Den danske version er den gældende. Oversættelser til andre sprog stilles til rådighed for at lette forståelsen.
1. Formål og omfang
Planen beskriver, hvordan Healthscan opdager, håndterer og dokumenterer sikkerhedshændelser i Medicinsk Copilot, samt hvordan Tjenesten reetableres efter nedbrud. Den omfatter alle systemer og underdatabehandlere, der indgår i driften, og supplerer sikkerhedspolitikken og databehandleraftalen.
2. Roller og kontakter
| Rolle / part | Ansvar og kontakt |
|---|---|
| Ledelse / sikkerhedsansvarlig (Healthscan) | Beslutter klassifikation, leder hændelseshåndtering, godkender kundekommunikation og anmeldelser. Kontakt: kontakt@healthscan.dk |
| Hostingudbyder (Render) | Driftsstatus og infrastruktur: status.render.com |
| Betalingsudbyder (Stripe) | Betalingshændelser: status.stripe.com |
| AI-/STT-leverandører (Anthropic, Deepgram) | Leverandørstatus og sikkerhedskontakt via leverandørernes statussider og support. |
| Dataansvarlige klinikker (kunder) | Underrettes uden unødigt ophold ved brud, der vedrører deres data. |
| Datatilsynet | Anmeldelse af brud via virk.dk — inden 72 timer efter at den dataansvarlige er blevet bekendt med bruddet. |
3. Klassifikation af hændelser
| Kategori | Beskrivelse | Eksempler |
|---|---|---|
| K1 · Drift | Nedbrud eller væsentlig forringelse uden tegn på kompromittering. | Tjenesten svarer ikke; fejl hos hostingudbyder; udløbet certifikat. |
| K2 · Sikkerhed | Mistanke om eller konstateret kompromittering uden bekræftet persondatabrud. | Lækket API-nøgle; mistænkelig login-aktivitet; sårbarhed indberettet via security.txt. |
| K3 · Persondatabrud | Brud på persondatasikkerheden, jf. GDPR art. 4, nr. 12. | Uautoriseret adgang til brugerkonti; utilsigtet videregivelse af indhold. |
4. Responsprocedure
- Opdag og registrér: Notér tidspunkt, kilde (overvågning, kunde, indberetning) og symptomer i hændelsesloggen.
- Klassificér: K1, K2 eller K3. Ved tvivl vælges den højeste kategori, indtil andet er afklaret.
- Inddæm: Isolér berørte komponenter. Ved K2/K3: rotér relevante hemmeligheder, spær berørte konti, og suspender om nødvendigt Tjenesten midlertidigt.
- Analysér: Fastlæg årsag, omfang, berørte data og registrerede. Bevar logs og dokumentation.
- Genopret: Reetablér Tjenesten, verificér normal drift, og overvåg skærpet i mindst 72 timer.
- Underret: K3: følg afsnit 5. K1 af længere varighed: orientér kunderne om status og forventet oppetid.
- Evaluér: Efter enhver K2/K3-hændelse udarbejdes en kort evaluering med forebyggende tiltag; politikker opdateres om nødvendigt.
5. Persondatabrud (K3) — underretning
- Healthscan underretter de berørte dataansvarlige klinikker uden unødigt ophold efter at være blevet bekendt med bruddet, med den dokumentation klinikken skal bruge til sin egen vurdering og eventuelle anmeldelse.
- Underretningen indeholder som minimum: hændelsens karakter, kategorier og omtrentligt antal berørte registrerede og oplysninger, sandsynlige konsekvenser, trufne og planlagte foranstaltninger samt kontaktpunkt (jf. GDPR art. 33, stk. 3).
- Den dataansvarlige anmelder til Datatilsynet inden 72 timer, medmindre bruddet sandsynligvis ikke indebærer risiko for de registrerede. Healthscan bistår, herunder med underretning af berørte personer ved høj risiko (art. 34).
- Alle brud — også dem, der ikke anmeldes — dokumenteres i hændelsesloggen.
6. Hemmeligheder og nøgler ved kompromittering
Ved mistanke om læk roteres de berørte API-nøgler og hemmeligheder (AI-leverandør, tale-til-tekst, betaling, delt klinikadgang) straks i hostingudbyderens miljøkonfiguration, hvorefter Tjenesten genstartes. Kompromitterede brugerkonti spærres, og brugeren får udstedt nyt adgangskodeflow.
7. Backup og reetablering
7.1 Hvad der beskyttes
| Aktiv | Beskyttelse |
|---|---|
| Kodebase og videnindeks | Privat versionsstyret repository — fuldt reetablérbar. |
| Brugerkonti | Persistent disk hos hostingudbyderen med daglig automatisk backup (30 dages rotation) samt udbyderens egne disk-snapshots. |
| Patientindhold | Lagres ikke (in-memory) — intet tab af patientdata er muligt ved nedbrud. |
| Domæne og DNS | Administreres uafhængigt af hostingudbyderen. |
7.2 Mål
- RTO (reetableringstid): 4 timer inden for normal arbejdstid.
- RPO (maksimalt datatab): 24 timer — gælder alene brugerkonti, da indhold ikke lagres.
8. Test og vedligeholdelse
- Planen gennemgås mindst årligt og efter enhver K2/K3-hændelse.
- Én årlig skrivebordsøvelse: gennemspil et K3-scenarie fra opdagelse til evaluering.
- Reetableringsproceduren afprøves mindst én gang årligt.
© Healthscan (CVR-nr. 20878835) · Medicinsk Copilot