Compliance og informationssikkerhed

Frontal Lobe arbejder med forskningsdata i sundhedssektoren og håndterer systemer, som ofte indeholder følsomme oplysninger.
Derfor stilles der høje krav til datasikkerhed, sporbarhed og dokumentation.
Denne side beskriver vores grundlæggende rammer for compliance og sikker drift.

1. Overordnet ansvar

  • Frontal Lobe ApS fungerer som databehandler for forskningsinstitutioner, hospitaler og universiteter.
  • Kunden (typisk hospital eller universitet) er dataansvarlig og indgår altid en databehandleraftale (DBA) med os.
  • Alle projekter drives i overensstemmelse med EU’s databeskyttelsesforordning (GDPR) og den danske databeskyttelseslov.

2. Informationssikkerhed og rammeværk

  • Frontal Lobe arbejder ud fra principperne i ISO 27001 (informationssikkerhed) og ISO 27701 (persondatabeskyttelse).
  • Derudover tilstræber vi at efterleve ISAE 3000-standardens krav til dokumenteret kontrolmiljø, databehandling og sporbarhed.
  • Vi er ikke certificeret eller revisorgodkendt efter ISO- eller ISAE-standarderne, da omkostningen for ekstern revision p.t. er uforholdsmæssig høj for vores størrelse. Vi arbejder dog systematisk efter samme principper og procedurer for at sikre tilsvarende kvalitet og transparens.
  • Alle procedurer og politikker gennemgås løbende for at sikre, at de er i tråd med bedste praksis.

3. Tekniske sikkerhedsforanstaltninger

  • Al kommunikation foregår krypteret (TLS/SSL/SSH/SFTP).
  • Adgang til systemer styres via rollebaseret adgangskontrol og 2-faktor-godkendelse hvor muligt.
  • Data opbevares kun på sikre Danske-servere med revisionshistorik og backup.
  • Der udføres løbende sikkerheds- og compliance-gennemgang.

4. Projektspecifik dokumentation

  • Hvert projekt får sin egen dokumentationsmappe i Frontal Lobe’s sikre struktur (Dropbox Business med revisionshistorik).
  • Mappen indeholder:
    • Databehandleraftale (DBA)
    • Projektbeskrivelse og databehandlingsgrundlag
    • Systemdokumentation (REDCap-opsætning, versionslog, eksportkontrol)
    • Evt. sikkerheds- og adgangslog ved større projekter
  • Dokumentation revideres, når dataflow eller aftalegrundlag ændres.

5. Adgang og rettigheder

  • Adgang gives kun til medarbejdere, der er direkte involveret i projektet.
  • Alle medarbejdere har underskrevet fortroligheds- og databehandlererklæring.
  • Fælles brugerkonti anvendes aldrig – al aktivitet skal kunne spores til én person.
  • Ved fratrædelse eller rolleændring fjernes adgangen straks.

6. Databehandling og eksport

  • Data behandles i REDCap-instanser driftet af godkendte, sikre udbydere (typisk hospital eller universitet).
  • Eksporterede data må aldrig sendes via e-mail eller lagres ukrypteret.
  • Pseudonymisering skal ske inden eksport; direkte personoplysninger (CPR, navn, e-mail) skal fjernes.
  • Kun den dataansvarlige må sammenkøre data med eksterne kilder.

7. Interne procedurer

  • Alle medarbejdere modtager intern oplæring i datasikkerhed, GDPR og korrekt håndtering af forskningsdata.
  • Vi arbejder ud fra princippet “need to know” – ingen adgang uden formål.
  • Private enheder må ikke anvendes til arbejdsdata uden godkendt kryptering og adgangsbeskyttelse.
  • Backups udføres regelmæssigt og opbevares separat fra primær data.

8. Hændelser og revision

  • Sikkerhedshændelser rapporteres straks og registreres i den interne hændelseslog.
  • Ved hændelser hos databehandler rapporteres dette til den dataansvarlige inden for 24 timer.
  • Hver hændelse dokumenteres med årsag, håndtering og korrigerende tiltag.
  • Frontal Lobe gennemfører mindst én årlig intern revision af sikkerhedsprocedurerne.

9. Kontakt og ansvarlig

Frontal Lobe ApS
CVR: 37781045
E-mail: info@frontallobe.dk
Complianceansvarlig: Joachim Sejr Skovbo, MD, PhD

10. Formål

Denne side dokumenterer vores tilgang til compliance og sikkerhed. Frontal Lobe er ikke revisionsgodkendt efter ISO- eller ISAE-standarder, men vi arbejder struktureret efter deres principper for at sikre et højt niveau af databeskyttelse, gennemsigtighed og kvalitet i alle projekter.