Aftaleparter
NSP Serviceaftale for Anvendersystem- leverandør
Version 1.1
Aftaleparter
Nærværende aftale om at anvende den Nationale Serviceplatform (NSP) er indgået mellem Sundhedsdatastyrelsen (SDS) som systemansvarlig organisation for NSP og Anvendersystem-leverandør
på vegne af de i bilag 1 oplistede Serviceaftagere af data og/eller services der udbydes på NSP.
NSP Serviceaftalekoncept
Aktører på sundhedsområdet, der ønsker at anvende data og services, der udbydes på NSP, skal indgå en NSP serviceaftale (nærværende aftale) før adgangen etableres. NSP Serviceaftalen regulerer forholdet mellem SDS, som systemansvarlig organisation for NSP og Serviceaftager. Da Anvendersystem-leverandør agerer som leverandør for andre organisationer (med andet CVR-nummer) skal Anvendersystem-leverandør til hver en tid kunne dokumentere, hvilke organisationer vedkommende handler på vegne af, samt at der er indgået aftaler svarende til denne serviceaftale mellem Anvendersystem-leverandør og de pågældende organisationer.
Aftalen omfatter de til enhver tid gældende vilkår for brug af NSP services.
SDS publicerer de til enhver tid gældende vilkår for benyttelse af NSP platformen punktet
”Servicedeklaration for NSP” på xxxxx://xxx.xxxxx.xx. På denne adresse er servicemål for NSP platformen også tilgængelig.
Anvendersystem-leverandør har adgang til oversigt over aftaler og forbrug af services via brugernavn og password. Adgang fås i forbindelse med accept af denne serviceaftale på xxxxx.xx.
Specifikke vilkår for Anvendersystem-leverandører og deres kunder ifm. anvendelse af data og services på NSP
Anvendersystem-leverandøren indestår for til enhver tid at overholde gældende love, regler mv. omkring håndtering af persondata. Anvendersystem-leverandøren er forpligtet til at holde sig orienteret omkring den nationale sikkerhedsinfrastruktur samt til at sikre, at incidents i et anvendersystem ikke medfører afledte incidents i andre systemer eller i infrastrukturen. Anvendersystem-leverandøren er således forpligtet til at opretholde det fornødne support-beredskab til at kunne håndtere incidents på forsvarlig vis, og er forpligtet til at orientere SDS uden ugrundet ophold, hvis der forekommer incidents, der kan have betydning for den nationale infrastruktur eller andre systemer. I tilfælde af konkrete incidents skal Anvendersystem-leverandøren kunne afbryde adgangen til den nationale infrastruktur for de enkelte Serviceaftagere som anvender Anvendersystem-leverandørens it-løsning for at sikre, at et incident begrænses til færrest muligt lokationer.
Anvendersystem-leverandør indestår for, at der i Anvendersystem-leverandørens kundevilkår optages bestemmelser, der på tydelig vis forpligter de serviceaftagere som anvender leverandørens it-løsning (herefter benævnt serviceaftagere) til at
- overholde de generelle NSP servicevilkår, samt de specifikke servicevilkår der er gældende for de services som Anvendersystem-leverandøren udbyder sin it-løsning til,
- overholde de fastlagte regler for brug af Sundhedsdatanettet1,
- varetage brugeradministration og vedligehold heraf i overensstemmelse med lovkrav og indgåede aftaler,
- sikre den fornødne netværkssikkerhed, herunder løbende opdatering af firewalls, antivirus-og anti- malwareprogrammer, og
- at rette henvendelse til Anvendersystem-leverandøren i tilfælde af formodede eller konstaterede sikkerhedsbrud med henblik på at sikre størst mulig begrænsning af skaden.
I forhold til NSP optræder den enkelte anvenderorganisation, fx apotek, tandlægepraksis m.fl. som serviceanvender. Denne forståelse anvendes i det følgende.
Adgangen til NSP, og de data og services der udbydes på NSP, etableres under forudsætning af, at de i bilag 1 nævnte Serviceaftagere har indgået databehandleraftaler med Anvendersystem-leverandøren, hvoraf det fremgår, at Anvendersystem-leverandøren (databehandler) alene handler efter instruks fra Serviceaftager (sundhedsorganisationer eller sundhedspersoner dvs. den dataansvarlige), og at reglerne i persondatalovens § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren.
Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne, og at de procedurer, der er beskrevet i bilag 2, overholdes. SDS kan på ethvert tidspunkt udbede sig databehandleraftalerne.
Adgangen etableres derfor under forudsætning af, at Anvendersystem-leverandøren ikke under nogen omstændigheder anvender oplysningerne til egne formål.
Hvis en Serviceaftager, eller dennes databehandler, ikke retter sig efter de i denne aftale udstukne retningslinjer for sikkerhed eller overtræder persondataloven, forbeholder SDS sig ret til at frakoble adgangen, indtil SDS finder at der fra Serviceaftager og Anvendersystem-leverandørs side, er betryggende sikkerhed for overholdelse af kravene. Det samme gælder, hvis der i øvrigt konstateres misbrug af adgangen.
Anvendersystem-leverandøren har ansvaret for, at bilag 1 udfyldes i overensstemmelse med de anførte krav. Bilaget skal til enhver tid være opdateret og skal sendes til SDS to gange årligt, nærmere bestemt hvert år den 1. marts og den 1. september. SDS kan dog til enhver tid kræve en komplet og opdateret liste.
Anvendersystem-leverandøren må ikke overdrage rettigheder og forpligtelse i medfør af denne aftale til tredjemand uden SDS’ forudgående skriftlige samtykke.
1 xxxx://xxxxxx.xx/xxxxxxxxxxxxxxxxx/xxxxxxxxxxxxxxx-xxx/xxxxxx-xx-xxxx-xx-xxxxxxxxx
Ændring i aftalemæssige forhold
SDS kan foretage ændringer i vilkårene for tilslutning til NSP. Ændringer i vilkår træder i kraft med minimum 6 måneders varsel, med mindre ændringerne er nødvendige at implementere hurtigere af lovgivningsmæssige eller sikkerhedsmæssige årsager, der nødvendiggør et kortere eller intet varsel.
Aftaleindgåelse
Så snart aftalen er underskrevet af Anvendersystem-leverandøren og godkendt af SDS, foretager SDS de nødvendige foranstaltninger for at Anvendersystem-leverandøren får adgang til NSP. Så snart dette er iværksat sender SDS besked via e-mail til den i aftalen angivne kontaktperson, hvorefter aftalen træder i kraft.
Aftalen kan opsiges af begge parter med 6 måneders varsel.
Kontaktdata
Normalt vil man kunne orientere sig om driftsmæssige forhold og varslinger på NSPOP Driftsstatus: xxxxx://xxx.xxxxx.xx/xxxxxxx/xxxxxxxxxxxx/Xxxxxxxxxxxx
Ved særlige driftsmæssige forhold eller kritiske incidents, kan der være behov for at kontakte Servicedesk eller ansvarligt teknisk personale hos Anvendersystem-leverandøren. I forbindelse med indgåelse af aftalen er disse kontaktdata anført på NSPOP.
Underskrift
Anvendersystem-leverandør giver med sin accept af denne aftale på NSPOP tilsagn om overholdelse af denne aftale, på vegne af de i bilag 1 oplistede modtagere af data og/eller services.
Bilag 1
Liste over de Kunder (serviceaftagere) Anvendersystem-leverandør har indgået denne aftale med Sundhedsdatastyrelsen på vegne af.
Instruks for listens indhold og opdatering:
Bilaget skal udfyldes med navn, adresse og CVRnr./autorisations-ID for samtlige Serviceaftagere (sundhedsorganisationer eller sundhedspersoner), som oplysningerne vil blive givet til.
Bilag 2
Instruks for adgangskontrol
Sikkerhedsforanstaltninger hos Serviceaftager
Betingelser for adgang
En slutbruger ved den enkelte serviceaftager har alene adgang til oplysningerne om en person når:
• Slutbrugeren har person i aktuel behandling, og
• oplysningerne er relevante som led i behandlingen
Data og Services stilles til rådighed for normal og løbende forretningsanvendelse.
Samtlige disse betingelser skal være opfyldt, og Serviceaftager skal til enhver tid kunne dokumentere, at betingelserne er opfyldt.
Adgangskontrol
Serviceaftager skal sikre behørig adgangskontrol til data og services der udbydes på NSP i overensstemmelse med følgende retningslinjer:
• Kun den slutbruger, der autoriseres hertil, skal have adgang til data og services der udbydes på NSP. Kun sundhedsorganisationen eller sundhedspersonen selv eller dennes medhjælp må autoriseres som slutbruger.
• For slutbrugere, som ikke længere har behov for de autorisationer, de har fået udstedt, skal autorisationerne straks inddrages. Det gælder f.eks. medarbejdere, som flytter til andet arbejdsområde, eller hvis ansættelsesforhold ophører.
• Der skal etableres en teknisk adgangskontrol i systemet, således at autoriserede personer skal identificere sig over for systemet for at få adgang til data og services der udbydes på NSP i overensstemmelse med krav til certifikater i relation til SOSI infrastruktur på NSP.
• Bliver slutbrugeren bekendt med, at certifikatet er blevet kompromitteret, skal den pågældende uden unødigt ophold sikre, at certifikatet spærres.
• Serviceanvender skal ved adgangskontrollen sikre sig, at den, der forsøger at få adgang, er berettiget til at foretage opslag.
• Der skal foretages registrering af alle afviste adgangsforsøg.
Der henvises i øvrigt til Datatilsynets vejledning til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning for nærmere detaljer med hensyn til krav til autorisation mv.
SDS kan føre kontrol med Serviceaftagers varetagelse af sikkerheden, herunder adgangskontrollen og ajourføring af autorisationer.