Lov- og myndighedskrav

Som aktør i sundhedsvæsenet kan man være underlagt en række forskellige krav til cyber- og informationssikkerhed. Det gælder fx anmeldelse af sundhedstjenester, indberetning af sikkerhedshændelser og udarbejdelse af databehandleraftaler.

Kontakt

Spørgsmål om informationssikkerhed E: informationssikkerhed@sundhedsdata.dk

Sundhedsdatastyrelsen har til opgave at udarbejde retningslinjer på baggrund af de nationale og internationale direktiver og krav om cyber- og informationssikkerhed på sundhedsområdet. 

Kravene til sundhedsvæsenets aktører har på forskellig vis til formål at højne og strømline arbejdet med informationssikkerhed i sundhedssektoren. 

Lov- og myndighedskrav for cyber- og informationssikkerhed i sundhedsvæsenet

  • EU’s direktiv om net- og informationssikkerhed

    Folketinget vedtog den 8. maj 2018 ’Lov om krav til sikkerhed for net- og informationssystemer inden for sundhedssektoren’. Loven implementerede EU's NIS-direktiv i den danske lovgivning for sundhedsområdet og skal bidrage til at styrke robustheden i samfundskritisk infrastruktur. 

    Anmeld væsentlig tjeneste

    Loven kræver, at alle operatører skal foretage anmeldelse af de væsentlige tjenester, de er ansvarlige for, hos Sundhedsdatastyrelsen. Væsentlige tjenester er samfundskritiske sundhedsfaglige ydelser. 

    Læs, hvornår man opfattes som operatør af en væsentlig tjeneste (PDF)

    Som operatør af en væsentlig tjeneste er man desuden forpligtiget til at indføre passende tekniske og organisatoriske sikkerhedsforanstaltninger samt at indberette visse sikkerhedshændelser.

    Anmeldelsen skal indeholde oplysninger om:

    • hvem der er operatør
    • hvilken tjeneste der er tale om
    • hvorfor tjenesten anses som væsentlig for sundhedsvæsenet.

    Med tjeneste menes selve sundhedsydelsen og ikke de it-systemer, der understøtter det sundhedsfaglige arbejde.

    Herudover skal du i anmeldelsen angive evt. underleverandører, I har indgået aftale med om drift og support af de it-løsninger, der anvendes til at understøtte sundhedsydelsen.

    Blanket til anmeldelse af væsentlig tjeneste (PDF)

    Anmeldelsesblanketten skal udfyldes og indsendes via Digital Post på borger.dk til Sundhedsdatastyrelsens Hovedpostkasse, kontakt@sundhedsdata.dk. Du kan finde vejledning til, hvordan du sender sikker mail til Sundhedsdatastyrelsen her:

    Sådan sender du sikker mail til Sundhedsdatastyrelsen

    Vejledning, der uddyber og eksemplificerer kriterierne i bekendtgørelsen, findes her: 

    Vejledning på retsinformation.dk

    Indberet sikkerhedshændelse

    Som operatør af en væsentlig tjeneste skal du lave en indberetning til myndighederne, hvis I er udsat for en sikkerhedshændelse, som har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester.
     
    Indberet en sikkerhedshændelse på virk.dk 

    Sikkerhedsforanstaltninger

    Som operatør af en væsentlig tjeneste er du forpligtiget til at indføre passende tekniske og organisatoriske sikkerhedsforanstaltninger på baggrund af en risikovurdering. 

    Tilsyn

    Sundhedsdatastyrelsen fører årligt tilsyn med implementeringen af NIS-lovgivningens krav hos sundhedsvæsenets aktører. Det foregår enten skriftligt eller ved fysisk fremmøde.

  • Fælles aftaleskabelon for databehandleraftaler i sundhedsvæsenet

    En databehandleraftale er en lovpligtig skriftlig aftale mellem to parter – en dataansvarlig og en databehandler. Der skal laves en databehandleraftale, når en opgave overlades til en anden virksomhed eller myndighed, og der som led i opgaven indgår behandling af personoplysninger. Behandling inkluderer fx udlevering, adgang, opbevaring, sletning, arkivering og indsamling af data.

    I regi af Styregruppen for fællesoffentlig systemforvaltning af sundheds-it er der i december 2021 blevet udarbejdet en skabelon for indgåelse af fælles databehandleraftaler i sundhedsvæsenet, som kan anvendes af parterne: