Formål
DEFACTUM varetager udvikling og drift af webløsninger til indsamling og behandling af forsknings- og monitoreringsdata i sundheds- og socialsektoren. Afdelingen har derfor ansvar for en database, der indeholder data som
- er personfølsomme
- er personhenførbare
- indeholder sensitive informationer omkring fysisk såvel som psykisk helbred
Webløsningerne har snitflade til WWW, og er derfor i højrisikokategorien, og kravet til sikkerhed derfor desto højere.
Sikring af data berører derfor tre områder:
Konfidentialitet
- Data skal til enhver tid beskyttes mod uautoriseret adgang og blotlægning
- Adgang til data skal til enhver tid kunne dokumenteres gennem logning
- Ændring af data skal til enhver tid kunne dokumenteres gennem logning
- Visning af data skal til enhver tid kunne dokumenteres gennem logning
Integritet
- Data skal til enhver tid være valide
- Data skal til enhver tid beskyttes mod utilsigtede og uautoriserede ændringer
Tilgængelighed
- Data skal til enhver tid være tilgængelig for autoriserede personer
- Daglig backup af alle data
DEFACTUM har derfor et særligt ansvar for at utilsigtede hændelser, der kan føre til kompromittering af ovenstående områder, minimeres, samtidig med at brugergrænsefladen, under hensyntagen til ovenstående, bliver så brugervenlig som det er muligt.
Informationssikkerhedssystem
ISO 27001
Til sikring af data i vores systemer, er der udviklet et informationssikkerhedssystem (ISMS) på grundlag af ISO 27001, der supplerer Region Midtjyllands overordnede ISMS, der ligeledes baseres på ISO 27001, til imødegåelse af de dataansvarliges krav beskrevet i databehandleraftalen, samt databeskyttelsesforordningen og databeskyttelsesloven.
De tekniske og organisatoriske sikkerhedsforanstaltninger og øvrige kontroller til beskyttelse af personoplysninger er udformet i henhold til risikovurderinger og implementeres for at sikre fortrolighed, integritet og tilgængelighed samt overholdelse af den gældende databeskyttelseslovgivning. Sikkerhedsforanstaltninger og kontroller er i videst muligt omfang automatiserede og teknisk understøttet af it-systemer.
Sammen med Region Midtjyllands informationssikkerhedspolitik og en adressering af it-afdelingens ISAE 3000-erklæring, har DEFACTUM suppleret Region Midtjyllands informationssikkerhedspolitik med egne procedurer og kontroller samt sikkerhedsforanstaltninger og kontroller i relevant omfang.
Databeskyttelsesforordningen
Compliance med databeskyttelsesforordningen sikres gennem mapning af ISO 27001 med de relevante artikler i databeskyttelsesforordningen i ISO 27001’s Statement of Applicability.
Revision
PricewaterhouseCoopers reviderer årligt informationssikkerhedssystemet og udarbejder ud fra dette en ISAE 3000 revisionserklæring.
Sundhedsdatanettet
DEFACTUM har mulighed for at bistå dataansvarlige med yderligere sikring af data gennem tilkobling til Sundhedsdatanettet, således at al kommunikation mellem den dataansvarlige og DEFACTUMs platforme foregår via sikrede forbindelser.
MitID
Foruden to-faktor login er det efter dataansvarliges ønske muligt for dennes medarbejdere og/eller borgere at tilgå DEFACTUMs platforme via MitID.
