SÄKERHETSBILAGA FÖR TJÄNSTEPRODUCENTER

Relevanta dokument
RIKSDAGENS SVAR 95/2004 rd

BILAGA OM BEHANDLINGEN AV PERSONUPPGIFTER

REDOGÖRELSE FÖR SKYDDET AV UPPGIFTER

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

ANVÄNDNING AV E-POST INOM SOCIALVÅRDEN

Utöver de allmänna leveransvillkoren för Kanta-tjänsterna följs denna tjänstebeskrivning vid leverans och användning av Recept-tjänsten.

Datasäkerhetspolicy för verksamhetsenheter inom social- och hälsovården

Sjundeå kommun, småbarnspedagogiska tjänster Parkstigen 1, Sjundeå

Personuppgiftsbiträdesavtal

Allmänna avtalsvillkor för Fastighetsdatatjänsten

Kontaktperson: Servicechefen för slutenvård och serviceboende Social- och hälsovårdsväsendet PB 43, KARLEBY (växel)

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

PERSONUPPGIFTSBITRÄDESAVTAL

Dataskyddsbeskrivning: Tehys medlemsregister

KUNDREGISTER FÖR ESBO, GRANKULLA, HELSINGFORS OCH VANDA STADSBIBLIOTEKS HELMET- BIBLIOTEK 5 REGISTRETS SYFTE OCH GRUNDEN FÖR DESS UPPRÄTTHÅLLANDE

Intressentgruppstestning av inkomstregistret

JUHTA Delegationen för informationsförvaltningen inom den offentliga förvaltningen

1. Registrets namn Patientregister för Kronoby hälso- och sjukvård Abilita

Villkor för kommunens användning av GeoVy och behandling av personuppgifter för Lantmäteriets räkning

Avtal om anslutning till och användning av Kanta-tjänsterna

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

Personuppgiftsbiträdesavtal

1/7. Mitt resekort. Användarvillkor för tjänsten

Bilaga Personuppgiftsbiträdesavtal

Dokumentering. Mona Granholm Tammerfors

Bruksvillkor för elektroniska konsumenttjänster

vid Geritrim vård- och rehabiliteringsenhet

Allmänna villkor Version: Allmänna Villkor

GDPR dataskydd. vid Alandica Kultur & Kongress. (för personal, kunder och samarbetspartners)

Bilaga 1a Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

ANVÄNDARVILLKOR FÖR SKATTEFÖRVALTNINGENS OCH INKOMSTREGISTRETS GRÄNSSNITTSTJÄNSTER

PERSONUPPGIFTSBITRÄDESAVTAL. ("Personuppgiftsbiträdesavtalet")

PERSONUPPGIFTSBITRÄDESAVTAL

Datum AVTALSVILLKOR VID LÅN AV DATORUTRUSTNING. 1 Allmänna villkor

Datasekretessbeskrivning Informationshanteringstjänsten

KONCERNSEKRETESSAVTAL

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

PERSONUPPGIFTSBITRÄDESAVTAL

Tjänsten Patientdataarkivet

Ärende Avtal om sakkunnigtjänsten ( ) inom forsknings- och utredningsverksamheten

Diarienummer A Säkerhetsöverenskommelse 1 (12) PARTERNA I ÖVERENSKOMMELSEN. Ålands polismyndighet (nedan Beställaren )

AVTAL. om gemensamt personuppgiftsansvar för gemensamt låntagarregister

Datasekretessbeskrivning Receptarkivet

BILAGA Personuppgiftsbiträdesavtal

AVTAL FÖR ADVITUMS DOKUMENTPORTAL

Allmänna AVTAL villkor Kundnamn Orgnummer

Dataskyddsenkät /2018. Kanta-tjänster Dataombudsmannens byrå Institutet för hälsa och välfärd

BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1

INFORMATIONSSKRIFT OM BEHANDLING AV PERSONUPPGIFTER LEVERANTÖRER, UNDERLEVERANTÖRER OCH SAMARBETSPARTNERS

5.3 Eleven ansvarar själv för att data som lagras i Datorutrustningen säkerhetskopieras.

Folksams Kundportal för privatkunder

Dataskyddsbeskrivning över Työplus Oy:s klientuppgifter

"GÖR DET SJÄLV" KONTROLL AV DATASKYDDET OCH - SÄKERHETEN

Föreskrift om grunderna för specifikation av åtkomsträttigheter till klientuppgifter inom socialvården

Personuppgiftsbiträdesavtal

Bilaga 1: Personuppgiftsbiträdesavtal 1/10

Personuppgiftsbiträde

Föreskrift om intyg och utlåtanden som ska utlämnas till aktörer utanför hälso- och sjukvården med hjälp av riksomfattande informationssystemtjänster

HARTWALL CAPITAL OY AB:S DATASKYDDSPOLICY I FRÅGA OM PERSONUPPGIFTSREGISTER ÖVER ARBETSSÖKANDE, SAMARBETSPARTNER OCH PORTFÖLJBOLAG

Säkerhetsskyddsavtal

Statsrådets förordning

AFA Försäkrings kundwebb

Bilaga b, (Användaravtal Nyps) Personuppgiftsbiträdesavtal

BEHANDLING AV PERSONUPPGIFTER MED DEN BERÖRDAS SAMTYCKE

Europeiska unionens officiella tidning. (Icke-lagstiftningsakter) FÖRORDNINGAR

DATATILLSTÅND dnro 377/410/17 1 (8) Ändringsdatatjänst. Taktillstånd

Bilaga - Personuppgiftsbiträdesavtal

DATASKYDDSBESKRIVNING Personuppgiftslagen (523/99) 10 och 24

Ansökan om godkännande som producent av service mot servicesedel inom öppenvårdstjänster för frontveteraner i hemmet; kriterierna för godkännande

Dataskyddsbeskrivning

Avtalsvillkor för IT-upphandlingar inom den offentliga förvaltningen

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

Ramavtal avseende tillhandahållande av information om vårdcentraler

Användningsvillkor för Vasa stads kollektivtrafiks Waltti-nätbeställningstjänst och Waltti webbshop

Riktlinjer för Informationssäkerhet

Allmänna Villkor Punkt 1-17 Publicerad 1 April 2012 Uppdaterad 7 Januari 2013 Uppdaterad 1 Mars 2013 Punkt Punkt 18 Publicerad 1 Augusti 2013

HEIDELBERG SVERIGE AB ALLMÄNNA VILLKOR FÖR ANVÄNDNING AV WEBBPLATS/ON-LINE SHOP

Folksams Kundportal för företagskunder

1 Uppgifter som ska antecknas i en dokumentförteckning:

2 REGISTERUPPRÄTTHÅLLARE

Säkerhetsföreskrifter Gäller från och med

BEHANDLINGEN AV PERSONUPPGIFTER I VÄGLAGET Väglaget är skyldigt att iaktta EU:s allmänna dataskyddsförordning (GDPR) i behandlingen av personuppgifter

INTEGRITETSPOLICY FÖR ENERVENT OY:S WEBBPLATS

PERSONUPPGIFTSBITRÄDESAVTAL

Esbo stad Informationssäkerhetspolicy

Postadress: PB 18, Helsingfors Huvudsakligt verksamhetsställe: Bryggerigatan 2 A, Helsingfors Kundtjänst: Brädgårdsgatan 10, Helsingfors

Dataskyddsmeddelande för kommunikation och evenemang vid Aalto-universitetet

DATASKYDDSBESKRIVNING 5/2018 kombinerad registerbeskrivning och informeringshandling. Europaparlamentets och rådets förordning (EU) 2016/679

I de fall vi har utsett ett dataskyddsombud (DPO) kan du kontakta vår DPO via kontaktuppgifterna som finns i "Frågor och funderingar" nedan.

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Modellavtal 2. Personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Huvudsakligt innehåll

RAMAVTAL FÖR JURIDISKA TJÄNSTER

Tillägg om Zervants behandling av personuppgifter

EU:s allmänna dataskyddsförordning

Dataskyddsmeddelande Tjänst för digital förvaring (digitalt arkiv för ursprungligen digitalt material)

SVERIGES ADVOKATSAMFUNDS GRANSKNINGSRAPPORT FÖR ADVOKATBYRÅER

Transkript:

Säkerhetsbilaga 1(9) SÄKERHETSBILAGA FÖR TJÄNSTEPRODUCENTER

Säkerhetsbilaga 2(9) 1. DEFINITIONER... 3 2. DOKUMENT SOM SKA TILLSTÄLLAS THL... 3 3. SÄKERHETSBILAGANS BAKGRUND OCH SYFTE... 4 4. KONFIDENTIALITET OCH SEKRETESS... 4 5. TILLTRÄDE TILL LOKALER... 5 6. TILLGÅNG TILL SYSTEM OCH UPPGIFTER... 5 7. INFORMATIONSSÄKERHET... 6 8. SAMARBETSPARTNER... 7 9. KONTROLLER OCH RAPPORTERING... 8 10. ÄNDRINGAR I SÄKERHETSBILAGAN... 9 11. SÄKERHETSBILAGANS GILTIGHET OCH ÅTERLÄMNANDE AV UPPGIFTER... 9

Säkerhetsbilaga 3(9) 1. DEFINITIONER 1.1. Tjänster avser tjänster som THL och Tjänsteproducenten har avtalat om i Ramavtalet. Det som i denna Säkerhetsbilaga anges om Tjänster tillämpas i tillämpliga delar även på upphandling av tjänster eller varor i anslutning till produktionen av Tjänsterna. 1.2 Ramavtal avser det avtal mellan Tjänsteproducenten och THL genom vilket avtalsparterna har avtalat om ordnandet av Skyddshemstjänster. 1.3 Med Sekretessbelagda uppgifter avses alla sådana uppgifter i dokumentform eller annan form som tillhör THL och som THL har överlåtit till Tjänsteproducenten eller som innehas eller produceras av Tjänsteproducenten, och som ska vara sekretessbelagda enligt lagen om offentlighet i myndigheternas verksamhet (621/1999, nedan offentlighetslagen ), lagen om klienthandlingar inom socialvården (254/2015, nedan klienthandlingslagen ), lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007) eller enligt annan lagstiftning, och som THL har angett eller meddelat är sådana uppgifter eller som Tjänsteproducenten kände till eller borde ha känt till är sådana uppgifter. Även uppgifter som avses i offentlighetslagen, men som ännu inte ingår i ett offentligt dokument, anses vara sekretessbelagda uppgifter. Dessutom anses alla personuppgifter som THL har överlåtit eller överfört till Tjänsteproducenten vara sekretessbelagda uppgifter. Uppgifter som är offentligt tillgängliga eller som Tjänsteproducenten har fått kännedom om på laglig väg av en tredje part som inte omfattas av skyldigheten att iaktta sekretess, anses inte vara sekretessbelagda uppgifter. 1.4 Säkerhetsbilaga avser detta dokument med bilagor. 1.5 Lokaler avser Tjänsteproducentens eller dess Samarbetspartners lokaler där sekretessbelagda uppgifter förvaras, används eller på annat sätt hanteras. 1.6 Samarbetspartner avser en aktör enligt 25 i klienthandlingslagen eller annan aktör som Tjänsteproducenten anlitar vid hanteringen av sekretessbelagda uppgifter eller som har tillgång till Lokalerna. 2. DOKUMENT SOM SKA TILLSTÄLLAS THL 2.1. Tjänsteproducenten ska tillställa THL följande dokument senast tre månader efter det att Ramavtalet har undertecknats: 1 Kontaktpersoner som ansvarar för de sekretessbelagda uppgifternas säkerhet (Säkerhetsbilagans kontaktpersoner) 2 Godkänd mallfras/mallblankett för tystnadspliktsförbindelse för personalen 3 Beskrivning av Tjänsteproducentens säkerhetsarrangemang (Utredning om säkerhetsoch dataskyddsförfaranden i anslutning till Tjänsterna)

Säkerhetsbilaga 4(9) 2.2. Tjänsteproducenten ansvarar för att punkt 3 (Beskrivning av Tjänsteproducentens säkerhetsarrangemang) hålls uppdaterad. Beskrivningen ska motsvara den aktuella situationen och innehålla en redogörelse för hur de krav som anges i denna bilaga har beaktats och hur verksamhetens allmänna säkerhet är ordnad. 3. SÄKERHETSBILAGANS BAKGRUND OCH SYFTE 3.1. Tjänsteproducenten och THL har ingått ett Ramavtal om produktion av Skyddshemstjänster. 3.2. I denna Säkerhetsbilaga fastställs de säkerhetsarrangemang och arrangemang kring sekretessbelagda uppgifter som Tjänsteproducenten ska tillämpa vid produktionen av i Ramavtalet ingående Tjänster samt i allt samarbete mellan THL och Tjänsteproducenten i anslutning till Ramavtalet. 3.3. THL och Tjänsteproducenten är medvetna om att de Tjänster som levereras med stöd av Ramavtalet omfattar sådana uppgifter vars hemlighållande är av kritisk betydelse för institutets verksamhet samt individens data- och rättsskydd. Med hjälp av denna Säkerhetsbilaga strävar THL efter att säkerställa att de sekretessbelagda uppgifterna förblir konfidentiella. 4. KONFIDENTIALITET OCH SEKRETESS 4.1. De säkerhetsarrangemang som beskrivs i denna Säkerhetsbilaga tillämpas alltid när Tjänsteproducenten hanterar Sekretessbelagda uppgifter som tillhör THL eller som hänför sig till utförandet av Tjänsterna eller andra Sekretessbelagda uppgifter som erhållits av THL. 4.2. THL tillämpar i egenskap av offentligt samfund de bestämmelser om sekretess och offentlighet som ingår i offentlighetslagen, i statsrådets förordning om informationssäkerheten inom statsförvaltningen (681/2010, nedan informationssäkerhetsförordningen) och i annan lagstiftning. 4.3. Tjänsteproducenten förbinder sig att hemlighålla alla sekretessbelagda uppgifter som THL har överlåtit till denna eller som denna förfogar över eller som har uppkommit vid utförandet av uppdraget samt att även beakta punkt 4.8. Sekretessbelagda uppgifter får inte heller användas för egen eller andras vinning eller för att skada någon. 4.4. Tjänsteproducenten ska hantera Sekretessbelagda uppgifter endast i den omfattning som produktionen av Tjänsterna kräver. Tjänsteproducenten får ge Sekretessbelagda uppgifter endast åt de personer som behöver uppgifterna för utförandet av sina arbetsuppgifter i anslutning till produktionen av Tjänsterna och endast i den omfattning som lagen förutsätter. Tjänsteproducenten förbinder sig att ge handledning och utbildning i korrekt hantering av Sekretessbelagda uppgifter åt de personer som har tillgång till dessa uppgifter.

Säkerhetsbilaga 5(9) 4.5. Tjänsteproducenten förbinder sig att förvara och hantera Sekretessbelagda uppgifter så att endast de personer som har rätt till uppgifterna har kännedom om och kommer i besittning av dem och så att inte någon utomstående kommer i besittning av dem, kan ta del av dem eller får kännedom om dem. 4.6. Sekretessbelagda uppgifter får inte överlåtas till tredje part utan skriftligt samtycke av THL, om inte detta förutsätts enligt lag eller av myndigheter. 4.7. Tjänsteproducenten är medveten om att avslöjande av Sekretessbelagda uppgifter för utomstående kan vara en straffbar handling enligt strafflagen. 4.8. THL beslutar om lämnande av information om dokument som erhållits av THL eller som utarbetats i samband med utförandet av ett uppdrag från THL, om inte annat följer av lag. 4.9. Tjänsteproducenten ansvarar för att säkerheten i anslutning till tjänster eller verksamhet som THL ansvarar för inte äventyras på grund av att Tjänsteproducentens personal är vårdslös, tillämpar felaktiga arbetssätt eller utövar annan verksamhet i strid med denna Säkerhetsbilaga eller Ramavtalet. 5. TILLTRÄDE TILL LOKALER 5.1. Tjänsteproducentens och dess Samarbetspartners Lokaler ska vara ändamålsenligt skyddade genom låsning och andra nödvändiga åtgärder för att förhindra obehörigt tillträde till Lokalerna och till de sekretessbelagda uppgifter som förvaras i dem. 5.2. Om Tjänsterna tillhandahålls i Tjänsteproducentens eller Samarbetspartnerns Lokaler ska Tjänsteproducenten säkerställa att den fysiska säkerheten i Lokalerna är ändamålsenlig i händelse av eldsvåda, elavbrott, vattenskador, yttre störande faktorer och andra specialsituationer. THL och Tjänsteproducenten avtalar vid behov om mer detaljerade krav i anslutning till tjänsten. 5.3. Personer som inte har beviljats rätt till Sekretessbelagda uppgifter eller system som innehåller dessa uppgifter i enlighet med kapitel 7, får endast vistas i Lokalerna under övervakning. Övervakning krävs inte om de Sekretessbelagda uppgifterna förvaras eller hanteras i Lokalerna på ett sådant sätt att dessa personer inte kan komma åt dem. 5.4. Personer som har tillträde till Lokalerna ska kunna identifieras. 6. TILLGÅNG TILL SYSTEM OCH UPPGIFTER 6.1. Tjänsteproducenten ansvarar för att Sekretessbelagda uppgifter ges eller tillgång till system som innehåller sådana uppgifter endast beviljas till namngivna personer som hör till Tjänsteproducenten och dess personal, som godkänts av Tjänsteproducenten, som getts rätt att få tillgång till systemen och/eller tjänsterna i fråga och som är medvetna om sina skyldigheter att iaktta sekretess.

Säkerhetsbilaga 6(9) 6.2. Tjänsteproducenten ansvarar för att denna Säkerhetsbilaga tillämpas av de personer inom Tjänsteproducentens eller dess Samarbetspartners personal som hanterar Sekretessbelagda uppgifter samt av de personer som har tillgång till Tjänsteproducentens system i vilka Sekretessbelagda uppgifter bevaras. 6.3. Tillgång till Material som förvaras i System eller Terminaler ska skyddas med användarrättigheter. Användarrättigheterna och grunderna för beviljande av dem ska vara verifierbara och kontrolleras regelbundet. Gemensamma användarrättigheter är förbjudna. Användarnamn och lösenord är personliga och får inte överföras till någon annan. 6.4. Tjänsteproducenten ska genom loggning samla information om hur klientuppgifter används och överlåts, i enlighet med vad som anges i 5 i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården eller annanstans i lag. 6.5. Tjänsteproducenten ansvarar för att en person som hanterar Sekretessbelagda uppgifter och/eller har tillgång till system i vilka Sekretessbelagda uppgifter bevaras ingår en tystnadspliktsförbindelse på en av THL godkänd blankett eller enligt en av THL godkänd fras, innan personen börjar hantera uppgifterna eller får tillgång till systemen. 7. INFORMATIONSSÄKERHET 7.1. Vid produktionen av Tjänster enligt Ramavtalet tillämpar Tjänsteproducenten god informationshantering enligt offentlighetslagen samt god informationshantering enligt bestämmelserna om skydd av uppgifter enligt personuppgiftslagen (523/1999), skyldigheterna i punkt 6 c i Ramavtalet samt annan lagstiftning om datasekretess. 7.2. Tjänsteproducenten ska tillämpa THL:s föreskrift om väsentliga krav på informationssäkerhet hos informationssystem av klass A inom social- och hälsovården (1/2015, THL/1304/4.09.00/2014), om Tjänsteproducenten har informationssystem som hör till klass A. 7.3. Tjänsteproducenten ska tillämpa THL:s föreskrift om utredningar och krav som ska tas in i planen för egenkontroll (Föreskrift 2/2015, THL/1305/4.09.00/2014). 7.4. Tjänsteproducenten ser till att antivirusprogram i de datorer som används av Tjänsteproducenten är i bruk och uppdaterade. 7.5. Tjänsteproducenten ser till att Terminaler (datorer eller annan hårdvara), System och Program har aktuella uppdateringar, i synnerhet dataskyddsuppdateringar. 7.6. Terminaler och övriga Lagringsmedier med vilka Material hanteras eller lagras ska förvaras i låsta lokaler när de inte övervakas, för att förhindra otillåten användning och stöld. 7.7. Material ska förvaras på ett sådant sätt att datasekretessen inte äventyras. Material som innehåller känsliga personuppgifter ska krypteras eller i övrigt skyddas med hanteringsrättigheter, oberoende av om uppgifterna är identifierbara eller avidentifierade. 7.8. Material får inte lagras i eller överföras till tjänster för molnlagring vars servrar finns eller kan finnas utanför EU- eller EES-ländernas gränser eller vars säkerhet inte kan

Säkerhetsbilaga 7(9) garanteras, om inte annat anges i lag. Vad som ovan anges om servrarna gäller även hemorten för tillhandahållaren av molnlagringstjänsten. 7.9. Material får inte överföras okrypterat via offentliga nät (internet) (t.ex. i okrypterad form via e-post). 7.10. Om Material hanteras med en bärbar dator eller ett flyttbart medium ska hårdskivan, mediet eller registret där uppgifterna förvaras vara skyddade med stark kryptering. Krypteringen ska vara påslagen när datorn eller mediet transporteras utanför Lokalerna. 7.11. Materialet ska regelbundet säkerhetskopieras. Säkerhetskopiorna ska förvaras separat och väl skyddade, så att informationen vid behov kan återställas. 7.12. När en terminal tas ur bruk ska den hårdskiva på vilken Materialet har sparats eller med vilken Materialet har hanterats skrivas över eller förstöras på ett datasäkert sätt så att datasekretessen inte äventyras, genom att innehållet skrivs över minst tre gånger eller hårdskivan slås sönder. Massminnen ska avlägsnas och förstöras på ett datasäkert sätt. 7.13. Flyttbara minnesverktyg (USB-minnen, externa hårdskivor, CD-, DVD-skivor m.m.) på vilka Material har lagrats eller med vilka Material har hanterats ska förstöras på ett ändamålsenligt sätt så att datasekretessen bevaras, till exempel genom att de slås sönder eller krossas. 7.14. Om Tjänsteproducenten använder en utomstående tjänsteproducent för underhåll av Terminaler, annan teknisk utrustning eller System, ska Tjänsteproducenten ingå ett skriftligt säkerhetsavtal med den utomstående tjänsteproducenten. Innan Terminaler eller annat teknisk utrustning lämnas för underhåll ska Tjänsteproducenten säkerställa att anordningens alla minnesverktyg har avlägsnats eller att uppgifterna har avlägsnats på ett annat tillförlitligt sätt. Om det inte är möjligt att avlägsna minnesverktyg eller uppgifter ska Tjänsteproducenten övervaka underhållet. 7.15. Om underhåll är möjligt via distansförbindelse ska Tjänsteproducenten kontrollera identiteten hos tjänsteproducentens underhållspersonal samt säkerställa att tjänsteproducentens identifierings- och inloggningsmekanismer är säkra och starka samt att förbindelserna är säkra. 8. SAMARBETSPARTNER 8.1. Tjänsteproducenten ska säkerställa att villkoren i denna Säkerhetsbilaga även omfattar en sådan Samarbetspartner som Tjänsteproducenten har för avsikt att anlita vid hanteringen av Sekretessbelagda uppgifter eller som har tillgång till Lokalerna. 8.2. Det som i denna Säkerhetsbilaga anges i fråga om Tjänsteproducentens personal tillämpas även på den del av Samarbetspartnerns personal som deltar i produktionen av tjänsterna. 8.3. Tjänsteproducenten ska se till att denna Säkerhetsbilaga tillämpas även då Samarbetspartner anlitas. Tjänsteproducenten ska informera sin Samarbetspartner om att

Säkerhetsbilaga 8(9) det kan medföra extra kostnader att se till att säkerhetsarrangemangen motsvarar den nivå som krävs i denna Säkerhetsbilaga. THL svarar inte för dessa kostnader. 8.4. Tjänsteproducenten ansvarar för att dess Samarbetspartner agerar i enlighet med punkterna i denna Säkerhetsbilaga. 9. KONTROLLER OCH RAPPORTERING 9.1. THL eller en av THL utsedd tredje part har rätt att på egen bekostnad kontrollera vid en på förhand angiven tidpunkt Tjänsteproducentens och dess Samarbetspartners säkerhetsarrangemang till de delar som omfattas av denna Säkerhetsbilaga och Ramavtalet. THL ska meddela om sin avsikt att genomföra en kontroll senast trettio (30) dagar före det föreslagna datumet för kontrollen. Tjänsteproducenten kan föreslå ett nytt kontrolldatum. Det nya datumet får dock vara högst tio (10) dagar efter det datum som THL föreslagit. Kontroller får utföras högst två gånger om året, om det inte finns särskilt tungt vägande skäl för ytterligare kontroller. Sårbarhetsskanningar kan dock göras oberoende av ovan angivna tidsfrister vid separat avtalade tidpunkter. Kontrollerna får inte äventyra Tjänsteproducentens eller dess Samarbetspartners informationssäkerhet eller Tjänsteproducentens eller dess Samarbetspartners skyldighet att iaktta sekretess gentemot andra kunder. 9.2. Tjänsteproducenten ska genom avtalsarrangemang säkerställa att THL har möjlighet att kontrollera säkerhetsarrangemangen även hos en Samarbetspartner till Tjänsteproducenten som deltar i hanteringen av Sekretessbelagda uppgifter. 9.3. Tjänsteproducenten ska utan dröjsmål korrigera brister som framkommit vid en kontroll, dock senast inom 30 dygn från THL:s skriftliga anmälan, om inte annat har avtalats separat mellan THL och Tjänsteproducenten. Betydande brister som utgör ett uppenbart hot mot informationssäkerheten ska korrigeras omedelbart. THL svarar inte för utgifter och kostnader som orsakas av ovannämnda korrigeringar. 9.4. Tjänsteproducenten är skyldig att meddela THL om det sker förändringar i Tjänsteproducentens eller dess Samarbetspartners funktioner som är av central betydelse med tanke på denna Säkerhetsbilaga eller i deras personal- eller säkerhetsarrangemang, eller om det sker betydande förändringar i Tjänsteproducentens eller dess Samarbetspartners ägandeförhållanden. 9.5. Tjänsteproducenten kontrollerar regelbundet och planmässigt att dess verksamhet håller den säkerhetsnivå som krävs enligt denna Säkerhetsbilaga, registrerar eventuella avvikelser och rapporterar utan dröjsmål om avvikelser som klassificeras som allvarliga eller kritiska till THL samt börjar med det snaraste åtgärda bristerna. THL övervakar i samarbete med Tjänsteproducenten att Tjänsterna håller rätt säkerhetsnivå. 9.6. THL har rätt att informera andra myndigheter om att kontroll i enlighet med detta kapitel har utförts. THL har däremot inte utan tillstånd av Tjänsteproducenten rätt att till andra myndigheter överlämna information om resultatet av kontrollen, om inte annat följer av tvingande lagstiftning.

Säkerhetsbilaga 9(9) 10. ÄNDRINGAR I SÄKERHETSBILAGAN 10.1. De kontaktpersoner som ansvarar för de sekretessbelagda uppgifternas säkerhet ansvarar också för att kontrollera om denna Säkerhetsbilaga behöver uppdateras. Kontaktpersonerna bedömer sinsemellan minst vartannat år om det finns ett behov av uppdatering. 10.2. Ändringar i denna Säkerhetsbilaga eller i de dokument som tillställs tillsammans med bilagan (punkt 2.1) ska göras skriftligt. 11. SÄKERHETSBILAGANS GILTIGHET OCH ÅTERLÄMNANDE AV UPPGIFTER 11.1. Denna säkerhetsbilaga är i kraft så länge Ramavtalet mellan THL och Tjänsteleverantören är i kraft. Säkerhetsbilagan träder i kraft när båda parterna har undertecknat Ramavtalet. 11.2. Skyldigheten att iaktta sekretess i enlighet med denna Säkerhetsbilaga gäller även efter det att Ramavtalet mellan THL och Tjänsteproducenten har upphört att gälla. 11.3. När Ramavtalet upphört att gälla återlämnar Tjänsteproducenten till THL alla klienthandlingar, dokument, uppteckningar och övrigt material som tillhör THL och är sekretessbelagt. Tjänsteproducenten och eventuella Samarbetspartner kan även förstöra ovannämnt material, om man separat skriftligen kommer överens om detta. Ett intyg över att sekretessbelagt material har förstörts ska begäras och sparas för kontroll. 11.4. Tjänsteproducenten förvarar och upprätthåller Socialvårdens klientuppgifter i sina omgivningar tills dess att det nationella grunddatalagret för socialvården (KanSa) har tagits i bruk eller tills dess att Ramavtalet upphört att gälla. 11.5. Tjänsteproducenten tillställer THL Socialvårdens klientuppgifter senast i samband med att Ramavtalet upphör att gälla, till de delar som klientuppgifterna innan dess inte har kunnat överföras till det nationella grunddatalagret för socialvården. 11.6. Tjänsteproducenten och THL avtalar separat om detaljerna i överförandet av Socialvårdens klientuppgifter till THL eller KanSa.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss