgået underdatabehandleraftale med NetDesign. Informationssikkerhedspolitikken og tilknyttede regler kan til enhver tid ændres af MedCom efter dialog med SDN-sikkerhedsgruppen. MedCom offentliggør de til enhver tid gældende regler på www.medcom.dk. De tilsluttede organisationer på SDN har ved tilmelding til SDN forpligtet sig til at overholde reglerne og eventuelle senere ændringer heraf. 2. Informationssikkerhedspolitikkens formål Sikker anvendelse af SDN fordrer, at alle tilsluttede organisationer (Brugeren) bidrager til at sikre dette. Informationssikkerhedspolitikken må ikke udgøre en hindring for Sundhedsdatanettets tilgængelighed, da hospitaler, læger mv. altid skal kunne udveksle kritiske informationer, der i visse tilfælde kan have betydning for patienters helbred og overlevelse, på en sikker måde. De data der transmitteres via SDN vil i mange tilfælde indeholde følsomme personoplysninger af helbredsmæssig karakter, som betyder at Brugeren har et lovgivningsmæssigt og etisk ansvar for at beskytte disse i forhold til fortrolighed og sikkerhed. Integriteten af de data der transmitteres via SDN skal så vidt muligt tillige sikres, da modtagerne af de transmitterede sundhedsoplysninger, som led i deres arbejde træffer kritiske og livsvigtige beslutninger på baggrund af disse. Såfremt data ikke er pålidelige vil dette skade tilliden til SDN og samarbejdet mellem de tilknyttede parter. Det er et mål for SDN, at styringen af informationssikkerheden vedvarende vedligeholdes og forbedres, der hvor det findes nødvendigt, så SDN til enhver tid har tidsvarende tekniske og organisatoriske sikkerhedsforanstaltninger. 3. Omfang og gyldighedsområde Politikken gælder for alle tilsluttede enheder i SDN såvel myndigheder, organisationer og private virksomheder med tilknytning til den danske sundhedssektor (Brugeren). Brugeren kan indføre skærpede kontroller, afhængigt af egne behov og risikoprofiler, men skal betragte målsætningerne i denne it-sikkerhedspolitik som minimumskrav til den lokale informationssikkerhed.

Politikken omfatter alt trafik og informationer, som transmitteres på SDN. Informationssikkerhedspolitikken henvender sig til alle ansatte hos Brugeren og relevante eksterne parter (eks. leverandører) med fysisk eller logisk adgang til Sundhedsdatanettet. 4. Risikovurdering og håndtering Målene i denne it-sikkerhedspolitik skal overholdes af Brugeren. Disse mål skal fastlægges på baggrund af periodiske vurderinger af forretningsmæssige informationssikkerhedsrisici, som MedCom gennemfører på vegne af og i samarbejde med de dataansvarlige. Det skal gennem løbende risikovurderinger grundlæggende sikres, at de data og informationer som SDN transmitterer, er tilgængelige, forbliver fortrolige, når de er vurderet som værende af fortrolig karakter, og fremstår med korrekt indhold. Samtidig skal det sikres, at ressourcer til minimering af de identificerede risici prioriteres og allokeres til de områder, hvor SDNs brugere får den største værdi, i form af sikkerhed og kvalitet. Adgang til teknisk udstyr i knudepunktet logges og auditeres af MedCom. MedCom fastlægger som følge heraf et sikkerhedsniveau med følgende mål, som skal opfyldes af Brugeren: - Der skal som minimum en gang årligt gennemføres it-risikovurderinger. - Data skal beskyttes mod uautoriseret fysisk og logisk adgang. - Data skal sikres mod tab af fortrolighed og integritet. - Data skal ved transmission krypteres og beskyttes mod aflytning, kopiering, modifikation, fejlforsendelse og destruktion. - Der skal implementeres passende procedurer til sporing af og beskyttelse af malware. - Medarbejdere skal trænes for at sikre efterlevelse af denne informationssikkerhedspolitik. - Der skal styres og følges op på leverandører til sikring af stabil og sikker drift. - Der skal etableres it-beredskab, der sikrer fokuseret styring mod retablering af systemer og data, så vidt muligt. Samt nødplaner der sikrer den fortsatte afvikling af forretningsprocesser. - Der skal sikres efterlevelse af national lovgivning samt EU direktiver, indtil de er omsat i dansk lovgivning.(af relevant national lovgivning kan nævnes Persondataloven, sikkerhedsbekendtgørelsen og Sundhedsloven). - Den anerkendte standard for styring af informationssikkerhed, ISO/IEC 27001:2013 skal efterleves. - Der skal gennemføres revurderinger af ledelsessystemet til styring af informationssikkerheden (ISMS) med henblik på vedvarende forbedring af ledelsessystemet og informationssikkerheden. - Der skal gennemføres monitorering og rapportering af sikkerhedshændelser. For at understøtte disse intentioner skal der være beskrevet passende politikker, procedurer og eventuelt vejledninger. MedCom er ansvarlig herfor. 5. Sikkerhedsbevidsthed Brugeren har et ansvar for at bidrage til at beskytte informationer og informationssystemer. Brugeren skal derfor over for medarbejdere hos Brugeren ved og igennem deres ansættelse orientere om det generelle sikkerhedsniveau samt de retningslinjer, som er specifikke for den enkelte medarbejders opgaver i relation til anvendelse af SDN. Det er et fælles mål, at der løbende følges op på sikkerhed, således at sikkerhedsbevidstheden hos medarbejderne vurderes, vedligeholdes og forbedres for at kunne opretholde det ønskede sikkerhedsniveau.

6. Dispensation fra informationssikkerhedspolitikken Dispensation fra informationssikkerhedspolitikken og de tilhørende retningslinjer kan imødekommes på baggrund af en risikovurdering og eventuelt implementering af nødvendige kompenserende sikringsforanstaltninger. Dispensationer skal godkendes af SDN-sikkerhedsgruppen, inden handlingerne kan gennemføres. Dispensationerne skal dokumenteres. Der vil ikke kunne gives dispensation i strid med gældende lovgivning, herunder sundhedsloven og persondataloven. 7. Brud på informationssikkerheden Brugerne skal sikre, at enhver medarbejder, der har mistanke om, eller kan konstatere brud på informationssikkerheden i relation til SDN, straks rapporterer dette til den lokale informationssikkerhedsansvarlige, eller nærmeste leder, som har ansvar for rapportering til MedCom. Overtrædelse af reglerne udgør en misligholdelse af Betingelser for tilslutning til og brug af sundhedsdatanettet. Væsentlig misligholdelse af betingelserne giver MedCom ret til at ophæve Brugerens tilmelding til SDN. Det anses som en væsentlig misligholdelse, såfremt en bruger ikke øjeblikkeligt orienterer MedCom om ethvert sikkerhedsbrud, der kommer til brugerens kundskab. 8. Godkendelse og kommunikation Informationssikkerhedspolitikken gældende for anvendelsen af SDN godkendes af SDN-sikkerhedsgruppen og revurderes en gang om året på baggrund af opdaterede risikovurderinger. Accepteret den

Bilag 2: Databehandleraftale (Version 2.2 af 13. maj 2016) Databehandleraftale mellem (De dataansvarlige, der er angivet i bilag 3) og MedCom - Sundhedsdatanettet Forskerparken 10, 5230 Odense M (Databehandler) vedrørende behandling af data i forbindelse med datakommunikation på Sundhedsdatanettet (SDN). Om sikkerhedsforanstaltninger i medfør af 42, stk. 2, jf. 41, stk. 3-5 i lov nr. 429 af 31.maj 2000 om behandling af personoplysninger (Persondataloven) 1. Formål Nærværende aftale har til formål at tilsikre at databehandleren overholder gældende regler om datasikkerhed, herunder lov om behandling af personoplysninger (Persondataloven), Sikkerhedsbekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, der behandles for den offentlige forvaltning samt den dertil hørende vejledning med senere ændringer. Databehandleraftalen omfatter alene vilkårene for databehandlerens behandling af den dataansvarliges data i Sundhedsdatanettet. Det er den dataansvarliges ansvar, at gældende persondatalovgivning overholdes. Databehandler er databehandler for den dataansvarlige i forbindelse med databehandlers behandling af personoplysninger for den dataansvarlige. Denne aftale omfatter tillige instruks og vilkår for databehandlers behandling af data for den dataansvarlige. 2. Indledning Sundhedsdatanettet (SDN) er et netværk til datakommunikation i den danske sundhedssektor. MedCom er ansvarlig for driften af SDN og MedCom har indgået aftale med en driftsoperatør om driften af SDN. Ved tilmelding til MedCom kan den dataansvarlige få adgang til SDN til transmission af data, herunder persondata. Den dataansvarliges transmission af persondata gennem SDN er databehandling i henhold til persondataloven og MedCom og driftsoperatøren anses for databehandlere for den dataansvarlige i henhold til Persondataloven.

3. Databehandlerens ansvar Databehandler behandler oplysninger på den dataansvarliges vegne og handler alene efter instruks fra den dataansvarlige. Databehandlingen skal foregå i henhold til persondataloven (med senere ændringer) og justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, der behandles for den offentlige forvaltning (sikkerhedsbekendtgørelsen) (med senere ændringer) samt i overensstemmelse med nærværende databehandleraftale og den dataansvarliges informationssikkerhedspolitik- og bestemmelser, som i givet fald skal udleveres til databehandleren. 4. Brug af ekstern Databehandler eller underleverandør Såfremt databehandleren samarbejder med en underleverandør, skal dette oplyses til den dataansvarlige, og det er databehandlerens ansvar at sikre sig at underleverandøren lever op til de samme krav som stilles til databehandleren i denne aftale. Ved indgåelse af aftale med ny underleverandør / skift af eksisterende underleverandør skal den dataansvarlige adviseres herom min. 1 måned før. 5. Fuldmagt Nærværende databehandleraftale giver databehandleren ret til på vegne af den dataansvarlige at indgå en underdatabehandleraftale med underleverandøren. 6. Instruks Den dataansvarlige giver herved denne databehandlerinstruks til databehandleren på de i denne aftale anførte vilkår og betingelser. Databehandleren handler alene efter instruks fra den dataansvarlige og reglerne i persondatalovens 41, stk. 3-5 gælder ligeledes ved behandling af personoplysninger ved databehandleren. Databehandlerens ansvar over for brugeren er således begrænset til overholdelse af de sikkerhedsforanstaltninger, der følger nærværende databehandlerinstruks samt persondatalovens 41, stk. 3-5. Databehandling skal foregå i henhold til persondataloven og justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, der behandles for den offentlige forvaltning (sikkerhedsbekendtgørelsen) (med senere ændringer) samt den dataansvarliges informationssikkerhedspolitik- og bestemmelser. Principperne og anbefalingerne i ISO 27001 med senere ændringer vil på alle relevante områder finde anvendelse, i det omfang andet ikke fremgår af nærværende databehandleraftale. Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondataloven. Databehandleren må ikke behandle personoplysningerne til andre formål end dem, som den dataansvarlige har fastsat. Ovenstående sikkerhedsbestemmelser indskærpes i det omfang databehandleren gør brug af hjemmearbejdspladser. Databehandleren skal sikre, at kun personer, som autoriseres hertil, har adgang til de personoplysninger, der behandles.

7. Oplysningspligt Databehandleren skal på den dataansvarliges anmodning give den dataansvarlige tilstrækkelige oplysninger til, at de kan påse, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet. Hvis den dataansvarlige og/eller relevante offentlige myndigheder, særligt Datatilsynet ønsker at foretage en fysisk inspektion af de ovennævnte foranstaltninger, forpligter databehandleren sig til med et rimeligt varsel at stille tid og ressourcer til rådighed herfor. 8. Audit Den dataansvarlige skal påse, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet. Databehandleren skal give tilstrækkelige oplysninger om databehandlingen til at den dataansvarlige kan efterse om den dataansvarlige overholder sine forpligtelser over for registrerede (såsom indsigelsesretten), samt at databehandleren har truffet de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger. I tilfælde af sikkerhedsbrist skal databehandleren uden unødigt ophold give den dataansvarlige meddelelse herom. Databehandlerens fornødne tekniske og organisatoriske sikkerhedsforanstaltninger skal auditeres årligt inden udgangen af 1. kvartal i overensstemmelse med ISAE 3000 af en uafhængig tredjepart. Auditrapporten skal udleveres til den dataansvarlige (i form af kopi renset for oplysninger, som kan henføres til databehandlerens andre kunder). Databehandleren skal i øvrigt meddele eller fremskaffe den dataansvarlige enhver oplysning og medvirke til enhver undersøgelse, som de på grundlag af auditrapporter finder nødvendig for at påse, at databehandleren har truffet ovennævnte fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, jf. persondatalovens 42, stk. 1. Underskrift For Den For MedCom - Sundhedsdatanettet: Den

Bilag 3: Liste over dataansvarlige (eller vedlagt som Excel)

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback