Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

5.7. Leverandørforhold og avtaler

Leverandøren skal tilrettelegge for at dataansvarlig som tar i bruk leverandørens produkter og tjenester, kan oppfylle lovbestemte krav og krav i Normen.

5.7.1 Krav til leverandørers taushetsplikt

En leverandør kan håndtere helse- og personopplysninger enten ved behandling på vegne av den dataansvarlige, ved tjenesteutsetting eller ved at det ytes f.eks. vedlikeholdstjenester som innebærer at leverandørens ansatte kan eksponeres for taushetsbelagt informasjon. Leverandøren skal forsikre at de har rutiner som pålegger alle medarbeidere taushetsplikt om helse- og personopplysninger og annen taushetsbelagt informasjon.

Leverandøren kan selv administrere og oppbevare taushetserklæringer for eget personell, men den dataansvarlige skal sikres innsyn ved behov.

 

5.7.2 Generelt om avtaler og leverandøroppfølging

Den dataansvarlige har ansvaret for at krav til informasjonssikkerhet og personvern følges gjennom hele leveransekjeden. I leveranser av f.eks. tjenester, maskinvare eller systemer skal det avtales skriftlig med leverandører hvilke sikkerhetskrav som skal oppfylles for at den dataansvarlige skal kunne oppfylle sitt ansvar. Hvilke av Normens krav som gjennom avtale gjelder for leverandører, er avhengig av hva slags type leveranse det er snakk om, for eksempel:

  • databehandling, i form av for eksempel skytjenester eller driftstjenester
  • vedlikehold, for eksempel ved fysisk service eller fjernaksess
  • leveranse av løsninger og systemer

Avtalene skal inkludere forpliktelser om at partene skal oppfylle relevante krav og tiltak som følger av den til enhver tid gjeldende Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren, samt regulering av sanksjoner ved brudd på denne, relevant lovgivning og avtalen for øvrig.

Virksomheten skal gjennom relevante avtaler forsikre seg om at leverandøren har tilfredsstillende styringssystem mht. sikkerhetsrevisjon og avviksbehandling.

5.7.3 Tjenesteutsetting

Ved tjenesteutsetting (utkontraktering) av IKT-funksjoner eller andre funksjoner av betydning for informasjonssikkerhet eller personvern skal avtalen som minimum omfatte følgende punkter knyttet til informasjonssikkerhet og personvern:

  • dokumentert risikovurdering som viser at den tjenesteutsettende virksomhetens akseptkriterier samt Normens sikkerhetsnivå er etablert. Ved tjenesteutsetting av IKT-tjenester til andre land bør forhold ved vertslandet vurderes fordi de kan påvirke risikovurderingen.
  • hvilke oppgaver av sikkerhetsmessig betydning som er omfattet, og ansvarsforholdene for disse
  • beskrivelse av leverandørens løsning og grensesnitt mot virksomheten i form av konfigurasjonskart

Avtalen skal sikre at virksomheten også gis rett til å revidere leverandørens aktiviteter som er knyttet til avtalen. Revisjonene kan gjennomføres av en avtalt tredjepart.

Virksomheten skal sørge for å ha en god plan for ivaretakelse av informasjonssikkerhet og personvern ved avslutning av tjenesteleveransen. Ved terminering av kontrakten skal det foreligge en signert erklæring fra leverandøren om at alle data tilhørende virksomheten er tilbakelevert eller slettet til avtalt tid.

5.7.4 Databehandler

Databehandler skal bare behandle helse- og personopplysninger, samt annen taushetsbelagt informasjon etter instruks fra dataansvarlig. Hvordan databehandler kan behandle data på vegne av dataansvarlig, skal reguleres i avtale.

Den dataansvarlige kan bare bruke databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i personopplysningsloven. Tilstrekkelige garantier betyr at databehandleren oppfyller kravene i lov og forskrift samt de kravene fra Normen som er relevante for det aktuelle avtaleforholdet.

Databehandleren skal ikke engasjere underleverandører uten at det på forhånd er innhentet særlig eller generell skriftlig tillatelse til dette fra den dataansvarlige. Dersom det er innhentet en generell, skriftlig tillatelse, skal databehandleren underrette den dataansvarlige om eventuelle planer for endring av underleverandører. Den dataansvarlige skal kunne motsette seg slike endringer.

5.7.4.1 Databehandlers underleverandører

Databehandleren er ansvarlig for at sine underleverandører oppfyller sine forpliktelser.

Underleverandør har selvstendig ansvar for informasjonssikkerhet og for ivaretakelse av de registrertes personvern. Det skal fremkomme av avtalen med leverandøren at underleverandører har samme plikter som databehandler etter databehandleravtalen. Dette skal reguleres i avtale mellom databehandler og underleverandør. Avtalen skal kunne gjøres tilgjengelig for dataansvarlig.

5.7.4.2 Innhold i databehandleravtale

En databehandleravtale kan være en frittstående avtale mellom partene, eller en integrert del av et annet avtaleverk. Databehandleravtalen skal være skriftlig.

Innholdet i databehandleravtale er regulert i personvernforordning artikkel 28 Databehandler (lovdata.no). Se mer om bruk av databehandler i Normens faktaark for bruk av databehandler (faktaark 10)

Databehandlerens selvstendige ansvar for informasjonssikkerhet og for ivaretakelse av de registrertes personvern skal presiseres.

Det skal fremgå av avtalen at databehandler forplikter seg til å oppfylle lovbestemte krav og kravene i Normen.

5.7.4.3 Databehandlers oversikt over behandlinger

Databehandler skal føre en oversikt(protokoll) over alle kategorier av behandlingsaktiviteter som utføres på vegne av en dataansvarlig.

Se Normens faktaark for protokoll over behandlinger av helse- og personopplysninger i virksomheten (faktaark 13)

Dataansvarlig skal sørge for at databehandler mottar nødvendig informasjon for at databehandler kan føre en slik oversikt.

5.7.4.4 Databehandlers andre plikter

Dersom databehandler behandler helse- og personopplysninger fra flere virksomheter, skal databehandler ved hjelp av tekniske tiltak, som ikke kan overstyres av dataansvarliges brukere, ivareta at det er etablert skiller mellom virksomhetene i henhold til gjennomført risikovurdering.

Databehandler skal uten ugrunnet opphold melde til dataansvarlig at avvik har oppstått. Databehandler skal bidra til at dataansvarlig kan overholde fristen for eventuell melding til Datatilsynet innen 72 timer.

Vedlikehold, fjernaksess eller fysisk service

5.7.5 Vedlikehold, fjernaksess eller fysisk service

Virksomheten skal, i tillegg til øvrige krav i Normen, gjennom avtale sørge for at

  • leverandørens utstyr som benyttes ved online oppkobling ved hjelp av kommunikasjonsnett, eller medbrakt utstyr som knyttes til virksomhetens utstyr, ikke har skadelig programvare som inneholder virus e.l., og at utstyret er sikret mot adgang fra uvedkommende.
  • all tilgang og fysisk adgang skal være autorisert av virksomheten. Tilgangen skal logges og adgangen skal kontrolleres.
  • tilgjengelighet til helse- og personopplysninger så vidt mulig skal opprettholdes når leverandøren utfører arbeid på virksomhetens utstyr/programvare.

5.7.6 Systemleverandører

Virksomheter i helse- og omsorgssektoren som tar i bruk informasjonssystemer som behandler helse- og personopplysninger, skal stille krav om innebygd personvern i løsningene.

For at virksomhetene skal kunne ivareta sitt ansvar som dataansvarlig, skal informasjonssystemene ha funksjonalitet som oppfyller lovbestemte krav og relevante krav i Normen.

Se også Normens krav mappet mot lov krav, krav i anskaffelser, krav i ISO 27001 og kontroller i ISO 27002 (vedlegg til Normen)

5.7.7 Leverandøroppfølging 

Informasjonssikkerhet og personvern knyttet til anskaffelser og leverandøroppfølging skal inngå i virksomhetens styringssystem for informasjonssikkerhet. Alle faser i leverandørstyring, fra anskaffelse til avtalen er avsluttet, skal omfattes. 

Virksomheten skal sikre

  • klarhet i ansvar og roller
  • at kompetanseressurser innen informasjonssikkerhet og personvern deltar i anskaffelser og leverandørstyring
  • at virksomhetens ledelse (og styret hvis dette er relevant) som hovedregel involveres i beslutninger som gjelder bruk av private leverandører og/eller tjenesteutsetting av et visst omfang

Kravstilling og nødvendige sikkerhetstiltak ved bruk av leverandører skal bygge på en dekkende risikovurdering. Risikovurderingen skal alltid omfatte scenarioer som omfatter leverandørens autoriserte og ev. uautoriserte tilgang til helse- og personopplysninger og annen taushetsbelagt informasjon.

Virksomheten skal sikre at relevante sikkerhetskrav inngår i alle anskaffelser. Virksomheten skal sørge for at den har tilstrekkelig bestillerkompetanse tilgjengelig.

5.7.8 Overføring av opplysninger til utlandet

Virksomheter som overfører personopplysninger til utlandet, skal passe på at beskyttelsesnivået i personopplysningsloven ikke undergraves ved overføringen.

Alle landene innenfor EU/EØS-området har innført personvernforordningen og slik sikret at personopplysninger behandles forsvarlig. Europakommisjonen har i tillegg anerkjent at noen tredjeland. har et tilstrekkelig nivå for vern av personopplysninger. Derfor kan personopplysninger fritt overføres til disse statene. Dette forutsetter at personopplysningslovens øvrige vilkår er oppfylt. Se kapittel 5.7.8. Overføring av opplysninger til utlandet, særlig kravene til risikovurdering, og landrisikovurdering.

Liste over anerkjente tredjeland:  Adequacy decisions. How the EU determines if a non-EU country has an adequate level of data protection (commission.europa.eu).

Dersom det skal benyttes leverandører eller tjenester etablert utenfor EU/EØS, kan det gjelde spesielle krav. Disse kravene skal sikre at opplysningene er underlagt samme beskyttelsesnivå som i EU/EØS-området. Når virksomheten overfører personopplysninger til stater utenfor EU/EØS-området, såkalte «tredjeland», skal den bruke et av overføringsgrunnlagene i forordningen.

Se også Overføring av personopplysninger ut av EØS (datatilsynet.no)

Ved overføring av opplysninger til land utenfor EU/EØS skal virksomheten sikre at den har tilstrekkelig kompetanse (f.eks. juridisk kompetanse) tilgjengelig for å gjennomføre dette i tråd med relevante krav.

5.7.9 Skytjenester

Bruk av skytjenester ved behandling av helse- og personopplysninger krever at den dataansvarlige gjør dekkende risikovurderinger, og ellers følger kravene til avtaler og leverandøroppfølging i Normen.

Noen særlig viktige momenter er at

  • ansvarsfordelingen mellom dataansvarlig og databehandler er avklart, og tilpasset leveransemodellen som benyttes
  • dataansvarlig har oversikt over hvor data behandles geografisk, slik at kravene i kapittel 5.7.8 Overføring av opplysninger til utlandet kan ivaretas
  • dataansvarlig skal påse at skyleverandørens eventuelle standardavtaler ikke er i motstrid med lovbestemte krav og Normens krav
  • dataansvarlig har sørget for å ha en god plan for ivaretakelse av informasjonssikkerhet og personvern ved avslutning av skytjenesten

 

 

Normen

Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 22. november 2022