Contract
Tilslutningsaftale vedr. trust på brugerstyring
Parterne
Aftalen indgås mellem
[Ekstern serviceudbyder
Adresse
Postnummer og by
CVR-nummer]
Og
Sundhedsdatastyrelsen
Xxxxxxxx Xxxxxxxxx 0
2300 København S
33257872
Aftalens omfang
Aftalen vedrører Sundhedsdatastyrelsens løsning til trustbaseret adgang til serviceudbyderens services. Sundhedsdatastyrelsens løsning omfatter en central trustbaseret brugerstyringsløsning via SEB og en decentral løsning, der bygger på webserviceadgang til serviceudbyderens løsninger. Konceptet er nærmere beskrevet i dokumentet: Etablering af trustløsninger i sundhedsvæsenet – vejledning og standardaftaler.
Adgangspolitik
Serviceudbyderen skal formulere en politik for adgang til hver af sine services. Adgangspolitikken skal fastlægge
Hvem må tildeles hvilke rettigheder til servicen (roller, jobfunktioner, grupper, vikarer, eksterne konsulenter m.v.)
Hvordan må rettigheder anvendes
Hvilket autenticitetssikringsniveau skal anvendes
Hvilke informationer om brugeren, der er nødvendige
Instruks til Sundhedsdatastyrelsen
Sundhedsdatastyrelsen udfører sin opgave efter instruks fra serviceudbyderen. Serviceudbyderen skal fastlægge krav til databehandlingen i en databehandleraftale, herunder krav til brugerstyring, logning og opfølgning. Databehandleraftalen lægges sammen med tilslutningsaftalen på NSPOP.
Serviceudbyderen skal en gang årligt i samarbejde med Sundhedsdatastyrelsen gennemgå adgangspolitikker og instrukser.
For hver service, der er dækket af denne aftale, skal serviceudbyderen udfylde bilaget ”Servicebeskrivelse”.
Sundhedsdatastyrelsens opgave
Sundhedsdatastyrelsen sikrer, at adgange kun gives i overensstemmelse med adgangspolitikken for den enkelte service.
Sundhedsdatastyrelsen varetager logning i SEB og i webservices (decentral trust), mens logning i selve servicen varetages af serviceudbyderen.
Sundhedsdatastyrelsen fører tilsyn med de lokale identitetsudbydere i henhold til Bilag 4: Tilsynskoncept.
Tilsynet består som minimum af en gennemgang af den halvårligt modtagne ledelseserklæring.
Herudover er der mellem parterne aftalt, at Sundhedsdatastyrelsen foretager følgende tilsynsaktiviteter:
Inspektioner |
|
Andre tilsynsaktiviteter, f.eks. opfølgende spørgsmål til de lokale identitetsudbydere |
|
Herudover er Sundhedsdatastyrelsen forpligtet til at følge op på anmeldte sikkerhedshændelser.
Parterne har pligt til uden forsinkelse af underrette hinanden ved sikkerhedshændelser, som kan påvirke modparten. Parterne har pligt til uden forsinkelse at medvirke ved afdækning samt afhjælpning af sikkerhedshændelser, f.eks. ved at gennemgå logs.
Samarbejde
Hver part er forpligtet til at udnævne kontaktpersoner samt sikre den løbende opdatering af kontaktoplysningerne. Kontaktpersonerne er parternes kontaktpunkt.
Kontaktpersoner
Kontaktperson hos serviceudbyderen |
Kontaktperson hos Sundhedsdatastyrelsen |
|||
Navn |
|
Navn |
|
|
Telefonnummer |
|
Telefonnummer |
|
|
|
|
Ændringer
Større ændringer i en aftaleparts set up som følge af ny leverandør, ændringer i brugerstyringsløsning hos den lokale identitetsudbyder, ændringer i en serviceudbyders adgangspolitik e.l. skal varsles mindst 90 dage, inden ændringer træder i kraft. Hver part er forpligtet til at afholde udgifter til ændringer og tilpasninger i eget system.
Ikrafttrædelse
Aftalen træder i kraft, når den er underskrevet af begge parter
Misligholdelse og ansvarsforhold
Dansk rets almindelige regler om misligholdelse og misligholdelsesbeføjelser finder anvendelse i aftalen.
Såfremt en part væsentligt misligholder sine forpligtelser og ikke ophører hermed senest 10 dage efter at være blevet skriftligt anmodet herom, kan den anden part skriftligt og uden varsel hæve aftalen.
I tilfælde af alvorlige sikkerhedsbrud skal Sundhedsdatastyrelsen træffe de nødvendige foranstaltninger, f.eks. ved straks at lukke for den lokale identitetsudbyders adgang til services.
Opsigelse og ophør
Aftalen kan af hver part opsiges skriftligt til ophør med udgangen af en måned med 3 måneders varsel. Denne frist bortfalder, såfremt der er tale om misligholdelse jf. ovenfor.
Underskrift
Undertegnede bekræfter med sin underskrift at acceptere aftalens vilkår.
Dato
|
Dato |
For Serviceudbyderen
--------------------------------------------------------- |
For Sundhedsdatastyrelsen
----------------------------------------------------------- |
[Underskriverens navn]
|
[Underskriverens navn] |
Sundhedsdatastyrelsen
|
[Myndighedens navn] |
CVR: |
CVR: 33257872 |
Bilag: Servicebeskrivelse
Servicens navn: _______________________________________
Serviceudbyder: ______________________________________
Politik for adgangsstyring |
|||
Rolle, jobfunktion, gruppe m.v. |
Rettighed |
Autentifikationsniveau |
Oplysning om bruger |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Andre sikkerhedskrav
(Her indskrives evt. andre sikkerhedskrav, der er specifikke for servicen)
|
0 / 5 |