Alle virksomheter skal ha tilbakerapportering av resultater fra IKT-driften. Omfanget av rapporteringen må tilpasses den enkelte virksomhet og tjeneste.
Ansvaret for tilbakerapporteringen av resultater fra IKT-driften skal plasseres hos databehandler, leverandører, driftsansvarlige, etc. Virksomhetens ledelse må følge opp og behandle resultater fra tilbakerapporteringen.
Tema for faktaarket
Dette faktaarket gir veiledning om hva som bør inkluderes i rapportering av sikkerhetsmessig betydning ved oppfølging av leverandører. Faktaarket inneholder eksempler på informasjon og indikatorer som kan inngå i rapportering fra leverandør til kunde (virksomheter i helse- og omsorgssektoren) ved ulike typer leveranser.
Formålet med faktaarket er å bidra til at virksomhetene i sektoren får rapportert sikkerhetsrelevant informasjon fra sine leverandører slik at nødvendige tiltak kan iverksettes.
Målgruppe
Målgruppen for faktaarket er virksomheter som behandler helse- og personopplysninger og deres leverandører
Krav i Normen
Faktaarket gjelder følgende kapittel i Normen
Relevante lov- og forskriftsbestemmelser, standarder og rammeverk
- personvernforordningen Artikkel 32. Sikkerhet ved behandlingen, bokstav d (lovdata.no)
- personvernforordningen Artikkel 33. Melding til tilsynsmyndigheten om brudd på personopplysningssikkerheten (lovdata.no)
- veileder for fjernaksess mellom virksomhet og leverandør
- NSM grunnprinisipper for IKT-sikkerhet (nsm.no)
