Personvern

GDPR og personvern

Vi er fullt ut forpliktet til å overholde EUs General Data Protection Regulation (GDPR) og andre relevante personvernlover. All datalagring skjer innenfor Det europeiske økonomiske samarbeidsområdet (EØS), og dine data forlater aldri denne regionen. Dette gir en ekstra trygghet om at dataene dine håndteres i tråd med personvernstandardene som gjelder i Europa.

Medbric er utviklet for å gjøre det mulig å ta i bruk kunstig intelligens i helsetjenesten på en ansvarlig måte. Personvern, informasjonssikkerhet og etterlevelse av regelverk er ikke tilleggstjenester, men en integrert del av løsningen.

Personvern og informasjonssikkerhet i Medbric

Medbric er utviklet for bruk i norsk helsetjeneste, med personvern og informasjonssikkerhet som grunnleggende forutsetninger. Løsningene våre er utformet for å møte kravene fra offentlig sektor, inkludert helseforetak, kommuner og private aktører med offentlige avtaler.

Vi legger vekt på klare ansvarslinjer, dokumenterbare sikkerhetstiltak og etterlevelse av gjeldende regelverk, herunder personvernforordningen (GDPR).

Bruk av kunstig intelligens som støtte i journalføring er forenlig med GDPR, forutsatt at kravene til behandlingsgrunnlag, dataminimering, informasjonssikkerhet og ansvarsfordeling er oppfylt.

Medbric er utformet i tråd med disse kravene. Løsningen behandler kun nødvendige data, lagrer ikke pasientjournaler, og benyttes som et støtteverktøy der helsepersonell har fullt ansvar for vurdering og godkjenning av innhold.

Medbric bruker ikke pasientdata til trening av modeller eller andre sekundære formål.

Overordnede prinsipper

Medbric er bygget etter prinsippene om innebygd personvern og innebygd informasjonssikkerhet. Det betyr at hensynet til personvern er ivaretatt i arkitektur, prosesser og tekniske valg, ikke lagt til i etterkant.

Våre hovedprinsipper er:

  • Behandling av minst mulig personopplysninger
  • Ingen permanent lagring av pasientdata
  • Klar formålsavgrensning for all databehandling
  • Sterk autentisering og kryptering
  • Forutsigbar sletting av data

Autentisering, Kryptering og beskyttelse av data

Tilgang til Medbric skjer via sikre og veletablerte autentiseringsløsninger som BankID og Buypass. Dette gir en sikker identitetskontroll på nivå med det som benyttes i bank og offentlig sektor.

Tilgang er begrenset til autorisert helsepersonell, og styres gjennom rollebasert tilgang med minste-privilegium-prinsippet.

All data som behandles i Medbric er kryptert. Kryptering skjer både under overføring og under behandling. Vi benytter anerkjente og utbredte kryptografiske standarder som brukes i sikkerhetskritiske systemer.
Ingen data behandles ukryptert, og ingen pasientopplysninger eksponeres for uvedkommende.

Databehandling og lagring

Behandling innen EU og EØS
All databehandling skjer på servere lokalisert innen EU/EØS. Dette sikrer at behandlingen skjer innenfor europeisk jurisdiksjon og i tråd med kravene i GDPR.

Tale-til-tekst og annen sanntidsbehandling

Ved bruk av tale-til-tekst behandles kun korte lydsegmenter om gangen. Det opprettes aldri et fullstendig lydopptak av en konsultasjon.
Prosessen kan kort beskrives slik:

  • Lyd behandles fortløpende i små biter
  • Behandling skjer i sanntid
  • Ingen lyd lagres etter at den er behandlet
  • Data forkastes umiddelbart når formålet er oppnådd
  • Ingen backup av pasientdata
  • All midlertidig data slettes automatisk innen fastsatte tidsrammer, maksimalt 24 timer

Dette bidrar til å redusere konsekvensene ved eventuelle sikkerhetshendelser og forenkler etterlevelse av personvernregelverket.