Datasikkerhet

Implementeringen av KI-løsninger medfører et delt ansvar rundt data- og pasientsikkerhet.

  • Det er Medbric sitt ansvar å sikre at KI-teknologien er trygg og utvikles i tråd med gjeldende regelverk og sikkerhetskrav.
  • Kundene har en nøkkelrolle i hvordan KI-verktøyene anvendes og hvordan pasienter informeres.

Sørg for tydelig informasjon om kunstig intelligens og lydopptak.

Datatilsynet understreker viktigheten av at pasienter informeres om lydopptak og formålet bak dem, samt at de har muligheten til å reservere seg. Derfor oppfordrer vi alle legekontorer til å gjøre informasjonen lett tilgjengelig.

Slik informerer du pasienter om bruk av kunstig intelligens og lydopptak.

  • Last ned PDF, både i liggende og stående (A4)format med informasjonsmateriell til å ha på venteromsskjerm om bruken av lydopptak og muligheten for å reservere seg.
  • Print ut informasjonsplakat og heng opp en plakat i venterommet som forklarer formålet med lydopptak, pasientenes rett til å reservere seg, og hvordan de går frem for å gjøre det.
  • Last ned nynorsk versjon liggende og stående (A4).
  • Last ned samisk versjon liggende og stående (A4).

Våre sikkerhetsprinsipper

Hosting og infrastruktur

Medbric er bygget på den infrastrukturen til Google Cloud Platform (GCP). GCP er anerkjent globalt for sin pålitelighet og sikkerhet, noe som gir oss en trygg plattform for håndtering av dine data. Alle data lagres og overføres med kryptering, både under transport og ved lagring, for å beskytte mot uautorisert tilgang.

Nettverkssikkerhet

All dataoverføring mellom klienter og servere skjer gjennom kryptert HTTPS-protokoll. Dette sikrer at dataene dine er beskyttet mot avlytting og manipulering under overføring, noe som er avgjørende for å ivareta både pasientens og systemets integritet.

Tilgangskontroll og autentisering

Vi benytter en flerlaget sikkerhetstilnærming, hvor strenge tilgangskontroller er essensielt. Autentisering skjer gjennom HelseID eller One-Time Password (OTP) som gir en sikker og engangsgenerert kode ved hver pålogging eller transaksjon. Denne koden er kun gyldig for en kort tidsperiode, noe som gir en ekstra beskyttelse mot innbrudd. I tillegg bruker vi OAuth2 for å sikre tilgang til backend-API-et vårt.

Overvåkning og hendelseshåndtering

Vi logger alle påloggingsforsøk og viktige aktiviteter i en detaljert auditlogg. Dette gir oss mulighet til å: Overvåke systemytelsen og sikre at alt fungerer som forventet. Spore mistenkelig aktivitet og oppdage eventuelle forsøk på uautorisert tilgang. Bistå i etterforskning av sikkerhetshendelser, slik at vi kan ta nødvendige tiltak raskt. Auditloggen inkluderer detaljer som bruker-ID, aksjonstype (vellykket/mislykket pålogging), tidspunkt, enhet, IP-adresse og påloggingsmetode. Disse dataene oppbevares i 30 dager for å balansere sikkerhetsbehov med personvernkrav.