Lov- og myndighedskrav

Som aktør i sundhedsvæsenet kan man være underlagt en række forskellige krav til cyber- og informationssikkerhed. Det gælder fx anmeldelse af sundhedstjenester, indberetning af sikkerhedshændelser og udarbejdelse af databehandleraftaler.

Kontakt

Spørgsmål om informationssikkerhed E: informationssikkerhed@sundhedsdata.dk

Sundhedsdatastyrelsen har til opgave at udarbejde retningslinjer på baggrund af de nationale og internationale direktiver og krav om cyber- og informationssikkerhed på sundhedsområdet. 

Kravene til sundhedsvæsenets aktører har på forskellig vis til formål at højne og strømline arbejdet med informationssikkerhed i sundhedssektoren. 

Lov- og myndighedskrav for cyber- og informationssikkerhed i sundhedsvæsenet

  • EU’s direktiv om net- og informationssikkerhed

    Folketinget vedtog den 8. maj 2018 ’Lov om krav til sikkerhed for net- og informationssystemer inden for sundhedssektoren’. Loven implementerede EU's NIS-direktiv i den danske lovgivning for sundhedsområdet og skal bidrage til at styrke robustheden i samfundskritisk infrastruktur. 

    Anmeld væsentlig tjeneste

    Loven kræver, at alle operatører skal foretage anmeldelse af de væsentlige tjenester, de er ansvarlige for, hos Sundhedsdatastyrelsen. Væsentlige tjenester er samfundskritiske sundhedsfaglige ydelser. 

    Læs, hvornår man opfattes som operatør af en væsentlig tjeneste (PDF)

    Som operatør af en væsentlig tjeneste er man desuden forpligtiget til at indføre passende tekniske og organisatoriske sikkerhedsforanstaltninger samt at indberette visse sikkerhedshændelser.

    Anmeldelsen skal indeholde oplysninger om:

    • hvem der er operatør
    • hvilken tjeneste der er tale om
    • hvorfor tjenesten anses som væsentlig for sundhedsvæsenet.

    Med tjeneste menes selve sundhedsydelsen og ikke de it-systemer, der understøtter det sundhedsfaglige arbejde.

    Herudover skal du i anmeldelsen angive evt. underleverandører, I har indgået aftale med om drift og support af de it-løsninger, der anvendes til at understøtte sundhedsydelsen.

    Blanket til anmeldelse af væsentlig tjeneste (PDF)

    Anmeldelsesblanketten skal udfyldes og indsendes via Digital Post på borger.dk til Sundhedsdatastyrelsens Hovedpostkasse, kontakt@sundhedsdata.dk. Du kan finde vejledning til, hvordan du sender sikker mail til Sundhedsdatastyrelsen her:

    Sådan sender du sikker mail til Sundhedsdatastyrelsen

    Vejledning, der uddyber og eksemplificerer kriterierne i bekendtgørelsen, findes her: 

    Vejledning på retsinformation.dk

    Indberet sikkerhedshændelse

    Som operatør af en væsentlig tjeneste skal du lave en indberetning til myndighederne, hvis I er udsat for en sikkerhedshændelse, som har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester.
     
    Indberet en sikkerhedshændelse på virk.dk 

    Sikkerhedsforanstaltninger

    Som operatør af en væsentlig tjeneste er du forpligtiget til at indføre passende tekniske og organisatoriske sikkerhedsforanstaltninger på baggrund af en risikovurdering. 

    Tilsyn

    Sundhedsdatastyrelsen fører årligt tilsyn med implementeringen af NIS-lovgivningens krav hos sundhedsvæsenets aktører. Det foregår enten skriftligt eller ved fysisk fremmøde.

  • Fælles aftaleskabelon for databehandleraftaler i sundhedsvæsenet

    Der skal udarbejdes en databehandleraftale, når en dataansvarlig virksomhed videresender data til en underleverandør, som skal behandle data efter instruks fra den dataansvarlige og udelukkende til at opfylde den dataansvarliges formål. Det kan eksempelvis være underleverandører til lægesystemer og andre services.

    Den nationale bestyrelse for sundheds-it har vedtaget, at der i forbindelse med indgåelse af databehandleraftaler mellem parterne i sundhedsvæsenet anvendes en fælles skabelon, som sikrer, at kravene på tværs beskrives ensartet.

    Læs mere om den nationale bestyrelse for sundheds-it

    Det er obligatorisk at bruge skabelonen ved indgåelse af databehandleraftaler på tværs af parterne i sundhedsvæsenet, dvs. når der indgår parter fra mere end et af nedenstående områder (med mindre alle parter er enige om at bruge en anden skabelon):

    • Statslige sundhedsmyndigheder
    • Regioner
    • Kommuner
    • MedCom
    • Sundhed.dk
    • Praksissektoren.

    Skabelonen består af selve databehandleraftalen, en databehandlerinstruks og en underdatabehandleraftale.

    Afvigelser fra skabelonen

    Indholdet af databehandleraftalen og databehandlerinstruksen ligger fast, bortset fra afsnit 17 i databehandleraftalen. Hvis man har brug for yderligere at specificere krav, eller man efter gensidig aftale fraviger fra punkter i databehandleraftalen eller databehandlerinstruksen, anføres dette under de respektive afsnit i afsnit 17 og ikke i selve teksten i aftalen eller instruksen. 

    Det sker for at sikre, at aftaleteksten altid er ens, så man ikke behøver at læse hele aftalen igennem, hver gang der indgås en ny aftale på basis af skabelonen. Det er ikke tilladt at lave ændringer i dokumentet.

    Hvis databehandleraftalen omfatter flere databehandlinger, kan man anvende skabelonen for afsnit 17 til at beskrive databehandlinger ud over den, der indgår i selve aftaleskabelonen.

    Aftaleskabeloner