Overholdelse
Rammer og garantier, der gælder for al behandling i Tjenesten.
Sikkerhedskontroller
Uddrag af vores tekniske og organisatoriske foranstaltninger — beskrevet i detaljer i sikkerhedspolitikken.
Infrastruktur & netværk
- Al trafik krypteret med TLS/HTTPS
- Adgang til produktionsmiljø begrænset til få betroede personer
- Tredjepartsafhængigheder holdes opdaterede; kendte sårbarheder afhjælpes løbende
Adgangskontrol
- Individuelt login; adgangskoder gemmes kun saltet og hashet (scrypt)
- Mindste privilegie (least privilege) for personer og systemer
- Automatisk spærring ved abonnementsophør
- Adgangslogs uden følsomme personoplysninger
Data & privatliv
- Indhold behandles in-memory — ingen lagring af uploads eller optagelser
- Automatisk fjernelse af personoplysninger før AI-behandling
- Dataminimering og privacy by design
- Udvikling og test med syntetiske data — aldrig reelle patientoplysninger
Produktsikkerhed
- Inputvalidering og beskyttelse mod almindelige webangreb (fx XSS)
- Kliniske svar forankres i godkendte kilder med kildehenvisning (RAG)
- Alt AI-output er udkast, der valideres af den ansvarlige sundhedsperson
Hændelseshåndtering
- Defineret incident response-procedure: analyse, isolering, dokumentation
- Rapportering til den dataansvarlige klinik uden unødigt ophold
- Bistand med underretning og 72-timers anmeldelse til Datatilsynet
Betalingssikkerhed
- Betaling afvikles af Stripe (PCI DSS-certificeret)
- Kortdata indtastes hos Stripe og gemmes aldrig hos Healthscan
- Abonnement uden binding — opsig når som helst
Underdatabehandlere
Alle underdatabehandlere er underlagt skriftlige databehandleraftaler. Den fulde liste med detaljer findes i databehandleraftalens Bilag B.
| Leverandør | Formål | Behandlingssted / overførselsgrundlag |
|---|---|---|
| Anthropic PBC | AI-tekstgenerering (sprogmodellen) | USASCC · ingen brug af data til modeltræning |
| Deepgram, Inc. | Tale-til-tekst (transskription) | EU-endpointDatabehandling inden for EU · kun in-memory |
| Render | Drift og hosting af Tjenesten | SCC, hvor behandling sker uden for EU/EØS |
| Stripe | Betalingsafvikling | PCI DSSKortdata håndteres af Stripe — gemmes ikke hos Healthscan |
Dokumenter
Al dokumentation er offentligt tilgængelig — intet login eller NDA kræves.
Ansvarlig indberetning af sårbarheder
Har du fundet en sikkerhedssårbarhed, hører vi gerne fra dig på kontakt@healthscan.dk — se også vores security.txt. Vi bekræfter modtagelsen hurtigst muligt og holder dig orienteret, indtil forholdet er afklaret.
Sikkerhedspolitikken og databehandleraftalen gennemgås mindst årligt. Væsentlige ændringer, der påvirker sikkerhedsniveauet, varsles kunderne. Denne side afspejler dokumentationens gældende version.
← Tilbage til forsiden© Healthscan (CVR-nr. 20878835) · Medicinsk Copilot