Dokumenter i TrinnVis

TrinnVis inneholder en mengde skreddersydde maldokumenter, som du kan utforske her. Som TrinnVis-bruker trenger du ikke å forholde deg til alle sammen, fordi systemet filtrerer og tilpasser dokumentene til din virksomhet.

Prøv TrinnVis gratis

Avtale om tilgang til dataanlegget

Avtale mellom [virksomhetens navn, organisasjonsnummer] og [leverandørens navn, organisasjonsnummer] om tilgang til dataanlegget

1) Beskrivelse av leveransen:
[Under dette punktet beskrives de varer og tjenester som skal leveres. Stryk og legg til i listen nedenfor. Dersom det er snakk om en leverandør av sikkerhetstjenester, skal det spesifiseres hvilke sikkerhetsoppgaver som inngår og ansvarforholdene for disse. I stedet for selv å beskrive leveransen, kan det være lurt å be leverandøren lage en løsningsbeskrivelse basert på din kravspesifikasjon. Under dette punktet kan det også være aktuelt å referere til risikovurdering av løsningen.]

  • Maskinvare
  • Elektronisk pasientjournal (EPJ) med evt. tilleggsmoduler som regnskapsprogram og kommunikasjonsprogram
  • Annen programvare
  • Installasjon, vedlikehold, oppdatering og feilretting knyttet til maskin- og programvare levert av leverandøren
  • Gjennomføring av backuprutine [beskriv rutinen her, eller henvis til vedlegg]
  • Oppdatering av programvare for elektronisk pasientjournal, kommunikasjonsmodul, antivirus, operativsystem (inklusive løpende servicepack og sikkerhetsoppdateringer), skanner etc.
  • Registerkontroll
  • Feilsøking på server
  • Kontroll av logg for sikkerhetskopi. Serveren blir satt opp til å sende disse automatisk til leverandør via telenettet daglig.
  • Sjekk av logg generert av operativsystem (hendelseslogg) på server. Serveren blir satt opp til å sende disse automatisk til leverandør via telenettet ukentlig eller ved alarmtilstand.
  • Feilretting på anmodning dersom systemet ved registerkontroll melder feil hos bruker.
  • Kontroll av teknisk status for usignerte data og timebok/indeksering av data ved feilstatus.
  • Legge inn nye signaturer på anmodning fra bruker.
  • Endre/etablere betingelser for rettigheter og tilgang til informasjon og funksjoner for enkeltbruker.
  • Systemkonfigurasjon og optimalisering av ressurser på server.
  • Sette opp og endre timebøker på anmodning fra bruker.
  • Gjenoppretting av systemet fra backup ved for eksempel maskinhaveri. Oppgaven krever assistanse fra personell på Legehuset.
  • Logisk konfigurering av nettverk, skanner og skriver i forhold til EPJ
  • Kontrollere elektronisk kommunikasjon mot øvrige partnere innen helsetjenesten
  • Drift av sikkerhetsutstyr som brannmurer og rutere

2) For å sikre stabil drift på anlegget og ivaretakelse av informasjonssikkerheten rundt de sensitive helse- og personopplysninger som behandles ved Legehuset, må leverandøren kunne gi råd og praktisk hjelp. For at hjelpen skal bli effektiv og tilgjengeligheten og integriteten sikres, vil leverandøren få anledning til å logge seg på Legehusets dataanlegg via online tilkobling eller fysisk oppmøte.

3) Leverandøren skal ikke logge seg på Legehusets dataanlegg uten at personale fra Legehuset har bedt om det i hvert enkelt tilfelle. Unntak er avtalt overvåking/lesing av faste logger. Det skal kun gis tilgang til de enheter hvor det er behov og kun utføres de oppgaver det er bedt om. All tilgang skal skje under overvåking fra Legehusets personale. Leverandørens personale har ikke nøkler til Legehuset, men må gis fysisk adgang av Legehusets personale. Alternativt kan Legehuset aktivt åpne online forbindelsen som gir leverandøren anledning til fjernsupport på hovedserver ved Legehuset.

4) Leverandøren skal alltid legge igjen skriftlig prosarapport om utført arbeid i eget elektronisk dokument på Legehuset. Dette skal være i en form og et språk som er forståelig for Legehuset og evt andre IKT-konsulenter som måtte komme inn i saken senere.

5) Leverandøren skal som hovedregel kun utføre maskinelle operasjoner og ikke arbeide med selve personopplysningene. I de unntakstilfeller hvor leverandøren, etter Legehusets tydelige bestilling, må hjelpe til med feilsituasjoner som innebærer manuelle behandlinger av personopplysninger, skal opplysningene ikke utleveres til annen part. Videre skal kopi av data med personopplysninger ikke oppbevares hos leverandør etter utført oppdrag, men umiddelbart returneres til Legehuset eller slettes.

6) Leverandørens arbeid skal ikke i seg selv redusere tilgjengelighet til helse- og personopplysninger som reduserer virksomhetens oppgavebehandling.

7) Ansatte fra leverandøren skal ikke benytte tilgangen til å skaffe seg innsyn i opplysninger utover det som er nødvendig for leveransen.

8) Leverandørens ansatte, som logger seg på Legehusets dataanlegg, har samme taushetsplikt som helsepersonell (særlig § 21 i helsepersonelloven) om alle opplysninger om Legehusets pasienter, som vedkommende skulle få kjennskap til. Taushetsplikten omfatter dessuten informasjon med betydning for sikkerheten, herunder informasjonssikkerheten, på Legehuset. Før leverandørens ansatte gis adgang til Legehusets dataanlegg skal de ha undertegnet taushetserklæring. På dette punkt står leverandøren på vegne av sine ansatte med denne avtale ansvarlig overfor Legehuset. Leverandøren har ansvar for at slike taushetserklæringer undertegnes av ansatte og oppbevares hos leverandøren.
Leverandøren plikter å sørge for at taushetserklæringer formuleres slik at de avspeiler hele den ovennevnte taushetsforpliktelse.

9) Leverandøren skal tilfredsstille krav til informasjonssikkerhet i personopplysningsloven § 13 og personopplysningsforskriften kap. 2. Videre skal leverandøren etterleve «Norm for informasjonssikkerhet i helsesektoren» i forhold til databehandlingsansvarliges plikter med henblikk på sikkerhetsrevisjoner og avviksbehandling.

10) Legekontoret kan til enhver tid kreve dokumentasjon fra eller revisjon hos leverandøren for at leverandøren overholder alle relevante krav til sikkerhet i personopplysningsforskriften kap 2. Dessuten kan Legehuset til enhver tid kreve dokumentasjon fra leverandøren for at leverandøren overholder sine øvrige plikter etter denne avtalen, herunder plikter i medhold av punkt 5. Leverandøren bærer kostnader for revisjon.

11) Samvirkende avviksrutine: Hvis leverandøren oppdager feilsituasjoner skal leverandøren alltid umiddelbart melde fra til Legehuset ved kvalitetssansvarlig. Hvis Legehuset oppdager avvik skal det meldes til leverandør, hvis endring i leverandørs produkt er nødvendig for å unngå lignende feil i fremtiden.

12) Følgende lover og forskrifter er vedlagt og lest:
• Lov om helsepersonell §21
• Personopplysningslovens § 13
• Personopplysningsforskriften kap 2

13) Sikkerhetsdokumentasjon ved fjernaksess:
Vedlagt er leverandørens beskrivelse av online support som en sikker løsning og hvordan dette er konfigurert. Leverandørens utstyr som benyttes ved online oppkobling vha nettet eller medbrakt utstyr som knyttes til virksomhetens utstyr, skal ikke ha ondsinnet programvare med virus e. l. Dette utstyr skal ikke være knyttet til andre nett.

14) IKT-prosjekter (pilotering)
[Dersom avtalen omfatter at leverandøren prøver ut nye løsninger i datasystemet, bør det stilles særlige krav til gjennomføringen her. TrinnVis har et forslag til retningslinjer for IKT prosjekter/pilotering som kan tjene som utgangspunkt. Se Retningslinjer: IKT prosjekter/pilotering.]

15) Dersom leverandøren behandler helse- og personopplysninger fra flere virksomheter skal leverandøren ivareta, via tekniske tiltak som ikke kan overstyres av brukerne:
• at det er etablert nettverksmessige skiller mellom virksomhetene
• at det er etablert databasemessige tekniske skiller mellom virksomhetene
• at ingen andre enn virksomheten selv har tilgang til opplysningene

16) Konsekvenser av avtalebrudd
[Her kan det være aktuelt å utforme et eget vedlegg som definerer økonomisk dekning av skade en part påføres, dagbøter for uteblitt leveranse etc.]
[sted og dato]
[leverandørens navn og signatur]
[virksomhetens navn og signatur]

Vi bruker informasjonskapsler (cookies) på trinnvis.no for å forbedre brukeropplevelsen, for eksempel slik at du kan slippe å se denne meldingen neste gang du besøker oss.