Política de Calidad y Seguridad de la Información

DIRIGIDO AL CONOCIMIENTO DE TODO EL PERSONAL DE OUTCOMES’10 Y PARTES INTERESADAS

La Dirección de OUTCOMES’10, empresa dedicada a la LA INVESTIGACIÓN DE RESULTADOS EN SALUD Y FARMACOECONOMÍA expone la Política Integrada de Gestión que será punto de referencia obligado para la Gestión del Sistema Integrado según modelo de las Norma UNE-EN- ISO 9001, ISO 27001 y el RGPD en sus relaciones con trabajadores, clientes, proveedores y partes interesadas, y se compromete a que sea difundida, implantada y mantenida en todos los niveles de la organización.

El compromiso de OUTCOMES’10 es alcanzar la excelencia en la gestión de la calidad y en la gestión de la información implicando en este compromiso implicando en este compromiso a todos los grupos de interés a los que afecta la estrategia de empresa: trabajadores, proveedores, clientes, visitantes y sociedad en general. Así se elabora la Política Integrada de Gestión que aúna la Gestión de Calidad y Gestión de Seguridad de la Información según los siguientes compromisos que cumplen con los requisitos establecidos por las Norma UNE-EN- ISO 9001, ISO 27001 y el RGPD.

La Dirección de OUTCOMES’10 asume los siguientes OBJETIVOS considerándolos ejes fundamentales de su estrategia empresarial:

·       La Calidad y la Seguridad de la Información y su mejora son responsabilidad de todos los integrantes de OUTCOMES’10 y requiere de la participación y colaboración desde la Dirección hasta cada uno/a de sus trabajadores/as, por lo que esta Política es difundida a todo el personal de OUTCOMES’10 para su conocimiento, comprensión y cumplimiento.

·       La Calidad y la Seguridad de la Información se obtienen planificando, ejecutando, revisando y mejorando el Sistema Integrado de Gestión, teniendo presente en todo momento el contexto de la organización, tanto interno como externo.

·       La Calidad y la Seguridad de la Información está orientada hacia la Satisfacción de todos nuestros clientes (y partes interesadas), mediante el compromiso de toda la organización en cumplir con sus necesidades y requisitos, así como los requisitos legales y reglamentarios y los propios de aplicación a las líneas de negocio desarrolladas por la organización e incluidas en el alcance del Sistema Integrado de Gestión.

·       La Calidad y la Seguridad de la Información se apoya en la Mejora Continua tanto de los procesos productivos y de prestación del servicio, como de la eficacia del Sistema Integrado de Gestión en el que prevenir los errores sea un aspecto fundamental.

·       La Calidad y la Seguridad de la Información nos dirige a prestar la máxima atención a la evolución tecnológica y a las posibles mejoras que las nuevas tecnologías pusieran a nuestra disposición.

Dado que las actividades de negocio principales: la Investigación de resultados en salud y la farmacoeconomía, implican la gestión de información altamente confidencial no sólo propia sino también de terceros, además de datos de carácter personal especialmente sensibles, la Dirección de OUTCOMES’10, establece como PRINCIPIOS específicos de la seguridad de la información los siguientes:

·        La protección de los datos de carácter personal y la intimidad de las personas.

·        La salvaguarda de los registros de la organización.

·        La protección de los derechos de propiedad intelectual.

·        La documentación de la política de seguridad de la información.

·        La asignación de responsabilidades de seguridad.

·        La formación y capacitación para la seguridad de la información.

·        El registro de las incidencias de seguridad.

·        La gestión de la continuidad del negocio.

·        La gestión de los cambios que pudieran darse en la empresa relativos a la seguridad

Y para ello adquiere los siguientes COMPROMISOS:

·       Utilizar los datos mínimos necesarios para cumplir con las finalidades que se indiquen en cada caso, asegurándose, en la medida de lo posible, de la veracidad y exactitud de los mismos.

·       Definir e implantar las medidas técnicas y organizativas necesarias para asegurar la confidencialidad, integridad y disponibilidad de los datos personales, basándose en una estimación de los riesgos que pueden afectar al tratamiento de los datos.

·       Asegurar el cumplimiento del derecho de información y la obtención del consentimiento para el tratamiento de los datos, así como la posibilidad del ejercicio del resto de derechos contemplados por la legislación (acceso, rectificación, cancelación, oposición, portabilidad y limitación del tratamiento).

·       Asumir el compromiso para minimizar y comunicar las violaciones de seguridad, así como de colaborar con la autoridad de control (Agencia de Protección de Datos), para la resolución de incidentes o conflictos que puedan derivarse del incumplimiento de la normativa.

·       Prevención y detección de virus y otro software malicioso, mediante el desarrollo de políticas específicas y el establecimiento acuerdos contractuales con organizaciones especializadas.

·       Gestión de la continuidad del negocio, desarrollando planes de continuidad conformes a metodologías de reconocido prestigio internacional.

·       Establecimiento de las consecuencias de las violaciones de la política de seguridad, las cuales serán reflejadas en los contratos firmados con las partes interesadas, proveedores y subcontratistas.

·       Actuar en todo momento dentro de la más estricta ética profesional y cumpliendo con toda la legislación aplicable a su actividad (indicada en el listado correspondiente del SGSI) de carácter general (Código de Comercio, Código Civil) y específico.

Y pone a disposición un COMITÉ DE CALIDAD Y SEGURIDAD:

·       formado por el Director Responsable SGSI, el Responsable Técnico del SGSI y el personal implicado en el correcto funcionamiento del SGSI, que podrán estar auxiliados de manera permanente o esporádica por consultores externos;

·       con una figura de Secretario del Comité de Calidad y Seguridad que es el Responsable Técnico del SGSI (o persona en quien delegue) y tiene como funciones la preparación de las reuniones, la difusión de sus resultados y el seguimiento de los acuerdos alcanzados;

·       que reporta al Comité de Dirección;

·       y que tiene como funciones:

a)    coordinar y aprobar las acciones en materia de seguridad de la información;

b)   impulsar la cultura en seguridad de la información;

c)    participar en la categorización de los sistemas y el análisis de riesgos;

d)   revisar y aprobar la documentación relacionada con la seguridad del sistema;

e)   resolver discrepancias y problemas que puedan surgir en la gestión de la seguridad.

Esta Política Integrada de Gestión proporciona el marco de referencia para la mejora continua del Sistema Integrado de Gestión, así como para establecer y revisar sus objetivos, siendo comunicada a toda la Organización a través del gestor documental instalado en la organización y su publicación en paneles informativos, siendo revisada anualmente para su adecuación y extraordinariamente cuando concurran situaciones especiales y/o cambios sustanciales, estando a disposición público en general.

OBLIGACIONES DEL PERSONAL

·      Todos los trabajadores de OUTCOMES tienen la obligación de conocer esta Política de Seguridad de la Información, que es de obligado cumplimiento dentro del alcance identificado, siendo responsabilidad del Comité de Calidad y Seguridad disponer los medios necesarios para que la información llegue a los afectados.

·       Se establecerá un programa de concienciación continua que abarque a todos los miembros de OUTCOMES, en particular a los de nueva incorporación.

TERCERAS PARTES

·       Las terceras partes relacionadas con OUTCOMES, dentro del alcance, firman con la empresa un acuerdo que protege la información intercambiada.

·       Cuando OUTCOMES utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha Política, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.

·       Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

 

En Castellón, 5 de agosto de 2019

Luis Lizán

Director de Outcomes’10