I utgangspunktet har dataansvarlig virksomhet full valgfrihet med hensyn til utvelgelse av skyleverandør. Valgfriheten er begrenset av at leverandøren må være i stand til å ivareta kravene dataansvarlig er underlagt.
Dette innebærer at før skyleverandøren kan starte behandling av helse- og personopplysninger på dine vegne, må virksomheten vurdere om skyleverandøren er i stand til å levere et sikkerhetsnivå for opplysningene som er egnet for virksomheten, og om den setter virksomheten i stand til å oppfylle sine forpliktelser etter personvernregelverket og andre relevante regelverk, for eksempel helselovgivningen.
For å kunne sikre at databehandleren har et sikkerhetsnivå som er akseptabelt i henhold til avtalen som inngås mellom parternen, må dataansvarlig få dokumentasjon på dette. Slik dokumentasjon vil være avgjørende for at dataansvarlig skal kunne gjennomføre en reell risikovurdering av skytjenesten. All dokumentasjon skal også kunne tilgjengeliggjøres for Datatilsynet ved tilsyn. Det kan ikke inngås avtale (f.eks. Non-Disclosure Agreement) som er i strid med lovverket om innsyn i dokumentasjon.
Dokumentasjonen fra leverandør bør demonstrere og dokumentere etterlevelse av relevant regelverk og krav, herunder tilfredsstillende internkontroll, risikostyring og sikkerhetstiltak. Relevante sertifiseringer kan bidra til å demonstrere etterlevelse.
Aktuelle kontrollspørsmål til skyleverandøren
Skyleverandøren bør kunne besvare spørsmålene nedenfor, enten via dialog eller ved å levere annen form for dokumentasjon. Disse spørsmålene er relevante å besvare både ved an anskaffelse og når dataansvarlig skal kontrollere skyleverandørens etterlevelse senere i avtaleforholdet.
- Har leverandøren forpliktet seg, via databehandleravtale eller på annen måte, til å kun behandle helse- og personopplysninger på dataansvarlig sin instruks, eller forbeholder leverandøren seg retten til å behandle opplysninger til egne formål? (for eksempel «business purposes» eller lignende.)? Dersom leverandøren oppgir å bruke opplysninger til egne formål, er det viktig å identifisere hva denne behandlingen går ut på.
- Har leverandøren rutiner som sikrer at ansatte er pålagt taushetsplikt om helse- og personopplysninger og annen taushetsbelagt informasjon? ,jf. Normen 5.7.1
- Har leverandøren etablert et sikkerhetsnivå som er egnet i henhold til den risikoen som behandlingen av helse- og personopplysninger utgjør, og som samsvarer med ansvarsfordelingen mellom dataansvarlig og leverandør?
- Har leverandøren rutiner for å kontrollere at deres underleverandører er i stand til å opprettholde et tilsvarende sikkerhetsnivå som er pålagt leverandøren?
- Kan leverandøren sikre at underleverandører ikke engasjeres uten at det på forhånd er innhentet særlig eller generell skriftlig tillatelse til dette fra den dataansvarlige?
- Gjenspeiler avtalen mellom skyleverandøren og underleverandøren de krav som er pålagt skyleverandøren av dataansvarlig?
- Har skyleverandøren en fullstendig oversikt over hvilke underleverandører som benyttes til behandling av opplysningene som behandles på dine vegne? Dersom underleverandøren befinner seg utenfor EU/EØS, har leverandøren av skytjenester et overføringsgrunnlag for overføringen?
- Hvor lagres data geografisk? Dataansvarlig skal alltid vite hvor opplysningene behandles. Hvor nøyaktig informasjon om lokasjon skal være må alltid vurderes basert på om informasjonen kan gi et bilde av beskyttelsesnivå (på personopplysningene), og om det kan bidra til etterlevelse av personvernforordningen (GDPR). Det er derfor alltid nødvendig å avklare om det er innenfor/utenfor EU/EØS (som minimum).
- Har leverandøren rutiner som sikrer at dataansvarlig får bistand til ivaretakelse av de registrertes rettigheter og dersom relevant, pasientrettigheter som følger av helselovgivningen?
- Har leverandøren rutiner for å håndtere brudd på personopplysningssikkerheten, herunder rutiner for å melde avvik til Datatilsynet innen 72 timer?
- Kan leverandøren slette eller tilbakelevere opplysningene når behandlingsaktiviteten opphører?
- Har leverandøren rutiner for å bistå ved revisjon av tjenesten, eller ved gjennomføring av revisjon av en uavhengig tredjepart?
Det ligger til grunn i Normen at virksomhetens leder er ansvarlig for personvernet og informasjonssikkerheten i virksomheten. De operative oppgavene for å ivareta ansvaret kan, etter Normen, delegeres til andre roller. Disse rollene kan være internt i virksomheten eller hos en ekstern part (databehandler). Det er viktig at ansvarsfordelingen mellom dataansvarlig og databehandler er avklart, og tilpasset leveransemodellen som benyttes.
Tjenesteutsetting av drifts- og systemutviklingsoppgaver til leverandører som befinner seg i andre land kan reise en rekke sikkerhets- og beredskapsutfordringer. Lokale driftsforhold, nasjonale regler og praksis på området kan avvike fra norske krav til sikker IT-drift eller regelverk knyttet til behandling av helse- og personopplysninger. Nasjonalt tilsyn og mulighetene til å føre kontroll med hvordan med hvordan leverandøren håndterer data kan være svekket.
Det ligger i skytjenestens egenskaper at oppgaver delegeres til leverandøren for den delen av behandlingen skytjenesten dekker. Omfanget vil avhenge av hvilken tjeneste- og leveransemodell skytjenesten er basert på.
Uansett valg av tjenestemodell, vil leverandøren utføre sentrale deler av behandlingen av helse- og personopplysninger. Uansett valg av tjeneste- og leveransemodell vil alle krav knyttet til behandling av helse- og personopplysninger måtte følge norsk rett. På den bakgrunn er det viktig at dataansvarlig påser at alle oppgavene etter Normen blir ivaretatt og nedfelt i en databehandleravtale.
Leverandøren av skytjenesten har et selvstendig ansvar til å oppfylle kravene i Normen når disse stilles i databehandleravtalen. Om leverandøren benytter en eller flere underleverandører, har leverandøren et selvstendig ansvar for å påse at Normen etterleves hos underleverandørene.
Revisjon underveis i avtaleforholdet
Dataansvarlig har plikt til å kontrollere at skyleverandøren oppfyller kravene som er nedfelt i personvernforordningen og i databehandleravtalen mellom partene.
Behovet for revisjon av skyleverandøren vil påvirkes av flere faktorer, for eksempel omfanget av helse- og personopplysninger, om det er særlige kategorier av opplysninger eller annen sensitiv informasjon og hvor inngripende behandlingen er for de registrerte.
Behovet og hyppigheten for revisjon vil bero på hvor høy risiko som er forbundet med behandlingen.
Det kan for eksempel være nødvendig å gjennomføre revisjon oftere dersom:
- Databehandleren tidligere har hatt problemer med å oppfylle avtalen
- Databehandleren har hatt flere alvorlige sikkerhetsbrudd, eller nylig har opplevd et sikkerhetsbrudd
- Leverandøren skifter underleverandører oftere
- Leverandøren ofte skifter eiere eller gjennomgår andre store endringer
Lavere frekvens kan argumenteres for dersom man har lang erfaring med databehandleren
Om virksomheten ikke selv har mulighet til å gjennomføre kontrollene kan virksomheten benytte en tredjepart til dette.
Det bør innarbeides i databehandleravtalen at leverandøren uten opphold oversender dokumentasjon fra kontrollene som er nevnt ovenfor. Virksomheten har rett til å få dokumentasjonen utlevert fra leverandøren.
Leverandøren har som nevnt et selvstendig ansvar for å påse at eventuelle underleverandører etterlever kravene i Normen. Det er derfor viktig at de relevante kravene stilles via databehandleravtalen med skyleverandøren.
Nedenfor er eksempler på dokumentasjon virksomheten kan benytte for å kontrollere om databehandler etterlever Normens krav:
- Rapporter fra avvikshåndtering.
- Resultat fra sikkerhetsrevisjon. Se Sikkerhetsrevisjon (faktaark 06)
- Analyser fra logger. Se Logging og innsyn i logg (faktaark 15)
- Resultat fra risikovurderinger.
- Resultater/rapporter fra internkontroll og etterlevelse av avtaler.
- Innsyn i konfigurasjonskart og dokumentasjon av teknisk løsning
Bruk av standarder for kontroll
Enkelte virksomheter følger og er sertifisert etter ulike standarder for informasjonssikkerhet. En av disse er ISO 27001.
Virksomheten må gjøre egne vurderinger selv om leverandøren har gjennomført sertifiseringer. Leverandørens sertifisering (sertifikat) med Statement of Applicability (SOA) kan forenkle dataansvarliges arbeid med innsyn og kontroll. Dette kan være gjeldende i de tilfeller at krav i ISO 27001 er sammenfallende med Normens krav.
Det vil derfor være en fordel å få innsyn i leverandørens eksterne revisors rapporter fra sertifiseringsrevisjoner. Dersom ikke SOA ikke er tilgjengelig bør leverandør bekrefte og redegjøre for at sertifiseringen gjelder for den delen av leveransen der kundens data behandles.
Det er videre viktig å vurdere om sertifiseringens omfang er relevant for ivaretakelse av informasjonssikkerhet i behandlingen av helse- og personopplysninger som skjer på vegne av dataansvarlig.
Mapping mellom ISO 27001 og Normen (helsedirektoratet.no)
