Sikkerhet
Som en aktør i helsebransjen forplikter Flow Technologies seg til å
ta informasjonssikkerhet på høyeste alvor. Sikkerhet er kontinuerlig
arbeid og gjennomføring er alt. Vi har innført en rekke tekniske og
organisatoriske tiltak for å sikre at vi behandler
personopplysninger og helseopplysninger på en sikker og pålitelig
måte. Denne siden vil forhåpentligvis gi trygghet og svar på hvordan
vi håndterer sikkerhet og personvern, men dersom du fremdeles sitter
igjen med spørsmål, send en e-post til
privacy@flowzone.eu.
Før vi går i dybden:
-
Flow Technologies er underlagt og følger GDPR og Norm for
informasjonssikkerhet og personvern i helse- og omsorgssektoren
(Normen).
-
Flow Technologies har innført et styringssystem basert på
internasjonale standarden for informasjonssikkerhet ISO27001
Av dette følger blant annet at:
-
Flow Technologies har kontroll på hvilke data vi lagrer og hvor
disse er lagret.
-
Flow Technologies gjennomfører risikovurderinger av alle
tredjepartsleverandører og har også databehandleravtaler med alle
tredjepartsleverandører for å sikre at de også behandler datene i
henhold til lover og regler i de landene vi opererer i.
-
Flow Technologies har innført en rekke forholdsregler både teknisk
og organisatorisk for å sikre personvern og
informasjonssikkerhet.
-
Vi følger kontinuerlig med på hva som beveger seg i verden, som
vurderinger rundt Schrems II, Trans-Atlantic Data Privacy
Framework og andre større eller mindre trusler som kan utfordre
personvernet.
Lagring av data
Alle opplysninger som Flow Technologies behandler på vegne av våre
kunder er lagret på servere i Europa. Helseopplysninger lagres
logisk og fysisk separert per kunde, og våre kunder kan selv velge
lokasjon for disse dataene. Hvis ikke annet er avtalt vil dette være
Frankfurt. Vi benytter Google Ireland Limited (Google) som
leverandør. Google følger alle viktige sikkerhetsstandarder,
inkludert ISO 27001, ISO 27017 og ISO 27018. Som med alle andre
underleverandører har vi gjort en risikovurdering av Google.
Kryptering
Data under transport
Alle data
som overføres er kryptert via HTTPS/Transport Layer Security (TLS)
under transport.
Lagret data
Lagret data krypteres med minst AES-256 eller høyere
krypteringsnivåer. Flow Technologies skal ikke lage kopier av
personinformasjon og helseinformasjon med mindre det er nødvendig
for å levere tjenesten eller for sikkerhetskopiering.
Sikkerhetstiltak
Flow Technologies har innført en rekke tekniske- og organisatoriske
sikkerhetstiltak. Sikkerhet først er et innebygd prinsipp i hele
organisasjonen og er alltid med i vurderingen i alle prosesser. Vi
jobber ikke bare for at ansatte i organisasjonen skal læres opp i
personvern og sikkerhet, men forsøker også å legge rette for at våre
kunder og brukere på en enkel måte skal få tilgang på den
informasjonen de trenger for å gjøre jobben sin, men heller ikke noe
mer. Under følger en del tekniske- og organisatoriske
sikkerhetstiltak vi har innført. Listen er ikke uttømmende.
Organisatoriske tiltak:
-
Månedlige sikkerhetsmøter
Månedlige sikkerhetsmøter med opplæring for alle ansatte
-
Begrenset tilgang
Begrenset
tilgang til kun de tjeneste man trenger for å utføre den jobben
som skal utføres.
-
Protokoll over behandlingsaktiviteter
Til enhver tid kontroll over hvilken data som er lagret hvor.
-
Risikovurderinger
Risikovurderinger av alle tredjepartsleverandører.
-
Minimerer antall tredjepartsleverandører
Ved å minimere antall tredjepartsleverandører minimerer vi også
antall angrepsvektorer.
-
Varslinger ved brudd på personvern eller
informasjonssikkerheten
Innarbeidede prosedyrer for hva man skal gjøre ved mistanke om
brudd på personvernet og informasjonssikkerheten hvor vi blant
annet umiddelbart informerer alle som kan være berørt av hendelsen
-
Multi-faktor autentisering
Krever minst to-faktor-autentisering for tilgang til alle
tjenester som behandler personlig informasjon.
-
Passordhåndteringssystemer
Benytter passordhåndteringssystemer med individuelle passord på
hver tjeneste.
Tekniske tiltak:
-
Kryptering
All data er
kryptert når de er lagret og når de er i transport.
-
Oppdatert programvare
Jevnlig oppdatering av programvare for å forhindre mulige
sikkerhetshull
-
Varsling ved sikkerhetsbrudd
Vi overvåker tjenestene våre for uautoriserte forsøk på å
aksessere data med logg-baserte deteksjonsmekanismer. Alle brudd
på personvern og/eller sikkerhet varsles til de som er berørt.
-
Logging
Flow Technologies
logger all aksessering, endring og sletting av informasjon og hvem
som utfører dette
-
Pseudonumisering
Pseudonymiserer data der vi kan slik at selv om man får tak
dataene skal det fremdeles ikke være mulig å knytte dataene til en
spesifikk identitet.
-
Backup
Backup av kritisk
data minst én gang i døgnet, der backupen lagres på en annen
fysisk lokasjon enn hoved-dataene. Dette gjør det mulig å raskt få
systemet opp i drift i fra andre geografiske lokasjoner dersom
nødvendig. All backupdata ligger kryptert.
-
Autentisering
Vi
autentiserer våre brukere med anerkjente teknologier og metoder.
-
Sikrer integritet i dataene
Kundene og brukerne har selv mulighet til å oppdatere sine
persondata for å sikre data-integritet.
-
Gradvis utrulling
Det er
vanskelig å gardere seg 100% mot alle feil. Menneskelige feil kan
skje. Derfor kjører vi gradvis utrulling slik at dersom det skulle
finnes feil så vil vi finne det ut tidlig.
Tredjepartsleverandører
For å minimere risiko bruker Flow Technologies færrest mulig antall
leverandører og holder tilgang til prosessering av personlig- og
helseinformasjon til det minste. Vi risikovurderer alle
underleverandører og har også databehandleravtaler med samtlige.
Business name |
Address |
Service |
Processing |
Legal basis |
Google Ireland Limited |
Gordon House Barrow Street Dublin 4, Ireland |
Hosting services and core systems |
End User Personal Data as defined in the DPA |
DPA |
Signicat AS |
Gryta 2 B, 7010 Trondheim, Norway |
Identification |
Personal name, Personal contact information, National identity
number
|
DPA |
The Rocket Science Group, LLC |
675 Ponce de Leon Ave NE Suite 5000 Atlanta, GA 30308 USA
|
Transactional emails |
End user email address, Personal name |
DPA/SCC |
ONLINECITY.IO ApS |
Buchwaldsgade 50, 5000 Odense C, Denmark |
SMS |
Phone number and content of SMS |
DPA |
If data controller has activated video meetings:
|
Whereby AS |
Gate 1 107, 6700 Måløy, Norway |
Video meetings |
Display name |
DPA |
If data controller has activated integration with Extensor
EPR:
|
Extensor |
Storgata 60, 8006 Bodø, Norway |
EPR |
Personal assessment data |
DPA |