| Dokumendiregister | Tervise- ja heaolu infosüsteemide keskus |
| Viit | 1-4/4375-1 |
| Registreeritud | 18.10.2024 |
| Sünkroonitud | 24.10.2024 |
| Liik | Muu leping |
| Funktsioon | 1 TEHIK tegevuse korraldamine |
| Sari | 1-4 Koostöö, andmetöötluse ja konfidentsiaalsuslepingud |
| Toimik | 1-4/2024 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Tõnis Jaagus (TEHIK, Äriteenuste osakond, Tervise valdkond) |
| Originaal | Ava uues aknas |
Koostööleping nr 1.3-2.1/63(2024) Tervise ja Heaolu Infosüsteemide Keskus (TEHIK), registrikood 70009770, asukoht Pärnu mnt 132, Tallinn 11317, keda põhimääruse alusel esindab direktor Margus Arm, Tervisekassa, registrikood 74000091, asukoht Liivalaia tn 36, Tallinn 10132, keda esindavad juhatuse liikmed Pille Banhard ja Maivi Parv, Telia Eesti AS (TELIA) registrikood 10234957, asukoht Mustamäe tee 3, Tallinn 15033, keda esindab volikirja alusel Rain Erala, ja Ortivus Mobimed AB (ORTIVUS), Rootsi äriregistri registrikood 556593-0707, asukoht Svärdvägen 19, 182 33 Danderyd, Rootsi, keda esindab volikirja alusel Rain Erala, Telia ja Ortivus edaspidi koos ka „Arendajad“, kõik koos edaspidi nimetatud ka „Pooled“ ja eraldi „Pool“, sõlmivad käesoleva koostöölepingu, lähtudes tervise infosüsteemi põhimääruse § 4 lõike 4 punktist 13, mille kohaselt TEHIK kaasab vajaduse korral arendus- ja hooldustööde tegemisse teise volitatud töötleja ja sõlmib temaga lepingu, olles hinnanud isikuandmete töötlemise eesmärke, vajadust ja riske, ning teavitab sellest mõistliku aja jooksul enne andmetöötlemise võimaldamist sama § lõikes 2 nimetatud vastutavat töötlejat. Tervise infosüsteemi põhimääruse § 3 lg 1 kohaselt on Tervisekassa tervise infosüsteemi kaasvastutav töötleja, kes koostöös Sotsiaalministeeriumi ja volitatud töötlejaga korraldavad e-teenuste loomist ning arenduste väljatöötamist ning § 3 lg 2 ja § 4 lg 2 p-i 11 kohaselt on TIS haldamise ning arendamise kohustus TEHIKul. Pooled sõlmivad käesoleva koostöölepingu, et tagada andmevahetus tervise infosüsteemi ja tervise infosüsteemi kaasvastutava töötleja Tervisekassa hangitud tervise infosüsteemi osaks oleva eKiirabi lahenduse vahel. TELIA arendab koostöös Ortivus Mobimed AB-ga Tervisekassaga (hanke nr 249587 tulemusel) sõlmitud hankelepingu alusel eKiirabi lahenduse, mille kaudu tagatakse õigusaktidest tulenevalt kiirabiteenuse osutajate kohustuste täitmine andmete edastamisel tervise infosüsteemi. Lähtudes eeltoodust ja poolte ühisest huvist tervise infosüsteemi teenuste arendamisel, sõlmivad pooled koostöölepingu eKiirabi pilootkasutuse raames vajaliku andmevahetuse võimaldamiseks (edaspidi „leping“) alljärgnevas: I Lepingu eesmärk ja objekt
1. Lepingu eesmärgiks on uue eKiirabi tarkvara pilootkasutuse raames toimuva e- kiirabi tarkvara ja tervise infosüsteemi vahelise andmevahetuse võimaldamine tervise infosüsteemi test- ja toodangukeskkonnas.
2. Pilootkasutus toimub ajavahemikus 15.10 – 31.12, mis sisaldab järgnevaid tegevusi: 1) eeltegevused arendaja poolt toodangukeskkonna integratsioonide
kasutamiseks. 2) lahenduse testimine ühe lõppkasutaja poolt toodangukeskkonnas
toodangukeskkonna andmetega. 3) piloteerimine 10 kiirabiasutuse poolt, igast asutusest kuni 2isikut korraga.
Piloodis kasutatakse toodangukeskkonda ja toodangukeskkonna andmeid. 4) piloodi järeltegevused piloteerimise tulemuste analüüsimiseks ja võimalike
vigade parandamiseks.
3. Pilootkasutuse raames toimub andmevahetus vastavalt tervise infosüsteemi kehtivale standardile ja andmekoosseisule.
4. Pilootkasutuse raames tehakse uue eKiirabi tarkvaraga päringuid tervise infosüsteemi patsientide terviseandmestiku saamiseks ning kiirabikaartide edastamiseks.
II Poolte õigused, kohustused ja vastutus 5. Tervisekassal on õigus: 5.1. tervise infosüsteemi vastutava töötlejana saada infot pilootkasutuse kohta.
6. Tervisekassal on kohustus: 6.1 tagada, et pilootkasutuse suhtes on olemas ajakohane andmekaitseline mõjuhinnang. 7. TEHIKul on õigus: 7.1. saada infot pilootkasutuse ajakava ja tegevuste kohta;
7.2. saada pilootkasutusega seonduvalt kasutajatoe teenuse pakkumiseks vajalikku infot.
8. TEHIK kohustub:
8.1. võimaldama Arendajatele juurdepääsu eKiirabi lahenduse testimiseks tervise infosüsteemi testkeskkonnale ning ekiirabi rakenduse pilootkasutuse teostamiseks tervise infosüsteemi toodangukeskkonnale;
8.2. võimaldama Arendajatele igakülgset abi teenuse tööle rakendamisel;
8.3. teavitama viivitamatult TELIAt lepingu punktis 15 toodud kontaktandmetele eKiirabi keskkonnaga seotud katkestustest. Planeeritud katkestustest teavitab TEHIK TELIAt ja Tervisekassat lepingu punktides 13 ja 15 toodud vastavatele kontaktandmetele 72 tundi ette.
8.4. teavitama viivitamatult lepingu osapooli asjaoludest, mis takistavad lepingut täitmast.
9. Arendajate õigused: 9.1. saada juurdepääs tervise infosüsteemi test- ja toodangukeskkonnale, et tagada eKiirabi teenuse testimine ja toimimine pilootkasutuse teostamiseks. 10. Arendajad kohustuvad:
10.1. tegema TEHIKule kättesaadavaks kogu teabe, mis on vajalik Lepingus sätestatud kohustuste täitmiseks;
10.2. tagama Lepingu täitmise käigus saadud teabe (sh andmete, dokumentatsiooni ja know-how) konfidentsiaalsuse ning mitte edastama ega võimaldama sellele teabele juurdepääsu kolmandale isikule ilma TEHIK sellekohase selgesõnalise kirjaliku nõusolekuta;
10.3. kasutama ja töötlema lepingu raames saadud isikuandmeid üksnes Lepingu täitmiseks;
10.4. tagama, et isikuandmeid ei edastata väljapoole Euroopa Liidu liikmesriikide ja Euroopa Majandusühendusse kuuluvate riikide territooriumi ilma TEHIKu sellekohase selgesõnalise kirjaliku nõusolekuta, v.a Lepingu punktis 11.6 nimetatud teisele volitatud töötlejale;
10.5. võimaldama juurdepääsu isikuandmetele ainult nendele isikutele, kellel on selleks oma tööülesannete täitmiseks vajadus ning tagab, et need isikud on teadlikud ning
järgivad isikuandmete töötlemise alaseid nõudeid ja õigusakte, nad on saanud asjakohase koolituse eelmainitud nõuete kohta, on võtnud endale konfidentsiaalsuskohustuse või neile kehtib asjakohane seadusest tulenev konfidentsiaalsuskohustus;
10.6. täitma kõiki kehtivaid isikuandmete töötlemisalaseid nõudeid, andmete turvalisust puudutavaid ning isikuandmete kaitse alaseid Euroopa Liidu ja Eesti Vabariigi õigusakte ja muid eeskirju;
10.7. rakendama alltoodud organisatsioonilisi, füüsilisi ja infotehnilisi turvameetmeid isikuandmete kaitseks juhusliku või tahtliku volitamata muutmise; juhusliku hävimise ja tahtliku hävitamise eest ning õigustatud isikule andmete kättesaadavuse takistamise eest, volitamata töötlemise, sh avalikustamise eest:
10.7.1. vältima kõrvaliste isikute ligipääsu isikuandmete töötlemiseks kasutatavatele seadmetele;
10.7.2. ära hoidma andmete omavolilist lugemist, kopeerimist ja muutmist andmetöötlussüsteemis, samuti andmekandjate omavolilist teisaldamist;
10.7.3. ära hoidma isikuandmete omavolilist salvestamist, muutmist ja kustutamist ning tagama, et tagantjärele oleks võimalik kindlaks teha, millal, kelle poolt ja milliseid isikuandmeid salvestati, muudeti või kustutati või millal, kelle poolt ja millistele isikuandmetele andmetöötlussüsteemis juurdepääs saadi;
10.7.4. tagama, et igal andmetöötlussüsteemi kasutajal oleks juurdepääs ainult temale töötlemiseks lubatud isikuandmetele ja temale lubatud andmetöötluseks;
10.7.5. tagama andmete olemasolu isikuandmete edastamise kohta: millal, kellele ja millised isikuandmed edastati, samuti selliste andmete muutusteta säilimise;
10.7.5. tagama, et isikuandmete edastamisel andmesidevahenditega ja andmekandjate transportimisel ei toimuks isikuandmete omavolilist lugemist, kopeerimist, muutmist või kustutamist;
10.7.6. logima pilootkasutuse ajal toimuva andmevahetuse käigus tehtavad e-kiirabi rakenduse andmetöötlused vastavalt tervise infosüsteemi põhimäärusega kehtestatud tingimustele. Arendajate ja Tervisekassa vahelise hankelepingu lõppemisel antakse logid, mille säilitustähtaeg ei ole möödunud, üle Tervisekassale;
10.7.7. teavitama TEHIKut toimunud isikuandmetega seotud intsidentidest ja turvaintsidentidest kirjalikult viivitamata, kuid mitte hiljem kui kakskümmend neli tundi pärast sellest teada saamist. Juhul, kui rikkumisest teadasaamine langeb nädalavahetusele või riiklikule pühale, kohustuvad Arendajad TEHIKut kirjalikult teavitama viivitamatult, kuid mitte hiljem kui nelikümmend kaheksa tundi pärast rikkumisest teada saamist. Arendajad kohustuvad tagama TEHIKule vajaliku info intsidentidest raporteerimiseks;
10.7.7.1Teavituses tuleb märkida vähemalt:
1) kirjeldada isikuandmetega seotud rikkumise laadi, sealhulgas puudutatud andmesubjektide liike ja arvu ning puudutatud kirjete liike ja arvu;
2) teatada andmekaitsespetsialisti või mõne teise täiendavat teavet andva kontaktisiku nimi ja kontaktandmed;
3) soovitada meetmeid isikuandmetega seotud rikkumise võimalike negatiivsete mõjude leevendamiseks;
4) kirjeldada isikuandmetega seotud rikkumise võimalikke tagajärgi; 5) kirjeldada isikuandmetega seotud rikkumisega tegelemiseks pakutud või
võetud meetmeid ja
6) esitada muud teavet, mis on mõistlikult nõutav, et TEHIK saaks täita kohaldatavaid andmekaitse õigusakte, sealhulgas riigiasutustega seotud teavitamise ja avaldamise kohustusi, näiteks teavet, mis on nõutav andmesubjekti tuvastamiseks.
11. Poolte vastutus 11.1. Pooled täidavad oma kohustusi nõuetekohaselt, mõistlikult, heas usus, järgides vajalikku hoolsust ning arvestades tavasid ja praktikat, et ellu viia lepingu eesmärk.
11.2. Pooled vastutavad teineteisele oma lepingujärgsete kohustuste täitmata jätmise või mittekohase täitmisega tekitatud kahju eest.
11.3. Poolele lepingu rikkumisega tekitatud kahju hüvitab kahju tekitanud pool.
114. Pooled ei vastuta kohustuste täitmata jätmise eest, kui lepingu mittekohase täitmise põhjustab teine pool lepingut mittekohaselt täites või kui see on tingitud vääramatust jõust.
11.5. Pool esitab teisele poolele leppetrahvi ja viivise nõude 30 päeva jooksul kohustuse rikkumisest teadasaamisest arvates. 11.6. Lähtudes käesoleva lepingu punktist 10.4 annab TEHIK käesoleva lepingu sõlmimisel arendajatele nõusoleku teiste volitatud töötlejate Ortivus UK Limited ja Miradore Ltd kasutamiseks. Arendajad vastutavad teiste volitatud töötlejate (teine volitatud töötleja) tegevuse eest samuti nagu enda tegevuse eest ning tagavad, et teise volitatud töötlejaga sõlmitakse isikuandmete töötlemiseks kirjalik kokkulepe vastavalt GDPR artikli 28 lõikele 4, mis on samaväärne käesoleva kokkuleppe sisu ja arendajatega sõlmitud andmekaitsekokkuleppega. III Erisätted
12. Leping allkirjastatakse digitaalselt ja jõustub Poolte allkirjastamisel. Leping lõpeb pilootkasutuse lõppemisel. IV Volitatud esindajad
13. Tervisekassa esindajaks lepingu täitmisega seotud küsimustes on: Reet Luts, e-post: [email protected] 14. TEHIKu esindajaks lepingu täitmisega seotud küsimustes on: Tõnis Jaagus, e-post: [email protected]. 15. TELIA esindajaks lepingu täitmisega seotud küsimustes on: Rita Pajumaa, e-post: [email protected]. 16. ORTIVUS esindajaks lepingu täitmisega seotud küsimustes on: Taavi Talve, e-post: [email protected]. V Poolte kontaktandmed: Tervisekassa Registrikood: 74000091 Liivalaia tn 36, 10132, Tallinn
Tel:6696630 E-post: [email protected] Tervise ja Heaolu Infosüsteemide Keskus Registrikood: 70009770 Pärnu mnt 132 11317 Tallinn Tel: 7943 900 E-post: [email protected] Telia Eesti AS Registrikood:10234957 Mustamäe tee 3 15033 Tallinn Tel: 6397213 E-post: [email protected] Ortivus Mobimed AB Registrikood: 556593-0707 Svärdvägen 19 Box 713 182 33 Danderyd Rootsi Tel:+46 8 446 45 00 E-post: [email protected]