Informasjonssikkerhet. Databehandler skal gjennom egnede organisatoriske og tekniske tiltak sørge for forsvarlig informasjonssikkerhet i sine systemer for Behandling av Personopplysninger og annen informasjon knyttet til oppdraget for Ruter. Behandlingsansvarlig kan kreve å få fremlagt gjennomførte risikovurderinger. Databehandler skal etablere og holde en oversikt over sikkerhetstiltak som risikovurderinger har avdekket behov for. Databehandler skal ha dokumenterte autorisasjonsordninger for ansatte som skal få tilgang til å behandle Personopplysninger. Databehandler må sørge for å ha forsvarlig sikring av servere, databaser og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til Personopplysninger. Det samme gjelder utskrifter og utfylte skjemaer. For å oppfylle disse kravene, har Databehandler plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal gjøres tilgjengelig for Behandlingsansvarlig. Databehandler skal ha et styringssystem. Systemet skal omfatte, men skal ikke avgrenses til, rutiner for: • Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet, herunder sikkerhetsbrudd. • Sikkerhetsrevisjon, herunder jevnlig oversendelse av rapporter fra sikkerhetsrevisjoner. • Ledelsens gjennomgang av sikkerhetsarbeidet. • Gjennomføring av årlige revisjoner av virksomheten. Avviksmelding skal skje ved at Databehandler uten unødvendig opphold melder avviket til Behandlingsansvarlig. Den Behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet, dersom dette er påkrevet. Databehandler skal bistå Behandlingsansvarlig slik at han kan ivareta sitt eget ansvar etter lov og forskrift bla ved: • Varsling av avvik, jf. punkt 5 • Bistå Behandlingsansvarlig med blant tekniske data og fakta om tjenesten ved utarbeidelse av nødvendig konsekvensanalyse og risikovurdering. • Informasjonsutveksling med Behandlingsansvarlig om nye lover og regler, praksis og annet som kan ha betydning for å oppfylle krav til god informasjonssikkerhet. Databehandler skal oppfylle øvrige krav til sikkerhetstiltak som stilles etter gjeldende personopplysningslov og GDPR art 32 og 33.
Informasjonssikkerhet. Konsulenten skal iverksette forholdsmessige tiltak for å ivareta krav til informasjonssikkerhet i forbindelse med gjennomføring av Oppdraget. Dette innebærer at Konsulenten skal iverksette forholdsmessige tiltak for å sikre konfidensialitet av Kundens data samt tiltak for å sikre at data ikke kommer på avveie. Videre skal Konsulenten iverksette forholdsmessige tiltak mot utilsiktet endring og sletting av data samt mot angrep av virus og annen skadevoldende programvare. Dersom Kunden har nærmere krav til hvorledes informasjonssikkerheten skal ivaretas fra Konsulenten side, skal Kunden angi dette i bilag 1. Konsulenten plikter å holde Kundens data atskilt fra eventuelle tredjeparters data for å redusere faren for beskadigelse av data og/eller innsyn i data. Med atskilt forstås at nødvendige tekniske tiltak som sikrer data mot uønsket endring og innsyn, er iverksatt og opprettholdt. Som uønsket endring og innsyn anses også tilgang fra ansatte hos Konsulenten eller andre som ikke har behov for informasjonen i sitt arbeid for Kunden. Dersom Kunden har nærmere krav til hvorledes Konsulenten skal ivareta kravet til atskillelses av data, skal Kunden angi dette i bilag 1. Konsulenten skal påse at leverandører av tredjepartsleveranser foretar tilstrekkelig og nødvendig sikring av Kundens data. Dersom Kunden har nærmere krav til hvorledes Konsulenten skal påse at leverandør(er) av tredjepartsleveranser foretar tilstrekkelig og nødvendig sikring av Kundens data, skal Kunden angi dette i bilag 1.
Informasjonssikkerhet. Leverandøren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger, jf. personopplysningslovens § 13. Leverandøren skal dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal på forespørsel være tilgjengelig for Xxxxxx og dennes revisorer, samt for Datatilsynet og Personvernnemnda. Leverandøren skal gjennomføre tjenesteoppdraget slik at person- og helseopplysninger forblir skjermet for innsyn både for Leverandørens personell og for andre. Dette omfatter blant annet at Leverandøren skal: • om nødvendig, informere Kunden om ytterligere opplysninger som er eller kan være tilgjengelig på eller gjennom utstyret/MTU-systemet, og som bør skjermes • om nødvendig, informere om tekniske tiltak som Kunden bør iverksette for å ivareta opplysningenes konfidensialitet, integritet og tilgjengelighet • iverksette egnede tiltak for å ivareta samme formål • informere Xxxxxx umiddelbart når oppdraget er fullført, slik at den tilgangen som er stilt til disposisjon for oppdraget kan lukkes Dersom leverandøren skal koble til eksternt lagringsmedium (USB, ekstern harddisk osv.) til utstyr eller nettverk i forbindelse med service skal sykehuset utføre antivirussjekk av lagringsmedium før dette kan benyttes til service. Dersom egen laptop benyttes, har leverandøren ansvar for at antivirusprogram på laptop fungerer og er oppdatert.
Informasjonssikkerhet. Skatteetaten skal for sine delingstjenester ivareta grunnleggende krav til informasjonssikkerhet. Konsumenten har selv ansvar for sikkerheten i egne systemer. Skatteetaten skal gjennom risikovurderinger, revisjoner og test sikre at delingstjenestene har et sikkerhetsnivå som står i samsvar med risikoen. Sikkerhet blir ivaretatt med kryptering av data, sikring av konfidensialitet, integritet og tilgjengelighet i systemer, rutiner for testing og evaluering av tekniske og organisatoriske tiltak for å opprettholde sikkerheten.
Informasjonssikkerhet. Leverandøren skal kunne dokumentere at man følger alminnelig anerkjente standarder for informasjonssikkerhet på de områder som er aktuelle etter tjenestens art.
Informasjonssikkerhet. Kunden (behandlingsansvarlig) og Regnskapsbyrået (databehandler) skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjons- sikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger som er omfattet av lov om behandling av personopplysninger. Sikkerhetstiltakene omfatter både organisatoriske, fysiske og tekniske sikkerhetstiltak. For å oppnå tilfredsstillende informasjons- sikkerhet skal avtalepartene dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda.
Informasjonssikkerhet. Databehandler skal iverksette tilfredsstillende tekniske, fysiske og organisatoriske sikringstiltak for å beskytte personopplysninger som omfattes av denne avtalen mot uautorisert eller ulovlig tilgang, endring, sletting, skade, tap eller utilgjengelighet. Databehandler skal dokumentere egen sikkerhetsorganisering, retningslinjer og rutiner for sikkerhetsarbeidet, risikovurderinger og etablerte tekniske, fysiske eller organisatoriske sikringstiltak. Dokumentasjonen skal være tilgjengelig for Behandlingsansvarlig. Databehandler skal etablere kontinuitets- og beredskapsplaner for effektiv håndtering av alvorlige sikkerhetshendelser. Dokumentasjonen skal være tilgjengelig for Behandlingsansvarlig. Databehandler skal gi egne ansatte tilstrekkelig informasjon om og opplæring i informasjonssikkerhet slik at sikkerheten til personopplysninger som behandles på vegne av Behandlingsansvarlig blir ivaretatt. Databehandler skal dokumentere opplæringen av egne ansatte i informasjonssikkerhet. Dokumentasjonen skal være tilgjengelig for Behandlingsansvarlig.
Informasjonssikkerhet. Leverandøren skal iverksette forholdsmessige tiltak for å ivareta krav til informasjonssikkerhet i forbindelse med gjennomføring av tjenesten. Dette innebærer at Leverandøren skal iverksette forholdsmessige tiltak for å sikre konfidensialitet av Oppdragsgivers data samt tiltak for å sikre at data ikke kommer på avveie. Videre skal Leverandøren iverksette forholdsmessige tiltak mot utilsiktet endring og sletting av data samt mot angrep av virus og annen skadevoldende programvare. Dersom Oppdragsgiver har nærmere krav til hvorledes informasjonssikkerheten skal ivaretas fra Leverandørens side, skal Oppdragsgiver angi dette i Vedlegg B (Kravspesifikasjon). Leverandøren plikter å holde Oppdragsgivers data atskilt fra eventuelle tredjeparters data for å redusere faren for beskadigelse av data og/eller innsyn i data. Med atskilt forstås at nødvendige tekniske tiltak som sikrer data mot uønsket endring og innsyn, er iverksatt og opprettholdt. Som uønsket endring og innsyn anses også tilgang fra ansatte hos Leverandøren eller andre som ikke har behov for informasjonen i sitt arbeid for Oppdragsgiver. Dersom Oppdragsgiver har nærmere krav til hvorledes Leverandøren skal ivareta kravet til atskillelse av data, skal Oppdragsgiver angi dette i Vedlegg B (Kravspesifikasjon). Leverandøren skal påse at leverandører av tredjepartsleveranser foretar tilstrekkelig og nødvendig sikring av Oppdragsgivers data. Dersom Oppdragsgiver har nærmere krav til hvorledes Leverandøren skal påse at leverandør(er) av tredjepartsleveranser foretar tilstrekkelig og nødvendig sikring av Oppdragsgivers data, skal Oppdragsgiver angi dette i Vedlegg B (Kravspesifikasjon).
Informasjonssikkerhet. Foretaksmøtet viste til krav i foretaksmøte i januar 2021 om informasjonssikkerhet og til Dokument 3:2 (2020–2021) Riksrevisjonens kontroll med forvaltningen av statlige selskaper i 2019 - Riksrevisjonens undersøkelse om helseforetakenes forebygging av angrep mot sine IKT- systemer. Foretaksmøtet viste videre til tidligere stilte krav om samarbeid mellom virksomhetene i det langsiktige arbeidet med å styrke informasjonssikkerheten og i arbeidet med å lukke de sårbarhetene som Riksrevisjonens undersøkelse avdekket. Foretaksmøtet viste til at sikkerhetsarbeidet i helseregionene skal støtte oppunder følgende hovedmål: • Informasjonssikkerheten skal bygge oppunder en forsvarlig helsehjelp og bidra til god pasientsikkerhet. • Arbeidet med digital sikkerhet skal bidra til motstandsdyktighet mot cyberangrep og robusthet i den digitale infrastrukturen. • Arbeidet med informasjonssikkerhet skal bidra til å ivareta krav i gjeldende lovverk, inkludert å ivareta rett til vern av privatlivet. Nasjonal sikkerhetsmyndighet (NSM) gir ut anbefalinger innen digital sikkerhet som de regionale helseforetakene skal følge, herunder NSMs grunnprinsipper for IKT-sikkerhet. Foretaksmøtet ba de regionale helseforetakene om å: - rapportere på arbeidet med de regionale handlingsplanene for det systematiske arbeidet med å styrke informasjonssikkerheten og med å lukke de sårbarhetene som Riksrevisjonens undersøkelse avdekket innen utgangen av 2022. - utarbeide en årlig rapport i samarbeid med Norsk helsenett SF om trusler, trender, sårbarheter og relevante tiltak som spesialisthelsetjenesten kan benytte i sitt arbeid med risiko- og sårbarhetsvurderinger innen 1. juni hvert år. Erfaringer fra penetrasjonstesting og portskanningstester vil være relevant. - samarbeide med HelseCERT om regionale og nasjonale kapabiliteter for å oppdage og håndtere sikkerhetshendelser, og gjennom det sørge for at hensiktsmessige kapabiliteter blir etablert for å styrke egenbeskyttelsen og regionenes samlede evne til å oppdage digitale angrep.
Informasjonssikkerhet. 6.1. Brukeren skal sikre tilgangen til sfty App og sfty Control web portal med beskyttet passord som ikke skal deles med tredjepart. Brukeren skal påse at passord lagres på en sikker og egnet måte.