”Alla borde ställa krav på certifiering”

Doctrin har under flera år arbetat för att utveckla och förbättra sitt ledningssystem för informationssäkerhet. Företaget står bakom kommunikationsplattformen med samma namn som används av många av de privata vårdgivarna i Sverige, bland annat Capio Sverige, Praktikertjänst och Prima Vård.

Nu har de uppdaterat och certifierat sitt ledningssystem för den nya reviderade versionen av ISO 27001:2022.

Större fokus på cybersäkerhet

– Den nya versionen innebär mer flexibilitet att tillämpa modern teknologi, men det som har varit viktigast för oss är att den innebär ett tydligare ansvarstagande för ledningen och större fokus på cybersäkerhet, säger Anna-Karin Edstedt Bonamy, vd på Doctrin.

I samband med certifieringen har de även anslutit sig till det nordiska kvalitetsramverket NordDEC. Detta är ett ramverk för utvärdering och ackreditering av digitala hälso- och sjukvårdsprodukter i Norden som syftar till att göra det enklare för vårdgivare att kravställa leverantörer av digitala plattformar och applikationer.

Doctrin är därmed först i Sverige att ansluta sig till NordDEC.

– Detta är ett bra komplement till ISO 27001 eftersom det antar ett mer holistiskt perspektiv på systemen. De tittar inte bara på processerna utan ställer även krav på tillgänglighet och användarvänlighet, poängterar Anna-Karin Edstedt Bonamy.

Största svagheten i alla system

Anna-Karin Edstedt Bonamy konstaterar att vårdgivare, och andra organisationer, står inför stora utmaningar när det gäller informationssäkerhet. Medvetenheten om hur viktig informationssäkerheten är, och hur stora hoten också är, har aktualiserats på senare tid – särskilt efter attacker som många myndigheter och företag drabbats av under året.

Samtidigt påminner hon om att det aldrig går att vara 100 procent säker. Man måste hela tiden vara på tårna för att uppdatera och täppa till säkerhetshål. Och att vara medveten om att den största största svagheten i alla system är den mänskliga faktorn.

– Även ett enkelt mänskligt misstag kan öppna upp för att en extern part får tillgång till ett system. Därför är det av yttersta vikt att vårdgivare är medvetna om potentiella externa hot, samtidigt som de måste ha kontroll över sina interna processer och, inte minst, sin leveranskedja (IT-leverantörer).

Krav på certifiering borde vara självklart

Därför tycker hon också att det borde vara självklart för alla upphandlare att ställa krav på att leverantörerna är certifierade enligt ISO27001:2022. En certifiering ställer höga krav på att kontinuerligt övervaka och arbeta med sina processer för att säkerställa att patientdata och andra känsliga uppgifter förblir skyddade och inte hamnar i fel händer. Och att även ens leverantörer har koll på sin leveranskedja i sin tur.

– Min personliga åsikt är att alla borde ställa krav på certifiering. Det är inte förrän man har blivit godkänd av en tredje part som man bevisat att man följer standarden. Att enbart ”jobba enligt standarden” betyder ingenting.

På vilket sätt påverkar er certifiering de vårdgivare som använder plattformen Doctrin?

– Det innebär att de kan känna sig trygga med att vi arbetar enligt best practice för utveckling av mjukvara och riskanalyser och att vi är engagerade i att skydda känslig information åt våra kunder som är vårdgivare.

Vad tycker du är det bästa med att ni nu gjort de här förändringarna?

– Det bästa är att det blir enklare och billigare för både oss och våra kunder att säkerställa att vi jobbar strukturerat och har koll på våra processer. Det sparar enormt mycket resurser, även om det innebär en stor investering i början. Men det viktigaste är att det skapar en trygghet för både oss och våra kunder.

– Dessutom hoppas jag att fler följer efter oss och ansluter sig till NordDEC. Det är en viktig kvalitetsstämpel som gör det lättare att kravställa i upphandlingar och den omfattar både digitala plattformar och applikationer, säger Anna-Karin Edstedt Bonamy.