Lov- og myndighedskrav

Som aktør i sundhedsvæsenet kan man være underlagt en række forskellige krav til cyber- og informationssikkerhed. Det gælder fx anmeldelse af sundhedstjenester, indberetning af sikkerhedshændelser og udarbejdelse af databehandleraftaler.

Kontakt

Spørgsmål om informationssikkerhed E: informationssikkerhed@sundhedsdata.dk

Sundhedsdatastyrelsen har til opgave at udarbejde retningslinjer på baggrund af de nationale og internationale direktiver og krav om cyber- og informationssikkerhed på sundhedsområdet. 

Kravene til sundhedsvæsenets aktører har på forskellig vis til formål at højne og strømline arbejdet med informationssikkerhed i sundhedssektoren. 

Lov- og myndighedskrav for cyber- og informationssikkerhed i sundhedsvæsenet

  • EU’s direktiv om net- og informationssikkerhed

    Folketinget vedtog den 8. maj 2018 ’Lov om krav til sikkerhed for net- og informationssystemer inden for sundhedssektoren’. Loven implementerede EU's NIS-direktiv i den danske lovgivning for sundhedsområdet og skal bidrage til at styrke robustheden i samfundskritisk infrastruktur. 

    Anmeld væsentlig tjeneste

    Loven kræver, at alle operatører skal foretage anmeldelse af de væsentlige tjenester, de er ansvarlige for, hos Sundhedsdatastyrelsen. Væsentlige tjenester er samfundskritiske sundhedsfaglige ydelser. 

    Læs, hvornår man opfattes som operatør af en væsentlig tjeneste (PDF)

    Som operatør af en væsentlig tjeneste er man desuden forpligtiget til at indføre passende tekniske og organisatoriske sikkerhedsforanstaltninger samt at indberette visse sikkerhedshændelser.

    Anmeldelsen skal indeholde oplysninger om:

    • hvem der er operatør
    • hvilken tjeneste der er tale om
    • hvorfor tjenesten anses som væsentlig for sundhedsvæsenet.

    Med tjeneste menes selve sundhedsydelsen og ikke de it-systemer, der understøtter det sundhedsfaglige arbejde.

    Herudover skal du i anmeldelsen angive evt. underleverandører, I har indgået aftale med om drift og support af de it-løsninger, der anvendes til at understøtte sundhedsydelsen.

    Blanket til anmeldelse af væsentlig tjeneste (PDF)

    Anmeldelsesblanketten skal udfyldes og indsendes via Digital Post på borger.dk til Sundhedsdatastyrelsens Hovedpostkasse, kontakt@sundhedsdata.dk. Du kan finde vejledning til, hvordan du sender sikker mail til Sundhedsdatastyrelsen her:

    Sådan sender du sikker mail til Sundhedsdatastyrelsen

    Vejledning, der uddyber og eksemplificerer kriterierne i bekendtgørelsen, findes her: 

    Vejledning på retsinformation.dk

    Indberet sikkerhedshændelse

    Som operatør af en væsentlig tjeneste skal du lave en indberetning til myndighederne, hvis I er udsat for en sikkerhedshændelse, som har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester.
     
    Indberet en sikkerhedshændelse på virk.dk 

    Sikkerhedsforanstaltninger

    Som operatør af en væsentlig tjeneste er du forpligtiget til at indføre passende tekniske og organisatoriske sikkerhedsforanstaltninger på baggrund af en risikovurdering. 

    Tilsyn

    Sundhedsdatastyrelsen fører årligt tilsyn med implementeringen af NIS-lovgivningens krav hos sundhedsvæsenets aktører. Det foregår enten skriftligt eller ved fysisk fremmøde.

  • Fælles aftaleskabelon for databehandleraftaler i sundhedsvæsenet

    Der skal udarbejdes en databehandleraftale, når en dataansvarlig virksomhed anvender en underleverandør, som skal behandle personoplysninger efter instruks fra den dataansvarlige. Databehandlingen må udelukkende ske til at opfylde den dataansvarliges formål. Det kan eksempelvis være underleverandører til lægesystemer og andre services.

    Den nationale bestyrelse for sundheds-it har vedtaget, at der i forbindelse med indgåelse af databehandleraftaler mellem parterne i sundhedsvæsenet anvendes en fælles skabelon, som sikrer, at kravene på tværs beskrives ensartet.

    Læs mere om den nationale bestyrelse for sundheds-it

    Det er obligatorisk at bruge skabelonen ved indgåelse af databehandleraftaler på tværs af parterne i sundhedsvæsenet, dvs. når der indgår parter fra mere end et af nedenstående områder (med mindre alle parter er enige om at bruge en anden skabelon):

    • Statslige sundhedsmyndigheder
    • Regioner
    • Kommuner
    • MedCom
    • Sundhed.dk
    • Praksissektoren.

    Skabelonen består af selve databehandleraftalen samt et bilag vedr. underdatabehandlere, som anvendes, hvis der er mere end én underdatabehandler.

    Afvigelser fra skabelonen

    Databehandleraftalen er baseret på skabelon fra Datatilsynet. Bilag C (databehandlerinstruksen) er som udgangspunkt altid gældende, men hvis man har brug for yderligere at specificere krav, eller man efter gensidig aftale fraviger fra punkter i databehandleraftalen eller databehandlerinstruksen, anføres dette i bilag D til databehandleraftalen. 

    Det sker for at sikre, at aftaleteksten altid er ens, så man ikke behøver at læse hele aftalen igennem, hver gang der indgås en ny aftale på basis af skabelonen. Det er derfor ikke tilladt at lave ændringer i dokumentet, men kun at skrive i de felter, der er beregnet hertil.

    Hvis databehandleren foretager flere databehandlinger for den dataansvarlige, kan man anvende den samme aftale, men det er vigtigt, at bilag A (punkt 1-4) udfyldes med de relevante oplysninger for hver af de databehandlinger, der er omfattet af aftalen

    Aftaleskabeloner