Tekniske, organisatoriske og sikkerhetsmessige tiltak. Databehandler plikter å treffe og gjennomføre alle nødvendige og adekvate planlagte og systematiske tekniske, organisatoriske og sikkerhetsmessige tiltak slik at det til enhver tid er tilfredsstillende informasjonssikkerhet ved behandling av personopplysninger. Databehandleren skal: etablere og etterkomme nødvendige tekniske og organisatoriske tiltak med hensyn til vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet ved behandling av personopplysninger for å sikre tilfredsstillende informasjonssikkerhet i henhold til personvernforordningen artikkel 32. Dette omfatter blant annet, alt etter hva som er relevant, nødvendige tiltak for å forhindre tilfeldig eller ulovlig ødeleggelse eller tap av data, ikke-autorisert tilgang til eller spredning av data så vel som enhver annen bruk av personopplysninger som ikke er i overensstemmelse med denne Avtalen, og tiltak for å gjenopprette tilgjengelighet og tilgang til opplysningene ved hendelser; ha gode og hensiktsmessige internkontrollrutiner; ha rutiner for autorisasjon og styring som sikrer at bare de av Databehandlers medarbeidere som har reelt behov for tilgang til systemer og opplysningene for å ivareta nødvendige oppgaver for gjennomføring av Tjeneste/oppdragsavtalen får slik tilgang. Tilgangsnivået skal være i henhold til reelt behov knyttet til å gjennomføre oppdraget. Databehandler skal trekke tilbake tilganger dersom autorisasjonen utløper eller av andre grunner ikke lenger gjelder for personen; etablere nødvendige systemer og rutiner for å ivareta informasjonssikkerheten blant annet rutiner for avviksmelding, og skal på forespørsel gi Behandlingsansvarlig tilgang til relevant sikkerhetsdokumentasjon og systemene som benyttes for behandling av personopplysninger; avdekke, registrere, rapportere og lukke avvik knyttet til informasjonssikkerhet, herunder loggføre og dokumentere ethvert forsøk på ikke-autorisert tilgang og andre brudd på personopplysningssikkerheten i datasystemene. Slik dokumentasjon skal oppbevares hos Databehandler; ved mistanke om eller konstatering av avvik, omgående varsle Behandlingsansvarlig. I varselet opplyses avviket med forklaring om årsak, tidsrom og tidspunktet avviket ble oppdaget, kategoriene av og omtrentlig antall registrerte som er berørt, kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt, navnet på og kontaktopplysningene til personvernombudet eller et annet kontaktpunkt der mer informasjon kan innhentes, antatte konsekvenser av avviket og hvilke umiddelbare tiltak som er igangsatt eller vurderes igangsatt for å håndtere avviket; dokumentere ethvert avvik, herunder de faktiske forhold knyttet til avviket, dets virkninger og eventuelle iverksatte utbedringstiltak; omgående varsle Behandlingsansvarlig ved uautorisert utlevering av personopplysninger; registrere all autorisert og uautorisert tilgang til informasjon. Alle oppslag som gjøres skal registreres slik at de kan spores til den enkelte bruker (dvs. ansatte hos Databehandler, underleverandører og Behandlingsansvarlig). Loggene skal oppbevares til det ikke lenger antas å være bruk for dem eller i henhold til det Tjeneste/oppdragsavtalen spesifiserer;
Appears in 2 contracts
Samples: Databehandleravtale, Databehandleravtale
Tekniske, organisatoriske og sikkerhetsmessige tiltak. Databehandler plikter å treffe og gjennomføre alle nødvendige og adekvate planlagte og systematiske tekniske, organisatoriske og sikkerhetsmessige tiltak slik at det til enhver tid er tilfredsstillende informasjonssikkerhet ved behandling av helse- og personopplysninger. All behandling av Personopplysninger som er omfattet av denne Databehandleravtale skal skje i henhold til det nivå for akseptabel risiko som er fastsatt av Dataansvarlig. Databehandleren skal: etablere og etterkomme nødvendige tekniske og organisatoriske tiltak med hensyn til vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet ved behandling av helse- og personopplysninger for å sikre tilfredsstillende informasjonssikkerhet i henhold til personopplysningslovgivningens bestemmelser, herunder kravene etter personvernforordningen artikkel 32, og gjeldende helselovgivning (personvernregelverket), felles regionalt styringssystem i HSØ og foretakets interne styringssystem. Dette omfatter blant annet, alt etter hva som er relevant, nødvendige tiltak for å forhindre tilfeldig eller ulovlig ødeleggelse eller tap av data, ikke-autorisert tilgang til eller spredning av data så vel som enhver annen bruk av helse- og personopplysninger som ikke er i overensstemmelse med denne Avtalen, og tiltak for å gjenopprette tilgjengelighet og tilgang til opplysningene ved hendelser; ha Sikre helseopplysninger mot uaktsom utlevering. Tekniske tiltak skal være på plass for å forhindre at personopplysninger kan flyttes ut av sikker sone eller fra godkjent lagringssted Xxxxxxx sikkerheten ved fjerndrift av Dataansvarliges systemer. Det skal benyttes kryptert VPN-forbindelse med sperring mot samtidig tilgang til internett. Utstyr som benyttes i forbindelse med fjerntilgang skal ikke brukes av uautoriserte personer Benytte 2-nivå-autentisering dersom tilgang til Dataansvarliges systemer skjer via usikre nettverk Sikre kommunikasjon med kryptering dersom den går over usikre nettverk Ha gode og hensiktsmessige internkontrollrutiner; ha Ha rutiner for autorisasjon og styring som sikrer at bare de av Databehandlers medarbeidere som har reelt behov for tilgang til systemer og opplysningene for å ivareta nødvendige oppgaver for gjennomføring av Tjenestetjeneste/oppdragsavtalen får slik tilgang. Tilgangsnivået skal være i henhold til reelt behov knyttet til å gjennomføre oppdraget; Benytte adgangskontroll med bruk av adgangskort med personlig kode eller tilsvarende. Databehandler Tilgang til begrensede områder, eksempelvis drifts- og serverrom, skal trekke tilbake tilganger dersom autorisasjonen utløper eller av andre grunner ikke lenger gjelder være basert på reelt behov. Adgangskontroll med låste dører skal benyttes for personen; etablere følgende typer lokaler: datahall/serverrom, IT lokaler (drift/support), lokaler med IT relatert utstyr (koblingsmatriser, svitsjer/rutere) mv. Etablere nødvendige systemer og rutiner for å ivareta informasjonssikkerheten og følge opp avvik, som skal omfatte blant annet rutiner for avviksmelding, gjenoppretting av normalsituasjonen, fjerne årsaken til avviket og hindre gjentakelse. På forespørsel, skal på forespørsel Databehandler gi Behandlingsansvarlig Dataansvarlig tilgang til relevant sikkerhetsdokumentasjon og systemene som benyttes for behandling av helse- og personopplysninger; avdekkeAvdekke, registrere, rapportere og lukke avvik knyttet til informasjonssikkerhet, herunder loggføre og dokumentere ethvert forsøk på ikke-autorisert tilgang og andre brudd på personopplysningssikkerheten opplysningssikkerheten i datasystemene. Slik dokumentasjon skal oppbevares hos Databehandler; ved mistanke om eller konstatering av avvik, omgående varsle BehandlingsansvarligDataansvarlig og Dataansvarliges personvernombud. I varselet opplyses avviket med forklaring om årsak, tidsrom og tidspunktet avviket ble oppdaget, kategoriene av og omtrentlig antall registrerte som er berørt, kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt, navnet på og kontaktopplysningene til personvernombudet eller et annet kontaktpunkt der mer informasjon kan innhentes, antatte konsekvenser av avviket og hvilke umiddelbare tiltak som er igangsatt eller vurderes igangsatt for å håndtere avviket. Enhver varsling eller henvendelse til Datatilsynet skal skje gjennom Dataansvarlig; dokumentere ethvert avvik, herunder de faktiske forhold knyttet til avviket, dets virkninger og eventuelle iverksatte utbedringstiltak; omgående varsle Behandlingsansvarlig Dataansvarlig ved uautorisert utlevering av personopplysninger; registrere all autorisert og uautorisert tilgang til informasjon. Alle oppslag som gjøres skal registreres slik at de kan spores til den enkelte bruker (dvs. ansatte hos Databehandler, underleverandører og BehandlingsansvarligDataansvarlig). Loggene skal oppbevares til det ikke lenger antas å være bruk for dem eller i henhold til det Tjeneste/oppdragsavtalen spesifiserer;
Appears in 1 contract
Samples: Databehandleravtale
Tekniske, organisatoriske og sikkerhetsmessige tiltak. Databehandler plikter å treffe og gjennomføre alle nødvendige og adekvate planlagte og systematiske tekniske, organisatoriske og sikkerhetsmessige tiltak slik at det til enhver tid er tilfredsstillende informasjonssikkerhet et sikkerhetsnivå som er egnet med hensyn til risikoen ved behandling av helse og personopplysninger. Databehandleren skal, som minimum: etablere og etterkomme nødvendige tekniske og organisatoriske tiltak med hensyn til vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet ved behandling av helse- og personopplysninger for å sikre tilfredsstillende informasjonssikkerhet i henhold til personvernregelverket, herunder kravene etter personvernforordningen artikkel 32, og gjeldende helselovgivning. sikre at krav til innebygd personvern og personvern som standardinnstilling innfris i Databehandlers løsninger. Dette omfatter blant annet, alt etter hva som er relevant, nødvendige tiltak inkluderer å bygge inn funksjonalitet for å forhindre tilfeldig eller ulovlig ødeleggelse eller tap av data, ikke-autorisert tilgang til eller spredning av data så vel som enhver annen bruk av personopplysninger som ikke er i overensstemmelse med denne Avtalen, og tiltak oppfylle personvernprinsipper samt funksjonalitet for å gjenopprette tilgjengelighet og tilgang sikre den registrertes rettigheter, herunder retten til opplysningene ved hendelserbegrenset behandling; ha gode og hensiktsmessige internkontrollrutinerrutiner for internkontroll; ha rutiner for autorisasjon og styring som sikrer at bare de av Databehandlers medarbeidere som har reelt tjenstlig behov for tilgang til systemer og opplysningene for å ivareta nødvendige oppgaver for gjennomføring av Tjeneste/oppdragsavtalen får slik tilgang. Tilgangsnivået skal være i henhold til reelt tjenstlig behov knyttet til å gjennomføre oppdraget. Databehandler Det skal trekke tilbake tilganger dersom autorisasjonen utløper eller av andre grunner ikke lenger gjelder etableres sterk autentisering for personentilgang til helseopplysninger; etablere nødvendige systemer og rutiner for å ivareta informasjonssikkerheten og følge opp avvik, som skal omfatte blant annet rutiner for avviksmelding, rutiner for backup, gjenoppretting av normalsituasjonen, fjerne årsaken til avviket og hindre gjentakelse. På forespørsel, skal på forespørsel Databehandler gi Behandlingsansvarlig Dataansvarlig tilgang til relevant sikkerhetsdokumentasjon og systemene som benyttes for behandling av helse- og personopplysninger; avdekke, registrere, rapportere og lukke avvik knyttet til informasjonssikkerhet, herunder loggføre og dokumentere ethvert forsøk på ikke-autorisert tilgang og andre brudd på personopplysningssikkerheten i datasystemene. Slik dokumentasjon skal oppbevares hos Databehandler; ved mistanke om eller konstatering av avvikbrudd på personopplysningssikkerheten, omgående uten ugrunnet opphold varsle BehandlingsansvarligDataansvarlig. I varselet opplyses avviket med forklaring om årsak, tidsrom og tidspunktet avviket ble oppdaget, kategoriene av og omtrentlig antall registrerte som er berørt, kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt, navnet på og kontaktopplysningene til personvernombudet eller et annet kontaktpunkt der mer informasjon kan innhentes, antatte konsekvenser av avviket og hvilke umiddelbare tiltak som er igangsatt eller vurderes igangsatt for å håndtere avviket. Dersom og i den grad det ikke er mulig å gi all informasjon samtidig, kan den gis trinnvis uten ytterligere ugrunnet opphold; dokumentere ethvert avvik, herunder de faktiske forhold knyttet til avviket, dets virkninger og eventuelle iverksatte utbedringstiltak; omgående uten ugrunnet opphold varsle Behandlingsansvarlig Dataansvarlig ved uautorisert utlevering av personopplysninger; registrere all autorisert og uautorisert tilgang til informasjonopplysninger. Alle oppslag som gjøres skal registreres slik at de kan spores til den enkelte bruker (dvs. ansatte hos Databehandler, underleverandører og BehandlingsansvarligDataansvarlig). Loggene skal oppbevares til det ikke lenger antas å være bruk for dem eller i henhold til det Avtalen eller Tjeneste/oppdragsavtalen spesifiserer;
Appears in 1 contract
Samples: www.ehelse.no