Videncenter for Helbred & Forsikrings IT- og informationssikkerhedspolitik

Videncenter for Helbred & Forsikring har indført denne politik for at sætte og opretholde en høj standard for beskyttelse af de personlige oplysninger, vi enten modtager for at foretage en forsikringsmedicinsk vurdering [1] eller i forbindelse med vore medarbejderes ansættelsesforhold.

Mange vil gerne stille deres personoplysninger til rådighed, men de vil samtidig gerne have sikkerhed for, at der bliver passet godt på deres følsomme oplysninger. Fortrolighed og datasikkerhed er derfor to helt fundamentale og grundlæggende hensyn vi i Videncenter for Helbred & Forsikring tager, når vi modtager oplysninger om dig i form af helbredsoplysninger fra vores medlemmer i forbindelse med en forsikringsmedicinsk vurdering, når vi administrerer vores helbredsregister, laver statistik [2] eller på anden måde behandler personoplysninger.

Denne politik er udarbejdet i overensstemmelse med persondataloven af 2000 og efter reglerne i EU's persondataforordning, med virkning fra den 25. maj 2018. IT-sikkerhedspolitikken gælder for alle personoplysninger, der behandles i Videncenter for Helbred & Forsikring, samt personoplysninger om nuværende og tidligere medarbejdere, freelance-arbejdere og jobansøgere.

Politikken beskriver i store træk, hvilke kategorier af personoplysninger, der behandles af Videncentret til forskellige formål [3], hvordan disse håndteres (både internt og eksternt), når de stilles til rådighed for medlemsselskaberne i forbindelse med en forsikringsansøgning via helbredsregistret, samt hvilke rettigheder [4] den enkelte har i forbindelse med behandlingen.

I denne politik defineres "personlige oplysninger" som følsomme personoplysninger, det vil sige oplysninger til at en person enten direkte, eller indirekte kan identificeres (fx navn og CPR-nr.), helbredsoplysninger med oplysninger om behandlinger og kontakter hos sundhedsvæsenet samt sociale oplysninger.

IT-sikkerhed defineres her som alle sikringsforanstaltninger, der har til formål at beskytte de fysiske og elektroniske persondata, som Videncentret anvender.

Indledning

For Videncenter for Helbred & Forsikring er det meget væsentligt, at beskytte alle de personlige oplysninger, som vi får overgivet fra de forsikringsselskaber og pensionskasser, der er medlem af foreningen, eller i forbindelse med et nuværende eller tidligere ansættelsesforhold. Det er afgørende for Videncentrets omdømme og troværdighed, at vi beskytter disse oplysninger tilstrækkeligt.

For Videncentret er det vigtigt at sikre:

  • Fortrolighed - dvs. en fortrolig behandling, transmission og opbevaring af personoplysninger, hvor kun autoriserede interne og eksterne brugere har adgang, og hvor brugernes adgang er begrænset til det nødvendige.
  • Integritet - en pålidelig og korrekt funktionalitet af vores IT-systemer, som minimerer risikoen for ukorrekte informationer.
  • Sikkerhedsforanstaltninger - dvs. at vi anvender og opretholder tekniske og organisatoriske forholdsregler, for at beskytte oplysningerne og begrænse risikoen for sikkerhedsbrud og uautoriseret adgang.
  • Lovmæssig behandling - dvs. at behandlingen er i overensstemmelse med gældende lov og i overensstemmelse med Videncentrets IT-sikkerhedspolitik.

Bestyrelsen for Videncentret godkender IT- og informationssikkerhedspolitikken (herefter "IT-sikkerhedspolitik"), som udgør det samlede grundlag for arbejdet med IT-sikkerhed i Videncenter for Helbred & Forsikring.

Formålet med denne IT-sikkerhedspolitik er at:

  • Fastlægge de overordnede rammer for IT-sikkerheden, under hensyn til Videncentrets risikobillede.
  • Beskrive ansvarsfordelingen og en hensigtsmæssig styring og kontrol af IT-sikkerheden.
  • Sikre at alle personoplysninger behandles i overensstemmelse med gældende lovgivning.

IT-sikkerhedsarbejdets opbygning

I Videncentret opdeler vi IT-sikkerhedsarbejdet i tre kerneområder:

  1. IT- og informationssikkerhedspolitik - der beskriver de overordnede rammer for Videncentrets IT-politik (nærværende skrivelse).
  2. IT-forretningsgange og procedurer - der beskriver de konkrete anvisninger, der skal følges af medarbejderne i det daglige arbejde.
  3. Drifts- og outsourcingsretningslinjer - der beskriver de detaljerede regler og kontroller, som gælder både for intern drift og drift varetaget af ekstern partner.

Vores IT-sikkerhedsarbejde er forankret i "god IT-skik" inden for informationssikkerhed, og tager udgangspunkt i ISO 27001- og ISO 27002-standarderne.

Risikostyring

For at kunne fokusere indsatsen af IT-sikkerhedsarbejdet, arbejder vi efter en struktureret tilgang til risikostyring. Resultatet af risikostyringen, herunder vurderingen af risici, skal periodisk rapporteres til Videncentrets ledelse.

Bestyrelsen orienteres straks om væsentlige afvigelser i det aktuelle trusselsbillede og den tilpasning, som det afleder i forhold til indsatsområder og kontroller. Almindelige afvigelser opsamles og rapporteres periodisk af ledelsen.

Afvigelser

IT-sikkerhedspolitikken og alle forretningsgange og procedurer skal som udgangspunkt altid efterleves. Der kan dog opstå situationer, hvor særlige omstændigheder kræver en afvigelse fra de gældende sikkerhedsregler. En sådan afvigelse beror på en konkret vurdering, og kræver en specifik dispensation. Dispensationen skal godkendes af Videncentrets ledelse, og skal være begrundet og understøttet af en risikovurdering. Dispensationen er altid begrænset i forhold til en specifik begivenhed og periode.

Revision og opfølgning

Det er den IT-sikkerhedsansvarliges opgave at sikre, at der mindst én gang årligt - med afsæt i risikobilledet - foretages en systematisk gennemgang og vurdering af, om IT-sikkerhedspolitikken skal opdateres. Den IT-sikkerhedsansvarlige skal om nødvendigt opdatere IT-sikkerhedspolitikken og underliggende forretningsgange, procedurer og politikker.

Publikation

IT-sikkerhedspolitikken er tilgængelig for alle via Videncentrets hjemmeside, og for medarbejdere og bestyrelse via Videncentrets intranet. Tilsvarende er forretningsgange og procedurer tilgængelige for de medarbejdere og de IT-underleverandører, som har et arbejdsbetinget behov.

Risikostyringsmodel og beskyttelse af informationer

Fortrolighed og datasikkerhed er to af de helt fundamentale og grundlæggende hensyn vi fokuserer på i Videncenter for Helbred & Forsikring.  De der stiller deres personoplysninger til rådighed, skal have sikkerhed for, at der bliver passet godt på deres følsomme oplysninger.

Alle personfølsomme og fortrolige informationer Videncentret behandler, bliver behandlet lovgivningsmæssigt og etisk korrekt, uanset om de IT-behandles eller behandles manuelt. Informationerne der behandles er vurderet i en livscyklus fra registrering, behandling og opbevaring, til bortskaffelse.

Videncentret arbejder med en risikostyringsmodel, for at sikre mod negative konsekvenser ved IT-trusler. Videncentret foretager derfor en struktureret indsamling og vurdering af potentielle risici og trusler. Der udføres analyser af disse trusler periodisk, og der vurderes løbende, hvordan disse risici og trusler imødegås (mitigerende handlinger og kontroller).

Desuden er der etableret beredskabsplaner, der indeholder forholdsregler for, hvordan Videncentrets systemer skal kunne genskabes, forholdsregler der også gælder for brud på fortrolighed og brud på integritet.



 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Figur.jpg