Sikkerhet
Som en aktør i helsebransjen forplikter Flow Technologies seg til å ta informasjonssikkerhet på høyeste alvor. Sikkerhet er kontinuerlig arbeid og gjennomføring er alt. Vi har innført en rekke tekniske og organisatoriske tiltak for å sikre at vi behandler personopplysninger og helseopplysninger på en sikker og pålitelig måte. Denne siden vil forhåpentligvis gi trygghet og svar på hvordan vi håndterer sikkerhet og personvern, men dersom du fremdeles sitter igjen med spørsmål, send en e-post til privacy@flowzone.eu.
Før vi går i dybden:
- Flow Technologies er underlagt og følger GDPR og Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen).
- Flow Technologies har innført et styringssystem basert på internasjonale standarden for informasjonssikkerhet ISO27001
Av dette følger blant annet at:
- Flow Technologies har kontroll på hvilke data vi lagrer og hvor disse er lagret.
- Flow Technologies gjennomfører risikovurderinger av alle tredjepartsleverandører og har også databehandleravtaler med alle tredjepartsleverandører for å sikre at de også behandler datene i henhold til lover og regler i de landene vi opererer i.
- Flow Technologies har innført en rekke forholdsregler både teknisk og organisatorisk for å sikre personvern og informasjonssikkerhet.
- Vi følger kontinuerlig med på hva som beveger seg i verden, som vurderinger rundt Schrems II, Trans-Atlantic Data Privacy Framework og andre større eller mindre trusler som kan utfordre personvernet.
Lagring av data
Alle opplysninger som Flow Technologies behandler på vegne av våre kunder er lagret på servere i Europa. Helseopplysninger lagres logisk og fysisk separert per kunde, og våre kunder kan selv velge lokasjon for disse dataene. Hvis ikke annet er avtalt vil dette være Frankfurt. Vi benytter Google Ireland Limited (Google) som leverandør. Google følger alle viktige sikkerhetsstandarder, inkludert ISO 27001, ISO 27017 og ISO 27018. Som med alle andre underleverandører har vi gjort en risikovurdering av Google.
Kryptering
Data under transport
Alle data som overføres er kryptert via HTTPS/Transport Layer Security (TLS) under transport.
Lagret data
Lagret data krypteres med minst AES-256 eller høyere krypteringsnivåer. Flow Technologies skal ikke lage kopier av personinformasjon og helseinformasjon med mindre det er nødvendig for å levere tjenesten eller for sikkerhetskopiering.
Sikkerhetstiltak
Flow Technologies har innført en rekke tekniske- og organisatoriske sikkerhetstiltak. Sikkerhet først er et innebygd prinsipp i hele organisasjonen og er alltid med i vurderingen i alle prosesser. Vi jobber ikke bare for at ansatte i organisasjonen skal læres opp i personvern og sikkerhet, men forsøker også å legge rette for at våre kunder og brukere på en enkel måte skal få tilgang på den informasjonen de trenger for å gjøre jobben sin, men heller ikke noe mer. Under følger en del tekniske- og organisatoriske sikkerhetstiltak vi har innført. Listen er ikke uttømmende.
Organisatoriske tiltak:
- Månedlige sikkerhetsmøter
Månedlige sikkerhetsmøter med opplæring for alle ansatte - Begrenset tilgang
Begrenset tilgang til kun de tjeneste man trenger for å utføre den jobben som skal utføres. - Protokoll over behandlingsaktiviteter
Til enhver tid kontroll over hvilken data som er lagret hvor. - Risikovurderinger
Risikovurderinger av alle tredjepartsleverandører. - Minimerer antall tredjepartsleverandører
Ved å minimere antall tredjepartsleverandører minimerer vi også antall angrepsvektorer. - Varslinger ved brudd på personvern eller informasjonssikkerheten
Innarbeidede prosedyrer for hva man skal gjøre ved mistanke om brudd på personvernet og informasjonssikkerheten hvor vi blant annet umiddelbart informerer alle som kan være berørt av hendelsen - Multi-faktor autentisering
Krever minst to-faktor-autentisering for tilgang til alle tjenester som behandler personlig informasjon. - Passordhåndteringssystemer
Benytter passordhåndteringssystemer med individuelle passord på hver tjeneste.
Tekniske tiltak:
- Kryptering
All data er kryptert når de er lagret og når de er i transport. - Oppdatert programvare
Jevnlig oppdatering av programvare for å forhindre mulige sikkerhetshull - Varsling ved sikkerhetsbrudd
Vi overvåker tjenestene våre for uautoriserte forsøk på å aksessere data med logg-baserte deteksjonsmekanismer. Alle brudd på personvern og/eller sikkerhet varsles til de som er berørt. - Logging
Flow Technologies logger all aksessering, endring og sletting av informasjon og hvem som utfører dette - Pseudonumisering
Pseudonymiserer data der vi kan slik at selv om man får tak dataene skal det fremdeles ikke være mulig å knytte dataene til en spesifikk identitet. - Backup
Backup av kritisk data minst én gang i døgnet, der backupen lagres på en annen fysisk lokasjon enn hoved-dataene. Dette gjør det mulig å raskt få systemet opp i drift i fra andre geografiske lokasjoner dersom nødvendig. All backupdata ligger kryptert. - Autentisering
Vi autentiserer våre brukere med anerkjente teknologier og metoder. - Sikrer integritet i dataene
Kundene og brukerne har selv mulighet til å oppdatere sine persondata for å sikre data-integritet. - Gradvis utrulling
Det er vanskelig å gardere seg 100% mot alle feil. Menneskelige feil kan skje. Derfor kjører vi gradvis utrulling slik at dersom det skulle finnes feil så vil vi finne det ut tidlig.
Tredjepartsleverandører
For å minimere risiko bruker Flow Technologies færrest mulig antall leverandører og holder tilgang til prosessering av personlig- og helseinformasjon til det minste. Vi risikovurderer alle underleverandører og har også databehandleravtaler med samtlige.
Business name |
Address |
Service |
Processing |
Legal basis |
Google Ireland Limited |
Gordon House Barrow Street Dublin 4, Ireland |
Hosting services and core systems |
End User Personal Data as defined in the DPA
|
DPA |
Signicat AS |
Gryta 2 B, 7010 Trondheim, Norway |
Identification |
Personal name, Personal contact information, National identity
number
|
DPA |
The Rocket Science Group, LLC |
675 Ponce de Leon Ave NE Suite 5000 Atlanta, GA 30308 USA |
Transactional emails |
End user email address, Personal name |
DPA/SCC |
ONLINECITY.IO ApS |
Buchwaldsgade 50, 5000 Odense C, Denmark |
SMS |
Phone number and content of SMS |
DPA |
If data controller has activated video meetings:
|
Whereby AS |
Gate 1 107, 6700 Måløy, Norway |
Video meetings |
Display name |
DPA |
If data controller has activated integration with Extensor EPR:
|
Extensor |
Storgata 60, 8006 Bodø, Norway |
EPR |
Personal assessment data |
DPA |