DxAssistantEnterprise
Säkerhetsdokumentation

Säkerhet, compliance & dataskydd

Teknisk dokumentation för IT-ansvariga, DPO:er och upphandlare inom hälso- och sjukvården.

Sammanfattning för beslutsfattare

DatalagringEU (Irland)
KrypteringTLS 1.3 + AES-256 at rest
AI-modellOpenAI GPT-4o med DPA
Regulatorisk statusKliniskt referensverktyg (ej MDR)
PatientdataIngen PII designad att lagras
Audit trailFullständig, exporterbar

1. Arkitektur och dataflöde

DxAssistant har en enkel, säker arkitektur med minimala datapunkter:

  1. Autentisering: OAuth 2.0 via Google/GitHub (eller SSO/SAML för enterprise). Inga lösenord lagras.
  2. Indata: Läkaren anger symtom och patientkontext (anonymiserad — inga PII). Data skickas via HTTPS (TLS 1.3) till backend.
  3. AI-bearbetning: Indata skickas till OpenAI:s API (EU-endpoint) med dataskyddsavtal (DPA). OpenAI använder INTE data för modellträning.
  4. Lagring: Analysresultat lagras i Turso (LibSQL) i EU West (Irland). Krypterat at rest.
  5. PubMed: Forskningsartiklar hämtas via NCBI:s publika API. Ingen patientdata skickas till PubMed.

2. GDPR-efterlevnad

Rättslig grund

  • Kontodata: Avtal (art. 6.1.b)
  • Analysdata: Berättigat intresse (art. 6.1.f)
  • Eventuell hälsodata: Uttryckligt samtycke (art. 9.2.a) — disclaimer vid första login

Artikel 9 — känsliga personuppgifter

DxAssistant är designat för att INTE hantera patientidentifierande hälsodata. Användaren instrueras att aldrig ange personnummer, namn eller adress. Symtombeskrivningar är avsedda att vara anonymiserade.

Om en användare trots instruktionerna anger identifierbar hälsodata behandlas den enligt art. 9.2.a (uttryckligt samtycke via disclaimer-godkännande).

Registrerades rättigheter

Stöd för alla rättigheter enligt art. 15-21: tillgång, rättelse, radering, begränsning, dataportabilitet, invändning.

Dataskyddsavtal (DPA)

DPA tillhandahålls som del av enterprise-avtalet. Inkluderar: ändamål, kategorier av personuppgifter, tekniska och organisatoriska åtgärder, underbiträdesförteckning, och rutiner vid personuppgiftsincident.

3. Regulatorisk status

DxAssistant positioneras som ett kliniskt referensverktyg — inte som en medicinteknisk produkt enligt EU MDR 2017/745.

  • Ej CE-märkt — verktyget uppfyller inte definitionen av MDSW (Medical Device Software) enligt MDCG 2019-11 Rev.1
  • Avsett användningsområde: Bollplank för differentialdiagnostisk reflektion och klinisk referens
  • Ej avsett för: Att driva kliniska beslut, ställa diagnoser, eller ordinera behandling
  • Läkaren i centrum: Alla resultat kräver verifiering av ansvarig läkare

Vi följer utvecklingen av EU AI Act och MDCG-riktlinjer löpande och anpassar produkten vid regulatoriska förändringar.

4. Tekniska säkerhetsåtgärder

TransportkrypteringTLS 1.3 på alla anslutningar
Datakryptering at restAES-256 (Turso/LibSQL)
AutentiseringOAuth 2.0 / SAML 2.0 (enterprise SSO)
SessionshanteringSignerade JWT, httpOnly cookies, SameSite=Lax
API-säkerhetRate limiting, CORS, input validation
HostingVercel (SOC 2 Type II)
DatabasTurso (EU West, Irland)
AI-providerOpenAI med DPA, data ej för träning
Audit trailFullständig logg: användare, åtgärd, tidpunkt, IP
PenetrationstestningPlanerad — kontakta oss för rapport

5. Underbiträden

LeverantörSyftePlatsDPA
OpenAIAI-bearbetningEUJa
TursoDatabasEU (Irland)Ja
VercelHostingGlobal (CDN) + EUJa (DPA + SCCs)
Google/GitHubAutentisering (OAuth)GlobalStandardvillkor

6. Incidenthantering

Vid personuppgiftsincident:

  1. Incident identifieras och loggas inom 1 timme
  2. Berörd organisation informeras inom 24 timmar
  3. IMY (Integritetsskyddsmyndigheten) anmäls inom 72 timmar om tillämpligt
  4. Root cause analysis och åtgärdsplan levereras inom 5 arbetsdagar

Incidentrapporter skickas till: security@dxassistant.se

7. Enterprise SLA

Tillgänglighet99.5% uptime (mål)
SupporttidSvar inom 4 timmar (vardagar)
EskaleringDedikerad kontaktperson + teknisk backup
UppföljningKvartalsvisa statusgenomgångar
UppdateringarLöpande. Changelog publiceras.

Behöver er DPO eller IT-säkerhetschef mer information?

Vi erbjuder: DPA-mall, ifyllt säkerhetsfrågeformulär (DISA/ISMS), och teknisk arkitekturdokumentation.

Begär dokumentation