Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

10.1. Eksempel 1: Avtale mellom virksomhet og leverandør Dette forslaget kan benyttes som bilag til Statens standardavtaler.

Dette forslaget kan benyttes som bilag til Statens standardavtaler.

I teksten nedenfor brukes begrepet kunden om virksomheten slik at det aktuelle bilaget er riktig i forhold til den øvrige avtaleteksten.

Forslag til tekst til bilag i vedlikeholdsavtaler:

Under etablering og bruk av løsning for fjernaksess skal krav i gjeldende versjon av ”Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren” (Normen) av legges til grunn. Både leverandøren og kunden har et selvstendig ansvar for at Normen følges. Kunden bør ha full innsynsrett i leverandørens:

  • Sikkerhetsmål og -strategi
  • Teknologiske og organisatoriske løsninger for fjernaksessen
  • Rutiner som gjelder for fjernaksessen
  • Resultat av risikovurdering og sikkerhetsrevisjoner
  • Logger

Krav i Normen som skal ivaretas av leverandøren: Jf. kap. 5.7 i Normen:

  • leverandørens personale har undertegnet taushetserklæring som innebærer en absolutt taushetsplikt med henblikk på alle helse- og personopplysninger.
  • leverandøren etterlever Normen med tanke på databehandlingsansvarliges plikter vedrørende sikkerhetsrevisjoner og avviksbehandling.
  • leverandørens utstyr som benyttes ved online oppkobling ved hjelp av kommunikasjonsnett eller medbrakt utstyr som knyttes til virksomhetens utstyr, ikke har ondsinnet programvare som inneholder virus e.l. og at utstyret er sikret mot adgang fra uvedkommende.
  • tilgjengelighet til helse- og personopplysninger så vidt mulig skal opprettholdes når leverandøren utfører arbeid på virksomhetens utstyr/programvare, slik at virksomhetens oppgavebehandling ivaretas.

Følgende elementer bør innarbeides som del av avtalen mellom virksomheten og leverandøren:

  • Hvem avtalepartene er
  • Formålet med avtalen eller særavtalen
  • Ansvarlige personer/roller
  • Virksomheten skal ha tilgang til leverandørens dokumentasjon av sikkerhetsmål og strategi
  • Virksomheten skal ha innsynsrett i leverandørens løsning for ivaretakelse av Normen.

Veileder for fjernaksess mellom virksomhet og leverandør:

  • Virksomheten skal ha rett til innsyn i leverandørens logger
  • Taushetsplikt for leverandørens personale
  • Hvilke rutiner som gjelder for fjernaksessløsningen
  • Rutine for avviksbehandling
  • Konsekvenser ved brudd på avtalen
  • Oversikt over hvilke systemer det gis fjernaksess til
  • Beskrivelse av utstyr leverandøren kan benytte til fjernaksess og eierforholdet til utstyret
  • Konsekvensutredning ved tilsiktet brudd under bruk av fjerntilkoblingen
Normen

Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 02. juni 2022