Deepinsight utvikler og drifter løsninger i henhold til
- Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen)
- Relevant lovgivning som pasientjournalloven og GDPR - General Data Protection Regulation
- Prinsipper for innebygd personvern (privacy by design) og sikker it-arkitektur, fra blant annet OWASP og Cloud Security Alliance.
Vi har et internt styringssystem for informasjonssikkerhet (Information Security Management System) som følger prinsipper i ISO 27001.
Lagring og prosessering av data
All data lagres og behandles kun i Norge. Våre datasentre driftes av Orange Business Services (tidligere Basefarm) i Norge og følger prinsipper og standarder for høy oppetid og sikkerhet, inkludert ISO 27001 sertifisering. Alle data lagres kryptert, og er helt adskilt fra andre kunders data.
Overføring av data mellom fagsystemer eller til sluttbrukere skjer alltid over krypterte forbindelser og kan også spesifiseres til å kun skje over Norsk Helsenett.
Sluttbrukere logger på våre løsninger med 2-faktor via oppsatt eID med sikkerhetsnivå høyt, slik som Buypass eller BankID. 2-faktor gjennomføres med smartkort, brikke eller mobilapp. Deepinsight benytter Helsenetts HelseID som rammeverk for autentisering. All bruk av applikasjonen blir logget i henhold til regelverk for innsynslogging.
Deepinsight er godkjent tredjepartsleverandør i Norsk helsenett og medlem av HelseCERT - Nasjonalt beskyttelsesprogram (NBP).
Databehandleravtale
Deepinsight er databehandler og behandler opplysninger på vegne av dataansvarlig, regulert i en databehandleravtale. Vår standardmal er e-helse direktoratets databehandleravtale, og i forbindelse med den bistår vi også med risiko- og sårbarhetsvurdering (ROS) og vurdering av personvernkonsekvenser (DPIA).