Dignio tarjoaa terveydenhuollon teknisiä ratkaisuja valtuutetulle hoitohenkilökunnalle ja potilaille, mikä tarkoittaa, että Dignio käsittelee sekä henkilötietoja että terveystietoja asiakkaidemme puolesta. Varmistaaksemme, että tämä käsittely tapahtuu turvallisesti, olemme ottaneet käyttöön kattavan laatu- ja tietoturvajärjestelmän.

Johtamisjärjestelmä on sertifioitu kansainvälisen tietoturvastandardin (ISO 27001) ja lääkinnällisten laitteiden suunnittelua, kehittämistä ja jakelua koskevan kansainvälisen standardin (ISO 13485) mukaisesti.

Asiaankuuluvien ISO-standardien lisäksi noudatamme tietosuoja-asetuksen vaatimuksia sekä kansallista tietosuojalainsäädäntöä ja tietoturvastandardeja, mukaan lukien terveydenhuolto- ja hoiva-alan tietoturva- ja tietosuojastandardi (Normen).

Asiakkaidemme puolesta käsittelemämme tiedot tallennetaan Tukholman palvelimille. Palvelinpalvelun tarjoaa Amazon Web Services Europe (AWS), joka noudattaa kaikkia palvelinpalveluihin liittyviä keskeisiä standardeja, mukaan lukien ISO 27001, ISO 27017 ja ISO 27018.

Tämä sivu tarjoaa yleiskatsauksen tietoturvakäytännöistämme. Ota meihin yhteyttä osoitteeseen post@dignio.com, jos sinulla on kysyttävää tämän lukemisen jälkeen.

Yleiskatsaus menettelytapoihimme

• Sisäänrakennettu tietoturva. Tietoturva on olennainen ja keskeinen osa ratkaisujamme. Tietoturva otetaan aina huomioon kaikissa suunnittelu- ja kehitysprosesseissa. Ratkaisumme antavat asiakkaalle mahdollisuuden räätälöidä tietoturvatoimenpiteitä asiakkaan erityistarpeiden mukaan.
• Pääsynvalvonta. Ratkaisuissamme on pääsyrajoituksia, joilla varmistetaan, että pääsy myönnetään vain niille käyttäjille, joilla on perusteltu tarve päästä järjestelmään.
• Salaus. Kaikki henkilötiedot ja terveystiedot on salattu sekä silloin, kun tiedot tallennetaan palvelimelle, että silloin, kun tiedot siirretään eri järjestelmien välillä.
• Turvallinen pilvitallennus. Palvelinpalvelut tarjoaa Amazon Web Services EMEA SARL (AWS Europe) Tukholmassa. AWS Europe varmistaa, että tietoja ei siirretä ETA:n ulkopuolelle.
• Käytettävyys ja varautumissuunnitelma. Tekninen osastomme ja palveluntarjoajamme noudattavat menettelytapoja, joilla varmistetaan, että Dignio Connected Care on käytettävissä ympäri vuorokauden vuoden jokaisena päivänä. Suunnitellun huollon aiheuttamat käyttökatkokset on minimoitu. Meillä on varautumissuunnitelmat, joilla varmistetaan toiminnan jatkuminen tulipalon, murron, sähkökatkoksen ja muiden poikkeuksellisten tapahtumien sattuessa.
• Ilmoitus tietoturvaloukkauksesta. Kaikki pääsy ja toiminta alustoillamme kirjataan lokiin, jotta mahdolliset tietoturvaloukkaukset voidaan havaita.
• Riskienhallinta. Dignio on ottanut käyttöön laadunhallintajärjestelmän, joka varmistaa, että Dignio kehittää ja toteuttaa jatkuvasti tietosuoja- ja tietoturvatoimenpiteitä, jotka vastaavat Dignion palveluihin ja toimintaan liittyviä nykyisiä ja mahdollisia riskiskenaarioita.
• Tietosuojaan ja tietoturvaan erikoistuneet resurssit. Digniolla on oma tietoturvaryhmä, jota johtaa teknologiajohtajamme (CTO) sekä kaksi sisäistä lakimiehiämme, joilla on pitkä kokemus tietosuojasta ja tietoturvasta. Kaikki työntekijät saavat säännöllisesti koulutusta tietosuoja- ja tietoturvakäytännöistämme.
• Laitteiden hallinta. Dignion käyttämät ohjelmistot, tietokoneet, matkapuhelimet, lääketieteelliset laitteet ja muut elektroniset laitteet rekisteröidään ja hyväksytään tietoturvaryhmän toimesta ennen käyttöä.
• Tarkastus ja riippumattomat tietoturvatestit. Ulkopuolinen tilintarkastaja tarkastaa Dignion menettelytavat ja vaatimustenmukaisuuden vuosittain. Dignio käy läpi myös teknisen tietoturvatestin (penetration test) vuosittain.
• Toimittajien ja tuotteiden hyväksyntä. Kaikki toimittajat sekä niiden tuotteet ja palvelut rekisteröidään ja hyväksytään ennen kuin Dignio ottaa ne käyttöön. Dignio tarkastaa kaikki toimittajat vuosittain.

Sisäänrakennettu turvallisuus

Dignion palvelut on kehitetty laadunhallintajärjestelmämme mukaisesti, joka perustuu lääkinnällisiä laitteita koskevaan standardiin ISO 13485 ja tietoturvaa koskevaan standardiin ISO 27001. Dignion ohjelmistot on kehitetty standardin IEC 62304:2006 mukaisesti. Standardi perustuu joustavaan kehitysmenetelmään, mikä mahdollistaa Dignion jatkuvan suunnitelmien tarkistamisen ja kehityksen mukauttamisen uusien vaatimusten tai tarpeiden mukaisesti, jotka ilmenevät kehityksen kuluessa, esimerkiksi uudet turvallisuusvaatimukset tai turvallisuusuhkat, joita ei tunnistettu projektin alussa.

Dignion ohjelmistokehitysmenetelmän ensimmäinen vaihe on tunnistaa olemassa olevat ja mahdolliset turvallisuusuhkat, jotka liittyvät Dignion kehittämäksi tarkoitettuun kohteeseen. Dignio laatii luettelon kaikista turvallisuusuhkista, jotka on ratkaistava ennen uuden toiminnon käyttöönottoa. Digniolla on erilliset käyttö- ja kehitysympäristöt, mikä varmistaa, että uutta ohjelmistoa ei oteta tuotantokäyttöön ennen kuin se on testattu ja hyväksytty. Uuden ohjelmiston on läpäistävä yksityiskohtainen testaussuunnitelma, joka sisältää hyväksymiskriteerit, minkä jälkeen ohjelmistoa tarkistetaan ja arvioidaan jatkuvasti sen jälkeen, kun se on otettu normaaliin käyttöön. Dignio tarjoaa koulutusta kaikille ohjelmiston käyttäjille varmistaakseen, että ohjelmistoa käytetään turvallisesti käyttöehtojen mukaisesti.

Vaikka pyrimme havaitsemaan kaikki ohjelmiston tietoturvauhat ja heikkoudet kattavien testien avulla, emme voi taata, että olemme onnistuneet poistamaan kaikki virheiden tai tietoturvaloukkausten riskit. Siksi valvomme ohjelmistoa jatkuvasti sen käyttöönoton jälkeen, jotta mahdolliset virheet tai tietoturvaloukkaukset voidaan havaita mahdollisimman pian. Meillä on myös asiakastuki, johon asiakkaat voivat ilmoittaa virheistä tai tietoturvaloukkauksista. Kaikki havaitut heikkoudet ja tietoturvaloukkaukset käsitellään ja priorisoidaan Dignion poikkeusten käsittelymenettelyjen mukaisesti.

Pääsynvalvonta

Digniolla ei ole paikallista (on-premise) infrastruktuuria, ja vaadimme kaksivaiheista todennusta kaikilta työntekijöiltä, jotka työskentelevät sisäisissä järjestelmissä (koodivarastot, kehitysympäristöt, pilvipalveluntarjoajat). Käytämme ”vähimmäisoikeuksien” mallia, mikä tarkoittaa, että myönnämme työntekijöille pääsyn vain siihen, mikä on ehdottomasti vähimmäismäärä, jonka työntekijä tarvitsee työtehtäviensä suorittamiseen.

Kaikki henkilötietojen käyttö kirjataan lokiin, jotta voidaan seurata, kuka on päässyt käsiksi mihin tietoihin ja milloin pääsy on myönnetty. Dignio suosittelee kaikille käyttäjille hyväksytyn salasananhallintaohjelman käyttöä. Salasananhallintaohjelma luo ja tallentaa käyttäjälle ainutlaatuisia ja monimutkaisia salasanoja, jotta vältetään yksinkertaisten salasanojen käyttö, tietojenkalastelu ja muut epävarmaan salasanakäytön riskit.

Salaus

Siirrettävät tiedot: Kaikki asiakastiedot, jotka lähetetään internetin kautta Dignion palvelimille tai niiltä pois, salataan vähintään TLS 1.2 -protokollalla (https). Dignion palvelut eivät tue salaamatonta viestintää.

Tallennetut tiedot: Kaikki asiakastiedot salataan Amazon Web Services EMEA SARL:n (AWS Europe) tarjoamilla palvelimilla. Salausavainta hallinnoi Dignio. Tämä tarkoittaa, että vain Dignio pääsee käsiksi salattuun tietoon. AWS Europe tai muut kolmannet osapuolet eivät pääse käsiksi palvelimille tallennettuihin tietoihin, ellei Dignio anna nimenomaista suostumustaan tällaiseen pääsyyn.

Turvallinen pilvitallennus

Kaikki tiedot, joita Dignio käsittelee asiakkaidensa puolesta, tallennetaan Amazon Web Services EMEA SARL:n (AWS Europe) tarjoamille palvelimille. EU:n/ETA:n alueella olevien asiakkaiden tiedot tallennetaan Tukholmaan.

AWS Europe noudattaa kaikkia pilvipalveluntarjoajille tärkeitä tietoturvastandardeja, mukaan lukien ISO 27001, ISO 27017 ja ISO 27018. Dignio on arvioinut ja hyväksynyt AWS Europen alihankkijaksi Dignion toimittajien hyväksyntää koskevan laadunhallintajärjestelmän mukaisesti.

Esteettömyys ja varautumissuunnitelma

Dignio on yhdessä palveluntarjoajiensa kanssa ottanut käyttöön menettelytapoja, joilla varmistetaan, että Dignio Connected Care on käytettävissä ympäri vuorokauden vuoden jokaisena päivänä. Käyttökatkokset pidetään mahdollisimman vähäisinä. Kaikista tiedoista tehdään varmuuskopiot, jotta tietojen menetys voidaan estää tietoturvaloukkausten tai muiden Dignion palvelutarjonnan keskeytyksien sattuessa.

Turvallisuusrikkomusten ilmoittaminen ja käsittely

Dignion alustojen käyttö ja kaikki niillä tapahtuva toiminta kirjataan lokiin, jotta mahdolliset tietoturvaloukkaukset voidaan havaita helpommin. Digniolla on yksityiskohtaiset menettelytavat tietoturvaloukkausten käsittelyä ja ilmoittamista varten Norjan tietosuojaviranomaiselle, rekisteröidyille ja muille asianosaisille.

Riskienhallinta

Dignio on ottanut käyttöön laadunhallintajärjestelmän, joka sisältää joukon menettelytapoja olemassa olevien ja potentiaalisten turvallisuusuhkien tunnistamiseksi ja vähentämiseksi. Uutta ohjelmistoa ei oteta tuotantokäyttöön ennen kuin kaikki tunnistetut turvallisuusuhkat on ratkaistu tai niiden riski on alennettu hyväksyttävälle tasolle riskien raportointia ja hyväksyttävää riskitasoa koskevien menettelytapojemme mukaisesti.

Tietosuojaan ja tietoturvaan osoitetut resurssit

Digniolla on oma tietoturvaryhmä, jota johtavat teknologiajohtajamme (CTO) ja kaksi sisäistä lakihenkilöämme, joilla on pitkä kokemus tietosuojasta ja tietoturvasta. Kaikki työntekijät saavat säännöllisesti koulutusta tietosuoja- ja tietoturvakäytännöistämme. Kaikki käytäntöjemme päivitykset tai muutokset tarkistetaan ja hyväksytään Dignion tietoturvaryhmässä sitä mukaa kuin ne otetaan käyttöön organisaatiossa. Lisäksi kaikki työntekijät osallistuvat tietoturvakoulutuksiin ympäri vuoden. Tämä varmistaa tietoturvatietoisuuden organisaatiossa.

Kaikki työntekijät, konsultit ja muut henkilöt, joilla on pääsy Dignion järjestelmiin, allekirjoittavat tietosuojakäytännön ja tietoturvaohjeet, jotka sisältävät yksityiskohtaiset säännöt henkilötietojen ja arkaluonteisten tietojen käsittelystä sekä tietoturvaloukkausten käsittelystä ja ilmoittamisesta.

Laitteiden hallinta

Digniossa käytettävät ohjelmistot, tietokoneet, matkapuhelimet, lääketieteelliset laitteet ja muut elektroniset laitteet rekisteröidään ja hyväksytään tietoturvaryhmän toimesta ennen käyttöä. Kaikki rekisteröidyt laitteet on liitetty yksittäiseen työntekijään tai konsulttiin, jotta laitteen omistaja voidaan jäljittää mahdollisten tietoturvaloukkausten yhteydessä.

Tarkastus ja riippumattomat turvallisuustestit

Ulkoinen tilintarkastaja tarkastaa Dignion toimintatavat vuosittain. Dignio käy läpi myös teknisen tietoturvatestauksen (pentest) vuosittain. Tilintarkastuskertomukset ja tietoturvatestausraportit ovat asiakkaidemme saatavilla pyynnöstä.

Toimittajien ja tuotteiden hyväksyntä

Kaikki toimittajat sekä niiden tuotteet ja palvelut rekisteröidään ja hyväksytään ennen kuin Dignio ottaa ne käyttöön. Dignio tarkastaa kaikki toimittajat vuosittain. Hyväksymisprosessiin kuuluu muun muassa se, että Dignio tarkastaa kaikki toimittajan tietosuojaa ja tietoturvaa koskevat asiakirjat, mukaan lukien sertifikaatit, ulkoiset tarkastusraportit ja tunkeutumistestit. Toimittajan arviointiprosessi koostuu yleensä useista tapaamisista ja niitä seuraavasta kirjeenvaihdosta toimittajan kanssa, jotta voimme varmistaa, että saamamme dokumentaatio on paikkansapitävää ja että toimittaja on ottanut sen riittävällä tavalla käyttöön.