Krav til informasjonssikkerhet. Operatør skal behandle Ruters data og personopplysninger, som beskrevet i punkt 12 og 13, slik at data ikke blir manipulert eller kommer på avveie. Dette gjelder også for Operatørs underleverandører. Operatør er ansvarlig for at det foreligger oppdatert risikovurdering, og at det til enhver tid blir gjennomført egnede tekniske og organisatoriske tiltak slik at man til enhver tid tar hensyn til sikkerhetsrisikoen. Oppdragsgiver kan kreve å få fremlagt risikovurderingene som er utført og tiltak som er iverksatt. Operatør skal holde seg informert om og overholde de til enhver tid gjeldende relevante lover, forskrifter, enkeltvedtak, pålegg og annet rettslig rammeverk med betydning for utførelse av Oppdraget. Operatør skal i rett tid innhente og opprettholde de godkjennelser og tillatelser som er nødvendig for utførelsen av Oppdraget, herunder relevante løyver for egen virksomhet og sjåfører med videre. Enhver kostnad forbundet med dette punkt skal dekkes av Operatør med mindre annet fremgår uttrykkelig av kontrakten.
Krav til informasjonssikkerhet. Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningsloven §§ 13-15 med forskrifter. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel. Databehandler skal på forespørsel fra behandlingsansvarlig bistå og stille seg til disposisjon for at behandlingsansvarlig skal kunne foreta sikkerhetsrevisjoner for systemer og rutiner, og andre kontrolltiltak relevant for oppfyllelsen av partenes rettslige plikter i henhold til denne avtale, hos databehandler.
Krav til informasjonssikkerhet. 11.3.1.1 Operatøren skal behandle Ruters data og personopplysninger, som beskrevet i punkt 11.1 og 11.2, slik at data ikke blir manipulert eller kommer på avveie. Dette gjelder også for Operatørens underleverandører.
Krav til informasjonssikkerhet. Begge parter skal til enhver tid tilfredsstille krav til personopplysningsloven samt personvernforordningen. Kvalitetslaboratorium for psykoterapi, OUS er ansvarlig for å sikre at all behandling av helse- og personopplysninger som er omfattet av denne avtalen utføres i samsvar med gjeldende avtale. Som en del av dette skal Kvalitetslaboratorium for psykoterapi legge fram risikovurderinger av egen sikkerhet. Det forutsettes at Kvalitetslaboratorium for psykoterapi har definert sikkerhetsmål, - organisering og ansvar i samsvar med personopplysningsloven og at dette følges opp med nødvendig internkontrollsystem. Sikkerhetsbrudd eller mistanke om sikkerhetsbrudd, skal umiddelbart rapporteres til Personvernombudet ved OUS og innsenders foretak. Kvalitetslaboratorium for psykoterapi, OUS skal ha klare rutiner for logging av feil og avvik i systemer som brukes til å behandle helseopplysninger, og som er omfattet av denne avtalen. Dersom det avdekkes slike feil eller avvik, skal Kvalitetslaboratorium for psykoterapi så snart som mulig varsle Dataansvarlig om dette. Kvalitetslaboratorium for psykoterapi skal i et slikt tilfelle straks igangsette tiltak for å minimere mulig skade for Dataansvarlig. Kvalitetslaboratorium for psykoterapi skal ha klare rutiner for oppfølging av ansatte som urettmessig tilegner seg helseopplysninger, jf. helseregisterloven § 18. Dataansvarlig kan til enhver tid kreve dokumentasjon hos Kvalitetslaboratorium for psykoterapi, OUS for å forsikre seg om at Kvalitetslaboratoriet overholder alle relevante krav i helseregisterloven og personopplysningsloven vedrørende informasjonssikkerhet. Dataansvarlig kan kreve tilgang til Kvalitetslaboratorium for psykoterapi sine årsrapporter, prosedyrer og rutiner.
Krav til informasjonssikkerhet. Databehandleren skal sikre at all behandling av helse-‐ og personopplysninger som er omfattet av denne avtalen utføres i samsvar med akseptabelt risikonivå definert av Behandlingsansvarlig. Se TSDs hjemmesider for risikovurdering og systembeskrivelse
Krav til informasjonssikkerhet. Følgende lover med forskrifter gir føringer og krav til informasjonssikkerhet: Følgende lover/forskrifter har relevans for denne anskaffelsen og leverandøren skal beskrive hvordan han ivaretar disse gjennom sin løsning: ▪ Lov om helseregistre og behandling av helseopplysninger (Helseregisterloven) ▪ Lov om helsepersonell m.v. (Helsepersonelloven) ▪ Lov om behandling av personopplysninger (Personopplysningsloven) Fysisk sikkerhet • I områder uten fysisk sikring (adgangskontroll, låsbare rom) skal alt utstyr som tilkoples nettet autentiseres før tilkopling til nettverket, alternativt vil utstyret bli å betrakte som tilknyttet i åpen sone. (usikret sone). • Utstyr som plasseres i kommunikasjonsrom vil bli plassert i låsbare skap adskilt pr. driftsområde. • Tilgang til kommunikasjonsrom vil kunne gis i følge med autorisert personell, eller etter nærmere avtale. • Enkelte rom / områder / kabelgater etc vil kunne ha spesielle krav til sikring (brannsoner, brannslukking, branndeteksjon, ikke vannrør i tak, EMP-sikring, mv). • Tilgang til utstyret og tilhørende nettverkspunkter skal fysisk sikres, dvs. beskyttes av adgangskontroll eller annen fysisk sikring (låsbare rom/skap). • Utstyr skal autentiseres. • Utstyret må fysisk sikres og autentiseres (ie. fysisk adgangskontroll for tilgang til utstyret eller plassering i låsbare rom/skap), og brukere må logge på med sterk autentisering. Nytt logistikksystem sterilsentralene K Bilag 1 Kundens kravspesifikasjon Nettverks- sikkerhet • Etablering av ulike sikkerhetssegmenter innenfor sykehusområdet. • Innenfor hver sone skilles det mellom bruker soner (brukerutstyr/klientutstyr) og tjeneste soner (Servere). • Alt brukerutstyr som tilkoples skal autentiseres før bruk (802.1x). • I trådløse nett etableres kun standardiserte sikkerhetsløsninger (802.1x). • All tilgang til Internett skal skje via Sykehuspartner sin Internettløsning. • Fjernaksess via Internett for leverandører tillates kun mot spesifikke logiske nett. • Definerte aktiviteter skal loggføres til en skrivebeskyttet logg. • Servere plasseres i Interne tjeneste soner. • Avhengig av brukerutstyrets egenskaper og funksjoner vil utstyret bli lokalisert til ulike interne bruker soner. • Generelt brukerutstyr skal kunne benyttes mot ulike tekniske anlegg og systemer. • Stasjonært utstyr som lagrer sensitive personopplysninger må enten plasseres i Sikre tjenestesoner eller ”lagringsenheten” på enheten må krypteres i henhold til gitte krav. • Mobilt utstyr som lagrer se...
Krav til informasjonssikkerhet. Kundens krav Leverandørens svar
Krav til informasjonssikkerhet. NHN plikter å tilby produkter og tjenester i samsvar med den til enhver tid gjeldende versjon av Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen), og på forespørsel gi innsyn i NHNs oppfyllelse av kravene i Normen. NHN plikter å ivareta krav til informasjonssikkerhet i tråd med gjeldende lovgivning.
Krav til informasjonssikkerhet. Personopplysninger som frilanstolken behandler på vegne av NAV skal holdes forsvarlig adskilt fra annen informasjon i frilanstolkens informasjonssystemer. Frilanstolken skal ha tilfredsstillende sikring på de løsninger som benyttes, slik at uvedkommende ikke får tilgang til opplysningene. Frilanstolkens informasjonssystemer (mobiltelefon, nettbrett, PC eller lignende) skal være beskyttet med personlig passord/kode for innlogging eller ha annen tilgangsstyring. Avviksmelding etter personopplysningsforskriften § 2-6 skal skje ved at frilanstolken melder avviket til NAV. Det gjelder alle hendelser som bryter med, eller kan bryte med, personvernet eller hvor personopplysninger som behandles på vegne av NAV på en eller annen måte er kommet uvedkommende i hende. NAV har ansvaret for at avviksmelding sendes til Datatilsynet.