GDPR och sjukfrånvarodata: varför säker programvara är avgörande

På Otherside at Work utvecklar vi teknik som stödjer organisationer i frånvarohantering, hållbar anställningsbarhet och social trygghet. I denna process behandlas en hel del integritetskänslig data. Hur säkerställer vi att din frånvarodata förblir säker och att din behandling överensstämmer med GDPR? Stef Roskam, VP Engineering på Otherside at Work, delar med sig av sin syn på datasäkerhet.

Vad gör frånvarodata så känsliga?

Stef: "Frånvarouppgifter faller under särskilda personuppgifter. Tänk på sjuk- och friskrapporter - det här är uppgifter som faller under de kategorier som omfattas av flest regler i GDPR. Arbetsgivare och leverantörer av arbetsmiljö- och hälsotjänster har ansvar för att behandla dessa uppgifter på ett säkert sätt. Vår uppgift är att stödja dem med verktyg som gör det möjligt för dem att leva upp till det ansvaret. Tänk på att bestämma vem som har åtkomst och hur länge du vill behålla vissa uppgifter. Vi ser till att detta kan ställas in i Xpert Suite på ett GDPR-säkert sätt." Han tillägger: "Behandling av integritetskänsliga uppgifter kräver en kombination av tekniska åtgärder, t.ex. kryptering, och organisatoriska åtgärder, t.ex. tydliga avtal om vem som får se vilka uppgifter. Därför har vi också gjort ett antal val i den tekniska arkitekturen i Xpert Suite som passar väl med kraven i GDPR. På Otherside at Work bygger vi vår programvara med detta ansvar i åtanke."

Vad händer om du inte har ordning på dataskyddet?

Det finns flera konsekvenser av dålig dataintegritet: "Ett dataintrång kan leda till juridiska och ekonomiska konsekvenser med böter från tillsynsmyndigheter eller krav från registrerade som får bära de negativa konsekvenserna av dina misstag. För vårt företag är kanske den viktigaste konsekvensen skadat anseende. Om kundernas, partnernas och de anställdas förtroende är borta är det den största risken för vårt företags fortlevnad. Detsamma gäller faktiskt för våra kunder." Han tillägger: "Att återhämta sig efter ett dataintrång tar ofta mycket tid och resurser i anspråk. Med Xpert Suite hjälper vi våra kunder att kraftigt minimera riskerna för dataintrång."

Hur Xpert Suite skyddar dina uppgifter

Stef förklarar hur Otherside at Work hanterar dessa utmaningar med Xpert Suite.

Holländska datacenter

"Vi väljer medvetet att lagra data lokalt i olika holländska datacenter. Detta gör att vi kan minimera riskerna för bristande efterlevnad. Kunderna kan vara säkra på att deras data stannar inom EU och slipper därmed diskussioner om utländska regler." Stef understryker: "Vi arbetar bara med parter som följer GDPR-lagstiftningen och andra relevanta standarder. Vi använder inte amerikanska molnleverantörer som bas för vår produkt, för att undvika eventuella komplikationer kring regleringar."

Säkerheten i vårt nätverk

"Vår lagring är inte direkt åtkomlig via internet", säger Stef. "På så sätt minimerar vi risken för dataintrång på grund av mänskliga fel eller felkonfigurationer." Han ger också några exempel på våra säkerhetsåtgärder:

• "Vi tillämpar omfattande nätverkssegmentering och flera lager av brandväggar.
• Utvecklings-, test-, godkännande- och produktionsmiljöer är strikt åtskilda. Varje kodändring går igenom hela kedjan innan den går i produktion.
• Vi krypterar data. Även om någon skulle få tillgång till informationen är den inte omedelbart läsbar.
• De certifikat som används för att skapa cookies roteras automatiskt varje dag."

Säkerhet vid datalagring

När vi utformar vår arkitektur för datalagring gör vi medvetna val för att säkerställa både säkerhet och hanterbarhet. Stef förklarar våra viktigaste beslut nedan:

• "När det gäller datalagring väljer vi medvetet inte en arkitektur med mikrotjänster, där data lagras decentraliserat, utan vi väljer en databas per kund, så att data enkelt kan rensas och raderas.
• Vi väljer medvetet ett lagringsmedium med inbyggda krypteringsalternativ, men där data kan raderas till skillnad från till exempel en blockkedja eller inmutable event store.
• För backup-lösningen väljer vi tillfälliga inmutabla backuper med flera backup-platser, så att risken för dataförlust minimeras.
• Vi har också inkluderat i vår arkitektur att all dataåtkomst måste utföras med auktoriseringskontroller. Åtkomst via API:er måste därför också vara auktoriserad för rätt data och funktioner. Många system arbetar med en mycket mer ytlig auktoriseringsmekanism. Det gör att administratörer och utvecklare snabbare kan göra misstag, och hackare kan utnyttja det mycket mer när en svaghet hittas."

Strukturell övervakning av sårbarheter

Att bara hålla sin egenutvecklade programvara säker är inte tillräckligt för att uppnå god säkerhet. Det är därför vi håller ett öga på vår totala stack:

• Med hjälp av verktyg från Software Improvement Group övervakar vi kontinuerligt sårbarheter i vår programvara och i de bibliotek vi använder.
• Vi använder sårbarhetsskanning för att skanna vår infrastruktur.
• Med penetrationstestning och bug bounty-program söker vi aktivt efter sårbarheter som inte kan hittas med verktyg.

Integritetsskydd genom design och som standard
"Sekretess är en integrerad del av Xpert Suite", säger Stef. "Vi minimerar vilka data som lagras, eftersom kunderna kan definiera mycket själva här. Så endast data som passar deras egen situation begärs in. Vi erbjuder också de verktyg i verktyget som stöder en bra lagringspolicy. Lagringsperioderna skiljer sig mycket åt beroende på kundens exakta situation. Så de måste kunna ställa in vad som gäller för dem." Exempel på detta är:

• Medicinska journaler: Bevarandetid på 20 år (eller längre vid arbetsrelaterade sjukdomar).
• Handläggningsfiler för rådgivning om frånvaro: Högst två år efter att en process har slutförts.
• Utnämningsfiler: Högst sex månader.

Vi stöder också en omfattande auktoriseringsmodell. Du kan i detalj bestämma vilka dokument och uppgifter som ska vara transparenta och anpassningsbara för vilka roller.

CertifieringarMan kan göra allt perfekt, men det har bara ett värde om kunderna kan lita på det. Ett sätt att ge kunderna mer förtroende för detta är med hjälp av olika certifikat och uttalanden. Otherside at Work har ISO 27001- och NEN 7510-certifiering. Cons vi har ett SOC2-uttalande varje år. "Dessa kvalitetsgarantier ger kunderna en försäkran om att vi uppfyller internationella standarder", förklarar Stef.

• ISO 27001: "Detta bekräftar att vårt informationshanteringssystem är strukturerat och att vi ständigt uppdaterar våra val."
• NEN7510: "ISO 27001 är den globalt erkända standarden för informationssäkerhet. NEN7510 är den holländska varianten som är särskilt avsedd för vårdgivare, t.ex. sjukhus eller apotekare. Den ger ett antal extra specifika riktlinjer för åtgärder som ska vidtas när du behandlar medicinska data."
• SOC2: "Ett SOC2-uttalande är ett mycket värdefullt tillägg till en ISO- eller NEN-certifiering. Det ger visshet om att man inte bara säger att man arbetar på ett visst sätt, utan också att man har gjort det på det sättet under en viss tidsperiod. Varje år tittar en oberoende revisor på alla aktiviteter som har gjorts under det gångna året. Detta visar att vi under lång tid har arbetat enligt strikta rutiner. Det innebär därför en stor extra trygghet för våra kunder."

Han understryker: "Den här kombinationen av certifieringar och deklarationer visar att vi inte bara har rätt processer på plats, utan att vi också konsekvent följer dem."

Varför välja Otherside at Work?

Stef avslutar: "På Otherside at Work är datasekretess en topprioritet. Med vår Xpert Suite erbjuder vi våra kunder en säker och pålitlig lösning för hantering av frånvaro. Vårt fokus på lokala datacenter, nätverkssäkerhet, säker datalagring, kontinuerlig övervakning och certifieringar säkerställer att våra kunder kan arbeta tryggt och integritetsskyddat med de särskilda personuppgifter som behandlas av oss."

Vill du veta mer om hur Xpert Suite kan stödja din organisation? Vänligen kontakta oss.