– Den nya versionen innebär mer flexibilitet att tillämpa modern teknologi, men det som har varit viktigast för oss är att den innebär ett tydligare ansvarstagande för ledningen och större fokus på cybersäkerhet, säger Anna-Karin Edstedt Bonamy, vd på Doctrin.
I samband med certifieringen har de även anslutit sig till det nordiska kvalitetsramverket NordDEC. Detta är ett ramverk för utvärdering och ackreditering av digitala hälso- och sjukvårdsprodukter i Norden som syftar till att göra det enklare för vårdgivare att kravställa leverantörer av digitala plattformar och applikationer. Doctrin är därmed först i Sverige att ansluta sig till NordDEC.
– Detta är ett bra komplement till ISO 27001 eftersom det antar ett mer holistiskt perspektiv på systemen. De tittar inte bara på processerna utan ställer även krav på tillgänglighet och användarvänlighet, poängterar Anna-Karin Edstedt Bonamy.
Anna-Karin Edstedt Bonamy konstaterar att vårdgivare, och andra organisationer, står inför stora utmaningar när det gäller informationssäkerhet. Medvetenheten om hur viktig informationssäkerheten är, och hur stora hoten också är, har aktualiserats på senare tid – särskilt efter attacker som många myndigheter och företag drabbats av under året.
Samtidigt påminner hon om att det aldrig går att vara 100 procent säker, man måste hela tiden vara på tårna för att uppdatera och täppa till säkerhetshål. Och att vara medveten om att den största största svagheten i alla system är den mänskliga faktorn.
– Även ett enkelt mänskligt misstag kan öppna upp för att en extern part får tillgång till ett system. Därför är det av yttersta vikt att vårdgivare är medvetna om potentiella externa hot, samtidigt som de måste ha kontroll över sina interna processer och, inte minst, sin leveranskedja (IT-leverantörer).
Därför tycker hon också att det borde vara självklart för alla upphandlare att ställa krav på att leverantörerna är certifierade enligt ISO27001:2022. En certifiering ställer höga krav på att kontinuerligt övervaka och arbeta med sina processer för att säkerställa att patientdata och andra känsliga uppgifter förblir skyddade och inte hamnar i fel händer. Och att även ens leverantörer har koll på sin leveranskedja i sin tur.
– Min personliga åsikt är att alla borde ställa krav på certifiering. Det är inte förrän man har blivit godkänd av en tredje part som man bevisat att man följer standarden. Att enbart ”jobba enligt standarden” betyder ingenting.
På vilket sätt påverkar er certifiering de vårdgivare som använder plattformen Doctrin?
– Det innebär att de kan känna sig trygga med att vi arbetar enligt best practice för utveckling av mjukvara och riskanalyser och att vi är engagerade i att skydda känslig information åt våra kunder som är vårdgivare.
Vad tycker du är det bästa med att ni nu gjort de här förändringarna?
– Det bästa är att det blir enklare och billigare för både oss och våra kunder att säkerställa att vi jobbar strukturerat och har koll på våra processer. Det sparar enormt mycket resurser, även om det innebär en stor investering i början. Men det viktigaste är att det skapar en trygghet för både oss och våra kunder.
– Dessutom hoppas jag att fler följer efter oss och ansluter sig till NordDEC. Det är en viktig kvalitetsstämpel som gör det lättare att kravställa i upphandlingar och den omfattar både digitala plattformar och applikationer, säger Anna-Karin Edstedt Bonamy.