Dignio erbjuder välfärdstekniska lösningar för auktoriserad vårdpersonal och patienter, vilket innebär att Dignio behandlar både person- och hälsouppgifter för våra kunders räkning. För att säkerställa att denna behandling sker på ett säkert sätt har vi implementerat ett heltäckande ledningssystem för kvalitet och informationssäkerhet.

Ledningssystemet är certifierat enligt den internationella standarden för informationssäkerhet (ISO 27001) och den internationella standarden för design, utveckling och distribution av medicintekniska produkter (ISO 13485).

Utöver relevanta ISO-standarder följer vi kraven i dataskyddsförordningen, samt nationell dataskyddslagstiftning och informationssäkerhetsstandarder, inklusive Normen för informationssäkerhet och dataskydd inom vård- och omsorgssektorn (Normen).

Den information som vi behandlar för våra kunders räkning lagras på servrar i Stockholm. Servertjänsten tillhandahålls av Amazon Web Services Europe (AWS), som följer alla nyckelstandarder relaterade till servertjänster, inklusive ISO 27001, ISO 27017 och ISO 27018.

Denna sida ger en översikt över våra rutiner för informationssäkerhet. Kontakta oss gärna på post@dignio.com om du har några frågor efter att ha läst detta.

Översikt över våra rutiner

• Inbyggd säkerhet. Informationssäkerhet är en integrerad och grundläggande del av våra lösningar. Säkerhet beaktas alltid i alla design- och utvecklingsprocesser. Våra lösningar ger kunden möjlighet att anpassa säkerhetsåtgärder utifrån kundens speciella behov.
• Åtkomstkontroll. Våra lösningar har åtkomstbegränsningar för att säkerställa att åtkomst endast ges till behöriga användare med ett motiverat behov av åtkomst.
• Kryptering. All person- och hälsoinformation är krypterad, både när informationen lagras på servern och när informationen är på väg mellan de olika systemen.
• Säker molnlagring. Servertjänster tillhandahållna av Amazon Web Services EMEA SARL (AWS Europe) i Stockholm. AWS Europe säkerställer att informationen inte överförs utanför EES.
• Tillgänglighet och beredskapsplan. Vår tekniska avdelning och våra tjänsteleverantörer har rutiner för att säkerställa att Dignio Connected Care är tillgänglig 24 timmar om dygnet under hela året. Driftstopp för planerat underhåll reduceras till ett minimum. Vi har beredskapsplaner för att säkerställa fortsatt drift vid brand, inbrott, strömavbrott och andra extraordinära händelser.
• Meddelande vid säkerhetsintrång. All åtkomst och all aktivitet på våra plattformar loggas för att säkerställa att potentiella säkerhetsöverträdelser upptäcks.
• Riskhantering. Dignio har implementerat ett kvalitetsledningssystem som säkerställer att Dignio kontinuerligt utvecklar och implementerar dataskydd- och informationssäkerhetsåtgärder i linje med aktuella och potentiella riskscenarier för Dignios tjänster och verksamhet.
• Dedikerade resurser inom dataskydd och informationssäkerhet. Dignio har en egen informationssäkerhetsgrupp, ledd av vår chief technology officer (CTO) och våra två interna jurister, med lång erfarenhet av dataskydd och informationssäkerhet. Alla anställda genomgår regelbundet utbildning i våra rutiner för dataskydd och informationssäkerhet.
• Utrustningshantering. Programvara, datorer, mobiltelefoner, medicinsk utrustning och annan elektronisk utrustning som används av Dignio registreras och godkänns av informationssäkerhetsgruppen före användning.
• Revision och oberoende säkerhetstester. Dignios rutiner och efterlevnad revideras av en extern revisor årligen. Dignio genomgår även tekniskt säkerhetstest (penntest) varje år.
• Leverantörs- och produktgodkännande. Alla leverantörer och deras produkter och tjänster är registrerade och godkända innan Dignio använder dem. Dignio granskar alla leverantörer årligen.

Inbyggd säkerhet

Dignios tjänster är utvecklade i linje med vårt kvalitetsledningssystem som bygger på ISO 13485 för medicinsk utrustning och ISO 27001 för informationssäkerhet. Dignios mjukvara har utvecklats i enlighet med IEC 62304:2006. Standarden bygger på flexibel utvecklingsmetodik, vilket gör det möjligt för Dignio att kontinuerligt revidera planer och anpassa utvecklingen, i linje med nya krav eller behov som uppstår under utvecklingens gång, till exempel nya säkerhetskrav eller säkerhetshot som inte identifierades i början. av projektet.

Det första steget i Dignios metodik för mjukvaruutveckling är att identifiera befintliga och potentiella säkerhetshot relaterade till vad Dignio vill utveckla. Dignio upprättar en logg över alla säkerhetshot som måste lösas innan den nya funktionen kan användas. Dignio har separata driftmiljöer för drift och utveckling, vilket säkerställer att nyutvecklad mjukvara inte släpps till normal drift innan den har testats och godkänts. Nyutvecklad programvara ska gå igenom en detaljerad testplan med acceptanskriterier, följt av löpande revidering och utvärdering av programvaran efter att den tagits i normal drift. Dignio erbjuder utbildning till alla användare av programvaran för att säkerställa att programvaran används på ett säkert sätt, i linje med användarvillkoren.

Även om vi strävar efter att fånga alla säkerhetshot och svagheter i programvaran genom omfattande tester, kan vi inte garantera att vi har lyckats eliminera alla risker för fel eller säkerhetsintrång. Vi övervakar därför kontinuerligt mjukvaran efter att den tagits i drift för att identifiera eventuella fel eller säkerhetsintrång så snart som möjligt. Vi har även en kundsupportfunktion där kunder löpande kan rapportera fel eller säkerhetsintrång. Alla identifierade svagheter och säkerhetsöverträdelser kommer att hanteras och prioriteras i linje med Dignios rutiner för hantering av avvikelser.

Åtkomstkontroll

Dignio har ingen lokal (på plats) infrastruktur, och vi kräver tvåfaktorsautentisering för alla anställda som arbetar med interna system (kodlager, utvecklingssystem, molnleverantörer). Vi använder modellen "minst privilegium", vilket innebär att vi tilldelar anställda åtkomst utifrån den absoluta minsta åtkomst medarbetaren behöver för att kunna utföra sina arbetsuppgifter.

All tilgang til personopplysninger blir loggført, for å holde oversikt over hvem som har hatt tilgang til hvilke data, og når slik tilgang ble gitt. Dignio anbefaler alle brukere å benytte en godkjent passordforvalter. Passordforvalteren genererer og lagrer unike og komplekse passord for brukeren, for å unngå bruk av enkle passord, phishing og andre risikoer knyttet til usikker passordbruk.

Kryptering

Data under överföring: All kunddata som skickas över internet, från eller till Dignios servrar, krypteras med ett minimum TLS 1.2-protokoll (https). Dignios tjänster stöder inte okrypterad kommunikation.

Lagrade data: All kunddata krypteras på servrar som tillhandahålls av Amazon Web Services EMEA SARL (AWS Europe). Krypteringsnyckeln styrs av Dignio. Det innebär att endast Dignio har tillgång till den krypterade informationen. AWS Europe eller andra tredje parter har inte tillgång till data som lagras på servrarna, såvida inte Dignio ger uttryckligt samtycke till sådan åtkomst.

Säker molnlagring

All data som Dignio behandlar för sina kunders räkning lagras på servrar som tillhandahålls av Amazon Web Services EMEA SARL (AWS Europe). Uppgifterna lagras i Stockholm för kunder inom EU/EES.

AWS Europe följer alla viktiga informationssäkerhetsstandarder för molntjänsteleverantörer, inklusive ISO 27001, ISO27017 och ISO 27018. Dignio har utvärderat och godkänt AWS Europe som underleverantör, i linje med Dignios kvalitetsledningssystem för godkännande av leverantörer.

Tillgänglighet och beredskapsplan

Dignio har tillsammans med sina tjänsteleverantörer implementerat rutiner för att säkerställa att Dignio Connected Care är tillgänglig 24 timmar om dygnet under hela året. Driftstopp hålls till ett minimum. Säkerhetskopior och säkerhetskopior av all data tas för att förhindra dataförlust vid säkerhetsintrång eller andra avbrott i Dignios tjänsteutbud.

Anmälan och hantering av säkerhetsöverträdelser

Åtkomst och all aktivitet på Dignios plattformar loggas för att säkerställa att potentiella säkerhetsintrång lättare upptäcks. Dignio har detaljerade rutiner för att hantera och anmäla säkerhetsöverträdelser till norska datatilsynet, de registrerade och andra berörda parter.

Riskhantering

Dignio har implementerat ett kvalitetsledningssystem med en rad procedurer för att identifiera och sedan minska befintliga och potentiella säkerhetshot. Nyutvecklad programvara sätts inte i normal drift förrän alla identifierade säkerhetshot har lösts eller reducerats till en acceptabel risknivå, i linje med våra rutiner för riskrapportering och acceptabel risknivå.

Dedikerade resurser inom dataskydd och informationssäkerhet

Dignio har en egen informationssäkerhetsgrupp, ledd av vår chief technology officer (CTO) och våra två interna jurister, med lång erfarenhet av dataskydd och informationssäkerhet. Alla anställda genomgår regelbundet utbildning i våra rutiner för dataskydd och informationssäkerhet. Alla uppdateringar eller ändringar av våra rutiner granskas och godkänns av Dignios informationssäkerhetsgrupp allt eftersom de implementeras i organisationen. Dessutom genomför alla anställda kurser i informationssäkerhet under hela året. Detta säkerställer en medvetenhet om informationssäkerhet i organisationen.

Alla anställda, konsulter och andra som ska ha tillgång till Dignios system skriver under en integritetspolicy och datasäkerhetsinstruktioner som innehåller detaljerade regler om hur personuppgifter och känsliga uppgifter ska behandlas samt hur säkerhetsöverträdelser ska hanteras och anmälas.

Utrustningshantering

Programvara, datorer, mobiltelefoner, medicinsk utrustning och annan elektronisk utrustning som används i Dignio registreras och godkänns av informationssäkerhetsgruppen före användning. All registrerad utrustning är kopplad till den enskilde medarbetaren eller konsulten, för att kunna spåra vem som äger utrustningen i samband med eventuella säkerhetsintrång.

Revision och oberoende säkerhetstester

Dignios rutiner revideras av en extern revisor årligen. Dignio genomgår även teknisk säkerhetstestning (pentest) varje år. Revisionsrapporter och säkerhetstestrapporter finns tillgängliga för våra kunder på begäran.

Leverantörs- och produktgodkännande

Alla leverantörer och deras produkter och tjänster är registrerade och godkända innan Dignio använder dem. Dignio granskar alla leverantörer årligen. Godkännandeprocessen innebär bland annat att Dignio granskar all dokumentation som leverantören har relaterat till dataskydd och informationssäkerhet, inklusive certifieringar, externa revisionsrapporter och penetrationstester. Processen med att utvärdera en leverantör kommer normalt att bestå av flera möten och efterföljande korrespondens med leverantören för att säkerställa att den dokumentation vi har fått är korrekt och tillräckligt implementerad av leverantören.