DNV GL Group har det senaste året reviderat CheckWares system för informationssäkerhet. Precis efter sommaren kom beskedet att certifieringen som följer ISO 27001-standarden är på plats. – Vi är väldigt nöjda, säger informationssäkerhetschefen i CheckWare, Stig Husby. – Detta är en solid bekräftelse på att CheckWare är ett tryggt och säkert val.
ISO/IEC 27001 är världens mest erkända standard för datasäkerhet. Standarden har en helhetssyn kring IT-säkerhet och beskriver best practice för att skydda data och innehåll.
Ledningssystemet ska säkerställa nödvändig konfidentialitet, intgritet och tillgänglighet av verksamhetens information. Kärnan består av en riskhanteringsprocess som ligger till grund för att ge företagets intressenter tillit till att informationssäkerhetsrisker hanteras på ett bra sätt.
Huvudkraven för att uppnå ISO-certifieringen är att verksamheten etablerar, implementerar, underhåller och förbättrar ett fungerande system för informationssäkerhet. Det som är nödvändigt för att uppfylla kraven ska planeras, implementeras och kontrolleras. Verksamheten ska ha kontroll på alla ändringar och utvärdera konsekvenserna av överraskande förändringar, för att snabbt kunna vidta nödvändiga åtgärder som minimerar konsekvenserna av det som har uppstått.
- Det är i grund och botten en tuff standard, för det är väldigt resurskrävande att uppfylla alla krav. Det är inte så vanligt att små och mellanstora företag tar den belastningen. CheckWare har visserligen efterlevt kraven i alla år, men det är skönt att nu har den officiella bekräftelsen på det.
För CheckWare är det verksamhetskritiskt att ha en bra informationssäkerhet i alla led. Den formella processen med revisionsföretaget DNV kom först igång i september 2019, med intervjuer av anställda, inspektioner från auditörer, inskickad dokumentation och löpande förbättringar.
Krav från kunderna
Husby understryker att marknaden ställer krav på hälsoteknikverksamheter av CheckWares kaliber ska ha denna typ av certifiering på plats.
- Norge är duktiga på att göra säkerhetssystem där man uppfyller kraven från kunder på marknaden, säger Husby.
Därför har det skapats en ”Norm för informationssäkerhet och integritet i hälso- och omsorgssektorn” (förkortat Normen). Direktoratet för e-hälsa skriver på sin hemsida att Normen ska bidra till att verksamheterna kan ha ömsesidigt förtroende för att behandling av hälso- och personuppgifter genomförs på en försvarlig säkerhetsnivå. ”Normen ska bidra till att patienter, användare, anställda och andra registrerade säkerställs en god integritet”.
- Normen är viktig, men kan samtidigt försämra det lokala behovet av ISO-certifiering. Det som är lugnande, när externa aktörer synar oss i sömmarna, är att våra egna insatser stämmer: Vi har fått bevis för att procedurerna faktiskt håller. Det är en bekräftelse av en tredjepart att det vi gör det vi ska göra, säger han.
Snabbare in i nya länder
ISO-certifieringen har också mer positiva konsekvenser rent praktiskt. Då CheckWare skulle etablera sig i Storbritannien var det problematiskt att certifikatet inte var på plats. Det blev en omfattande dokumentationsprocess innan verksamheten kunde starta upp.
- Internationellt är det ISO som gäller när det kommer till kvalitetssäkring. Det gör att vi snabbare kommer in i nya länder och slipper många diskussioner, som vi tidigare la mycket tid på , säger Husby.
CheckWare har dock inte tagit den lättaste vägen till certifieringsmålet. En del väljer att bara certifiera den tekniska delen av organisationen, medan CheckWare har valt en mer heltäckande lösning, där hela verksamheten har blivit ISO-certifierad.
- Förklaringen är så enkel som att allt vi gör i CheckWare berörs av informationssäkerhet. Alla anställda och alla rutiner omfattas. För oss är det extra tillfredsställande med den feedbacken vi fick från revisorn: DNV menar att det syns att vi är måna om informationssäkerheten i alla led. Vi är självklart nöjda med den typen av positiva observationer från en kontrollinsats, säger Stig Husby, som till vardags är CTO och säkerhetsansvarig på företaget.