Data- og pasientsikkerhet

Implementeringen av AI-løsninger medfører et delt ansvar rundt data- og pasientsikkerhet.

  • Det er Medbric sitt ansvar å sikre at AI-teknologien er trygg og utvikles i tråd med gjeldende regelverk og sikkerhetskrav.

  • Kundene har en nøkkelrolle i hvordan AI-verktøyene anvendes og hvordan pasienter informeres.

Hvordan informere pasienter om bruk av kunstig intelligens og lydopptak?

Datatilsynet sier at man må informere om at det gjøres lydopptak og hvorfor, og at pasienter må ha mulighet til å reservere seg mot dette.

Informasjonsmatriell legekontoret kan bruke:

  • Informasjon til venteromsskjerm:
    PDF PNG

  • Informasjonsplakat som kan printes ut:
    PDF

Våre sikkerhetsprinsipper

Medbric styrer arbeidet med datasikkerhet etter følgende grunnleggende prinsipper

1. Minimalt dataavtrykk

Vi følger prinsippet om dataminimering. Dette innebærer at vi kun samler og lagrer data som er strengt nødvendig for å levere vår tjeneste. Spørsmål som brukere skriver inn, lagres ikke permanent. Lydopptak og transkripsjoner slettes umiddelbart etter at de har blitt brukt til formålene de er ment for, som for eksempel å generere et journalnotat. Dette sikrer at ingen unødvendig informasjon lagres eller behandles.

2. Dataseparasjon

Kundedata oppbevares alltid i separate miljøer for å hindre at data fra ulike kunder blandes. Dette betyr at din informasjon forblir strengt isolert og beskyttet mot tilgang fra uvedkommende.

3. Kontinuerlig forbedring

Vi utfører regelmessige sikkerhetsrevisjoner for å sikre at vi alltid holder oss oppdatert på de nyeste sikkerhetstruslene og beskytter systemene våre med proaktive tiltak. Vi har et dedikert team som kontinuerlig jobber med å forbedre sikkerheten for både systemene og dataene som behandles.

Infrastruktur og tekniske sikkerhetstiltak

Hosting og infrastruktur

Medbric er bygget på den infrastrukturen til Amazon Web Services (AWS). AWS er anerkjent globalt for sin pålitelighet og sikkerhet, noe som gir oss en trygg plattform for håndtering av dine data. Alle data lagres og overføres med kryptering, både under transport og ved lagring, for å beskytte mot uautorisert tilgang.


Tilgangskontroll og autentisering

Vi benytter en flerlaget sikkerhetstilnærming, hvor strenge tilgangskontroller er essensielt. Autentisering skjer gjennom One-Time Password (OTP), som gir en sikker og engangsgenerert kode ved hver pålogging eller transaksjon. Denne koden er kun gyldig for en kort tidsperiode, noe som gir en ekstra beskyttelse mot innbrudd. I tillegg bruker vi OAuth2 for å sikre tilgang til backend-API-et vårt.

Overvåkning og hendelseshåndtering

Vi logger alle påloggingsforsøk og viktige aktiviteter i en detaljert auditlogg. Dette gir oss mulighet til å:

  • Overvåke systemytelsen og sikre at alt fungerer som forventet.

  • Spore mistenkelig aktivitet og oppdage eventuelle forsøk på uautorisert tilgang.

  • Bistå i etterforskning av sikkerhetshendelser, slik at vi kan ta nødvendige tiltak raskt.

Auditloggen inkluderer detaljer som bruker-ID, aksjonstype (vellykket/mislykket pålogging), tidspunkt, enhet, IP-adresse og påloggingsmetode. Disse dataene oppbevares i 30 dager for å balansere sikkerhetsbehov med personvernkrav.

Nettverkssikkerhet

All dataoverføring mellom klienter og servere skjer gjennom kryptert HTTPS-protokoll. Dette sikrer at dataene dine er beskyttet mot avlytting og manipulering under overføring, noe som er avgjørende for å ivareta både pasientens og systemets integritet.

GDPR og personvern

Vi er fullt ut forpliktet til å overholde EUs General Data Protection Regulation (GDPR) og andre relevante personvernlover. All datalagring skjer innenfor Det europeiske økonomiske samarbeidsområdet (EØS), og dine data forlater aldri denne regionen. Dette gir en ekstra trygghet om at dataene dine håndteres i tråd med personvernstandardene som gjelder i Europa.

Sikkerhet for AI-modeller

Medbric bruker avanserte AI-modeller uten å kompromittere datasikkerheten. Alle AI-modeller kjører i isolerte miljøer uten direkte tilgang til kundedata eller eksterne nettverk. Data fra våre kunder brukes ikke til å trene nye AI-modeller.

Transparent kommunikasjon

Vi har et sterkt fokus på åpenhet rundt vår sikkerhetspraksis. I tilfelle det oppstår en sikkerhetshendelse som påvirker dine data, forplikter vi oss til å informere deg raskt i henhold til GDPRs retningslinjer. Vi publiserer også jevnlig oppdateringer om nye sikkerhetstiltak vi implementerer for å sikre at våre tjenester er i tråd med de høyeste standardene.

Kontakt oss

Har du spørsmål, tilbakemeldinger eller bekymringer knyttet til vår tilnærming til datasikkerhet, er vi alltid tilgjengelige for å gi deg ytterligere informasjon.

E-post: jonespen@medbric.com