Dignio tilbyr velferdsteknologiske løsninger for autorisert helsepersonell og pasienter, som innebærer at Dignio behandler både person- og helseopplysninger på vegne av våre kunder. For å sørge for at denne behandlingen skjer på en trygg og sikker måte, har vi implementert et omfattende styringssystem for kvalitet og informasjonssikkerhet.

Styringssystemet er sertifisert i henhold til den internasjonale standarden for informasjonssikkerhet (ISO 27001) og den internasjonale standarden for design, utvikling og distribusjon av medisinsk utstyr (ISO 13485).

I tillegg til relevante ISO-standarder, etterlever vi kravene personvernforordningen, samt nasjonal personvernlovgivning og informasjonssikkerhetsstandarder, inkludert Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen).

Opplysningene som vi behandler på vegne av våre kunder er lagret på servere i Stockholm. Servertjenesten er levert av Amazon Web Services Europe (AWS), som følger alle sentrale standarder knyttet til servertjenester, inkludert ISO 27001, ISO 27017 og ISO 27018.

Denne siden gir en oversikt over våre rutiner for informasjonssikkerhet. Ta gjerne kontakt med oss på post@dignio.com dersom du har noen spørsmål etter å ha lest dette.

Oversikt over våre rutiner

• Innebygd sikkerhet. Informasjonssikkerhet er en integrert og grunnleggende del av våre løsninger. Sikkerhet blir alltid vurdert i enhver design- og utviklingsprosess. Våre løsninger gir kunden mulighet til å tilpasse sikkerhetstiltak ut fra kundens særskilte behov.
• Tilgangskontroll. Våre løsninger har tilgangsbegrensninger for å sikre at tilgang kun er gitt til autoriserte brukere med et begrunnet behov for tilgang.
• Kryptering. Alle personopplysninger og helseopplysninger er kryptert, både når informasjonen er lagret på server og når informasjonen er i transitt mellom de ulike systemene.
• Sikker skylagring. Servertjenester levert av Amazon Web Services EMEA SARL (AWS Europe) i Stockholm. AWS Europe sikrer at informasjonen ikke overføres utenfor EØS.
• Tilgjengelighet og beredskapsplaner. Vår tekniske avdeling og våre tjenesteleverandører har rutiner på plass for å sikre at Dignio Connected Care er tilgjengelige 24 timer i døgnet gjennom hele året. Nedetid for planlagt vedlikehold er redusert til et minimum. Vi har beredskapsplaner for å sikre fortsatt drift ved brann, innbrudd, strømbrudd og andre ekstraordinære hendelser.
• Varsel ved sikkerhetsbrudd. Alle tilganger og all aktivitet på våre plattformer er loggført for å sikre at potensielle sikkerhetsbrudd fanges opp.
• Risikoforvaltning. Dignio har implementert et kvalitetsstyringssystem som sikrer at Dignio kontinuerlig utvikler og implementerer personvern- og informasjonssikkerhetstiltak i tråd med aktuelle og potensielle risikoscenarioer for Dignios tjenester og drift.
• Dedikerte ressurser innenfor personvern og informasjonssikkerhet. Dignio har en egen informasjonssikkerhetsgruppe, ledet av våre teknologisjef (CTO) og våre to internadvokater, med bred erfaring innen personvern og informasjonssikkerhet. Alle ansatte gjennomgår regelmessig opplæring i våre personvern- og informasjonssikkerhetsrutiner.
• Utstyrsforvaltning. Programvare, datamaskiner, mobiltelefoner, medisinsk utstyr og annet elektronisk utstyr som brukes av Dignio er registrert og godkjent av informasjonssikkerhetsgruppen før bruk.
• Revisjon og uavhengig sikkerhetstesting. Dignios rutiner og etterlevelse blir revidert av en ekstern revisor årlig. Dignio gjennomgår også teknisk sikkerhetstesting (pen test) hvert år.
• Leverandør og produktgodkjenning. Alle leverandører og deres produkter og tjenester er registrert og godkjent før Dignio tar dem i bruk. Dignio reviderer alle leverandører årlig.

Innebygd sikkerhet

Dignios tjenester er utviklet i tråd med vårt kvalitetsstyringssystem som bygger på ISO 13485 for medisinsk utstyr og ISO 27001 for informasjonssikkerhet. Dignios programvare er utviklet i tråd med IEC 62304:2006. Standarden bygger på smidig utviklingsmetodikk, som gjør det mulig for Dignio å revidere planer og tilpasse utviklingen fortløpende, i tråd med nye krav eller behov som oppstår underveis i utviklingsløpet, for eksempel nye sikkerhetskrav eller sikkerhetstrusler som ikke ble identifisert ved starten av prosjektet.

Det første steget i Dignios metodikk for programvareutvikling er å identifisere eksisterende og potensielle sikkerhetstrusler knyttet til det som Dignio ønsker å utvikle. Dignio utarbeider en logg over alle sikkerhetstrusler som må løses før den nye funksjonaliteten kan tas i bruk. Dignio har separate driftsmiljøer for drift og utvikling, som sikrer at nyutviklet programvare ikke blir sluppet ut i ordinær drift før det er testet og godkjent. Nyutviklet programvare må gjennom en detaljert testplan med akseptansekriterier, etterfulgt av løpende revisjon og evaluering av programvaren etter at den er satt i ordinær drift. Dignio tilbyr opplæring til alle brukere av programvaren for å sikre at programvaren blir brukt på en trygg måte, i tråd med brukervilkårene.

Selv om vi etterstreber å fange opp alle sikkerhetstrusler og svakheter i programvaren gjennom omfattende testing, så kan vi ikke garantere at vi har klart å eliminere enhver risiko for feil eller sikkerhetsbrudd. Vi monitorerer derfor programvaren fortløpende etter at den er satt i drift for å identifisere eventuelle feil eller sikkerhetsbrudd så fort som mulig. Vi har også en kundestøtte-funksjon hvor kunder kan fortløpende rapportere om feil eller sikkerhetsbrudd. Alle identifisere svakheter og sikkerhetsbrudd vil bli håndtert og prioritert i tråd med Dignios rutiner for avvikshåndtering.

Tilgangskontroll

Dignio har ingen lokal (on-premise) infrastruktur, og vi krever tofaktorautentisering for alle ansatte som jobber med interne systemer (kodelagre, utviklingssystemer, skyleverandører). Vi benytter “least privilege”-modellen, noe som betyr at vi tildeler tilganger til ansatte basert på den absolutt minste tilgangen den ansatte trenger for å kunne utføre sine arbeidsoppgaver.

All tilgang til personopplysninger blir loggført, for å holde oversikt over hvem som har hatt tilgang til hvilke data, og når slik tilgang ble gitt. Dignio anbefaler alle brukere å benytte en godkjent passordforvalter. Passordforvalteren genererer og lagrer unike og komplekse passord for brukeren, for å unngå bruk av enkle passord, phishing og andre risikoer knyttet til usikker passordbruk.

Kryptering

Data i transport: Alle kundedata som sendes over internett, fra eller til Dignios servere, er kryptert med minimum TLS 1.2 protokoll (https). Dignios tjenester støtter ikke ukryptert kommunikasjon.

Lagret data: Alle kundedata er kryptert på servere levert av Amazon Web Services EMEA SARL (AWS Europe). Krypteringsnøkkelen er kontrollert av Dignio. Dette innebærer at det kun er Dignio som har tilgang til den krypterte informasjonen. AWS Europe eller andre tredjeparter, har ikke tilgang til dataene som er lagret på serverne, med mindre Dignio gir eksplisitt samtykke til slik tilgang.

Trygg skylagring

Alle data som Dignio behandler på vegne av sine kunder er lagret på servere levert av Amazon Web Services EMEA SARL (AWS Europe). Dataene er lagret i Stockholm for kunder lokalisert i EU/EØS.

AWS Europe følger alle sentrale informasjonssikkerhetsstandarder for skytjenesteleverandører, herunder ISO 27001, ISO27017 and ISO 27018. Dignio har evaluert og godkjent AWS Europe som underleverandør, i tråd med Dignios kvalitetstyringssystem for godkjenning av leverandører.

Tilgjengelighet og beredskapsplaner

Dignio har, sammen med sine tjenesteleverandører, implementert rutiner for å sikre at Dignio Connected Care er tilgjengelig 24 timer i døgnet gjennom hele året. Nedetid er holdt til et minimum. Det tas backup og sikkerhetskopier av alle data for å hindre tap av data ved sikkerhetsbrudd eller andre avbrytelser i Dignios tjenestetilbud.

Varsling og håndtering av sikkerhetsbrudd

Tilganger og all aktivitet på Dignios plattformer er logget for å sikre at potensielle sikkerhetsbrudd blir lettere oppdaget. Dignio har detaljerte prosedyrer for håndtering og varsling av sikkerhetsbrudd til Datatilsynet, de registrerte og andre berørte parter.

Risikoforvaltning

Dignio har implementert et kvalitetsstyringssystem med en rekke prosedyrer for å identifisere og deretter redusere eksisterende og potensielle sikkerhetstrusler. Nyutviklet programvare blir ikke satt i ordinær drift før alle identifisere sikkerhetstrusler er løst eller redusert til et akseptabelt risikonivå, i tråd med våre rutiner for risikorapportering og akseptabelt risikonivå.

Dedikerte ressurser innenfor personvern og informasjonssikkerhet

Dignio har en egen informasjonssikkerhetsgruppe, ledet av våre teknologisjef (CTO) og våre to internadvokater, med bred erfaring innen personvern og informasjonssikkerhet. Alle ansatte gjennomgår regelmessig opplæring i våre personvern- og informasjonssikkerhetsrutiner. Alle oppdateringer eller endringer i våre rutiner blir revidert og godkjent av Dignios informasjonssikkerhetsgruppe de blir implementert i organisasjonen. I tillegg gjennomfører alle ansatte kurs i informasjonssikkerhet løpende gjennom året. Dette sikrer en bevissthet rundt informasjonssikkerhet i organisasjonen.

Alle ansatte, konsulenter og andre som skal ha tilgang til Dignios systemer signerer en taushetserklæring og datasikkerhetsinstruks, som inneholder detaljerte regler om hvordan personopplysninger og sensitive data skal behandles, og hvordan sikkerhetsbrudd skal håndteres og varsles.

Utstyrsforvaltning

Programvare, datamaskiner, mobiltelefoner, medisinsk utstyr og annet elektronisk utstyr som brukes i Dignio er registrert og godkjent av informasjonssikkerhetsgruppen før bruk. Alt registrert utstyr er knyttet til den enkelte ansatte eller konsulent, for å kunne spore opp hvem som eier utstyret i forbindelse med eventuelle sikkerhetsbrudd.

Revisjon og uavhengig sikkerhetstesting

Dignios rutiner blir revidert av en ekstern revisor årlig. Dignio gjennomgår også teknisk sikkerhetstesting (pentest) hvert år. Revisjonsrapporter og sikkerhetstest-rapporter er tilgjengelig for våre kunder på forespørsel.

Leverandør og produktgodkjenning

Alle leverandører og deres produkter og tjenester er registrert og godkjent før Dignio tar dem i bruk. Dignio reviderer alle leverandører årlig. Godkjenningsprosessen innebærer blant annet at Dignio gjennomgår all dokumentasjon som leverandøren har knyttet til personvern og informasjonssikkerhet, herunder sertifiseringer, eksterne revisjonsrapporter og penetrasjonstesting. Prosessen med å evaluere en leverandør vil normalt består av flere møter og påfølgende korrespondanse med leverandøren for å sikre at dokumentasjonen som vi har mottatt er korrekt og tilstrekkelig implementert av leverandøren.