Datasikkerhed og GDPR er en vigtig del af vores DNA
Hos Emento arbejder vi på at skabe fundamentet for god kommunikation mellem borgeren og den offentlige sektor. En af forudsætningerne for god kommunikation er tillid, og når det handler om digital kommunikation, ligger en stor del af den tillid i, at der er tiltro til, at data bliver håndteret på en hensigtsmæssig og respektfuld måde. Vi har derfor konstant fokus på at sikre, at vores service lever op til de gældende standarder for god IT-skik, herunder også GDPR. For tillid er en stor del af DNA’et i vores service og forretning.
Samarbejde med REVI-IT
Med hjælp fra Væksthus Midtjylland og deres iværksætterprogram, har vi derfor indgået et samarbejde med den statsautoriserede revisionsvirksomhed REVI-IT, idet vi ønsker, at vores IT-sikkerhedsprofil er kvalitetssikret af de bedste på markedet. REVI-IT har bred erfaring med rådgivning inden for regulatoriske forhold (databeskyttelsesloven/GDPR, sundhedslov, mv.), rammeværk inden for IT-processer (ISO 2700x, ITIL, mv.), IT governance og IT-ledelsesrådgivning.
3 spørgsmål til eksperten
Jeg har i den forbindelse stillet IT-revisor, CISA, CIPP/E, CRISC og administrerende direktør i REVI-IT Martin Brogaard Nielsen 3 spørgsmål for at få ham til at uddybe nogle af de forhold, som gør sig særligt gældende for offentlige IT-systemer.
1. Hvordan løfter man IT-sikkerheden i sundhedsvæsenet?
“Sundhedsvæsenet er en branche, som om nogen er reguleret af love og standarder for, hvordan vores allesammens følsomme informationer behandles, opbevares, og hvad de bruges til. Selvom jeg ved, at alle sundhedspersoner går rigtigt meget op i at beskytte sundhedsdata, er der alligevel brug for et løft i den generelle IT-sikkerhed, hvilket vi ser, når vi som auditører besøger både sundhedsprofessionelle og leverandører til de sundhedsprofessionelle. For sidstnævnte er der mange af, og den skov af leverandører til sundhedsvæsenet, der er, er måske et udmærket sted at starte; at sundhedsvæsenet er bevidste om at sætte krav til sine leverandører om, at IT-sikkerheden er høj og påviselig.”
2. Hvordan kan en ISAE 3000/ISAE 3402-erklæring fungere som et kvalitetsstempel?
“Begge erklæringer kan på hver sin vis fungere som en form for kvalitetsstempel, fordi det dermed fortæller, at der har været en uafhængig audit af eksempelvis, hvordan en leverandør til sundhedsvæsenet lever op til databehandlingsbestemmelserne i GDPR, eller hvorvidt principperne i ISO 27001 efterleves. En uafhængig revisor har dermed påset, at organisationen, virksomheden eller en konkret serviceydelse har haft en besøgsrække, hvor der er gennemgået politikker, procedurer, og hvor der er udtaget en række stikprøver for at se, om tingene rent faktisk sker, som det er lovet. En ting er jo, hvad de er anført i en kontrakt imellem f.eks. et sundhedshus og en leverandør, en anden ting er, om leverandøren rent faktisk har et beredskab klar i tilfælde af databrud, har overvågning af systemlogs, har styring med, hvem der har adgang til data osv.”
3. Vi må forvente, at både trusselsbilledet og krav til IT-sikkerhed kontinuerligt vil ændre sig. Hvordan kan ISAE-processerne hjælpe med at sikre IT-sikkerhed i fremtiden?
“GDPR, ISO-standarder og dertil hørende ISAE-erklæringer er jo ingen garanti for, at der ikke sker fejl, datatab, hackerangreb osv., men det er et bevis på, at der er strukturerede arbejdsgange; at der er bevis for, at man rent faktisk i en organisation har dokumenterede processer for at leve op til den lovgivning og de standarder, man som aktør i sundhedsvæsenet skal efterleve. Fremtiden byder uden tvivl på andre og større cyberrelaterede risici, ligesom vi uden tvivl også ser hen mod, at sundhed som branche bliver mere og mere lovgivningsmæssigt reguleret. At kunne bevise, at arbejdsprocesser og dermed det sikkerhedsniveau, der er påkrævet og ønskeligt, er sat som bundlinje, må vi derfor nok vurdere som værende kommet for at blive.”
Høj og beviselig IT-sikkerhed er noget, som Martin nævner flere gange under min snak med ham. Vigtigheden heraf står derfor endnu mere tydelig for mig nu, og det vil helt klart fortsat være en vigtig del af vores DNA her hos Emento i forhold til at opbygge og bevare tilliden mellem os og vores kunder og brugere.
