Vilkår for sikkerhedsforanstaltninger hos Serviceanvender (2026)

Disse vilkår beskriver de nødvendige sikkerhedsforanstaltninger, som Serviceanvender skal overholde for at få adgang til og anvende services på NSP.

1. Roller og behandlingsansvar (GDPR-rolleafklaring)

Ved anvendelse af data og services på NSP behandles der personoplysninger.

1.1 Sundhedsdatastyrelsen som dataansvarlig

Sundhedsdatastyrelsen er dataansvarlig for en række af de personoplysninger, der stilles til rådighed via NSP. Dataansvaret følger den gældende bekendtgørelse:
https://www.retsinformation.dk/eli/lta/2026/221

1.2 Serviceanvender som selvstændig dataansvarlig

Hvis Serviceanvender behandler personoplysninger til egne, selvstændigt fastsatte formål uden for NSP, sker dette som selvstændig dataansvarlig. Denne behandling er ikke omfattet af nærværende vilkår.

2. Adgangskontrol og logopfølgning

2.1 Betingelser for adgang

En slutbruger hos Serviceanvender må kun tilgå oplysninger om en person, når alle følgende betingelser er opfyldt:

• Slutbrugeren har personen i aktuel behandling.
• Oplysningerne er nødvendige og relevante for patientbehandlingen.
• Oplysningerne anvendes udelukkende til sundhedsfaglige formål.

Serviceanvender skal til enhver tid kunne dokumentere, at disse betingelser er overholdt.

2.2 Adgangskontrol

Serviceanvender skal løbende kontrollere adgange til data og services på NSP og sikre, at:

• Kun slutbrugere autoriseret af Serviceanvender efter Sundhedsdatastyrelsens instrukser har adgang.
• Adgang udelukkende gives til slutbrugere, der har et sagligt og retmæssigt behov.
• Kun relevante aktører (fx sundhedsfaglige eller personer, der arbejder på deres vegne) kan autoriseres.
• Autorisationer straks inddrages ved ændrede arbejdsopgaver eller ophør af ansættelse.
• Der er etableret teknisk adgangskontrol med entydig identifikation af slutbrugeren.
• Slutbrugere ikke deler adgangsoplysninger.
• Alle afviste adgangsforsøg registreres.

2.3 Logning og logopfølgning*

Serviceanvender skal etablere og dokumentere logning og logopfølgning som en del af adgangskontrollen, jf. GDPR artikel 5, 24 og 32.

Krav:

• Alle adgangshændelser (opslag, forespørgsler m.v.) skal logges, så bruger, tidspunkt og karakter af adgangen kan identificeres.
• Logopfølgning gennemføres aktivt, systematisk og risikobaseret for at sikre, at adgangen sker i overensstemmelse med:
  • adgangsbetingelserne,
  • interne instrukser og politikker
  • databeskyttelsesreglerne.
• Logopfølgning skal ske løbende og mindst hver 6. måned, jf. Sundhedsdatastyrelsens krav.
• Uregelmæssigheder (fx uautoriseret adgang eller usædvanlige mønstre) skal undersøges og håndteres uden unødig forsinkelse.
• Logopfølgningen skal dokumenteres, så ansvarlighedsprincippet kan eftervises.
• Logopfølgning må ikke anvendes til generel medarbejderovervågning, men kun til informationssikkerhed og kontrol af adgange.

3. Netværkssikkerhed

Serviceanvender skal som databehandler sikre passende tekniske og organisatoriske foranstaltninger, herunder:

• overholdelse af reglerne for brug af Sundhedsdatanettet https://www.medcom.dk/systemforvaltning/sundhedsdatanet-sdn/startpakke,
• løbende opdatering af firewall, antivirus og anti-malware,
• opdatering af operativsystemer og software på arbejdsstationer, der anvendes til NSP.

4. Bistand til den dataansvarlige

Når Sundhedsdatastyrelsen er dataansvarlig, skal Serviceanvender yde bistand efter GDPR artikel 28, stk. 3, litra e og f, herunder ved:

• håndtering af anmodninger om registreredes rettigheder (kapitel 3),
• overholdelse af artikel 32–36 (sikkerhedsforanstaltninger, brud, konsekvensanalyser og høring).

Når Serviceanvender selv er dataansvarlig, yder Sundhedsdatastyrelsen tilsvarende bistand.

5. Brud på persondatasikkerheden

Serviceanvender skal uden unødig forsinkelse og senest 24 timer efter konstatering underrette Sundhedsdatastyrelsen om formodede eller konstaterede brud på persondatasikkerheden.

Underretning sendes til:
databeskyttelse@sundhedsdata.dk

Serviceanvender skal bistå Sundhedsdatastyrelsen i undersøgelse, afhjælpning og evt. anmeldelse til Datatilsynet.

6. Tilsyn og kontrol

To gange årligt skal Serviceanvender på foranledning af Sundhedsdatastyrelsen bekræfte efterlevelse af vilkårene via en ledelseserklæring.*

Sundhedsdatastyrelsen kan gennemføre løbende tilsyn, herunder dokumentationskontrol, audit og inspektioner – både anmeldte og uanmeldte.

Serviceanvender skal stille alle relevante oplysninger til rådighed.

Der henvises i øvrigt til bestemmelserne i databeskyttelsesforordningen og databeskyttelseslovens vedrørende denne databehandling.

7. Misligholdelse

Ved væsentlig misligholdelse kan Sundhedsdatastyrelsen iværksætte passende tiltag, herunder orientere den overordnede myndighed eller politiske niveau i den relevante kommune/region.

Dansk rets almindelige regler om misligholdelse finder anvendelse.

 
 NB: *) Systemleverandører for praksissektoren, der har indgået Anvender systemleverandør Serviceaftale, er undtaget fra denne forpligtigelse.