Andmete vahendamisteenuse leping

ANDMETE VAHENDAMISTEENUSE LEPING 6-2.9/21

Registrite ja Infosüsteemide Keskus (edaspidi RIK), mida põhimääruse alusel esindab direktor Mehis Sihvart

Eesti Haigekassa (edaspidi haigekassa), mida esindab juhatuse esimees Rain Laane ja

Eesti Kohtuekspertiisi Instituut (edaspidi EKEI), mida esindab direktor Üllar Lanno

edaspidi ka pool või koos pooled sõlmisid andmete vahendamisteenuse lepingu (edaspidi leping) alljärgnevas:

1. Lepingu objekt

1.1. Lepingu objektiks on pakkuda RIKi poolt EKEI-le X-tee ja MISP-i haldamise teenust lisas 1 nimetatud teenustasemel (edaspidi ka teenus) tagamaks tehniline tugi vahendamaks haigekassa ja EKEI vahelist andmete liikumist.

1.1.1. Andmed liiguvad haigekassa ravikindlustuse andmekogust EKEI-le järgmiste teenuste kaudu:

1) ettevotja_andmed Ettevõtja andmete päring 2) ettevotja_kontaktisikud Kontaktisiku andmed 3) leping Lepinguandmete päring 4) leping_ettepanek_logi Rahalise lisa ettepanekute logi 5) leping_ettepanek_saatmine Rahalise lisa ettepanek 6) leping_ettepanek_vaatamine Rahalise lisa ettepanekute päring 7) leping_rahaline_lisa Rahalise lisa detailpäring 8) muuda_kontot Arveldusarve muutmine 9) rta_detail RTA detailandmete päring 10) rta_koond_arve_info Koondarve päring 11) rta_tyhistus Raviarve tühistamine

1.1.2. Andmed liiguvad EKEI-lt raviarvetena haigekassa andmekogusse järgides EKEI ja haigekassa vahelises ravi rahastamise lepingus nr 2020-RRL1-60001 sätestatud andmete kooseisu, struktuuri ja edastamise korda.

2. Lepingu kehtivus

2.1. Leping jõustub allkirjastamise hetkest ja kehtib kuni 31.12.2025.

3. Lepingu lisad

3.1. Lisa 1 - X-tee ja MISP-i haldamise teenuse teenustaseme lepe (SLA) (edaspidi teenustaseme lepe).

4. Logide töötlemine

4.1. X-tee ja MISP-i haldamise teenuse osutamisel logitakse andmeid mh MISP-i turvaserveritesse (x-tee andmevahetuse korral logitakse andmevahetus turvaserverites).

4.2. MISP-i turvaserverite logid sisaldavad mh järgnevaid andmeid: 4.2.1. tegevuse teostaja; 4.2.2. tegevuse/sündmuse liik või klass; 4.2.3. infosüsteemi identifikaator; 4.2.4. ajamärgistus, mis sisaldab täpset sündmuse kuupäeva ning kellaaega; 4.2.5. teostatud tegevuse väljund või tegevuse tulem.

4.3. RIK säilitab logisid vastavalt teenustaseme leppes toodud tingimustele.

5. RIK-i kohustused

5.1. RIK-il on kohustus: 5.1.1. töödelda andmeid (sh eriliiki andmeid) üksnes lepingus nimetatud eesmärgil; 5.1.2. mitte avalikustada, võimaldada juurdepääsu, edastada ega anda muul viisil üle

vastuvõetud andmeid kolmandatele isikutele, v.a õigusaktides ette nähtud juhtudel; 5.1.3. mitte kaasata lepingu täitmiseks omakorda teisi volitatud töötlejaid; 5.1.4. rakendada organisatsioonilisi, füüsilisi ja infotehnoloogilisi turvameetmeid andmete

tervikluse, käideldavuse ja konfidentsiaalsuse osas vastavalt andmete turvalisust puudutavatele ja isikuandmete kaitse alastele Euroopa Liidu ja Eesti Vabariigi õigusaktidele;

5.1.5. tagada, et andmetele pääsevad juurde ainult selleks volitatud töötajad, kellele see on vajalik neile pandud tööülesannete raames, et täita lepingust tulenevaid ülesandeid;

5.1.6. teavitada töödeldavate isikuandmetega seotud rikkumisest haigekassat viivitamata, kuid mitte hiljem kui 3 päeva jooksul rikkumise avastamisest.

6. RIK-i õigused

6.1. RIK-il on õigus: 6.1.1. teenuse osutamine lõpetada kui EKEI või haigekassa on teinud andmevahendust

puudutava tehnilise arenduse või muudatuse, mis ei võimalda RIK-il teenust osutada, piirab teenuse osutamist või nõuab RIK-ilt teenuse osutamiseks täiendavaid tegevusi. Teenuse osutamine lõpetatakse alates tehnilise arenduse või muudatuse rakendamisest.

7. Haigekassa kohustused 7.1. Haigekassal on kohustus: 7.1.1. võimaldada RIK-il töödelda vajalikke andmeid (sh eriliiki isikuandmeid) EKEI-le teenuse

osutamiseks ning lepingu eesmärkide täitmiseks; 7.1.2. teavitada RIK-i vähemalt 3 kuud ette andmevahendust puudutavast tehnilisest arendusest

või muudatusest, mis võib mõjutada andmevahendust. Kui arendus või muudatus on põhjendatult kiireloomuline ning tingitud asjaolust, mille üle pool ei oma kontrolli, võib teavitamisaeg olla vastavalt asjaoludele lühem.

8. Haigekassa õigused

8.1. Haigekassal on õigus: 8.1.1. peatada andmete vahendamise võimaldamine, kui on alust arvata, et isikuandmete kaitse

või andmete turvalisust puudutavaid nõudeid on rikutud. Andmete vahendamise peatamisest teavitatakse RIK-i ja EKEI-d kirjalikult lepingus toodud kontaktandmete kaudu viivitamata, kuid mitte hiljem kui 3 päeva jooksul rikkumise avastamisest.

9. EKEI kohustused

9.1. EKEI-l on kohustus: 9.1.1. võimaldada RIK-il töödelda EKEI-le teenuse osutamiseks ning lepingu eesmärkide

täitmiseks vajalikke andmeid (sh eriliiki isikuandmeid); 9.1.2. edastada RIK-ile esimesel võimalusel e-mailile [email protected] informatsioon kasutajate

kohta, kellele tagatakse ligipääs MISP süsteemi või kui kasutaja ligipääs tuleb lõpetada; 9.1.3. teavitada RIK-i vähemalt 3 kuud ette andmevahendust puudutavast tehnilisest arendusest

või muudatusest, mis võib mõjutada andmevahendust. Kui arendus või muudatus on põhjendatult kiireloomuline ning tingitud asjaolust, mille üle pool ei oma kontrolli, võib teavitamisaeg olla vastavalt asjaoludele lühem.

9.1.4. töödelda andmeid (sh eriliiki andmeid) üksnes lepingus nimetatud eesmärgil;

2/3

9.1.5. mitte avalikustada, võimaldada juurdepääsu, edastada ega anda muul viisil üle vastuvõetud andmeid kolmandatele isikutele, v.a õigusaktides ette nähtud juhtudel;

9.1.6. mitte kaasata lepingu täitmiseks omakorda teisi volitatud töötlejaid;

10 Vastutus

10.1 Pool vastutab talle kättesaadavaks tehtud andmete saamisest, kasutamisest või muul moel töötlemisest tulenevate nõuete eest, kui pool oli rikkumises või kahju tekkimises süüdi.

10.2 Pooled vastutavad tehniliste rikete kõrvaldamise eest oma vastutusala piires. Pooled ei vastuta viivituste ja rikete eest, mis tulenevad nende mõjualast väljaspool olevast tegurist, mida pooled ei suuda ennetada ja mille tagajärgi pool ei oleks saanud vältida või ära hoida.

11 Konfidentsiaalsus

11.1 Pooled kohustuvad hoidma konfidentsiaalsena neile lepinguga seoses teatavaks saanud teavet, mis õigusaktidest tulenevalt või poolte kokkuleppel loetakse konfidentsiaalseks teabeks või mis oletatavasti on selline.

11.2 Konfidentsiaalsuse kohustus jääb kehtima ka pärast lepingu lõppemist.

12 Lepingu muutmine ja lõppemine

12.1Lepingut muudetakse kirjalikult ja muudatus jõustub allkirjastamisel või muudatuses sätestatud tähtajal.

12.2Pooltel on õigus leping üles öelda, teatades sellest lepingu teistele pooltele ette kirjalikult 30 päeva.

12.3Poolel on õigus leping üles öelda etteteatamistähtaega järgimata, kui teine pool rikub oma kohustusi.

13 Kontaktisikud

13.1RIK-i esindaja on riikliku sunni registrite osakonna täitemenetluse teenuste talituse juhataja Arne Puhlov, [email protected], +372 526 7391.

13.2EKEI esindaja on direktor Üllar Lanno, [email protected]; 663 6601.

13.3Haigekassa esindaja on infoturbe osakonna juhataja Kristo Kapten, 620 8317, [email protected].

13.4Kontaktandmete muutmisest teavitavad pooled üksteist 7 päeva jooksul muudatuse toimumisest arvates.

14 Poolte andmed

Registrite ja Infosüsteemide Keskus Registrikood: 70000310 Lubja 4, 19081 Tallinn [email protected]

Eesti Kohtuekspertiisi Instituut Registrikood: 70003572 Tervise 30 13419 Tallinn Telefon: 663 6600 [email protected]

Eesti Haigekassa Registrikood: 74000091 Lastekodu 48, 10144 Tallinn Tel: 620 8430 [email protected]

Leping on allkirjastatud digitaalselt

3/3

X-tee ja MISPi haldamise teenuse tüüp teenustaseme lepe (SLA)

X-tee ja MISPi haldamise teenus, mille komponendiks on MISP (Mini Infosüsteem portaal) portaal(id). Juurdepääsude haldamine RIHA-le, MISP-le ja andmekogudele läbi turvaserveri. MISP-i ja infosüsteemide kasutamiseks vajaliku X-tee teenuse riist- ja tarkvara seadistamine, paigaldamine ja haldamine, võimaldades X-tee andmekogudele päringute tegemise.

ISKE turvaklass -

1. Üldmääratlus

Jrk. nr Tingimus Väärtus

1.1 Kriitilisuse klass IV 1.2 Andmete varukoopiaklass K

2. IT-Teenuse kättesaadavus

E-R L, P 2.1 Tööaeg I - 2.2 Süsteemi sisutoe tööaeg I

2.3 Maksimaalne lubatud üheaegne kasutajate arv 20 kasutajat 2.4 Maksimaalne lubatud üheaegne toimingute arv 2 toimingut

sekundis 3. Planeeritud katkestus

3.1 Planeeritud katkestusest etteteatamisaeg (vähemalt) 24h 3.2 Planeeritud katkestuste maksimaalne kogukestvus

aastas 48h

3.3 Ühe planeeritud katkestuse maksimaalne kestvus 2h 3.4 Maksimaalne planeeritud katkestuste arv kuus 2 tk

4. Planeerimata katkestus

4.1 Lubatud planeerimata katkestuste kogukestvus aastas

48h

4.2 Maksimaalne ühekordse planeerimata katkestuse kestvus1

8h

1 Planeerimata katkestuseks ei loeta katkestusi, mis on tingitud järgmistest olukordadest:

• ilmnevad vead MISP tarkvara koodis ja loogikas, andmebaasis, andmete tervikluses, riistvaras,

protsessides või mistahes muus osas, mis ei ole arendatud või loodud RIKi poolt või mille integratsioon

või juurutus ei ole RIKi vastutusel;

• muu teenusepakkuja teenus ei tööta;

• on ilmnenud vead, viivitused või häired, mis on tekkinud asutuse kasutajate poolt X-tee

andmekogudele päringute tegemise teenuse kasutamisel sisestatud ebakorrektsetest või ebaõigetest

andmetest.

5. X-tee ja MISPi haldamise teenuse funktsioonide reaktsiooniajad

Reaktsiooniajad vastavad kokkuleppele, kui kokku lepitud aega mahub 90% tehtud operatsioonidest. 6. Logide säilitamine

Funktsioonid Viide (normaalne- maksimaalne sekundites)

5.1 MISP avalehe avamine 2-5

Tingimus Väärtus

6.1 MISP rakendusserveri logide säilitamine 3 kuud 6.2 MISP andmebaasi logide säilitamine 1 aasta 6.3 Turvaserveri logide säilitamine -