1. Valg av databehandler
Virksomheten kan bare bruke databehandlere som oppfyller kravene i lov og forskrift samt Normens kapittel 3 og 4, og de kravene fra Normen som er relevante for det aktuelle avtaleforhold.
Databehandleren skal ikke engasjere underleverandører uten at det på forhånd er innhentet skriftlig tillatelse til dette fra virksomheten, med mindre det er innhentet en generell, skriftlig tillatelse eller en slik tillatelse fremgår av databehandleravtalen. I sistnevnte tilfelle skal dataansvarlig varsles i forkant av endring og gis mulighet til å motsette seg endingen av underleverandør- Databehandleren er fullt ut ansvarlig for at dens underleverandører oppfyller sine forpliktelser.
2. Beslutning om bruk av ekstern driftsenhet
Etter at beslutningen om at IKT-systemer (alle eller noen) skal driftes av en ekstern driftsenhet og før IKT-systemene faktisk settes ut for drifting skal det inngås en databehandleravtale
3. Identifisering av ekstern driftsenhet
Hvis det allerede benyttes en ekstern driftsenhet uten at det i det eksisterende avtaleforholdet er definert krav til behandling av helse- og personopplysninger må dette utføres.
Det skal alltid finnes en oversikt over alle eksterne driftsenheter som behandler helse- og personopplysninger på vegne av virksomheten. En slik oversikt kan for eksempel inngå i virksomhetens behandlingsprotokoll.
4. Utforme databehandleravtale
Databehandler har et selvstendig ansvar for informasjonssikkerheten etter pasientjournalloven § 22, helseregisterloven § 21 og personvernforordningen artikkel 28 og 29, herunder underleverandører.
Følgende minimumskrav gjelder for en databehandler og må fremgå av avtalen:
a) Det anbefales at databehandleravtalen etableres som et kapittel i den generelle avtalen mellom virksomheten og databehandleren. For eksempel som en del av:
- tjenestenivåavtale og/eller kjøpsavtale om driftstjenester
- vedlegg til tjenestenivåavtale eller kjøpsavtale
b) Databehandleravtalen skal beskrive:
- databehandlers oppgaver og plikter
- hva slags tjeneste databehandler skal utføre på vegne av dataansvarlig
- varigheten av behandlingen
- behandlingens formål og art
- typen personopplysninger
- kategorier av registrerte
- dataansvarliges rettigheter og plikter
c) Databehandleravtalen skal regulere:
- konkrete sikkerhetstiltak
- databehandler skal på eget initiativ treffe alle tiltak som er nødvendig for å sikre god informasjonssikkerhet, herunder å følge kravene i Normen
- databehandler skal bare kunne overføre personopplysningene til utlandet etter instruks fra den dataansvarlige
- databehandler skal bare autorisere personer som er underlagt taushetsplikt for behandling av helse- og personopplysninger
- krav til bruk av underleverandører (annen databehandler)
- dataansvarlig skal sikres innsynsrett for å forsikre seg om at kravene etterleves
d) Databehandleravtalen skal regulere at databehandler har plikt til å bistå med/i:
- tekniske og organisatoriske tiltak for å utøve den registrertes rettigheter
- relevante tekniske og organisatoriske tiltak for å sikre god informasjonssikkerhet
- å melde brudd på personvernet til Datatilsynet
- å varsle den registrerte om brudd på personvernet
- dokumentasjon av allerede gjennomført relevant personvernkonsekvensvurdering eller gjennomføring av personvernkonsekvensvurdering
- forhåndsdrøftinger med Datatilsynet
- slette eller tilbakelevere personopplysningene etter instruks
- gjøre tilgjengelig all informasjon som viser at pliktene etter databehandleravtalen er ivaretatt
- å bidra i sikkerhetsrevisjoner
- å bidra i inspeksjoner
- å få endret instrukser fra den dataansvarlige er i strid med lovverket
5. Følge opp en databehandleravtale
Dataansvarlig skal ha innsyn i databehandlers prosedyrer og praksis for informasjonssikkerhet for å sikre at denne er tilfredsstillende iht. kravene. I praksis kan det være en utfordring for en liten helsevirksomhet å få et slikt innsyn. Dette gjerne pga. evt. forskjeller i virksomhetsstørrelse (ulikt maktforhold) og/eller kompetanse mellom helsevirksomheten og den eksterne driftsenheten.
Det anbefales at det utformes en praktisk måte å håndtere dette på ifm, avtalens utforming. F.eks. kan flere små virksomheter gå sammen om å få innsyn i relevant dokumentasjon hos databehandler. Eller en kan avtale at resultat av ledelsens gjennomgang, sikkerhetsrevisjoner og/eller avviksbehandling som er relevante, blir sendt uoppfordret til dataansvarlig. Revisjon kan også gjennomføres av en avtalt tredjepart. Dersom revisjon skal gjøres av tredjepart bør partene på forhånd avklare hvordan dette skal gjøres og/eller hvem som skal bære kostnadene ved revisjonen.
Det er viktig at dataansvarlig ved utformingen av avtalen stiller krav til den eksterne driftsenheten. Følgende momenter bør vurderes og beskrives nærmere, avhengig av virksomhetens behov:
- databehandler plikter å følge Normen
- databehandler plikter å følge virksomhetens akseptkriterier (iht risikovurdering)
- databehandler plikter å gjennomføre logging
- mulighet for å gjøre endringer i databehandleravtalen (hvis den dataansvarliges sikkerhetsrevisjoner av databehandleren viser at dette er nødvendig)
6. Krav til tilbakerapportering
Databehandler skal jevnlig rapportere status om resultater fra sine ansvarsområder. Eksempel på forhold som kan inngå i rapportering fra databehandler (ikke uttømmende):
- antall pålogginger til aktuelle system (autorisert bruk)
- antall forsøk på uautorisert bruk
- feilsituasjoner
- oppetidsstatistikk
- avvik som kan leses av hendelsesregistre
- gjennomførte konfigurasjonsendringer
7. Avslutning av databehandleravtale
Når avtaleforholdet opphører med databehandler, er det viktig at databehandler straks tilbakeleverer dokumenter og alle elektroniske data i lesbart format på det medium som er avtalt.
Ved tjenesteutsetting skal det i avtalen for tjenesteutsetting avtales tilbakeføring av helse- og personopplysninger til dataansvarlig ved opphør av avtalen.
Det er viktig å sikre at databehandler ikke har noen rett til å beholde en kopi av opplysningene. Dataansvarlig skal motta en skriftlig erklæring fra databehandler på at alle helse- og personopplysninger er overlevert til virksomheten og at databehandler ikke har beholdt kopi, avskrift eller annen gjengivelse av noen del av opplysningene på noe medium.
Avslutningsvis skal dataansvarlig sikre at databehandler, også etter at avtaleforholdet er avsluttet, fortsatt er bundet av taushetsplikten for de helse- og personopplysningene som er behandlet.
Etter at helse- og personopplysningene er overført til dataansvarlig, og bekreftet mottatt av denne, skal databehandler slette opplysningene i sitt system. Kravet til sletting omfatter også sikkerhetskopier av helse- og personopplysningene.
Databehandler skal slette eller forsvarlig destruere alle dokumenter, data, harddisker, cd-er og andre lagringsmedier som inneholder opplysninger som omfattes av avtalen. Sletting skal gjennomføres slik at opplysningene ikke kan gjenfinnes. Dette gjelder også for eventuelle sikkerhetskopier og utskrifter. Virksomheten kan på bakgrunn av en risikovurdering vurdere om opplysninger slettes ved rotasjon innen rimelig tid, slik at det ikke er nødvendig med systematisk sletting av sikkerhetskopier.