Vilkår for sikkerhedsforanstaltninger hos Serviceanvender

Der er opstillet følgende vilkår for sikkerhedsforanstaltninger hos Serviceanvender for at kunne tilgå de ønskede services på NSP.

 

Instruks for adgangskontrol

Betingelser for adgang

En slutbruger ved den enkelte Serviceanvender har alene adgang til oplysningerne om en person når:

• Slutbrugeren har person i aktuel behandling og
• Oplysningerne er relevante som led i behandlingen

Data og Services stilles til rådighed for normal og løbende forretningsanvendelse.

Samtlige disse betingelser skal være opfyldt, og Serviceanvender skal til enhver tid kunne dokumentere, at betingelserne er opfyldt.

Adgangskontrol

Serviceanvender skal sikre behørig adgangskontrol til data og services der udbydes på NSP i overensstemmelse med følgende retningslinjer:

• Kun den slutbruger, der autoriseres hertil, skal have adgang til data og services der udbydes på NSP. Kun sundhedsorganisationen eller sundhedspersonen selv eller dennes medhjælp må autoriseres som slutbruger.
• For slutbrugere, som ikke længere har behov for de autorisationer, de har fået udstedt, skal autorisationerne straks inddrages. Det gælder f.eks. medarbejdere, som flytter til andet arbejdsområde, eller hvis ansættelsesforhold ophører.
• Der skal etableres en teknisk adgangskontrol i systemet, således at autoriserede personer skal identificere sig entydigt over for systemet for at få adgang til data og services der udbydes på NSP. Man må ikke anvende andre adgangsoplysninger end sine egne.
• Serviceanvender skal ved adgangskontrollen sikre sig, at den, der forsøger at få adgang, er berettiget til at foretage opslag.
• Der skal foretages registrering af alle afviste adgangsforsøg.

Netværkssikkerhed

Serviceanvender er forpligtet til at sikre den fornødne netværkssikkerhed, herunder:

• overholde de fastlagte regler for brug af Sundhedsdatanettet^[1] 
• sikre den fornødne netværkssikkerhed, herunder løbende opdatering af firewalls, antivirus-og anti-malwareprogrammer
• sikre opdatering af operativsystemer og anvendt software på de arbejdspladser, der anvendes til at tilgå NSP.

Se også Vilkår for anvendelse af data og services på NSP

Bistand til den dataansvarlige

Serviceanvender bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.

Dette indebærer, at Serviceanvender så vidt muligt skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:

1. oplysningspligten ved indsamling af personoplysninger hos den registrerede
2. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
3. den registreredes indsigtsret
4. retten til berigtigelse
5. retten til sletning (»retten til at blive glemt«)
6. retten til begrænsning af behandling
7. underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
8. retten til dataportabilitet
9. retten til indsigelse
10. retten til at gøre indsigelse mod resultatet af automatiske individuelle afgørelser, herunder profilering

Serviceanvender bistår den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, jf. art 28, stk. 3, litra f.

Dette indebærer, at Serviceanvender under hensyntagen til behandlingens karakter skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:

1. forpligtelsen til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen.
2. forpligtelsen til at anmelde brud på persondatasikkerheden til tilsynsmyndigheden(Datatilsynet) uden unødig forsinkelse og om muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.
3. forpligtelsen til – uden unødig forsinkelse – at underrette den/de registrerede om brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.
4. forpligtelsen til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.
5. forpligtelsen til at høre tilsynsmyndigheden (Datatilsynet) inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen

Sikkerhedsbrud

Serviceanvender er forpligtet til at rette henvendelse til SDS uden unødig ophold i tilfælde af formodede eller konstaterede sikkerhedsbrud med henblik på at sikre størst mulig begrænsning af skaden.

Serviceanvender er forpligtet til at hjælpe SDS med at udrede og afhjælpe evt. sikkerhedsbrud.

Såfremt der er tale om brud på persondatasikkerheden i forhold til anvendelse af services på NSP, skal Serviceanvender underrette SDS uden unødigt ophold og senest 24 timer efter, at bruddet er konstateret på adressen databeskyttelse@sundhedsdata.dk.

Tilsyn og kontrol

SDS kan føre tilsyn med Serviceanvenders varetagelse af sikkerheden, herunder adgangskontrollen og ajourføring af autorisationer.

Serviceanvender er forpligtet til at stille alle nødvendige oplysninger til rådighed for SDS i forbindelse med denne kontrol.

Der henvises i øvrigt til bestemmelserne i databeskyttelsesforordningen[2] og databeskyttelseslovens[3] vedrørende denne databehandling.

[1] Anført i Bilag 1 startpakke: Betingelser for tilslutning til og brug af SDN i Tilslutningsaftale for Sundhedsdatanettet (SDN) – se https://www.medcom.dk/systemforvaltning/sundhedsdatanet-sdn/startpakke

[2] EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse).

[3] Lov nr. 502 af 23/05/2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.