Contract



29.11.2021

Cyber- og informationssikkerhed

PIHJ



Tilslutningsaftale vedr. trust på brugerstyring

Parterne

Aftalen indgås mellem


[Ekstern serviceudbyder

Adresse

Postnummer og by

CVR-nummer]


Og


Sundhedsdatastyrelsen

Xxxxxxxx Xxxxxxxxx 0

2300 København S

33257872

Aftalens omfang

Aftalen vedrører Sundhedsdatastyrelsens løsning til trustbaseret adgang til serviceudbyderens services. Sundhedsdatastyrelsens løsning omfatter en central trustbaseret brugerstyringsløsning via SEB og en decentral løsning, der bygger på webserviceadgang til serviceudbyderens løsninger. Konceptet er nærmere beskrevet i dokumentet: Etablering af trustløsninger i sundhedsvæsenet – vejledning og standardaftaler.

Adgangspolitik

Serviceudbyderen skal formulere en politik for adgang til hver af sine services. Adgangspolitikken skal fastlægge

  • Hvem må tildeles hvilke rettigheder til servicen (roller, jobfunktioner, grupper, vikarer, eksterne konsulenter m.v.)

  • Hvordan må rettigheder anvendes

  • Hvilket autenticitetssikringsniveau skal anvendes

  • Hvilke informationer om brugeren, der er nødvendige


Instruks til Sundhedsdatastyrelsen

Sundhedsdatastyrelsen udfører sin opgave efter instruks fra serviceudbyderen. Serviceudbyderen skal fastlægge krav til databehandlingen i en databehandleraftale, herunder krav til brugerstyring, logning og opfølgning. Databehandleraftalen lægges sammen med tilslutningsaftalen på NSPOP.


Serviceudbyderen skal en gang årligt i samarbejde med Sundhedsdatastyrelsen gennemgå adgangspolitikker og instrukser.


For hver service, der er dækket af denne aftale, skal serviceudbyderen udfylde bilaget ”Servicebeskrivelse”.

Sundhedsdatastyrelsens opgave

Sundhedsdatastyrelsen sikrer, at adgange kun gives i overensstemmelse med adgangspolitikken for den enkelte service.


Sundhedsdatastyrelsen varetager logning i SEB og i webservices (decentral trust), mens logning i selve servicen varetages af serviceudbyderen.


Sundhedsdatastyrelsen fører tilsyn med de lokale identitetsudbydere i henhold til Bilag 4: Tilsynskoncept.


Tilsynet består som minimum af en gennemgang af den halvårligt modtagne ledelseserklæring.


Herudover er der mellem parterne aftalt, at Sundhedsdatastyrelsen foretager følgende tilsynsaktiviteter:


Inspektioner


Andre tilsynsaktiviteter, f.eks. opfølgende spørgsmål til de lokale identitetsudbydere



Herudover er Sundhedsdatastyrelsen forpligtet til at følge op på anmeldte sikkerhedshændelser.


Parterne har pligt til uden forsinkelse af underrette hinanden ved sikkerhedshændelser, som kan påvirke modparten. Parterne har pligt til uden forsinkelse at medvirke ved afdækning samt afhjælpning af sikkerhedshændelser, f.eks. ved at gennemgå logs.

Samarbejde

Hver part er forpligtet til at udnævne kontaktpersoner samt sikre den løbende opdatering af kontaktoplysningerne. Kontaktpersonerne er parternes kontaktpunkt.


Kontaktpersoner

Kontaktperson hos serviceudbyderen

Kontaktperson hos Sundhedsdatastyrelsen

Navn


Navn


Telefonnummer


Telefonnummer


E-mail


E-mail



Ændringer

Større ændringer i en aftaleparts set up som følge af ny leverandør, ændringer i brugerstyringsløsning hos den lokale identitetsudbyder, ændringer i en serviceudbyders adgangspolitik e.l. skal varsles mindst 90 dage, inden ændringer træder i kraft. Hver part er forpligtet til at afholde udgifter til ændringer og tilpasninger i eget system.

Ikrafttrædelse

Aftalen træder i kraft, når den er underskrevet af begge parter

Misligholdelse og ansvarsforhold

Dansk rets almindelige regler om misligholdelse og misligholdelsesbeføjelser finder anvendelse i aftalen.

Såfremt en part væsentligt misligholder sine forpligtelser og ikke ophører hermed senest 10 dage efter at være blevet skriftligt anmodet herom, kan den anden part skriftligt og uden varsel hæve aftalen.

I tilfælde af alvorlige sikkerhedsbrud skal Sundhedsdatastyrelsen træffe de nødvendige foranstaltninger, f.eks. ved straks at lukke for den lokale identitetsudbyders adgang til services.

Opsigelse og ophør

Aftalen kan af hver part opsiges skriftligt til ophør med udgangen af en måned med 3 måneders varsel. Denne frist bortfalder, såfremt der er tale om misligholdelse jf. ovenfor.

Underskrift

Undertegnede bekræfter med sin underskrift at acceptere aftalens vilkår.


Dato

Dato

For Serviceudbyderen




---------------------------------------------------------

For Sundhedsdatastyrelsen




-----------------------------------------------------------

[Underskriverens navn]

[Underskriverens navn]

Sundhedsdatastyrelsen

[Myndighedens navn]

CVR:

CVR: 33257872







Bilag: Servicebeskrivelse


Servicens navn: _______________________________________

Serviceudbyder: ______________________________________

Politik for adgangsstyring

Rolle, jobfunktion, gruppe m.v.

Rettighed

Autentifikationsniveau

Oplysning om bruger






























Andre sikkerhedskrav

(Her indskrives evt. andre sikkerhedskrav, der er specifikke for servicen)

1 / 5


Document Metadata

Filed: November 29th, 2021