smlouva o poskytování služeb podpory SOFTWARE

PO 693/S/23




smlouva o poskytování služeb podpory SOFTWARE

uzavřená dle § 1746, odst. 2., zákona č. 89/2012 Sb., občanský zákoník, v platném znění, (dále jen „zákon č. 89/2012 Sb.“)



STAPRO s. r. o. 

zapsána: v obchodním rejstříku vedeném Krajským soudem v Hradci Králové, oddíl C, vložka 148  

se sídlem: Xxxxxxxxxxx xxxxxxx 00, 000 00 Xxxxxxxxx  

IČ:  13583531 DIČ: CZ699004728 

jednající: Xxx. Xxxx Xxxxx, jednatel společnosti STAPRO s. r. o.  

bankovní spojení: XXXXXXXXXXXXXXX  

číslo účtu: XXXXXXXXXXXXXXX 


jako Poskytovatel na straně jedné (dále jen „Poskytovatel“)


a


Všeobecná fakultní nemocnice v Praze

se sídlem: X Xxxxxxxxx 000/0, 000 00 Xxxxx 0

IČ: 000 64 165 DIČ: CZ00064165

zastoupena: prof. MUDr. Xxxxxxx Xxxxxxx, Ph.X., MBA, ředitelem

bankovní spojení: ČNB

číslo účtu: 24035021/0710


jako Objednatel na straně druhé (dále jen „Objednatel“)


uzavírají dnešního dne na základě výsledku nadlimitní veřejné zakázky s názvem „REACT EU 98 - Klinický informační systém“, vyhlášené otevřeným řízením dle zákona č. 134/2016 Sb., o zadávání veřejných zakázek (dále jen „z. č. 134/2016 Sb.“) a zveřejněné ve Věstníku veřejných zakázek. pod ev. č. Z2023-013850 ze dne 11.4.2023 a v Úředním věstníku Evropské unie pod č. oznámení o zahájení zadávacího řízení 2023/S 071-217068 ze dne 11.4.2023 (dále jen „veřejná zakázka“), v souladu s ustanovením § 1746, odst. 2., zákona č. 89/2012 Sb., občanský zákoník, v platném znění, (dále jen „zákon č. 89/2012 Sb.“), tuto




smlouvu o poskytování služeb podpory software (dále jen „smlouva“)




I. Předmět plnění smlouvy


  1. Předmětem plnění této smlouvy je závazek Poskytovatele poskytovat Objednateli podporu softwarového řešení (dále jen „SW řešení“ nebo „SW“), který Poskytovatel Objednateli dodal na základě licenční smlouvy č. PO 692/S/23 (dále jen „předmět plnění“ nebo „podpora“) a dále poskytovat podporu všech vývojových úprav software.

  2. Součástí poskytování podpory bude údržba SW licencí, systémová podpora, uživatelská podpora, služby na vyžádání, reporting a exitová součinnost, jejichž bližší specifikace je popsána v příloze č. 1 smlouvy.

  3. Objednatel se touto smlouvou zavazuje zaplatit odměnu za poskytnutí podpory dle tohoto článku smlouvy v souladu s podmínkami sjednanými touto smlouvou.



II. Způsob poskytování podpory software

  1. Specifikace podpory je uvedena v příloze č. 1 této smlouvy.

  2. Oprávněné osoby Objednatele a Poskytovatele, které mohou pracovat s Helpdeskem Objednatele jsou uvedeny v příloze č. 3 smlouvy.



III. Cena a platební podmínky


  1. Cena za služby poskytované Objednateli dle čl. I. a Přílohy č. 1 (vyjma bodu 1.4) této smlouvy je stanovena dohodou smluvních stran ve výši 1 000 000 Kč bez DPH ročně.

  2. Xxxx služeb na vyžádání dle bodu č. 1.4 Přílohy č. 1 této smlouvy je stanovena dohodou smluvních stran ve výši 1 460 Kč bez DPH za 1 hodinu práce Poskytovatele.

  3. Cena za poskytované služby dle čl. III, odst. 1. této smlouvy bude Objednatelem hrazena v pravidelných měsíčních platbách ve výši 83 333,33 Kč bez DPH. Dnem uskutečnění zdanitelného plnění bude poslední kalendářní den příslušného měsíce.

  4. Cena za služby na vyžádání dle čl. III, odst. 2 této smlouvy bude Objednatelem hrazena po akceptaci každé jednotlivé realizace na základě objednávky. Přílohou jednotlivé faktury za jednotlivou realizaci služeb na vyžádání bude akceptační protokol příslušné fakturované realizace, který bude podepsán oběma smluvními stranami.

  5. Cena za plnění, které se stane součástí této smlouvy na základě ustanovení „Další podmínky plnění“ je stanovena následovně:

Podpora SW pro 1 novou jednotku na 1 rok plnění (Jednotka = operační sál) 20 000 Kč bez DPH/rok

Podpora SW pro 1 novou jednotku na 1 rok plnění (Jednotka = JIP lůžko) 12 000 Kč bez DPH/rok

Podpora SW pro 1 novou jednotku na 1 rok plnění (Jednotka = lůžko na dospávacím pokoji) 12 000 Kč bez DPH/rok

O tuto výši pak bude odpovídajícím způsobem zvýšena odměna dle předchozího článku této smlouvy.



  1. Ceny dle čl. III. této smlouvy budou uhrazeny na základě faktur – daňových dokladů (dále jen faktura) vystavených Poskytovatelem, které musí obsahovat všechny údaje uvedené v § 29 odst. 1 zákona č. 235/2004 Sb., o dani z přidané hodnoty a dle zákona č. 563/1991 Sb., o účetnictví. Dodavatel může vystavit první fakturu za veškerá plnění vždy první měsíc následující po skončení záruční doby, která je stanovena v délce 24 měsíců od finální akceptace příslušného SW. Podpora SW v rámci běhu záruční doby je poskytována zdarma, a to pro všechny SW, které jsou dodány na základě licenční smlouvy PO/692/23.

  2. Splatnost faktur bude 60 dní od doručení faktury Objednateli do jeho sídla, Ekonomický úsek, Odbor účetnictví nebo elektronicky ve formátu PDF nebo ISDOC na e-mailovou adresu: XXXXXXXXXXXXXXX

  3. Pokud faktura nebude obsahovat všechny zákonem a touto smlouvou stanovené náležitosti, je Objednatel oprávněn ji do 15 dnů od doručení vrátit Poskytovatel i s tím, že Poskytovatel je poté povinen vystavit novou fakturu s novým termínem splatnosti. V takovém případě Objednatel není v prodlení s úhradou faktury.

  4. Faktury se platí bankovním převodem na účet druhé smluvní strany uvedený na faktuře. Povinnost Objednatele zaplatit Poskytovateli vyúčtovanou dohodnutou cenu je splněna dnem odeslání platby z účtu Objednatele.

  5. Smluvní strany se dohodly, že pokud průměrná roční míra inflace vyjádřená přírůstkem průměrného indexu spotřebitelských cen (CPI – Consumer Price Index) dle údajů publikovaných Českým statistickým úřadem na jeho oficiálních internetových stránkách, přesáhne v České republice za posledních 12 po sobě jdoucích měsíců kalendářního roku hodnotu 5 bodů (procent) oproti míře inflace za kalendářní rok předcházející, na možnosti zvýšení kupní ceny o výši meziročního rozdílu míry inflace v uvedeném období, a to vždy od 1. ledna následujícího kalendářního roku a maximálně jednou v každém kalendářním roce účinnosti této smlouvy, nejdříve však od 1.1.2026. Poskytovatel je povinen tento nárůst inflace objednateli prokázat, ke zvýšení ceny za plnění se vyžaduje souhlas objednatele. Zvýšení ceny je účinné až po uzavření písemného číslovaného dodatku podepsaného oběma smluvními stranami.


IV. Trvání smlouvy


  1. Smlouva se uzavírá na dobu neurčitou.

  2. Smlouva může být ukončena:

  • písemnou dohodou smluvních stran,

  • písemnou výpovědí ze strany Objednatele nebo Poskytovatele i bez udání důvodu; výpovědní doba činí 24 měsíců a počíná běžet od prvního dne měsíce následujícího po doručení písemné výpovědi druhé smluvní straně,

  • odstoupením od smlouvy ze strany Objednatele nebo Poskytovatele.

  1. Kterákoliv ze smluvních stran je oprávněna odstoupit od smlouvy v případě, že druhá smluvní strana hrubě poruší nebo opakovaně porušuje své smluvní závazky vyplývající z této smlouvy a přes písemnou výzvu odmítá odstranit vady svého jednání, anebo nečiní žádné kroky k nápravě vzniklého vadného stavu nebo v případě porušení závazku mlčenlivosti druhou smluvní stranou. Za hrubé porušení smluvních závazků ze strany Objednatele se považuje prodlení Objednatele s úhradou faktur Poskytovateli překračujícím termín splatnosti o 90 dnů.

  2. Odmítne-li smluvní strana, jíž je adresována zásilka, obsahující výpověď či odstoupení od této smlouvy, tuto zásilku převzít, považuje se tato zásilka za doručenou dnem odmítnutí takové zásilky.

  3. Účinností výpovědi či odstoupením od smlouvy není dotčen nárok Objednatele na náhradu škody vzniklé porušením podmínek této smlouvy, ani nárok na zaplacení smluvní pokuty.


V. Závazky Objednatele


  1. Objednatel se zavazuje zaplatit Poskytovateli dohodnuté ceny za služby poskytnuté dle této smlouvy.

  2. Objednatel se zavazuje, že umožní Poskytovateli poskytování předmětu plnění vzdáleným přístupem při dodržení požadavků a podmínek uvedených v příloze č. 4 této smlouvy.

  3. Objednatel se zavazuje zajistit Poskytovateli jím požadované potřebné informace věcného i systémového charakteru pro plnění této smlouvy.

  4. Objednatel je povinen určit oprávněné osoby pro styk s Poskytovatelem, které budou po dobu platnosti této smlouvy zabezpečovat nezbytnou součinnost mezi Poskytovatelem a Objednatelem a k zajištění potřebných informací a materiálů k plnění této smlouvy. Objednatel může tyto oprávněné osoby zaměnit jinými, které budou vhodné pro výkon prací, a to po předchozím písemném vyrozumění Poskytovatele, bez nutnosti uzavřít písemný dodatek ke smlouvě (seznam oprávněných osob je přílohou č. 3 této smlouvy).

  5. Oprávněné osoby Objednatele odpovídají za obsah a správnost předaných požadavků a informací.

  6. Objednatel se zavazuje přidělit každému požadavku v rámci poskytované podpory závažnost dle podmínek specifikovaných v příloze č. 1 této smlouvy.



VI. Závazky Poskytovatele


  1. Poskytovatel se zavazuje plnit své povinnosti vyplývající z této smlouvy s maximální odpovědností tak, aby systém byl udržován nepřetržitě v provozuschopném a funkčním stavu. Poskytovatel odpovídá za kvalitu a včasnost vykonaných prací ve smyslu výše uvedených ustanovení.

  1. Poskytovatel je povinen systém zabezpečit tak, aby nedošlo k přihlášení nebo přístupu osoby, která nemá příslušné oprávnění do systému. Za jakékoli škody, s výjimkou fyzického zabezpečení serverů, způsobené Objednateli zásahem neoprávněně přihlášené osoby odpovídá Poskytovatel.

  2. Poskytovatel se zavazuje zajistit Objednateli přístup a nakládání s veškerými daty Objednatele uloženými v SW řešení nepřetržitě a bez omezení po celou dobu trvání této smlouvy i po skončení účinnosti této smlouvy, a to v případě nedodržení podmínek sjednaných v rámci bodu 1. 6 Přílohy č. 1 této smlouvy – Součinnost v případě ukončení provozu SW řešení.

  3. Poskytovatel je odpovědný za škodu, která Objednateli vznikne prokazatelným neplněním nebo vadným plněním jeho závazků vyplývajících z této smlouvy.

  4. Poskytovatel neodpovídá za jakékoli škody, opožděná nebo neposkytnutá plnění, pokud toto bude zapříčiněno neposkytnutím potřebných informací či dokumentů Objednatelem nebo zásahem třetí strany do systému. Rozsah potřebných informací požadovaných Poskytovatelem specifikuje Objednateli Poskytovatel, a to po nahlášení nebo potvrzení přijetí požadavku.

  5. Poskytovatel musí Objednatele, a to odpovědnou osobu: manažera kybernetické bezpečnosti, e-mail: XXXXXXXXXXXXXX, neprodleně informovat o kybernetických bezpečnostních incidentech souvisejících s poskytovaným řešením.

  6. Poskytovatel je povinen Objednatele informovat prostřednictvím manažera kybernetické bezpečnosti o způsobu řízení rizik na straně Poskytovatele a o zbytkových rizicích souvisejících s plněním smlouvy v půl ročním intervalu nebo v případě zjištění nových rizik nebo změn stávajících rizik informovat bezodkladně.

  7. Poskytovatel je povinen informovat manažera kybernetické bezpečnosti Objednatele o významné změně v ovládání Poskytovatele podle dle § 71 a násl. zákona č. 90/2012 Sb., o obchodních korporacích nebo změně vlastnictví zásadních aktiv, popřípadě změně oprávnění nakládat s těmito aktivy, využívaných Poskytovatel k plnění podle této smlouvy.

  8. Poskytovatel je povinen v případě zjištění nebo podezření na probíhající kybernetický útok v průběhu poskytování služeb Poskytovatelem, provést nezbytné kroky Poskytovatelem k zdokumentování a zajištění forenzních důkazů a okamžitému nahlášení kontaktní osobě za Objednatele (viz kontaktní osoby), která rozhodne, zda budou práce ukončeny nebo bude v pracích pokračováno a za jakých podmínek.

  9. Poskytovatel bere na vědomí, že služby poskytované dle této smlouvy nesmí být provozované na technických nebo programových prostředcích označených NÚKIB jako hrozba.

  10. Poskytovatel je povinen určit oprávněné osoby pro styk s Objednatelem, které budou po dobu platnosti této smlouvy zabezpečovat nezbytnou součinnost mezi Objednatelem a Poskytovatelem a k zajištění potřebných informací a materiálů k plnění této smlouvy. Poskytovatel může tyto oprávněné osoby zaměnit jinými, které budou vhodné pro výkon prací, a to po předchozím písemném vyrozumění Objednatele (seznam oprávněných osob je Přílohou č. 3 této smlouvy).

  11. Poskytovatel se zavazuje splňovat/dodržet relevantní požadavky na řízení bezpečnosti informací uvedené v příloze č. 5 této smlouvy „Požadavky systému řízení bezpečnosti informací na Dodavatele“ vztahující se na prostředí a činnosti Poskytovatele.



Další podmínky plnění:

  1. Objednatel si vyhrazuje po dobu trvání této smlouvy právo na poskytnutí dalších služeb, a to za situace, kdy dojde na základě smlouvy PO 692/S/23 k dodání SW pro každou další jednotku KIS dle čl. II uvedené licenční smlouvy, tzv. položky na vyžádání.


  1. Poskytovatel se zavazuje u SW pro každou další jednotku provádět služby odpovídající rozsahu této smlouvy, a to dle podmínek stanovených touto smlouvou.


  1. Cena za tyto další služby je stanovena v čl. III odst. 5 této smlouvy.




VII. Smluvní pokuty, sankce


  1. Pro případ prodlení Objednatele s úhradou ceny dle čl. III této smlouvy má Poskytovatel nárok na zaplacení úroku z prodlení ze strany Objednatele ve výši 0,01 % z částky, s jejíž platbou je Objednatel v prodlení, za každý den takového prodlení. Smluvní strany se dohodly, že Poskytovatel je oprávněn požadovat zaplacení úroku z prodlení až po uplynutí 30 dnů od sjednané lhůty splatnosti.

  2. Při nedodržení termínu pro odstranění závady v kategorii „kritická“ uvedené v příloze č. 1 této smlouvy, je Objednatel oprávněn požadovat na Poskytovateli smluvní pokutu ve výši 5.000,- Kč za každou započatou hodinu prodlení za jednotlivý případ.

  3. Při nedodržení termínu pro odstranění závady v kategorii „vážná“ uvedené v příloze č. 1 této smlouvy, je Objednatel oprávněn požadovat na Poskytovateli smluvní pokutu ve výši 1.000,- Kč za každou započatou hodinu prodlení za jednotlivý případ.

  4. Při nedodržení termínu pro odstranění závady v kategorii „běžná“ uvedené v příloze č. 1 této smlouvy, je Objednatel oprávněn požadovat na Poskytovateli smluvní pokutu ve výši 1.000,- Kč za každý započatý pracovní den prodlení za jednotlivý případ.

  5. V případě, že nebude dodržen požadavek na dostupnost provozu řešení v režimu SLA 98,89 % uvedený v bodě 1.3.2 v příloze č. 1 této smlouvy je Objednatel oprávněn za nedodržení dostupnosti řešení požadovat smluvní pokutu ve výši 10.000,- Kč za každý i započatý den nedostupnosti.

  6. Na výše uvedené smluvní pokuty nemá Objednatel nárok, prokáže-li se, že problém byl způsoben jednáním Objednatele, selháním nebo jinými problémy na straně Objednatele.

  7. V případě nedodržení povinností Poskytovatele dle čl. IX odstavec 2, 6 a 7 této smlouvy, má Objednatel právo účtovat Poskytovateli smluvní pokutu ve výši 50 000,- Kč za každé jednotlivé porušení povinnosti.

  8. V případě nedodržení povinností Poskytovatele dle čl. VI odst. 5, 9 a 11 a čl. VIII této smlouvy, má Objednatel právo účtovat Poskytovateli smluvní pokutu ve výši 200 000,- Kč za každé jednotlivé porušení povinnosti.

  9. V případě nedodržení povinnosti stanovené v čl. X. odst. 3 smlouvy má Objednatel právo účtovat smluvní pokutu ve výši pohledávky, která byla postoupena v rozporu s touto smlouvou. Objednatel má zároveň právo odstoupit od smlouvy.

  10. Uplatněním nároku na zaplacení smluvní pokuty ani jejím skutečným uhrazením nezanikne povinnost Poskytovatele splnit povinnost, jejíž plnění bylo zajištěno smluvní pokutou, a Poskytovatel tak bude nadále povinen ke splnění takovéto povinnosti.

  11. Smluvní pokuta bude vyúčtovaná samostatným daňovým dokladem, splatnost smluvní pokuty činí 30 dní ode dne doručení vyúčtování Poskytovateli.

  12. Zaplacením smluvní pokuty není dotčen nárok Objednatele na náhradu škody, včetně náhrady škody, která převyšuje smluvní pokutu.



VIII. Mlčenlivost


  1. Poskytovatel se zavazuje zachovávat mlčenlivost ve vztahu ke všem informacím a skutečnostem, které se dozví o Objednateli, jeho zaměstnancích, pacientech atd. v souvislosti s uzavřením a plněním smlouvy, pokud tyto informace mají povahu obchodního tajemství, osobních údajů nebo mají být z jiných důvodů chráněny před zveřejněním. Poskytovatel je povinen nakládat s osobními údaji a zejména s údaji o zdravotním stavu, genetickými a biometrickými údaji (dále jen „Osobní údaje“) v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 (dále jen GDPR) a příslušnými ustanoveními zákona č. 110/2019 Sb., o zpracování osobních údajů.

  2. Povinnost mlčenlivosti platí rovněž o skutečnostech, na něž se vztahuje povinnost mlčenlivosti zdravotnických pracovníků, zejména podle ustanovení § 51 zákona č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování (Zákon o zdravotních službách), a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení Osobních údajů.

  3. Pokud Poskytovatel přijde při plnění Smlouvy do styku s Osobními údaji a bude v postavení zpracovatele ve smyslu GDPR a Zákona o zpracování osobních údajů, zavazuje se nakládat s Osobními údaji pouze za účelem splnění závazků z této smlouvy a žádným jiným způsobem, a to v souladu příslušnými ustanoveními GDPR a Zákona o zpracování osobních údajů v rozsahu nezbytném pro plnění smlouvy a po dobu nezbytnou k plnění smlouvy. Zpracovávání Osobních údajů v rozsahu údajů poskytnutých Objednatelem a týkajících se zdravotnické dokumentace pacientů, jimž jsou Objednatelem poskytovány zdravotní služby, a dále v rozsahu Osobních údajů zaměstnanců Objednatele Poskytovatelem může zahrnovat odstranění potíží za účelem zabránění, vyhledávání a opravy problémů zjištěných při poskytování služeb dle této smlouvy, může také zahrnovat zlepšování funkcí informačních systémů, vyhledávání hrozeb uživatelům a ochrany uživatelů informačních systémů. Osobní údaje nebudou použity k jinému účelu, ani z nich nebudou odvozovány informace pro žádné reklamní či jiné komerční účely. Poskytovatel se zavazuje za účelem ochrany osobních údajů Objednatele a jeho pacientů a zaměstnanců před neoprávněným přístupem, použitím, zveřejněním nebo zničením, resp. před jejich náhodnou ztrátou či změnou uplatňovat technická a organizační bezpečnostní opatření, interní kontroly a rutiny zabezpečení osobních údajů zajišťující splnění všech povinností dle GDPR a Zákona o ochraně osobních údajů, zejména zajistit, aby data obsažená ve zdravotnické dokumentaci byla šifrována způsobem, který znemožní nahlížení do těchto údajů neoprávněným osobám.

  4. Poskytovatel se zavazuje zajistit informovanost svých pracovníků (včetně poddodavatelů) o povinnostech vyplývajících z této Smlouvy. Poskytovatel se zavazuje zajistit, aby jeho pracovníci, kteří budou přicházet do styku s osobními údaji, byli smluvně vázáni povinností mlčenlivosti ve smyslu GDPR a Zákona o zpracování osobních údajů a poučeni o možných následcích porušení těchto povinností s tím, že povinnost důvěrnosti bude jimi dodržována i po skončení jejich smluvního vztahu k Objednateli. Toto ujednání je sjednáno ve smyslu ustanovení čl. 28 GDPR. Poskytovatel se zavazuje informovat své poddodavatele o povinnosti mlčenlivosti dle této smlouvy. V případě porušení mlčenlivosti za strany poddodavatele, odpovídá Poskytovatel Objednateli za vzniklou škodu, jako kdyby povinnost porušil sám.

  5. Smluvní strany se zavazují zachovat mlčenlivost též o všech ostatních skutečnostech ve vztahu, k nimž o to budou druhou stranou písemně požádány. Smluvní strany se též zavazují nevyužít informace podle prvé věty tohoto odstavce ve svůj prospěch nebo ve prospěch třetích osob v rozporu s účelem jejich předání.

  6. Smluvní strany jsou povinny zajistit, že nebudou neoprávněně pořizovány kopie informací či jiné záznamy nad rámec plnění dle této smlouvy, a nebudou zjišťovány informace, které nejsou nezbytně nutné ke splnění povinností vyplývajících z této smlouvy.

  7. Smluvní strany se zavazují pro případ, že se v průběhu plnění dle této smlouvy dostanou do kontaktu s údaji druhé smluvní strany vyplývajícími z její provozní činnosti, tyto údaje v žádném případě nezneužít, nezměnit ani jinak nepoškodit, neztratit či neznehodnotit.

  8. Poskytovatel se zavazuje plně respektovat bezpečnostní požadavky Objednatele k zajištění ochrany Osobních údajů pacientů a zaměstnanců Objednatele.

  9. Povinnost mlčenlivosti o informacích a skutečnostech obchodního charakteru trvá po dobu 5 let od ukončení této smlouvy, o informacích obsahujících Osobní údaje trvá bez časového omezení.



IX. Ostatní ujednání


  1. Poskytovatel bere na vědomí, že Objednatel je povinen dle ustanovení § 219 odst. 1 zákona č. 134/2016 Sb., a dle zákona č. 340/2015 Sb. o registru smluv uveřejnit tuto smlouvu včetně případných dodatků a objednávek vystavených na základě této smlouvy, zákonem stanoveným způsobem.

  2. Poskytovatel je povinen v souladu s ustanovením § 105 z. č. 134/2016 Sb. předložit do 10 pracovních dnů od doručení oznámení o výběru Dodavatele Objednateli seznam, ve kterém uvede, jaké části předmětu plnění a v jakém rozsahu bude plnit prostřednictvím poddodavatele, spolu s identifikací poddodavatele a uvedením rozsahu jeho plnění, pokud mu jsou známi. Poddodavatelé, kteří nebyli tímto způsobem identifikováni a kteří se následně zapojí do plnění veřejné zakázky, musí být identifikováni dodatečně, a to nejpozději před zahájením plnění veřejné zakázky tímto poddodavatelem. 

  3. Poskytovatel bere na vědomí, že Objednatel je povinným subjektem podle zák. č. 106/1999 Sb., zákona o svobodném přístupu k informacím, ve znění pozdějších předpisů.

  4. Poskytovatel se zavazuje dodržovat nařízení Objednatele, kterým je zakázáno kouření ve všech prostorách i plochách areálu nabyvatele s výjimkou vyhrazených míst.

  5. Obě strany se zavazují, že v souvislosti s plněním smlouvy učiní opatření k zajištění ochrany před šířením počítačových virů a nelegálních programů.

  6. Poskytovatel je povinen mít v platnosti a udržovat pojištění odpovědnosti za škodu způsobenou Objednateli či třetím osobám při výkonu podnikatelské činnosti, která je předmětem této smlouvy, s limitem pojistného plnění v minimální výši 20.000.000,- Kč.

  7. Poskytovatel je povinen udržovat výše uvedené pojištění po celou dobu trvání smlouvy. V případě porušení této povinnosti je Objednatel oprávněn od smlouvy, která bude uzavřena na základě výsledku tohoto zadávacího řízení odstoupit. Na žádost Objednatele je Poskytovatel povinen předložit Objednateli dokumenty prokazující, že pojištění v požadovaném rozsahu a výši trvá. Pokud by v důsledku pojistného plnění nebo jiné události mělo dojít k zániku pojištění, k omezení rozsahu pojištěných rizik, ke snížení stanovené min. výše pojistného plnění, nebo k jiným změnám, které by znamenaly zhoršení podmínek oproti původnímu stavu, je Poskytovatel povinen učinit příslušná opatření tak, aby pojištění bylo udrženo tak, jak je požadováno v tomto ustanovení.

  8. Poskytovatel se zavazuje při plnění této smlouvy dodržovat povinnosti uvedené v dokumentu „Používání sítě VFN externími uživateli“, který je přílohou č. 4 této smlouvy.


X. Závěrečná ujednání


  1. Tato smlouva nabývá platnosti dnem jejího podpisu oběma smluvními stranami a účinnosti dnem finální akceptace předmětu plnění uvedeného v čl. I. odst. 1 bodu A. licenční smlouvy č. PO 692/S/23

  2. Veškeré právní vztahy založené, resp. vyplývající z této smlouvy, které zde nejsou výslovně upravené, včetně eventuálních řešení vzájemných sporů, se řídí ustanoveními příslušných právních předpisů České republiky. Změny a doplnění této smlouvy lze učinit pouze na základě písemné dohody smluvních stran. Takové dohody musí mít podobu datovaných, vzestupně číslovaných dodatků této smlouvy podepsanými jejich statutárními zástupci.

  3. Případné spory smluvních stran budou řešeny smírnou cestou a v případě, že nedojde k dohodě, budou spory řešeny soudy ČR. Smluvní strany se dohodly, že v případě nevyřešení sporu smírnou cestou je věcně a místně příslušným soudem pro soudní řešení sporu obecný soud kupujícího.

  4. Poskytovatel je oprávněn postoupit pohledávku vyplývající z plnění dle této smlouvy na třetí osobu pouze s předchozím písemným souhlasem Objednatele.

  5. Tato smlouva včetně příloh je vyhotovena ve 2 stejnopisech, z nichž každá strana obdrží po jednom vyhotovení. Obě vyhotovení jsou rovnocenná a mají platnost originálu.

  6. Autentičnost této smlouvy potvrzují smluvní strany svými vlastnoručními podpisy.


Přílohy:

Příloha č. 1 - Specifikace podpory SW řešení

Příloha č. 2 – Položkový ceník

Příloha č. 3 - Seznam oprávněných osob

Příloha č. 4 – Povinnosti při připojování zařízení do počítačové sítě (LAN) VFN

Příloha č. 5 – Požadavky systému řízení bezpečnosti informací na Dodavatele

Příloha č. 6 – Seznam dodané techniky



V Praze dne V Pardubicích dne:







------------------------------------------------------------------ -----------------------------------------------------

xxxx. XXXx. Xxxxx Xxxxx, Ph.D., MBA Xxx. Xxxx Xxxxx, jednatel společnosti STAPRO s. r. o.

ředitel Všeobecné fakultní nemocnice v Praze




Příloha č. 1 Smlouvy – Specifikace podpory SW řešení

  1. Servis a podpora

Poskytovatel poskytuje servis a podporu v těchto oblastech:

  1. Údržba software.

  2. Systémová podpora.

  3. Uživatelská podpora.

  4. Služby na vyžádání.

  5. Reporting.

  6. Exitová součinnost.

Objednatel poskytne Poskytovateli ke splnění tohoto závazku nezbytnou součinnost.

    1. Údržba software

Poskytovatel se zavazuje udržovat Aplikační software (dále jen „ASW“) aktuální, správně licencovaný, splňující veškeré požadavky kladené na bezpečnost, ochranu osobních údajů a legislativu.

Poskytovatel se zavazuje po dobu platnosti podpory dále poskytovat zejména:

  • Opravu zjištěných chyb v programovém kódu ASW formou aktuálně vydávaných softwarových opravných kódů (hot-fix nebo patch).

  • Updaty a upgrady ASW, které byly výrobcem uvolněny na trh. Poskytovatel musí zajistit aktuálnost ASW na všech aktivních i neaktivních nodech (tímto jsou myšleny požadované instance, na kterých bude instalována aplikační vrstva, která musí být provozována ve 2 oddělených instancích, minimálně Active-Pasive, případně Active-Active.

  • Proaktivní řešení bezpečnostních chyb a zranitelnosti ASW.

  • Aktualizaci ASW tak, aby byl v souladu s relevantními platnými právními předpisy ČR a EU.

    1. Systémová podpora

Poskytovatel se zavazuje udržovat realizované řešení v aktuálním stavu, splňující veškeré požadavky kladené na funkčnost, bezpečnost a ochranu osobních údajů.

Poskytovatel se zavazuje po dobu platnosti podpory dále poskytovat zejména:

  • Řešit bezpečnostní chyby, hackerské/kybernetické útoky a zjištěné zranitelnosti řešení.

  • Služby migrace řešení – převod řešení na vyšší verzi databázového prostředí a operačního systému.

  • Služby zahrnující monitoring, zálohování a logování v souladu s nefunkčními požadavky uvedenými v kapitole č. 3 Error: Reference source not found v příloze č. 2 [zadávacích podmínek a specifikovanými v předimplementační analýze.

    1. Uživatelská podpora

Poskytovatel se zavazuje poskytovat uživatelskou podporu softwarového řešení.

Objednatel má podporu systému první úrovně plně ve své kompetenci, s řízenou distribucí na interní podporu nebo podporu Poskytovatele. Pro řádné poskytování služeb Poskytovatele zajistí Objednatel součinnost interního servisního týmu technických specialistů pro řešení poruch a požadavků s týmem Poskytovatele.

      1. Komunikační cesty

K zajištění elektronické komunikace mezi Objednatelem a Poskytovatelem je určen helpdeskový nástroj Objednatele ServiceDesk VFN. V tomto nástroji budou probíhat hlášení událostí, které bude Poskytovatel řešit podle kategorie, závažnosti a úrovni dostupnosti služeb (SLA). Za tímto účelem bude určeným pracovníkům Poskytovatele zřízen přístup do ServiceDesku Objednatele. Pokud má Poskytovatel k dispozici svůj interní helpdeskový nástroj, je také možné provést jeho integraci s nástrojem Objednatele.

V případě technických potíží, které zabraňují Objednateli komunikovat s Poskytovatelem prostřednictvím ServiceDesku Objednatele dle předchozího odstavce, lze požadavky odeslat formou elektronické pošty na určenou emailovou adresu Poskytovatele XXXXXXXXXXXXXXX Tato komunikace má z hlediska úrovně služeb stejnou váhu jako komunikace v ServiceDesku Objednatele.

Pro operativní komunikaci mezi Objednatelem a Poskytovatelem bude zřízena telefonní Hot Line Poskytovatele na určeném telefonním čísle bude doplněno po podpisu smlouvy.

      1. Řešení závad

Závadou se rozumí nefunkčnost jakékoli funkcionality systému, která bude Poskytovatelem řešena v rámci sjednané úrovně poskytování služeb (SLA).

U dané závady určuje příslušnou úroveň poskytování služeb vždy Objednatel. Poskytovatel má právo se proti určené úrovni odvolat, pokud byla průkazně určena chybně.

Provoz řešení je v režimu 24 x 7 při dostupnosti 98,89 % (uvedená dostupnost je požadována za období 1 roku a do uvedené doby se nezapočítávají plánované a Objednatelem odsouhlasené odstávky systému), garantovaná podpora je uvedena v následující tabulce podle příslušné úrovně SLA.

Řešení závad není omezeno počtem hodin / měsíc.


Úrovně SLA:


Úroveň SLA

Příjem hlášení

Reakční doba (doba od nahlášení do zahájení řešení)

Maximální doba od nahlášení do odstranění závady (obnovy služby)

1 – KRITICKÁ

Hotline/HelpDesk – 24/7

1 hodina

8 hodin

2 – VÁŽNÁ

Závažný dopad na dílčí funkce systému

Hotline/HelpDesk – 24/7

4 hodiny

24 hodin

3 – BĚŽNÁ

Funkčnost aplikace není významně ovlivněná

Hotline/HelpDesk – 24/7

1 den

Do 5-ti kalendářních dnů



Kategorizace závažnosti poruch je následující:


Stupeň závažnosti

Závažnost 

Popis 

1

KRITICKÁ 

Závažný dopad na funkčnost, se systémem nelze pracovat Typicky selhání aplikace nebo systému. 

Klíčové funkce aplikace nejsou dostupné. Rozsáhlý dopad (týká se všech klinik a uživatelů). Není k dispozici žádné dočasné řešení. Vysoká rizika. 

2

VÁŽNÁ 

Velký dopad na funkce aplikace. Systém není úplně nedostupný, ale jeho funkčnost je závažně snížena. 

Klíčové funkce aplikace jsou dostupné. Střední dopad. Není k dispozici žádné dočasné řešení. Střední rizika. 

3

BĚŽNÁ  

Funkčnost aplikace není ovlivněná významně. Bylo identifikováno dočasné řešení. 

Klíčové funkce aplikace jsou dostupné. Minimální dopad (týká se 1 sálu/JIP nebo menšího počtu koncových uživatelů). Je k dispozici dočasné řešení. Izolované a občasné incidenty. Nízká rizika. 


      1. Služby spojené s uživatelskou podporou

Poskytovatel se zavazuje po dobu platnosti podpory zajistit pro Objednatele služby spojené s podporou řešení.

  1. Uvedené služby jsou součástí dodávky a nejsou zpoplatněny vysoutěženou hodinovou sazbou.

  2. Jsou to služby poskytované zpravidla v místě Objednatele, služby mohou být po dohodě poskytnuty i vzdáleně. Z poskytnutých služeb je vždy vypracována zpráva.

  3. Služby spojené s podporou zahrnují:

  • Dílčí konzultační činnost pro uživatele a správce systému,

  • zaškolení uživatelů při rutinním provozu na pracovišti Objednatele,

  • zaškolení správce systému při implementaci nových verzí,

  • metodická podpora při rutinním používání systému,

  • sledování využití systému a vypracování návrhů na jeho zlepšení (proškolení uživatelů ASW, organizační opatření, posílení, doplnění nebo přesuny techniky apod.),

  • metodická podpora konfigurace systému a přípravy číselníků ASW,

  • vytváření databázových view na základě požadavků Objednatele.

    1. Služby na vyžádání

Poskytovatel se zavazuje po dobu platnosti podpory zajistit pro Objednatele služby na vyžádání, tzn. služby nad rámec předmětu plnění. Předpokládaný rozsah je 96 Man Day (MD).

  1. Služby na vyžádání budou realizovány na základě dílčích objednávek a budou hrazeny dle ceníku Služby na vyžádání (vysoutěžená hodinová sazba).

  2. Jsou to služby poskytované zpravidla v místě Objednatele, služby mohou být po dohodě poskytnuty i vzdáleně. Z poskytnutých služeb je vždy vypracována zpráva o realizaci.

  3. Forma akceptace poskytnutých služeb nad rámec předmětu plnění této smlouvy je realizována oboustranně potvrzeným akceptačním protokolem.

  4. Služby na vyžádání zahrnují zejména:

  • Konzultační a analytické služby zaměřené na požadovanou oblast,

  • poskytování systémových, programátorských a vývojových prací,

  • realizace požadavků na novou funkcionalitu nad rámec dodaného řešení v rámci licenční smlouvy PO (bude doplněno).

  • Připojení nových přístrojů

    1. Reporting

Poskytovatel se zavazuje poskytovat Objednateli reporting poskytnutých služeb a to tak, že report bude rozdělen na:

  1. Vyřešené závady a závady v řešení,

  2. vyřešené požadavky a požadavky v řešení,

  3. soupis poskytnutých a poskytovaných služeb spojených s uživatelskou podporou,

  4. soupis poskytnutých a poskytovaných služeb na vyžádání, tzn. nad rámec předmětu plnění této smlouvy,

  5. přehled splněných a nesplněných SLA.

Tento report se Poskytovatel zavazuje poskytovat Objednateli jednou měsíčně vždy za uplynulý měsíc, k poslednímu dni v měsíci, zaslání reportu požaduje Objednatel pouze v elektronické podobě.

    1. Exitová součinnost

Poskytovatel za účelem řádného a plynulého převedení všech činností spojených se servisem a podporou řešení při jejich ukončení garantuje především tyto součinnosti:

  1. Poskytne náležitou a nezbytnou součinnost pro takové převedení.

  2. Poskytne veškeré nezbytné informace a dokumentaci.

  3. Bude jednat s Objednatelem a dalšími třetími osobami.

  4. Předá Objednateli data způsobem a ve formátu stanoveném v Předimplementační analýze.




Příloha č. 2 – Položkový ceník - cenová kalkulace




































Příloha č. 3 Smlouvy – Seznam oprávněných osob


A. Seznam kontaktních osob Poskytovatele oprávněných poskytovat podporu


Jméno

Funkce

Telefonní číslo

XXXXXXXXXXXXXXXXXXX

Vedoucí oddělení outsorcingu

XXXXXXXXXX

XXXXXXXXXXXXXXXXXXX

Vedoucí oddělení helpdesku

XXXXXXXXXX


B. Seznam kontaktních osob Objednatele oprávněných k hlášení požadavků na poskytování podpory


Jméno

Funkce

Telefonní číslo

Hlášení požadavků na poskytování podpory je přes Service Desk Zadavatele: Help Desk Ivanti

XXXXXXXXXXXXXXX

Vedoucí odboru vývoje a správy SW

XXXXXXXXXXXXXXXXX

XXXXXXXXXXXXXXX

Dispečink Úseku informatiky

XXXXXXXXXXXXXXXXX


C. Seznam kontaktních osob Objednatele určených k hlášení oznámení, požadavků, událostí nebo incidentů Poskytovatele ve vztahu k ochraně osobních údajů nebo bezpečnosti informací nebo kybernetické bezpečnosti


Oblast

Funkce

Kontakt

Ochrana osobních údajů

Pověřenec pro ochranu osobních údajů

XXXXXXXXXX

Bezpečnosti informací, kybernetické bezpečnost

Manažer kybernetické bezpečnosti

XXXXXXXXXX



Příloha č. 4 – Povinnosti při připojování zařízení do počítačové sítě (LAN) VFN

  1. Každé připojené zařízení do LAN VFN musí být předem konzultováno s Odborem provozu IT Úsekem informatiky a digitální transformace (dále jen ÚI) VFN.

  2. Instalace a provozování jakéhokoli software (sw) v síti VFN musí být předem konzultováno s Odborem vývoje a správy SW a Odborem podpory uživatelů ÚI (u klientských instalací) VFN a musí splnit podmínky instalace sw ve VFN:

    1. Serverová instalace:

  1. instalace a konfigurace sw bude kompletně provedena pracovníkem dodavatele, ÚI VFN instalaci umožní; dodavatel předá zadavateli instalační a provozní dokumentaci, která bude aktualizována na základě zkušeností dodavatele s instalací v prostředí zadavatele,

  2. musí umožňovat instalaci do virtualizační platformy VMware,

  3. musí pracovat se Systémem Center Endpoint Protection Microsoft Corporation,

    1. Klientská instalace:

  1. sw bude podroben testu kompatibility se sw výbavou VFN,

  2. instalace a konfigurace bude kompletně provedena pracovníkem dodavatele, ÚI VFN instalaci umožní; dodavatel předá zadavateli instalační a provozní dokumentaci, která bude aktualizována na základě zkušeností dodavatele s instalací v prostředí zadavatele,

  3. musí pracovat na stanici zařazené do MS domény VFN,

  4. musí pracovat pod uživatelským oprávněním USER (vyjma prvotní instalace),

  5. musí pracovat se Systémem Center Endpoint Protection Microsoft Corporation,

  6. při nutnosti zadávání uživatelského jména a hesla (v případě webové autentikace) musí být údaje odesílány šifrovaně (použití https).

  1. Je zakázáno svévolně zapojovat do LAN VFN zařízení, která nejsou ve vlastnictví VFN či nejsou schválená k provozu v LAN VFN.

  2. Je zakázáno měnit, instalovat a nahrávat jakýkoli neschválený sw obsah na zařízení VFN.

  3. Je zakázáno jakýmkoli způsobem měnit a zasahovat do hardware vybavení VFN či LAN VFN.

  4. Pro vzdálený přístup na připojovaná zařízení jiných, než ÚI VFN je nezbytné používat schválenou metodu vzdáleného přístupu do LAN VFN, tj., pokud není povolena výjimka nebo k tomu nebrání jiné důvody, zřídit si vzdálený VPN přístup (IPSec tunel nebo jeho obdoba) a to instalací Cisco Anyconnect VPN klienta. Podrobné informace včetně instalace druhého faktoru pro ověření VPN připojení jsou uvedeny na https://www.vfn.cz/vpn.

  5. Při umisťování IT zařízení (server, PC aj.) do LAN VFN je vlastník IT zařízení povinen na své náklady, pokud není ve smlouvě uvedeno jinak, udržovat toto zařízení:

  1. v aktuálním (aktualizace operačního systému, aktualizace antivirového programu…) a

  2. v bezpečném (nemožnost jednoduše zneužít, používání silných přístupových hesel) stavu,

  3. ÚI provádí náhodné testy zneužitelnosti zařízení. V případě zjištění hrozeb nebo nedostatků je vlastník IT zařízení povinen na své náklady zjištěné hrozby a nedostatky neprodleně odstranit. Pokud nedojde k nápravě (odstranění zjištěné hrozby nebo nedostatku), bude toto zařízení odpojeno/zablokováno v síti LAN VFN.

  1. Pokud má umisťované zařízení do LAN VFN požadavky

  1. na komunikaci s ostatními systémy VFN (PACS, MUSE NX, NIS…) či do sítě Internet je potřeba popsat způsob komunikace zařízení s výčtem nezbytných síťových protokolů a komunikačních portů včetně schématu komunikace,

  2. na poskytnutí diskového úložiště VFN z důvodu například zálohy je potřeba důvody specifikovat,

  3. na umístění fyzického serveru/výrobu nebo virtuálního serveru je potřeba specifikovat výčet nezbytných síťových protokolů a komunikačních portů včetně provozních podmínek.

  1. Vlastník IT zařízení je povinen na vyžádání ÚI předložit a umožnit kontrolu konfigurace zapojeného IT zařízení. V situaci, kdy připojené zařízení způsobuje jakékoliv bezpečnostní anebo technické problémy v LAN VFN, má VFN možnost takovéto zařízení bez předchozího upozornění odpojit od sítě VFN a externí účet (včetně VPN připojení) zablokovat nebo i zrušit.

Případné dotazy, požadavky nebo problémy je možné řešit na:

  • Dispečinku ÚI na tel. XXXXXXXXXX v pracovní dny od 7:00 do 16:00 hodin či

  • Pohotovosti ÚI na tel. XXXXXXXXXXXXXXX v ostatních hodinách.

Příloha č. 5 - Požadavky systému řízení bezpečnosti informací na Dodavatele

  1. Účel

Účelem toho dokumentu je stanovit požadavky vyplývající ze systému řízení bezpečnosti informací ve VFN pro Dodavatele jako provozovatele, Poskytovatele služeb nebo zajištující podporu základních služeb: zdravotních služeb dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti (dále jen ZKB).

Příloha vymezuje obecná pravidla a zásady kybernetické bezpečnosti vztahující se na smluvní plnění Dodavatele, pokud nejsou detailně specifikovány Smlouvou. Tato příloha nerozšiřuje předmět plnění Dodavatele vymezený smlouvou, ale pouze specifikuje relevantní požadavky systému řízení bezpečnosti informací ve VFN, které musí Dodavatel při plnění dodržovat.

Dodavatel je povinen prokazatelně seznámit všechny své zainteresované zaměstnance s obsahem tohoto dokumentu.

  1. Bezpečnostní požadavky

Dodavatel ve vztahu k předmětu plnění smlouvy musí definovat v interních předpisech, konfiguračních a instalačních manuálech, postupech nebo jiných dokumentech sloužících k předmětu dodávané služby či musí plnit zde popsané povinnosti.

    1. Obecná pravidla bezpečnosti informací

Dodavatel je povinen:

  • vydefinovat rozsah prací/služeb/podpory v kompetenci Dodavatele a podmínky spolupráce mezi smluvními stranami,

  • specifikovat popis používání každé služby provozované nebo spravované Dodavatelem,

  • stanovit cílové úrovně služby a neakceptovatelné nebo zakázané úrovně služby,

  • vést seznam jednotlivců, kteří vzhledem ke svým předdefinovaným právům a privilegiím jsou oprávněni zajišťovat smluvní služby,

  • umožnit VFN právo monitorovat nebo auditovat smluvní povinnosti i u Dodavatele,

  • stanovit popis eskalace problému v případech řešení havárie s popisem pravidel pro řešení havarijních situací,

  • zajistit školení zainteresovaných uživatelů a správců Dodavatele v metodách, postupech a v bezpečnosti,

  • upřesnit podmínky spolupráce Dodavatele se subdodavateli (třetí stranou),

  • informovat Objednatele o způsobu řízení rizik a o zbytkových rizicích,

  • informovat o významné změně dle § 71 a násl. zákona č. 90/2012 Sb., o obchodních korporacích, či ekvivalentním postavení, nebo o změně vlastnictví zásadních aktiv, popřípadě změně oprávnění nakládat s těmito aktivy,

  • provést neprodlené nahlášení identifikovaných bezpečnostních událostí a slabin kontaktní osobě za VFN.

    1. Fyzická bezpečnost

Dodavatel je povinen:

  • nastavit komplexní opatření fyzické bezpečnosti v prostředí Dodavatele, jež zabrání nebo sníží pravděpodobnost vzniku ohrožení IS základní služby, ztrát dat a jiného duševního vlastnictví, přerušení činností či poškozování jiných důležitých zájmů VFN,

  • dodržovat režimová nebo organizační opatření VFN při vjezdu do objektů nebo vstupu do prostor nebo překonávání fyzických/logických zábran těchto objektů nebo prostor VFN,

  • dobrovolně se podrobit případným kontrolám vnášených/vynášených osobních věcí nebo jakýchkoliv předmětů při vstupu nebo odchodu z objektů nebo prostor VFN prováděné oprávněnými zaměstnanci VFN (ostraha, vrátný, recepce apod.),

  • neprovádět fotografování, video/audio záznam nebo kopírování/scanování dokumentů bez souhlasu oprávněného zaměstnance VFN. V prostorách kategorie zóny „C“ (např. serverovna) pouze na základě písemného povolení vedení VFN.

    1. Bezpečnost lidských zdrojů

Dodavatel je povinen:

  • prokazatelně seznámit zaměstnance Dodavatele s dodržováním bezpečnostních pravidel a zásad požadovaných VFN,

  • dodržovat ochranu aktiv VFN před neautorizovaným přístupem, vyzrazením, modifikací, zničením nebo narušením,

  • zachovávat mlčenlivost o důvěrných údajích nebo sděleních VFN a o jejich ochraně,

  • stanovit odpovědnosti zaměstnanců Dodavatele pro nakládání s informacemi,

  • poučit zaměstnance Dodavatele hlásit zjištěné bezpečnostní události nebo jiná bezpečnostní rizika odpovědné osobě Dodavatele,

  • provádět pravidelné školení zaměstnanců Dodavatele v souvislosti s bezpečností informací,

  • při porušení pracovních povinnosti zaměstnance Dodavatele ve vztahu k bezpečnosti informací nebo způsobení bezpečnostního incidentu, musí být zahájeno formální disciplinární řízení. Způsob řízení odpovídá povaze porušení nebo incidentu a jeho dopadu na VFN.

    1. Řízení přístupu

Dodavatel je povinen:

  • dodržovat princip minimálních oprávnění: přidělovat oprávnění na nejnižší možné úrovni, která umožní jejich správnou funkci,

  • dodržovat požadavky na řízení přístupu:

    • definovat procesy přidělování, správy oprávnění, pravidelně provádět audit přidělených oprávnění a odstraňovat účty při odchodu zaměstnance nebo změně jeho zařazení,

    • přidělovat privilegovaná oprávnění takovým způsobem, aby byla zajištěna jednoznačná auditovatelnost všech kroků provedených pod těmito účty ve vztahu ke konkrétním osobám.

    1. Bezpečné chování uživatelů

Uvedené povinnosti se vztahují na prostředí VFN nebo zařízení používané ke správě nebo administraci předmětu smlouvy.

Zaměstnanec Dodavatele:

  • nesmí šířit a vědomě používat SW získaný v rozporu s právními předpisy, zejména s autorským zákonem a SW, získaný v souladu s těmito předpisy nesmí užívat v rozporu se smlouvou,

  • musí používat počítačové prostředky a SW vybavení VFN jen v rámci smluvního ujednání a stanovené kompetence,

  • je povinen respektovat pravidla tvorby a nakládání s přístupovými hesly definovaná VFN,

  • je povinen zachovávat důvěrnost hesel jemu přidělených v rámci své kompetence,

  • nesmí žádnými prostředky se pokusit získat přístupová práva či privilegovaný stav, který mu nebyl přidělen,

  • nesmí se pokusit získat přístup k chráněným informacím a datům jiných uživatelů nebo systémů,

  • musí dodržovat předepsaná opatření pro užití prostředků pro vzdálený přístup (aktualizace systému, spuštěný FW a antivir, využití veřejných sítí apod.).

    1. Bezpečnost mobilních zařízení a vzdáleného přístupu

Přístup externích zařízení do prostředí Objednatele je možný po provedení registrace zařízení při dodržení postupu „Přístup do počítačové sítě VFN pro externí zaměstnance/firmy“, zde uvedených povinností a směrnice Používání sítě VFN externími uživateli (SM-UI-02). Uživatel Dodavatele připojený do sítě VFN je povinen:

  • používat je pouze k účelům a po dobu souvisejícím s výkonem smluvní činnosti v takovém rozsahu, který odpovídá potřebám uživatele pro výkon této činnosti,

  • používat své připojení takovým způsobem, který nenaruší funkci sítě ani práva ostatních uživatelů,

  • chránit svá hesla před vyzrazením, a v případě podezření, že heslo zná jiná osoba, tuto situaci neprodleně nahlásit Poskytovateli připojení,

  • zabránit využití či zneužití jeho vzdáleného připojení třetí osobou,

  • chovat se v souladu s dobrými mravy a právním řádem České republiky.

    1. Ochrana před škodlivým kódem

Ve vztahu k dodavatelským pracím a službám zajišťujícím provoz a fungování základních služeb VFN musí být zajištěna ochrana vnějšího perimetru Dodavatele, komunikace, IS, úložišť a koncových stanic nebo mobilních zařízení před škodlivým kódem.

    1. Zálohování a obnova dat

Dodavatel je povinen provádět zálohování dat a informací v provozovaných nebo spravovaných HW, IS a jejich datech k zajištění jejich dostupnosti v případě nestandardních událostí (chyba paměťového média, havárie systému, poškození integrity dat atp.), aby bylo možné zálohovaná data použít pro jejich obnovu nebo přesun do jiného prostředí.

Zálohovaná data musí splňovat požadavky:

  • na kompletní obnovu dat,

  • dodržet maximálně tolerovaný prostoj (MTD) definovaný ve smlouvě,

  • pravidelné provádění záloh a testování jejich obnovy,

  • zajištění ochrany záloh a obsažených dat včetně jejich integrity,

  • vydefinovaná správa (včetně řízení přístupu), doba uchování, cykly a počet kopií zálohovaných dat.



    1. Technické zranitelnosti

Dodavatel je povinen:

  • identifikovat a odstraňovat technické zranitelnosti spojené s bezpečnostním nastavením nebo fungováním jím provozovaných/spravovaných zařízení nebo systémů,

  • upozorňovat VFN na identifikované zranitelnosti zařízení nebo systémů ve správě VFN nebo subdodavatelů,

  • provádět ověření/testování opravy zranitelnosti v testovacím nebo integračním prostředí před instalací opravy programového vybavení do produkčního prostředí.

    1. Bezpečnost komunikační sítě

Dodavatel je povinen omezit riziko napadení systémů nebo služeb prostřednictvím počítačové sítě, např. využitím:

  • šifrování,

  • řízené kontroly přístupu,

  • zamezením napadení aktivním útočníkem,

  • řízením zátěže,

  • zajištěním integrity dat,

  • samostatné lokální sítě,

  • víceúrovňovou bezpečností,

  • využitím vhodné sítě.

    1. Bezpečnostní zásady pro práci s daty

Dodavatel je povinen:

  • dodržovat stanovená pravidla ochrany dat zahrnující speciální nakládání s tajnými, důvěrnými, osobními a citlivými údaji dle jednotlivých zákonů (např. nařízení č. 2016/679 - GDPR, zákona č. 110/2019 Sb., zákon č. 412/2005 Sb. apod.),

  • zajistit řízení přístupu k datům s využitím principu minimálních oprávnění,

  • ochránit data při přenosu, předání a v datovém úložišti,

  • plnit povinnosti ochrany osobních údajů, a to především technická nebo organizační opatření, hlášení úniku osobních údajů, spolupráce na řešení incidentů nebo auditu ochrany osobních údajů apod.,

  • dodržet závazek dodavatele (a subdodavatele) neporušovat integritu a dostupnost aktiv,

  • stanovit omezení platná pro kopírování a šíření informací,

  • přijmout opatření zajišťující vrácení či zničení informací po ukončení smluvního vztahu nebo v jeho průběhu,

  • definovat postupy bezpečné likvidace dat.

    1. Používání kryptografické ochrany

Dodavatel je povinen:

  • využívat úrovně ochrany s ohledem na typ a sílu kryptografického algoritmu ve vztahu k citlivosti jednotlivých informačních aktiv,

  • zohledňovat známá nebo odhalená rizika a zranitelnosti pro použité typy a síly kryptografických algoritmů výměnou za „bezpečné“ (neprolomené) kryptografické algoritmy.

    1. Akvizice, vývoj a údržba informačních systémů

Dodavatel je povinen:

  • dodržovat bezpečnostní pravidla, noremy a best practices (např. OWASP - Open Web Application Security Project) v rámci celého životního cyklu nákupu a vývoje SW od zadání, návrhu, přes vývoj a testování až po nasazení do provozu,

  • zavést oddělení rolí vývoje, testu a provozu; vytvářet a provozovat vývojové, integrační, testovací a provozní prostředí tak, aby byla zcela oddělena v sítích a byla podporována oddělenými stroji,

  • zohlednit bezpečnostní požadavky VFN na dodávaný nebo vyvíjený SW, a to především:

    • podporované frameworky a platformy v prostředí VFN,

    • nefunkční bezpečnostní požadavky,

    • provádět ověření codereview v jednotlivých fázích vývoje a testování,

    • spolupracovat na bezpečnostním testování včetně penetračních testů,

    • dodávat systémové a provozní bezpečnostní dokumentace,

  • stanovit způsob převzetí, akceptace a instalaci do produkčního prostředí,

  • používat jasný a specifikovaný proces řízení změn.

    1. Zvládání bezpečnostních incidentů

Dodavatel je povinen:

  • mít ve svém prostředí zavedený systém hlášení, upozorňování a vyšetřování bezpečnostních nebo kybernetických incidentů a případů prolomení bezpečnosti,

  • neprodleně oznámit Objednateli bezpečnostní nebo kybernetický incidenty a prolomení bezpečnosti v prostředí Dodavatele nebo Objednatele,

  • spolupracovat s Objednatelem na vyšetření, vyhodnocení a přijetí opatření z bezpečnostního nebo kybernetického incidentu v prostředí Objednatele.

    1. Řízení kontinuity činností

Dodavatel je povinen:

  • vytvořit takové postupy a fungující prostředí, které umožní zajistit kontinuitu a obnovu klíčových procesů a činností základních služeb VFN provozovaných nebo spravovaných Dodavatelem HW, IS a jejich dat v případě jejich narušení nebo ztráty,

  • provádět pravidelné testování, vyhodnocování a případně aktualizování havarijních plánů obnovy (DRP).

    1. Legislativní a normativní požadavky

Dodavatel je povinen splnit legislativní a normativní požadavky:

  • zákon č. 181/2014 Sb., o kybernetické bezpečnosti a vyhlášku č. 82/2018Sb., o kybernetické bezpečnosti,

  • nařízení EU č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (GDPR),

  • zákon č. 110/2019 Sb., zpracování osobních údajů,

  • směrnici EU č. 2016/1148, o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů (NIS),

  • nařízení EU č. 910/2014, o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu (eIDAS),

  • standardy systému řízení bezpečnosti řady ISO/IEC 27000 – Information Security Management System (ISMS), především ISO/IEC 27001, ISO/IEC 27002 a ISO/IEC 27799,

  • a související normy nebo best-practice.

    1. Kontroly zavedení bezpečnostních opatření

Dodavatel je povinen provádět kontroly zavedených bezpečnostních opatření v prostředí Dodavatele v pravidelných intervalech a následně přijímat odpovídající preventivní nebo systémová nebo organizační opatření na zjištěné nedostatky nebo zranitelnosti a umožnit VFN ověření provádění kontrol a aplikaci následných opatření.

    1. Audity plnění bezpečnostních požadavků

Dodavatel je povinen umožnit VFN provedení auditu plnění požadavků uvedených v tomto dokumentu nebo s kterými byl prokazatelně Dodavatel seznámen, a to po předchozím upozornění. Audit bude proveden zaměstnanci VFN nebo jím smluvně pověřeným subjektem.



Příloha č. 6 – Seznam dodané techniky



Popis dodané techniky:

Název přístroje

Klinický informační systém FONS Enterprise

     

     

     

Výrobce

STAPRO s.r.o.

     

     

     

Typ

FONS Enterprise

     

     

     

Výrobní číslo/a


     

     

     

Třída ZP1

IIb

     

     

     

Instruktáž2

Ano

A / N

A / N

A / N

Požadované opakované činnosti (uveďte „Ne“ nebo požadovanou periodu)

PBTK3

Ne

     

     

     

Validace

Výrobce dle ŘD každá verze

     

     

     

Kalibrace

Ne

     

     

     

Elektrická revize

Ne

     

     

     

Tlaková revize plynové nádoby

Ne

     

     

     

Kontrola naříz. výrobcem

Ne

     

     

     


Dodáno na základě smlouvy / objednávky:

     

Datum předání:

     

Za dodavatele (Jméno, Podpis, Razítko)

Za přejímajícího (Jméno, Podpis, Razítko)

Vyplní dodavatel při předání, přejímající potvrdí správnost údajů a formulář předá OZT


Uveďte – „není ZP“ nebo příslušnou třídu ZP – I, IIa, IIb, III, IVD

2 Dle § 41 zákona č. 375/2022 Sb., u zdravotnických prostředků, kde to stanovil výrobce v návodu k použití

3 Bezpečnostně technická kontrola dle požadavku výrobce a zákona č. 375/2022 Sb.

21

Document Metadata

Filed: October 11th, 2023