Vilkår for fjernaksess – Fürst fjernhjelp
Inngått mellom AS Med-LAB og dennes kunder.
AS Med-Lab
Org.nr.: 921 652 690
[Leverandør]
1. Formål
Denne erklæringen regulerer leverandørens fjernaksess til kundens visningsskjerm ved support for Fürst Forum rekvireringsløsning og andre Fürst-løsninger. Formålet er å sikre at tilgangen skjer i samsvar med gjeldende lovverk, herunder personopplysningsloven, personvernforordningen, pasientjournalloven, helsepersonelloven og Norm for informasjonssikkerhet i helsesektoren (Normen).
2. Beskrivelse av tilgangen
Leverandøren gis tilgang til følgende systemer og data:
System: Fjernstyringssystem (basert på Rustdesk)
Formål med tilgangen: Fjernaksess gis for å yte kundene support i anledning bruk av rekvisisjonsverktøyet Fürst Forum og andre Fürst-løsninger.
Tekniske løsninger: Tilgangen foregår via klient med kryptert kobling til Fürsts server, herunder ende-til-ende kryptert linje.
3. Leverandørens forpliktelser
3.1 Tilgangsstyring
Tilgang gis kun til autorisert personell med tjenstlig behov og etter godkjenning fra kunden.
Tilgang opphører umiddelbart når det tjenstlige behovet faller bort. Dette vil eksempelvis være tilfellet ved opphør av arbeidsforhold eller serviceoppdrag.
Tilgangsrettigheter gjennomgås kvartalsvis for å sikre at kun autorisert personell har tilgang.
3.2 Konfidensialitet og personvern
Alle ansatte hos leverandøren som har tilgang til Fürst fjernhjelp-løsningen, må ha signert en taushetserklæring som oppfyller kravene i Normen og personvernforordningen.
Leverandøren forplikter seg til å behandle all informasjon som blir tilgjengelig i Fürst fjernhjelp og øvrig tilkoblet infrastruktur hos kunden som konfidensiell.
Særlige kategorier av personopplysninger (f.eks. helsedata) skal behandles med ekstra sikkerhetstiltak.
3.3 Sikkerhetstiltak
Kryptering: All fjernaksess skal skje via sikre, krypterte forbindelser (f.eks. VPN med AES-256-kryptering).
Segmentering: All kundedata er logisk segmentert og dermed adskilt fra andre kunders data.
Endepunktsikring: IKT-utstyr som brukes for fjernaksess, må være sikret i henhold til Normen kap. 7, inkludert:
- Oppdatert antivirusprogramvare
- Brannmur og intrusion detection system (IDS).
- Regelmessige sikkerhetsoppdateringer.
Loggføring: Leverandøren skal loggføre aktivitet i Fürst fjernhjelp, inkludert:
- Tidspunkt for pålogging/utlogging.
- Navn, legekontor, IP-adresse.
- Loggene skal av informasjonssikkerhetshensyn oppbevares i 6 måneder og kunne fremvises forkunden ved forespørsel.
Sikkerhetskopiering: Leverandøren skal sørge for regelmessige sikkerhetskopier av relevante systemer og logger, med testing av gjenoppretting minst halvårlig.
3.4 Lagring og overføring av data
Leverandøren kan ikke lagre eller overføre data fra Kundens tilkoblede infrastruktur uten godkjenning fra kunden.
Dersom data må overføres (f.eks. for feilsøking), skal dette skje via sikre kanaler og i samsvar med Normen kap. 7.4.
Data skal logisk atskilles fra andre kunders data og krypteres under lagring.
3.5 Underleverandører
Bruk av underleverandører for fjernaksess må godkjennes skriftlig av kunden på forhånd, og skal inntas i herværende avtalepunkt (se pkt. 3.5.1).
Underleverandøravtaler skal inkludere samme sikkerhetskrav som denne erklæringen, og underleverandøren og dennes representanter må signere en taushetserklæring.
3.5.1 Underleverandører:
Underleverandør | Formål | Lokasjon |
|---|---|---|
Rustdesk | Lisensutsteder, uten tilgang til informasjon tilknyttet kunder. | EU, Singapore. |
3.6 Tilgang utenfor Norge/EØS
Fjernaksess fra land utenfor Norge/EU/EØS er ikke tillatt med mindre det er godkjent av kunden.
Dersom tilgang fra utlandet er nødvendig, må det inngås EU-kommisjonens standardkontraktklausuler (SCC) eller andre lovlige overføringsmekanismer i samsvar med personvernforordningen art. 46.
3.7 Rapportering av hendelser
Leverandøren plikter å umiddelbart melde kunden om mistanke om eller faktiske sikkerhetsbrudd tilknyttet kundens data.
Alle hendelser skal dokumenteres og analyseres, og korrigerende tiltak skal iverksettes uten ugrunnet opphold.
3.8 Revisjon og oppfølging
Partene skal minst årlig revidere vilkårene og gjennomgå eventuelle hendelser eller avvik tilknyttet fjernhjelp.
Revisjonen skal omfatte både tekniske og organisatoriske tiltak, og kan gjennomføres av uavhengig tredjepart dersom kunden krever det.
4. Kundens forpliktelser
Kunden skal sørge for at fjernaksessløsningen er tilgjengelig for leverandøren i den utstrekning som er nødvendig for å oppfylle leverandørens forpliktelser til kunden. Leverandøren står ikke ansvar for hindring av teknisk eller øvrig art som får betydning for gjennomføring av fjernaksess, der slik hindring kan føres tilbake til forhold hos kunden.
Kunden skal gjennomføre egnede dataminimerende tiltak for å forhindre at leverandøren under fjernaksess får kjennskap til data som ikke angår oppdraget.
Kunden skal behandle informasjon om leverandøren konfidensielt og kun dele den med personell som har tjenstlig behov.
5. Lovvalg og tvister
Avtalen er underlagt norsk rett og partene vedtar Oslo tingrett som verneting.
Databehandleravtale
Vilkår for fjernaksess - Fürst fjernhjelp
AS MED-LAB (Fürst Medisinsk Laboratorium)
Org.nr.: 921 652 690
Søren Bulls vei 25
1051 OSLO
heretter «Databehandler»
og
Kunden
heretter «Behandlingsansvarlig»
1. Innledende redegjørelse
Denne databehandleravtalen med vedlegg (heretter omtalt som "Avtalen") regulerer rettigheter og plikter mellom Behandlingsansvarlig og Databehandler (heretter omtalt som "partene") etter:
- Lov om behandling av personopplysninger av 15.juni 2018 nr. 38 (personopplysningsloven);
- Europaparlaments- og rådsforordning (EU) 2016/679 av 27.april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (General Data Protection Regulation) (heretter omtalt som "personvernforordningen");
- Lov om helseregistre og behandling av helseregistre av 20.juni 2014 nr. 43 (helseregisterloven);
- Lov om behandling av helseopplysninger ved ytelse av helsehjelp av 20.juni 2014 nr. 42 (pasientjournalloven); og
- Enhver lov, forskrift eller annet regelverk som endrer, supplerer, presiserer eller erstatter ovennevnte regler.
Ved motstrid mellom Avtalens regulering og de rammer som følger av personvernregelverket eller relevant helselovgivning, viker Avtalens regulering. I tilfelle konflikt mellom denne Avtalen og Vilkår for fjernaksess - Fürst fjernhjelp, skal denne Avtalen gjelde.
2. Definisjoner
Begrepene "personopplysninger", "helseopplysninger", "behandling", "Behandlingsansvarlig", "databehandler", "brudd på personopplysningssikkerheten" og "helseopplysninger" skal forstås slik de er definert i personvernforordningen artikkel 4, helseregisterloven § 2 og pasientjournalloven § 2 flg.
3. Avtalens formål
Formålet med Avtalen er å sikre de registrertes rettigheter og partenes etterlevelse av artikkel 28 nummer 3 i personvernforordningen, herunder etterlevelse av forordningens prinsipper og bestemmelser som sådan. Til dette kommer enhver øvrig lovgivning som får anvendelse på de konkrete foreliggende forhold, se pkt. 4.
4. Behandling av personopplysninger
Denne Avtalen kommer til anvendelse på all behandling av helse- og personopplysninger som Databehandler AS Med-Lab foretar på vegne av Behandlingsansvarlig Kunde på grunnlag av de til enhver tid gjeldende vilkår for Fürst fjernhjelp.
Behandlingens formål: Ytelse av fjernhjelp og support tilknyttet kundens bruk av Fürst Forum rekvireringsløsning og andre tilknyttede Fürst-løsninger av relevans for slik hjelp.
Kategori personopplysninger:
Ordinær kategori: Logg- og systemdata, herunder kundens navn, legekontor, IP-adresse, utlogging- og påloggingstidspunkt
Særlig kategori: Pasientens helsedata, slik denne foreligger i Fürst Forum rekvisisjonsløsning og øvrig informasjonsbehandlende infrastruktur fremvist i kundens visningsbilde under fjernhjelp.
Kategori registrerte: Ansatte hos kunden, herunder helsepersonell og administrativt personell, samt pasienter.
Omfang/art/karakter: Behandlingen har et betydelig omfang over tid og i antall opplysninger, ved at løsningen over tid vil tilgjengeliggjøre (men ikke lagre) data i kundens visningsbilde for autorisert personell hos Fürst for de i Avtalen nevnte formål. Behandlingen har en betydelig risiko grunnet de foreliggende særlig kategori opplysninger, herunder pasient- og helseopplysninger. Den observerte risiko motsvares med de i vilkårene nevnte tiltak, herunder, men ikke begrenset til kryptering, segmentering, tilgangsstyring, endepunktssikring, loggføring og sikkerhetskopiering.
Varighet/lagring/sletting: Det vil for behandlingen ikke lagres opplysninger om pasient og helse på databehandlers hånd. Unntak gjelder logg- og systemdata, herunder kundens navn, legekontor, IP-adresse og utloggingstidspunkt. Disse lagres og sikkerhetskopieres i 6 måneder etter avsluttet fjernhjelp, av informasjonssikkerhetshensyn.
Databehandler skal ikke behandle opplysningene til egne formål, med mindre ufravikelig lovgivning pålegger slik behandling.
5. Databehandlers plikter
Databehandler skal følge de rutiner og instrukser for behandlingen som Behandlingsansvarlig til enhver tid har bestemt skal gjelde.
Databehandler plikter, på forespørsel, å gi Behandlingsansvarlig tilgang til sin dokumentasjon tilknyttet personvern og informasjonssikkerhet, og bistå, slik at Behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift.
Behandlingsansvarlig har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.
Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne Avtalen. Denne bestemmelsen gjelder også etter Avtalens opphør. Databehandler plikter å sikre at personer som behandler dataene hos Databehandler har underskrevet erklæring om taushetsplikt, og skal på forespørsel fremlegge disse for Behandlingsansvarlig eller myndighetene.
Databehandler eller databehandlers eventuelle underleverandører skal ikke behandle personopplysningene utenfor EU/EØS.
6. Databehandlers anledning til å bruke underleverandør
Dersom databehandler ønsker å benytte seg av underleverandør eller andre som ikke normalt er ansatt hos databehandler, må dette godkjennes av behandlingsansvarlig og avtales skriftlig med behandlingsansvarlig før behandlingen av personopplysninger starter. Slike avtaler skal følge under herværende punkt i denne databehandleravtale (se pkt. 6.1).
Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med avtalemessige og lovmessige forpliktelser, og oppfylle vilkårene etter disse.
Databehandler har uansett ansvaret overfor Behandlingsansvarlig for sine underleverandørers brudd på de avtalefestede forpliktelsene.
6.1 Underdatabehandlere
Underleverandør | Formål | Lokasjon |
|---|---|---|
7. Informasjonssikkerhet
Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningslovens §§ 13 – 15 med forskrifter, samt personvernforordningen artikkel 32 om Security of processing. Databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet.
Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på Behandlingsansvarlig sin forespørsel.
Avvik etter personvernforordningen skal meldes Behandlingsansvarlig umiddelbart, og inneholde tilstrekkelig informasjon til at Behandlingsansvarlig kan vurdere hvorvidt avviket må meldes myndighetene eller den registrerte innen forordningens tidsgrenser. Databehandler skal være kjent med at fristen for melding til myndighetene er 72 timer, og plikter således å melde fra til Behandlingsansvarlig slik at denne fristen kan overholdes, og senest 48 timer etter hendelsen.
Databehandler plikter å bistå Behandlingsansvarlig i å oppfylle forpliktelsene i personvernforordningen artikkel 32 til 36, hensyntatt behandlingens art og den informasjonen som er tilgjengelig for Databehandleren. Disse kravene gjelder sikkerhet, notifikasjon ved avvik overfor myndighetene (og de registrerte), risikovurderinger og konsekvensutredninger (Data protection impact assessments).
Databehandler skal jevnlig gjennomføre sikkerhetsrevisjoner, og skal på oppfordring oversende resultatet av revisjonen til Behandlingsansvarlig. Behandlingsansvarlig skal selv kunne gjennomføre revisjoner og inspeksjoner av systemer og lignende hos Databehandler som omfattes av denne avtalen. Slike revisjoner kan gjennomføres av Behandlingsansvarlig selv eller tredjepart etter mandat fra Behandlingsansvarlig.
8. Oppfyllelse av de registrertes rettigheter
Databehandler plikter å bistå Behandlingsansvarlig i å oppfylle Behandlingsansvarlig sine plikter overfor de registrerte innen de tidsfrister som er fastsatt i personvernforordningen, der slik bistand er naturlig og rimelig sett hen til den behandlingen Databehandler gjør på vegne av Behandlingsansvarlig.
9. Avtalens varighet
Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlige etter eksisterende Vilkår for fjernaksess – Fürst fjernhjelp.
Avtalen kan også opphøre ved brudd på denne Avtalen, Personopplysningsloven eller Personvernforordningen. Behandlingsansvarlig og Databehandler har en gjensidig plikt til å stoppe den videre behandlingen av personopplysninger med øyeblikkelig virkning, samt varsle den andre om det inntrufne.
Det påligger den Behandlingsansvarlige uten ugrunnet opphold å gi instruks om sletting, der ovennevnte momenter tilsier at behandlingen skal avsluttes hos Databehandler.
10. Oppsigelse
Oppsigelse av tjenester tilknyttet Vilkår for fjernaksess - Fürst fjernhjelp innebærer oppsigelse av denne Avtalen for nevnte vilkårs vedkommende.
11. Tilbakelevering, sletting og/eller destruering ved avtalens opphør
Sletting skal skje ved at Databehandler sletter personopplysninger når tjeneste/oppdrag tilknyttet Vilkår for fjernaksess – Fürst fjernhjelp avsluttes eller formålet for behandlingen utgår som sådan. Behandlingsansvarlig gir beskjed til Databehandler når sletting av data etter foregående setning skal utføres. Sletting gjelder også for sikkerhetskopier av personopplysningene.
Databehandler vil for sikkerhetshensyn oppbevare sikkerhetskopi av system- og loggdata i 6 måneder etter utført tjeneste/oppdrag, se pkt. 3.3 i Vilkår for fjernaksess – Fürst fjernhjelp.