Aftalen om CPR opslag

1. Det aftales hermed mellem Lægemiddelstyrelsen og navngivne læger hos abonnenten, at Lægemiddelstyrelsen videregiver oplysninger om patienters bopæl og egen læge gennem webservice til de pågældende læger. Oplysningerne leveres til lægernes databehandler, Structura-IT, som modtager oplysningerne på vegne af lægerne – og via Patina distribuerer videre til lægerne
2. Oplysningerne må alene bruges til kvalitetssikring af data i lægernes system
3. Adgangen etableres under forudsætning af, at navngivne læger hos abonnenten hermed indgår databehandlingsaftale med Structura-IT (databehandler). Det fremgår således at Structura-IT alene handler efter instruks fra lægen (den dataansvarlige), og at reglerne i persondatalovens $41, stk 3-5, ligeledes gælder for behandlingen ved databehandleren.
4. Adgangen etableres under forudsætning af, at Structura-IT ikke under nogen omstændigheder anvender oplysninger til egne formål.
5. Hvis en læge eller Structura-IT ikke retter sig efter de i denne kontrakt udstukne retningslinjer for sikkerhed eller overtræder persondataloven, forbeholder Lægemiddelstyrelsen sig ret til at frakoble adgangen, indtil styrelsen finder, at der fra lægens side er betryggende sikkerhed for overholdelse af kravene. Det samme gælder, hvis der i øvrig konstateres misbrug af adgangen.
6. Overfor Lægemiddelstyrelsen har Structura-IT forpligtet sig til, at fremsende og ajourføre liste over de læger der anvender systemet. For at Structura-IT skal kunne overholde denne forpligtelse overfor Lægemiddelstyrelsen videregives forpligtelsen hermed fra Structura IT til abonnenten. I henhold til anførte krav fra lægemiddelstyrelsen, skal abonnenten fremsendes liste over læger, der har indgået denne aftale med Lægemiddelstyrelsen, til Structura-IT:
   1. Listen skal udfyldes med navn, adresse og autorisations-IT for samtlige læger, som oplysningerne vil blive givet til.
   2. Listen skal opdateres 2 gange årligt, nærmere bestemt hvert år den 1. marts og den 1. september
   3. Derudover kan Lægemiddelstyrelsen – og dermed Structura-IT - til enhver tid kræve en komplet liste
   4. Det er samtlige læger, som er tilsluttet systemet på tidspunktet for opdateringen, der skal fremgå af den opdaterede liste.
7. Sikkerhedsforanstaltninger hos abonnenten. Det er en betingelse for adgangen, at den enkelte læge alene har adgang til oplysninger om en person når lægen har personen i aktuel behandling og når oplysningerne er relevante som led i behandlingen. Oplysningerne må kun bruges til opdatering og kvalitetssikring af data i Patina. Samtlige disse betingelser skal være opfyldt, og lægen skal til enhver tid kunne dokumentere, at betingelserne er opfyldt.
8. Adgangskontrol. Lægerne skal sikre behørig adgangskontrol til webservice i overensstemmelse med følgende retningslinjer:
   1. Kun de personer, der autoriseres hertil, skal have adgang til webservice. Kun lægen selv eller dennes medhjælp må autoriseres
   2. For brugere, som ikke længere har behov for autorisationer, de har fået udstedt, skal autorisationerne straks inddrages. Det gælder f.eks. medarbejdere, som flytter til andet arbejdsområde eller hvis ansættelsesforhold ophører
   3. Der skal etableres en teknisk adgangskontrol i systemet, således at autoriserede personer skal identificere sig over for systemet for at få adgang til webservice i overensstemmelse med autorisationen. De mest almindelige former for adgangskontrol er brugeridentifikation med tilhørende password eller OCES certifikat. Såfremt password benyttes, skal lægen fastsætte nærmere retningslinjer for behandling og opbygning af passwor
   4. Bliver abonnenten bekendt med, at certifikatet eller passwordet er blevet kompromitteret, skal den pågældende uden unødigt ophold sikre, at certifikatet spærres, eller at passwordet ændres
   5. Lægen skal ved adgangskontrollen sikre sig, at den, der forsøger at få adgang, er berettiget til at foretage opslag.
   6. Der skal foretages registrering af alle afviste adgangsforsøg.

Der henvises i øvrigt til Datatilsynets vejledning til bekendtgørelse nr. 528 af 15. Juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning for nærmere detaljer med hensyn til krav til autorisation, password mv. Lægemiddelstyrelsen kan føre kontrol med lægernes varetagelse af sikkerheden, herunder adgangskontrollen og ajourføring af autorisationer.