Lov- og myndighedskrav

Som aktør i sundhedsvæsenet kan man være underlagt en række forskellige krav til cyber- og informationssikkerhed. Det gælder fx anmeldelse af sundhedstjenester, indberetning af sikkerhedshændelser og udarbejdelse af databehandleraftaler.

Sundhedsdatastyrelsen har til opgave at udarbejde retningslinjer på baggrund af nationale og internationale krav til cyber- og informationssikkerhed på sundhedsområdet.

Kravene til sundhedsvæsenets aktører har på forskellig vis til formål at højne og strømline arbejdet med informationssikkerhed i sundhedssektoren. 

Lov- og myndighedskrav

Folketinget vedtog den 8. maj 2018 ’Lov om krav til sikkerhed for net- og informationssystemer inden for sundhedssektoren’. Loven implementerede EU's NIS-direktiv i den danske lovgivning for sundhedsområdet og skal bidrage til at styrke robustheden i samfundskritisk infrastruktur. 

Anmeld væsentlig tjeneste

Loven kræver, at alle operatører skal foretage anmeldelse af de væsentlige tjenester, de er ansvarlige for, hos Sundhedsdatastyrelsen. Væsentlige tjenester er samfundskritiske sundhedsfaglige ydelser. 

Læs, hvornår man opfattes som operatør af en væsentlig tjeneste

Som operatør af en væsentlig tjeneste er man desuden forpligtiget til at indføre passende tekniske og organisatoriske sikkerhedsforanstaltninger samt at indberette visse sikkerhedshændelser.

Anmeldelsen skal indeholde oplysninger om:

  • hvem der er operatør
  • hvilken tjeneste der er tale om
  • hvorfor tjenesten anses som væsentlig for sundhedsvæsenet.

 

Med tjeneste menes selve sundhedsydelsen og ikke de it-systemer, der understøtter det sundhedsfaglige arbejde.

Herudover skal du i anmeldelsen angive evt. underleverandører, I har indgået aftale med om drift og support af de it-løsninger, der anvendes til at understøtte sundhedsydelsen.

Blanket til anmeldelse af væsentlig tjeneste

Anmeldelsesblanketten skal udfyldes og indsendes via Digital Post på borger.dk til Sundhedsdatastyrelsens Hovedpostkasse, kontakt@sundhedsdata.dk. Du kan finde vejledning til, hvordan du sender sikker mail til Sundhedsdatastyrelsen her:

Sådan sender du sikker mail til Sundhedsdatastyrelsen

Vejledning, der uddyber og eksemplificerer kriterierne i bekendtgørelsen, findes her: 

Vejledning på retsinformation.dk

Indberet sikkerhedshændelse

Som operatør af en væsentlig tjeneste skal du lave en indberetning til myndighederne, hvis I er udsat for en sikkerhedshændelse, som har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester.
 
Indberet en sikkerhedshændelse på virk.dk 

Sikkerhedsforanstaltninger

Som operatør af en væsentlig tjeneste er du forpligtiget til at indføre passende tekniske og organisatoriske sikkerhedsforanstaltninger på baggrund af en risikovurdering. 

Tilsyn

Sundhedsdatastyrelsen fører tilsyn med implementeringen af NIS-lovgivningens krav hos operatører af væsentlige tjenester. Det foregår enten skriftligt eller ved fysisk fremmøde.

Der eksisterer ikke længere en fælles aftaleskabelon for databehandleraftaler i sundhedsvæsenet, idet Den nationale bestyrelse for sundheds-it på møde den 30. november 2023 besluttede at afskaffe den.

Datatilsynet har udarbejdet en skabelon for databehandleraftaler, som man kan tage udgangspunkt i:

Download Datatilsynets skabelon for databehandleraftaler 

Kontakt

Spørgsmål om informationssikkerhed