Den dataansvarlige har ansvaret for at krav til informasjonssikkerhet og personvern følges gjennom hele leveransekjeden. I leveranser av f.eks. tjenester, maskinvare eller systemer skal det avtales skriftlig med leverandører hvilke sikkerhetskrav som skal oppfylles for at den dataansvarlige skal kunne oppfylle sitt ansvar. Hvilke av Normens krav som gjennom avtale gjelder for leverandører, er avhengig av hva slags type leveranse det er snakk om, for eksempel:
- databehandling, i form av for eksempel skytjenester eller driftstjenester
- vedlikehold, for eksempel ved fysisk service eller fjernaksess
- leveranse av løsninger og systemer
Avtalene skal inkludere forpliktelser om at partene skal oppfylle relevante krav og tiltak som følger av den til enhver tid gjeldende Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren, samt regulering av sanksjoner ved brudd på denne, relevant lovgivning og avtalen for øvrig.
Kunden skal gjennom relevante avtaler forsikre seg om at leverandøren har tilfredsstillende styringssystem mht. sikkerhetsrevisjon og avviksbehandling.
Databehandler skal bare behandle helse- og personopplysninger, samt annen taushetsbelagt informasjon etter instruks fra dataansvarlig. Hvordan databehandler kan behandle data på vegne av dataansvarlig, skal reguleres i avtale.
Den dataansvarlige kan bare bruke databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i personopplysningsloven. Tilstrekkelige garantier betyr at databehandleren oppfyller kravene i lov og forskrift samt de kravene fra Normen som er relevante for det aktuelle avtaleforholdet.
Leverandører som er medlemmer i Helsenettet er forpliktet til å følge kravene i Normen gjennom Tredjepartsavtalen og medlemsvilkårene, les mer om dette i kapittel om Norsk helsenett. I anskaffelsesprosesser er det vanlig at det stilles krav til at løsningen eller leverandøren skal følge Normen, les mer om dette i kapittel om anskaffelser.
