Skip til primært indhold

It standardbetingelser

Nærværende betingelser finder anvendelse når Region Syddanmark (Kunden) indkøber medicoteknisk udstyr med eller uden tilhørende IT-system af en given leverandør (Leverandøren)

Dele af nedenstående betingelser kan udelades såfremt elementerne ikke indgår i den tilbudte Løsning.
Definitioner:
Kunden defineres som Region Syddanmark
Leverandøren defineres som den tilbudsgiver der indgås aftale med
Løsningen defineres som det produkt Leverandøren tilbyder. Dette kan være selvstændigt medicoteknisk udstyr, specielle computere, servere og/eller
klient- og serversoftware.

Løsningen skal anvende offentlige og/eller internationale standarder ( eks. DICOM, HL7).

Løsningens brugergrænseflader og API skal understøtte karaktersæt i henhold til standarden UTF8 eller tilsvarende, desuden skal alle danske specialkarakterer - såsom æ-ø-å og dansk komma- og tusindtalsseparator være understøttet. Ligeledes skal Løsningen kunne håndtere dansk CPR nr. med og uden bindestreg.

Det er et krav at der er en fortrolighedserklæring og evt. en databehandleraftale fra Regions Syddanmarks standardskabelon. Fortrolighedserklæring og evt. en databehandleraftale skal være underskrevet før accept af ordren/kontrakten.

Modaliteter og arbejdsstationer til billeddiagnostik skal som minimum understøtte DICOM version 3.0 kommunikationsprotokollen til udveksling af information med andet diagnostisk billedeudstyr som RIS, PACS, filmprintere, arbejdsstationer etc.

Leverandøren skal kunne fremvise DICOM Conformance Statement, som fuldt ud beskriver den i Løsningen inkluderede DICOM implementering. Conformance Statement skal fuldt leve op til de guidelines for conformance claims, som DICOM-standarden beskriver. Såfremt noget af den beskrevne DICOM-funktionalitet leveres som option, skal det klart angives som en option.

Det er et krav, at der skal være datakommunikation via HL7 eller lignende standard-protokol.

Region Syddanmark har en central platform til opsamling af patient- og apparaturdata fra medicoteknisk apparatur kaldet MDIC. Såfremt Løsningen kan eksportere patient- eller apparaturdata, skal Leverandøren på Kundens forlangende udlevere API og dokumentation til Region Syddanmark samt til MDIC-leverandøren, så det bliver muligt at overføre patient- og apparaturdata direkte fra Løsningen til MDIC platformen.

Løsningen skal til enhver tid overholde dansk lovgivning herunder sundhedsområde, databeskyttelsesloven, GDPR persondataforordning.

Leverandøren skal være indstillet på, at tilpasse Løsningen til den gældende lovgivning. Tilpasninger håndteres i henhold til kontraktens ændringshåndtering.

Kunden skanner regelmæssigt Servere, klienter og medicoteknisk udstyr for IT-sårbarheder. Leverandøren er forpligtet til:

-  løbende at godkende og frigive sikkerhedspatches til operativsystemer i Løsningen senest en måned efter frigivelsen fra OS-producenten (fx Microsoft).

-  løbende at udvikle, godkende og frigive sikkerhedspatches til firmware og software i Løsningen senest 3 måneder efter anmodning fra Kunden.

Servere og klienter i Løsningen skal beskyttes af TrendMicro Antivirus eller lignende via en installeret agent. Servere skal som minimum overvåges med Chef og Zabbix agent. Klienter skal konfigureres til at installere kritiske Windows opdateringer

Løsningen skal overholde Fællesregional informationssikkerhedspolitik.

Løsningen skal implementeres direkte i regionens netværksinfrastruktur og benytte IP adresser herfra. Løsning må kun efter særlig aftale indeholde router/firewall løsninger, til routning mellem regionens netværk og Løsningen.

Løsningen skal anvende TCP/IPv4 kommunikation mellem servere, klienter og apparatur

Såfremt Løsningen benytter sig af multicast, skal der i samarbejde med Region Syddanmark, Regional IT udarbejdes et løsningsforslag.

Løsningen skal kunne operere fuldt ud på Kundens eksisterende WAN/MPLS netværk.

Løsningen skal anvende NTP tidssynkronisering via opslag i Regionen/Hospitalets NTP Service.

Løsningen skal anvende DNS til navneopslag.

Løsningens MAC adresse(r) til kablet eller WIFI netværk skal oplyses ved installation til Kunden. 

Løsningen kobles til mediconetværk uden internetadgang. Ved behov for internetadgang skal destinationer specificeres (IP, URL, porte.)

Løsningens hostnavn(e)/computernavn(e) skal navngives ved installation af Kunden efter følgende standard ”MT[apparaturnummer]”

Det betinger at arbejdsstationer og apparatur der indgår i Løsningen skal benytte eksisterende Medico netværk VLAN og CISCO switche

Løsningen skal i forhold til kablet netværk med RJ45 være bestykket med et Standard Ethernet Interface med understøttelse af 10/100 eller 10/100/1000 Mbit/s.

Patch kabler til kablet netværk skal være af kategori CAT6a STP/FTP eller CAT6 UTP og være grønne samt typen LSZH halogenfri.

Der skal senest fem arbejdsdage inden tilkobling til netværk fremsendes en systemskitse (kladdeformat accepteres) der beskriver samtlige af systemets netværkskomponenter, herunder serveropkoblinger, fjernsupport, firewalls mm.

 

Løsningen skal i forhold til trådløs opkobling benytte Kundens eksisterende Medico WI-FI netværk WLAN og CISCO Access Point.

Løsningen skal være konfigureret med dynamisk kanalskift på 2.4Ghz og 5Ghz. Fast kanalvalg kræver særlig aftale med Kunden.

Løsningen skal i forhold til WI-FI understøtte 802.1x  authenfication key med valideringstypen PEAP-MS-CHAPv2. Bruger og password oplyses af Kunden ved installation.

Løsningen skal understøtte WPA2/AES kryptering.

Løsningen skal understøtte 802.11a/g/n på 2.4GHz og/eller 802.11n/ac 5 Ghz WLAN teknologier.

Løsningen skal benytte Kundens SSID ved trådløs opkobling til Medico netværk

Det betinger, at Leverandøren kan tilgå Løsningen placeret i sygehusets netværk via forbindelse til sygehusets netværk. Forbindelsen skal efter ønske og accept fra Region Syddanmark være:

-  en ekstern vpn bruger adgang til Region Syddanmark eller

-  en VPN Site-til-Site forbindelse.

Det betinger, at Leverandørens serviceadgang til sygehusets netværk vil ske via Regionens Firewall. Service forbindelsen skal derfor kunne understøtte de begrænsninger en Firewall måtte introducere på denne.

Fjernsupport værktøjer skal indeholde logning og 2-faktor godkendelse samt være godkendt af Kunden.

Servere skal kunne afvikles i Kundens bestående IT-miljø i hele kontraktperioden.

Servere skal som udgangspunkt afvikles som virtuelle servere i Kundens VMware miljø. Hvis der er forhold der gør at det ikke er muligt / hensigtsmæssigt at afvikle serveren som en virtuel server, kan en fysisk server anvendes.

Applikationsservere og databaseservere skal installeres og driftes i et af Regionens IT-driftscentre.

Fysiske servere skal leveres som rackmonteret servere med fuld redundans (spejlet diske, dobbelt strømforsyning, parret netværkskort med to opkoblinger til fail-over.) Kunden anvender servere fra DELL

Servere skal understøtte Windows 2012 R2 Datacenter; Windows 2016/2019 Datacenter 64 bit eller Linux Ubuntu 16.04 og 18.04 samt CentOS 6.7.

SQL databaser skal understøtte min. MS SQL Server 2012 SP4. Kunden anvender Microsoft SQL hotel med MS SQL Server 2012SP4, 2014, 2016 eller 2017.

OS-drev til operativsystemet må ikke anvendes til installation af applikation eller som lager for applikationsdata. Dette skal foretages på et andet drev, alternativt et CIFS/DFS share.

Leverandøren forpligter sig til at vedlægge en tegning af de servere og databaser der indgår i Løsningen (eks. Visio tegninger), så der kan dannes et overbliksbillede mellem driftssnitflader, afhængigheder, integrationer og komponenter benyttet i løsningsbeskrivelsen.

I løsningsbeskrivelsen angives som minimum følgende information:

-  Mindstekrav til RAM og CPU for alle servere, der indgår i Løsningen.

-  Den fysiske implementering dvs. hvor mange fysiske eller virtuelle servere, der skal anvendes.

-  En liste med samtlige softwareprodukter og eventuelle tillægskomponenter og 3. partsprodukter med beskrives ved produktnavn, eventuel

   minimumsversion, eventuel anbefalet version osv.

-  Krav til typen af database, og en beskrivelse af hvordan databasen anvendes.

-  Enheder, der skal tages Backup af, for at Løsningen kan genetableres ved restore /genetablering med data efter disaster.

Det betinger at Leverandøren skal specificere behovet for storage (diskplads) for driftsafvikling af Løsningen, opdelt i relevant omfang på f.eks. styresystem, basissoftware, data osv. Specifikationen skal omfatte storagebehovet i udgangssituationen samt den forventede udvikling i behovet i takt med øget anvendelse af Løsningen.

Det betinger at Løsningen benytter sig af Regionens SAN-installation for permanent datalagring – og altså ikke diskplads internt i servere eller i separate, dedikerede disksystemer.

Det betinger at Leverandøren beskriver forslag til backup-rutiner og ”policies”.

Det betinger at Leverandøren skal belyse, hvorledes afviklingen af backup påvirker Løsningen tilgængelighed.

Browser-løsninger skal som minimum understøtte Internet Explorer v.11, Firefox v.67 eller Google Chrome v.75 eller nyere.

Det betinger at applikationer i Løsningen skal kunne afvikles på supporteret operativsystem. Kunden benytter Windows 10 Enterprise SAC 64 bit, men opdaterer løbende i takt med Microsofts frigivelser af nye builds.

Platformsprodukter og operativsystemer, databaser, browsere, og andre 3. parts produkter, som Løsningen benytter, skal følge udviklingen, så Kunden på intet tidspunkt bliver låst på produkter og operativsystemer, der er ”end of life”

Såfremt Løsningen benytter 3.parts programmer, skal Løsningen til enhver tid kunne håndtere, at disse bliver opdateret til nyeste version. Eksempelvis: Java, eller Acrobat Reader.

Løsningen skal kunne foretage transaktionslogning på relevante hændelser, hvilket inkluderer brugerhændelser, hændelser fra andre delsystemer i henhold til gældende love og regler. Det betyder, at der skal være fuld sporbarhed på alle transaktioner og registreringer.

Det betinger, at Datatilsynets Sikkerhedsbekendtgørelse overholdes. Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år. Læs mere på Retsinformation

Det betinger at Løsningens IT systemer, hvor der er adgang til patientdata, skal kræve benyttelse af brugernavn og personligt kodeord (password). Oplysninger om login skal gemmes i logfil, og skal som minimum indeholdende brugernavn, dato og tidspunkt.

Brugeradgang til Løsningen skal kunne differentieres, således at forskellige brugere/brugergrupper kan have rettigheder til forskellige dele af  Løsningen og forskellige rettigheder inden for de enkelte dele (forespørge, tilføje, redigere/ændre, slette osv.)

Standard brugerlogin og password skal ændres til min. 10 karakter med små og store bogstaver samt indeholde tal.

Brugerstyring på klienter med autentificering af bruger-id / password skal ske via. Region Syddanmarks AD (Microsoft Active Directory) med LDAP.

Såfremt brugerlogin understøtter Single Sign On (SSO), skal autentificering af bruger-id og password ske via. Region Syddanmarks AD (Microsoft Active Directory)

Leverandøren er ansvarlig for og skal varetage Change-processen samt anvende Kundens Change Management-værktøj når der foretages ændringer i Løsningen.

Leverandøren skal dokumentere samtlige systemafhængigheder og integrationer både på skrift og i arkitekturtegning(er).

Leverandøren skal i samarbejde med Kunden udfærdige systemdokumentation over Leverandørens og Kundens driftsansvarsområde. Det er et krav, at der inkluderes en designtegning.

APPFWU01V