Sikkerhet

Som en aktør i helsebransjen forplikter Flow Technologies seg til å ta informasjonssikkerhet på høyeste alvor. Sikkerhet er kontinuerlig arbeid og gjennomføring er alt. Vi har innført en rekke tekniske og organisatoriske tiltak for å sikre at vi behandler personopplysninger og helseopplysninger på en sikker og pålitelig måte. Denne siden vil forhåpentligvis gi trygghet og svar på hvordan vi håndterer sikkerhet og personvern, men dersom du fremdeles sitter igjen med spørsmål, send en e-post til privacy@flowzone.eu. 

Før vi går i dybden: 

• Flow Technologies er underlagt og følger GDPR og Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen).
• Flow Technologies har innført et styringssystem basert på internasjonale standarden for informasjonssikkerhet ISO27001

Av dette følger blant annet at:

• Flow Technologies har kontroll på hvilke data vi lagrer og hvor disse er lagret.
• Flow Technologies gjennomfører risikovurderinger av alle tredjepartsleverandører og har også databehandleravtaler med alle tredjepartsleverandører for å sikre at de også behandler datene i henhold til lover og regler i de landene vi opererer i.
• Flow Technologies har innført en rekke forholdsregler både teknisk og organisatorisk for å sikre personvern og informasjonssikkerhet. 
• Vi følger kontinuerlig med på hva som beveger seg i verden, som vurderinger rundt Schrems II, Trans-Atlantic Data Privacy Framework og andre større eller mindre trusler som kan utfordre personvernet. 

Lagring av data

Alle opplysninger som Flow Technologies behandler på vegne av våre kunder er lagret på servere i Europa. Helseopplysninger lagres logisk og fysisk separert per kunde, og våre kunder kan selv velge lokasjon for disse dataene. Hvis ikke annet er avtalt vil dette være Frankfurt. Vi benytter Google Ireland Limited (Google) som leverandør. Google følger alle viktige sikkerhetsstandarder, inkludert ISO 27001, ISO 27017 og ISO 27018. Som med alle andre underleverandører har vi gjort en risikovurdering av Google.

Kryptering

Data under transport
Alle data som overføres er kryptert via HTTPS/Transport Layer Security (TLS) under transport.

Lagret data
Lagret data krypteres med minst AES-256 eller høyere krypteringsnivåer. Flow Technologies skal ikke lage kopier av personinformasjon og helseinformasjon med mindre det er nødvendig for å levere tjenesten eller for sikkerhetskopiering.

Sikkerhetstiltak

Flow Technologies har innført en rekke tekniske- og organisatoriske sikkerhetstiltak. Sikkerhet først er et innebygd prinsipp i hele organisasjonen og er alltid med i vurderingen i alle prosesser. Vi jobber ikke bare for at ansatte i organisasjonen skal læres opp i personvern og sikkerhet, men forsøker også å legge rette for at våre kunder og brukere på en enkel måte skal få tilgang på den informasjonen de trenger for å gjøre jobben sin, men heller ikke noe mer. Under følger en del tekniske- og organisatoriske sikkerhetstiltak vi har innført. Listen er ikke uttømmende.

Organisatoriske tiltak:

• Månedlige sikkerhetsmøter
  Månedlige sikkerhetsmøter med opplæring for alle ansatte
• Begrenset tilgang
  Begrenset tilgang til kun de tjeneste man trenger for å utføre den jobben som skal utføres. 
• Protokoll over behandlingsaktiviteter
  Til enhver tid kontroll over hvilken data som er lagret hvor.
• Risikovurderinger
  Risikovurderinger av alle tredjepartsleverandører. 
• Minimerer antall tredjepartsleverandører
  Ved å minimere antall tredjepartsleverandører minimerer vi også antall angrepsvektorer. 
• Varslinger ved brudd på personvern eller informasjonssikkerheten
  Innarbeidede prosedyrer for hva man skal gjøre ved mistanke om brudd på personvernet og informasjonssikkerheten hvor vi blant annet umiddelbart informerer alle som kan være berørt av hendelsen
• Multi-faktor autentisering
  Krever minst to-faktor-autentisering for tilgang til alle tjenester som behandler personlig informasjon.
• Passordhåndteringssystemer
  Benytter passordhåndteringssystemer med individuelle passord på hver tjeneste. 

Tekniske tiltak:

• Kryptering
  All data er kryptert når de er lagret og når de er i transport. 
• Oppdatert programvare
  Jevnlig oppdatering av programvare for å forhindre mulige sikkerhetshull
• Varsling ved sikkerhetsbrudd
  Vi overvåker tjenestene våre for uautoriserte forsøk på å aksessere data med logg-baserte deteksjonsmekanismer. Alle brudd på personvern og/eller sikkerhet varsles til de som er berørt. 
• Logging
  Flow Technologies logger all aksessering, endring og sletting av informasjon og hvem som utfører dette
• Pseudonumisering
  Pseudonymiserer data der vi kan slik at selv om man får tak dataene skal det fremdeles ikke være mulig å knytte dataene til en spesifikk identitet. 
• Backup
  Backup av kritisk data minst én gang i døgnet, der backupen lagres på en annen fysisk lokasjon enn hoved-dataene. Dette gjør det mulig å raskt få systemet opp i drift i fra andre geografiske lokasjoner dersom nødvendig. All backupdata ligger kryptert. 
• Autentisering
  Vi autentiserer våre brukere med anerkjente teknologier og metoder.
• Sikrer integritet i dataene
  Kundene og brukerne har selv mulighet til å oppdatere sine persondata for å sikre data-integritet.
• Gradvis utrulling
  Det er vanskelig å gardere seg 100% mot alle feil. Menneskelige feil kan skje. Derfor kjører vi gradvis utrulling slik at dersom det skulle finnes feil så vil vi finne det ut tidlig.
  ‍

Tredjepartsleverandører

For å minimere risiko bruker Flow Technologies færrest mulig antall leverandører og holder tilgang til prosessering av personlig- og helseinformasjon til det minste. Vi risikovurderer alle underleverandører og har også databehandleravtaler med samtlige.