Dela sida:  

Dela på facebook
Dela på twitter
Dela på linkedin
Dela på email
Dela på print

Säkerhet

Byggklossen Säkerhet i HOPE Platform stödjer sig på en avancerad åtkomstpolicy, en så kallad ”deny-first-princip”. Det innebär att all åtkomst till information är begränsad som standard. Åtkomst till information aktiveras endast för ett begränsat antal utvalda personer.

Begränsningen avser även systemarkitektur, användarautentisering och hur användaråtkomst hanteras av ADDI Medical vid åtkomst till systemet för underhåll- och supportändamål.

HOPE Platform™ uppfyller kraven i MDD (Medical Device Directive) 93/42/EEC.

Autensiering

I HOPE Platform finns det huvudsakligen två typer av användare:

  • Hälso- och sjukvårdspersonal, som kan inkludera läkare, sjuksköterskor, administratörer eller forskningspersonal. 
    Dessa användare arbetar i HOPE Practitioner.
  • Patienten använder sig av HOPE App.
 

Båda användartyperna måste autentisera sig enligt etablerade autentiseringsmetoder innan de får tillgång till information och funktioner i HOPE Platform. Detta gäller allt från att registrera information, delta i en aktivitet som exempelvis ett videomöte till att svara på ett frågeformulär.

I huvudsak använder vårdpersonal SITHS-kort för inloggning och patienten använder sig av tjänsten Parkoppling eller BankID.

Parkoppling

Patient Connector möjliggör för HOPE App att parkoppla sig mot HOPE Practitioner. Syftet med tjänsten är att koppla samman en patients tillgång till information via olika användargränssnitt.  

Patient Connector är ett mjukvaruramverk som inkluderats i HOPE Platform. Ramverket kräver minimal konfiguration och sätter automatiskt upp tjänster som används för att kunna parkoppla HOPE App med HOPE Practitioner.

Kryptering

All kommunikation i HOPE Platform sker via webbtjänster. Autentisering krävs för att få tillgång till webbtjänsterna.

Vid överföring av krypterad data används TLS (Transport Layer Security, kryptografiskt kommunikationsprotokoll) vilket innebär att inga obehöriga kan avlyssna på ett videomöte eller ta del av någon annan kommunikation mellan patienten och vården. 

Logg

I enlighet med Patientdatalagen (PDL) loggar HOPE Platform all användaraktivitet och sparar den enskilda loggen i minst 5 år.

Loggen rapporterar:

  • Patientdataaktivitet, till exempel när vårdgivaren har läst, redigerat, exporterat, kopierat, skapat eller skrivit ut vårddokumentation
  • Vid vilken vårdenhet och tidpunkt som aktiviteten har genomförts och av vem
  • Identiteten för den involverade patienten

Säker datalagring

HOPE Platform kan köras som SaaS – Software as a Service – ett molnbaserat system där verksamheten inte behöver installera och underhålla klienter på varje enskild arbetsstation.

Verksamhetsansvar
ADDI Medical ansvarar för applikationsdriften, hanterar säkerhetskopior och uppdateringar av nya versioner av HOPE Platform, även support och övervakning av loggar. Denna process beskrivs i vår underhållsprocess, som en del av vårt kvalitetsledningssystem.

Service pack och säkerhetsuppdateringar i Azure
HOPE Platform är värd på Azure. ADDI Medical tillämpar servicepaket som inkluderar säkerhetsuppdateringar regelbundet efter utgivningen, i synkronisering med befintliga servicefönster för HOPE Platform.

Antivirus
HOPE Platform skyddas med Microsoft Defender Advanced Threat Protection. Säkerhetsuppdateringar och korrigeringsfiler är konfigurerade för att installeras automatiskt.

Lokal installation hos kund
HOPE Platform är även utvecklad för att kunna installeras och köras lokalt hos kund. I detta falla ansvara kunden själv för att säkerhetsuppdateringar görs och att antivirusmjukvara finns på plats på de servrar HOPE Platform är installerad.

PIN-kod

I HOPE Platform finns skydd i form av att användaren kan ange Personal Identification Number (PIN-kod), en personlig säkerhetskod som utgörs av ett numeriskt lösenord. 

PIN-kod kan anges när som helst i HOPE App. PIN-koden består av fyra siffror valda av användaren själv. Koden skyddas av kryptering.

Lagar och förordningar

HOPE Platform uppfyller även följande lagar och förordningar som inte omfattas av direktivet om medicintekniska produkter (MDD):

  • GDPR, EU 2016/679
  • Patientdatalagen, PDL (2008: 355)
  • Socialstyrelsens föreskrifter, (SOSFS 2008: 14)
  • Journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016: 40)