Digitalisering har blitt en stor del av livene våre og muliggjør store framskritt innen helsetilbud. Med økningen av sammenkoblede enheter og den kontinuerlige utviklingen av forskjellige systemer er sikkerheten til disse nettverkssystemene i den virtuelle verden utrolig viktig. Som en produsent forstår Ypsomed hvor viktig det er å opprettholde konfidensialiteten, integriteten og tilgjengeligheten til systemene og dataene, og jobber hele tiden med å være forberedt på potensielle cyberangrep og relevante risikoer.

Ettersom vi driver forretningsvirksomhet i en strengt regulert del av helsetilbudsbransjen, er håndteringen av personopplysninger avgjørende. Vi har svært omfattende erfaring på dette området, som gjør oss i stand til å fokusere på to hovedaspekter: pasientsikkerhet og teknisk sikkerhet. Vi er svært opptatt av å kunne tilby det siste innen sikkerhet og sikker interoperabilitet uten å gå på kompromiss med sikkerhet og komfort for kundene våre.

Trygghet, sikkerhet og personvern

Hos Ypsomed prioriterer vi trygghet, sikkerhet og personvern ved at det implementeres som en del av produktutviklingsprosessen vår. Ved å ta hensyn til disse aspektene helt fra start jobber vi for å redusere potensielle risikoer til et minimum og sikre at produktene våre er trygge, sikre og respekterer personvernet. For å oppnå det utfører vi fortløpende sikkerhetsrisikoanalyser og trusselmodelleringsøvelser for å finne potensielle trusler og sårbarheter på et tidlig stadium. Vi definerer systemarkitekturen nøye og integrerer passende sikkerhetskontroller og personvernfremmende tiltak gjennom hele utviklingsprosessen.

Kompromissløs sikkerhet

Under produktutviklingsprosessen samarbeider de forskjellige avdelingene tett – produktledelsen, brukervennlighet, systemteknikk, risikohåndtering og interne såvel som eksterne sikkerhetseksperter. Vi følger de siste standardene og er kompromissløse når det gjelder kundedatasikkerhet.

Brukerdata er den mest verdifulle ressursen vi beskytter

Vi beskytter personvernet og sikrer sikkerheten til personene som bruker produktene våre. Samsvar med gjeldende lovverk (f.eks. personvernforordningen) og personvernlover er en selvfølge for Ypsomed. Vi har svært tydelige personvernavtaler (personvernerklæring) og innhenter samtykke fra brukerne våre. Ypsomed er svært åpne og sikrer det i prosessene sine.

Kontinuerlig overvåkning og forbedring for å bevare sikkerheten

Vi overvåker og forbedrer produktene våre hele tiden for å bevare sikkerheten. Vi utfører regelmessige interne og eksterne penetrasjonstester, holder oss oppdatert på de siste truslene og sørger for fortløpende opplæring og forbedring. Tilnærmingen vår gjør det mulig for oss å adressere potensielle risikoer proaktivt og opprettholde de høyeste standardene for sikkerhet og personvern.

Vi lærer av partnerne våre og utveksler ideer

Den omfattende produktporteføljen vår er også basert på samarbeid med partnerne våre. Samhandlingen mellom eksterne og interne utviklingsavdelinger er avgjørende: informasjonsflyten og -utvekslingen i disse tverrfunksjonelle teamene på tvers av selskapene er ekstremt viktig, og standardiserte prosesser er avgjørende fra starten til slutten av et produkts brukbarhet. Gjennom åpen og transparent kommunikasjon oss imellom, blir det utført sikkerhetsoppdateringer svært raskt. Vi samarbeider med ledende spesialister for å sørge for at informasjonssikkerheten hele tiden forbedres.

Vi hører på kundene våre

Tilbakemelding fra kunder er også veldig viktig for Ypsomed, slik at vi kan fortsette å forbedre oss selv og produktene våre. Vi tar imot, registrerer og analyserer både ideer, forbedringsforslag eller klager. Vi har også fortløpende opplæring og døgnåpen kundeservice for insulinpumpesystemet vårt over hele verden.

Forskrifter og standarder med et fokus på informasjonssikkerhet

Vi sitter ikke bare og snakker om hva vi har tenkt til å gjøre – vi gjør det. Vi baserer overvåkningen og håndteringen vår av cybersikkerheten til infrastrukturen vår på følgende vanlige retningslinjer og standarder (ikke uttømmende):

  • EU 2016/679: Forordning (EU) om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (GDPR/PVF)
  • IEC 62304: Programvare til medisinsk utstyr – Livstids-prosessene til programvaren
  • IEC 81001-5-1: Sikkerhet og effektivitet knyttet til helserelatert programvare og helserelaterte IT-systemer – Del 5-1: Sikkerhet – Aktiviteter i produktets brukbarhetsperiode
  • IEC TR 60601-4-5: Teknisk rapport (TR) om medisinsk elektrisk utstyr — Del 4-5 Veiledning og tolkning – Sikkerhetsrelaterte spesifikasjoner for teknisk sikkerhet av medisinsk utstyr.
  • IEC 82304-1: Helserelatert programvare — Del 1: Generelle krav for produktsikkerhet

Kort sagt om cybersikkerheten til mylife YpsoPump

Det godkjennes av sikkerhetsserveren at den nedlastede appen kommer fra en betrodd kilde. Det opprettes en Bluetooth-forbindelse mellom mylife YpsoPump og smarttelefonen. Riktig insulinpumpe velges ved hjelp av serienummeret og en sekssifret kode som vises på insulinpumpen. Takket være sikkerhetsfunksjonen kan mylife YpsoPump bare kobles til én smarttelefon om gangen.

The correct insulin pump is selected with the help of the serial number and a 6 digit passkey code displayed on the insulin pump

All kommunikasjon mellom insulinpumpen og appen sikres ende-til-ende via autentisert kryptering. Sikkerhetsserveren går god for appens autensitet. Dessuten sikres all kommunikasjon mellom sikkerhetsserveren og insulinpumpen med autentisert ende-til-ende-kryptering. Selv om appen fungerer som et mellomledd, kan den ikke tukle med kommunikasjonen. Kommunikasjon mellom alle komponenter sikres ytterligere ved hjelp av Bluetooth- og TLS-kryptering. All kommunikasjon mellom appen og mylife YpsoPump insulinpumpen sikres ved hjelp av kryptering som er spesifikk for sammenkoblingen mellom appen og insulinpumpen. Fordi en insulinpumpe ikke lese kommandoer som er rettet mot en annen insulinpumpe, er for eksempel såkalte «retargetingangrep» umulig.

Secure communication between the mylife YpsoPump, the app and the security server.