Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

2.4. Avtaler og rutiner

Avtaler

Ved fjernaksess skal skriftlig avtale inngås mellom virksomheten og leverandøren.
Når virksomheten inngår avtale med leverandøren, må den sikre at avtalen i tilstrekkelig grad regulerer partenes plikter og rettigheter, i tråd med kravene i Normen 6.1 kapittel 5.7.2.

Hvilke av Normens krav som gjennom avtale gjelder for leverandøren er avhengig av hva slags type leveranse det er snakk om, for eksempel:

• Databehandling (i form av f.eks. driftstjenester eller skytjenester)
• Vedlikehold (f.eks. ved fysisk service og fjernaksess)
• Leveranse av løsninger og systemer

Offentlige virksomheter bør normalt bruke statens standardavtaler som maler for å oppnå formålet. Virksomheten skal påse at avtalen mellom virksomheten og leverandøren ivaretar krav i Normen, og at hvilke krav det er kommer frem i et eget bilag. I kapittel 10.1 er det gitt eksempel på avtaletekst, som kan benyttes som bilag til statens standardavtaler.

Ved utforming av avtaler om fjernaksess bør virksomheten benytte seg av bistand fra personell med juridisk kompetanse, og ikke minst fagkompetanse innen anskaffelser, personvern, informasjonssikkerhet samt IT og fagsystem.

Rutiner

Det skal utarbeides dokumenterte rutinebeskrivelser21 for daglig praksis og enkeltoppgaver knyttet til fjernaksessløsningen. Dette kan f.eks. være rutiner for opplæring, bruk og drift av fjernaksessløsningen, autentisering, autorisasjon, logging, sikkerhetsrevisjon, og risikovurderinger av sikringstiltak, avvik og hvordan de håndteres m.fl.

Rutinene må tilpasses og være dekkende det enkelte tilfelle og løsning.

Personell som benytter eller utfører oppgaver i eller i sammenheng med fjernaksessløsningen, skal inneha nødvendig kompetanse og opplæring for å utøve sin funksjon, i henhold til Normen 6.1 kapittel 5.1.2.

Dette gjelder både leverandøren og virksomheten. Se kapittel 10.2 og 10.3 for eksempler på rutiner som bør etableres. Virksomheten bør vurdere behovet for ytterligere rutinebeskrivelser, avhengig av tjenestene som avtalen er ment å regulere, sett opp imot Normens krav til rutiner for ulike forhold.

Normen

Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 02. juni 2022