Bindeleddet i det digitale sundhedsvæsen

Søgning

FAQ

Databehandleraftaler

Få svar på de mest gængse spørgsmål om databehandleraftaler i MedCom-regi.

Hvorfor anvender MedCom ikke databehandlerskabelon fra Datatilsynet for SDNv4?

MedCom var, da SDNv4-databehandleraftalen blev godkendt, gennem staten, regionerne og kommunernes samarbejde om fællesoffentlig systemforvaltning forpligtet til at anvende sundhedsområdets fællesoffentlige databehandlerskabelon. Siden da er det i FSI blevet aftalt at anvende Datatilsynets skabelon, hvorfor den nye databehandleraftale for VDX er udarbejdet på denne. Den fællesoffentlige databehandlerskabelon bygger dog på Datatilsynets skabelon på den måde, at der er tilføjet dele til Datatilsynets skabelon i bilagene.

Hvorfor indeholder MedComs databehandleraftaler for SDN og VDX ikke krav om en specifik godkendelse af underdatabehandlere?

Både Datatilsynet og den fællesoffentlige skabelon for databehandleraftale indeholder mulighed for med et passende varsel en forudgående generel godkendelse af underdatabehandler – i stedet for en forudgående specifik godkendelse.
 
Grunden til, at MedComs databehandleraftale for SDN og VDX indeholder en forudgående generel og ikke en specifik godkendelse er, at en specifik udfordrer løsninger som SDN og VDX.
SDN og VDX har mange dataansvarlige fra alle sektorer. Derfor er det i en fællesoffentlig sammenhæng vanskeligt at håndtere krav om forudgående specifik godkendelse, da beslutning om skift af underdatabehandler som oftest ligger i forlængelse af et fælles udbud. Både udbudsprocessen for SDN og VDX samt tildeling vil altid ske med involvering af repræsentanter fra de dataansvarlige – og beslutningen om tildeling sker i MedComs styregruppe, som udgøres af regioner, kommuner og stat.
 
Derfor er der aftalt en forudgående generel godkendelse med underretning med mindst 3 måneders varsel.

Hvorfor indeholder MedComs tilslutningsaftaler for SDN og VDX regulering af misligholdelse og erstatningsansvar med et erstatningsmaksimum? 

SDN og VDX er fællesoffentlige infrastrukturer inden for rammerne af offentlig-offentligt samarbejde. Det vil sige, at ejerne kollektivt dækker omkostninger, i det omfang krav om erstatning ikke kan videreføres til leverandørerne jf. de indgåede kontrakter.

Hvorfor tager MedCom i databehandleraftalen for SDN og VDX forbehold for omkostninger ved yderligere auditering ud over ISAE3000-erklæringen?

Baggrunden for MedComs forbehold er budgetsikkerhed og forventningsafstemning med de tilsluttede parter grundet et aktuelt stigende antal tilsyn. Disse vil være forbundet med omkostninger, hvis underdatabehandleren skal involveres.

Hvorfor tager MedCom i databehandleraftalen for SDN og VDX forbehold for, at udgifter forbundet med sikkerhedsgodkendelser af Databehandleren og Underdatabehandlerens medarbejdere skal afholdes af den dataansvarlige?

En sikkerhedsgodkendelse vil kun være gældende for den myndighed, der rekvirerer den og kun til det specifikke formål, sikkerhedsgodkendelsen vedrører. En sikkerhedsgodkendelse er derfor ikke generel. Derfor er der taget forbehold for, at udgifter betales af den dataansvarlige, i fald den dataansvarlige måtte kræve en sikkerhedsgodkendelse. Leverandørens medarbejdere er allerede sikkerhedsgodkendte i forskellige sammenhænge.

Hvorfor reguleres erstatningsansvar og misligholdelse ikke i databehandleraftalerne for SDN og VDX?

Misligholdelse og erstatningsansvar reguleres udelukkende i tilslutningsaftalen for ikke indbyrdes at skulle regulere mislighold og erstatningsmaksimum på tværs af de 2 aftaler.

Hvordan håndteres databehandleraftale for KIH (KIH XDS Repository)?

MedCom indtager ikke rollen som databehandler for KIH. Derfor indgås databehandleraftalen for KIH direkte med MedComs driftsleverandør (Region Nordjylland), inden for rammerne af sundhedsområdets fællesoffentlige databehandlerskabelon.