DNV GL Group har det siste året revidert CheckWares system for informasjonssikkerhet. Like etter sommerferien kom beskjeden om at sertifiseringen etter ISO 27001-standarden er i boks.
– Vi er svært fornøyde, sier Chief Information Security Officer (CISO) i CheckWare, Stig Husby. – Dette er en solid bekreftelse på at CheckWare er et trygt og forsvarlig valg. ISO/IEC 27001 er verdens mest anerkjente standard for datasikkerhet. Standarden har en helhetlig tilnærming til IT-sikkerhet og beskriver beste praksis for å beskytte data og digitalt innhold. Styringssystemet skal sikre nødvendig konfidensialitet, integritet og tilgjengelighet innen håndteringen av virksomheters informasjon. Kjernen er en risikostyringsprosess med formål å gi selskapets interessenter tillit til at sikkerhetsrisikoer innen informasjon håndteres på en forsvarlig måte. Hovedkravene for å oppnå ISO-sertifiseringen er at virksomheten etablerer, implementerer, vedlikeholder og forbedrer et fungerende system for informasjonssikkerhet. Det som er nødvendig for å oppfylle kravene skal planlegges, implementeres og kontrolleres. Virksomheten skal ha kontroll på alle endringer, og evaluere konsekvensene av forandringer som kommer overraskende, for hurtig å kunne ta nødvendige grep som reduserer konsekvensene av det uforutsette som har oppstått. - Det er i utgangspunktet en tøff standard, fordi det er ressurskrevende å innfri alle kravene. Det er slett ikke så vanlig at små og mellomstore virksomheter tar den belastningen. CheckWare har imidlertid etterlevd kravene i alle år, og det er fint å nå ha den offisielle bekreftelsen på dette. For CheckWare er det virksomhetskritisk å ha skikkelig informasjonssikkerhet i alle ledd. Den formelle prosessen med revisjonsselskapet DNV kom først i gang i september 2019, med intervjuer av ansatte, inspeksjoner fra revisor, innsendt dokumentasjon og utbedringer underveis. Krav fra kundene Husby legger ikke skjul på at det er et krav fra markedet at en helseteknologivirksomhet av CheckWares kaliber har dette på stell. - Norge er flinke til å lage sikkerhetssystemer, hvor man oppfyller kravene som stilles fra kunder i markedet, sier Husby.
Derfor er det opprettet en «Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren» (forkortet til Normen). Direktoratet for e-helse skriver på sine nettsider at Normen bidra til at virksomhetene må ha gjensidig tillit til at øvrige virksomheters behandling av helse- og personopplysninger gjennomføres på et forsvarlig sikkerhetsnivå: «Normen skal bidra til at pasienter, brukere, ansatte og andre registrerte sikres et godt personvern» (https://ehelse.no/normen/normen-for-informasjonssikkerhet-og-personvern-i-helse-og-omsorgssektoren)
- Normen er viktig, men kan samtidig svekke behovet lokalt for ISO-sertifisering. Det som er beroligende, når eksterne aktører kikker oss i kortene, er at våre egne antakelser stemmer: Vi har fått syretestet at prosedyrene faktisk holder mål. Det er en bekreftelse fra en tredjepart på at vi gjennomfører det vi faktisk sier vi skal gjøre, sier han. Raskere inn i nye land ISO-sertifiseringen har også mer praktiske positive konsekvenser. Da CheckWare skulle etablere seg i Storbritannia, var det en klar ulempe at ISO-sertifisering ikke var på plass. Det ble en omfattende dokumentasjonsprosess som måtte gjennomføres før virksomheten fikk anledning til å starte opp driften. - Internasjonalt er det ISO som gjelder når det kommer til kvalitetssikring. Det gjør at vi kommer raskere inn i nye land og legger mange diskusjoner - som vi før hadde måttet bruke uforholdsmessig mye tid på - døde, sier Husby. CheckWare har da heller ikke tatt den enkleste veien til målet om sertifisering. En del velger å sertifisere kun den tekniske delen av virksomheten, mens CheckWare har valgt en mer helhetlig tilnærming, hvor alle deler av virksomheten er blitt ISO-sertifisert.
- Det er så enkelt som at alt vi gjør i CheckWare berøres av informasjonssikkerhet. Alle ansatte og alle rutiner er blitt vurdert. For oss er det ekstra tilfredsstillende med den generelle tilbakemeldingen fra revisor: DNV mener at det virker som vi er ekstremt opptatt av informasjonssikkerhet i alle ledd. Vi er selvfølgelig veldig fornøyde med slike positive observasjoner fra en kontrollinstans, sier Stig Husby, som til daglig er CTO og sikkerhetsansvarlig i selskapet.