Leverandører til helse- og omsorgssektoren skal tilrettelegge for at dataansvarlig som tar i bruk leverandørens produkter og tjenester, kan oppfylle lovbestemte krav og krav i Normen. Den dataansvarlige har ansvaret for at krav til informasjonssikkerhet og personvern følges gjennom hele leveransekjeden. I leveranser av f.eks. tjenester, maskinvare eller systemer skal det avtales skriftlig med leverandører hvilke sikkerhetskrav som skal oppfylles for at den dataansvarlige skal kunne oppfylle sitt ansvar.
Avtalen bl.a. bør inneholde krav til sikkerhetsrelevant rapportering fra leverandør til kunde. Faktaarket inneholder eksempler på hva som kan inngå i slik rapportering.
Informasjonssikkerhet og personvern knyttet til anskaffelser og leverandøroppfølging skal inngå i virksomhetens styringssystem for informasjonssikkerhet. Alle faser i leverandørstyring, fra anskaffelse til avtalen er avsluttet, skal omfattes.
Avgrensning
Faktaarket gir ikke utfyllende detaljer om rapportering fra underleverandører, eller andre aspekter ved leverandøroppfølging og anskaffelser.
Kompletterende veiledningsmateriell
NSM grunnsprinsipper for IKT-sikkerhet: 2.1.9 og 2.1.10 (nsm.no)
NSM: Sikkerhetsfaglige anbefalinger ved tjenesteutsetting (nsm.no)
[LENKE] Direktoratet for e-helse: Informasjonssikkerhet ved bruk av private leverandører
