Billede af computerskærm

Foto: Unsplash

Når der håndteres og anvendes persondata i DEFACTUM, sker det med den største respekt og påpasselighed. Det har DEFACTUM netop fået revisionens ord på.

For tredje år i træk står DEFACTUM med en godkendt revisionserklæring i hånden. Det er den såkaldte ISAE 3000 GDPR revisionserklæring, der fortæller noget om, hvordan DEFACTUM håndterer persondata i forhold til de dataindsamlingssystemer, der er udviklet til forsknings- og monitoreringsbrug.

- I DEFACTUM skal vi være meget påpasselige og tænke os godt om i vores arbejdsgange, når der arbejdes med personfølsomme oplysninger. Med godkendelsen i hånden kan jeg konstatere, at vi nu også har revisionen ord for at vi i DEFACTUM behandler data med den yderste respekt, lyder det fra Lisbeth Hoffmann Thomsen, Kontorchef i Data og Analyse, DEFACTUM.

Ikke en hvilken som helst erklæring

Revisionserklæringen ISAE 3000 er en erklæring for, hvordan man som organisation håndterer data sikkert og derved overholder databeskyttelsesforordningen – i daglig tale kaldt GDPR. For at kunne få erklæringen skal DEFACTUM udarbejde en række retningslinjer for håndteringen af data, som revisionen efterfølgende  kontrollerer er tilstrækkelige, og at de efterleves. Retningslinjerne gælder for alt det persondata DEFACTUM håndterer – også udenfor de dataindsamlingssystemer, som erklæringen omfatter, som eksempelvis er HjerteKom, MoEva m.v.

- Det er betryggende at vide, at vi hele vejen rundt i organisationen prioriterer datasikkerheden højt, påpeger Lisbeth Hoffmann Thomsen.

- Og det er selvfølgelig af stor betydning for den enkelte borger, at vi behandler deres oplysninger med respekt, men det betyder bestemt også noget for vores kunder, som jo i det øjeblik DEFACTUM har revisionserklæring på systemerne, løfter et ansvar fra deres skulder, hvor de efterfølgende ikke skal foretage en særskilt kontrol, tilføjer hun.

Revisionserklæringens indhold

Ved revisionen kigges der blandt andet på om al anvendelse af personoplysninger logges. Der kontrolleres også for, hvem der tilgår data og hvorvidt uvedkommende personer har adgang til data. De medarbejdere, som arbejder med personfølsomme oplysninger skal også have modtaget den fornødne instruktion omkring håndtering og behandling af persondata, såvel som der skal være en fast struktur for, hvem der har ansvaret for både de data der går ind som ud af huset.