Beredskabsplan

Incident response, backup og reetablering — Medicinsk Copilot

Den danske version er den gældende. Oversættelser til andre sprog stilles til rådighed for at lette forståelsen.

Version 1.0 · Godkendt af ledelsen hos Healthscan (CVR-nr. 20878835) den 16. juli 2026. Kontakt: kontakt@healthscan.dk.

1. Formål og omfang

Planen beskriver, hvordan Healthscan opdager, håndterer og dokumenterer sikkerhedshændelser i Medicinsk Copilot, samt hvordan Tjenesten reetableres efter nedbrud. Den omfatter alle systemer og underdatabehandlere, der indgår i driften, og supplerer sikkerhedspolitikken og databehandleraftalen.

2. Roller og kontakter

Rolle / partAnsvar og kontakt
Ledelse / sikkerhedsansvarlig (Healthscan)Beslutter klassifikation, leder hændelseshåndtering, godkender kundekommunikation og anmeldelser. Kontakt: kontakt@healthscan.dk
Hostingudbyder (Render)Driftsstatus og infrastruktur: status.render.com
Betalingsudbyder (Stripe)Betalingshændelser: status.stripe.com
AI-/STT-leverandører (Anthropic, Deepgram)Leverandørstatus og sikkerhedskontakt via leverandørernes statussider og support.
Dataansvarlige klinikker (kunder)Underrettes uden unødigt ophold ved brud, der vedrører deres data.
DatatilsynetAnmeldelse af brud via virk.dk — inden 72 timer efter at den dataansvarlige er blevet bekendt med bruddet.

3. Klassifikation af hændelser

KategoriBeskrivelseEksempler
K1 · DriftNedbrud eller væsentlig forringelse uden tegn på kompromittering.Tjenesten svarer ikke; fejl hos hostingudbyder; udløbet certifikat.
K2 · SikkerhedMistanke om eller konstateret kompromittering uden bekræftet persondatabrud.Lækket API-nøgle; mistænkelig login-aktivitet; sårbarhed indberettet via security.txt.
K3 · PersondatabrudBrud på persondatasikkerheden, jf. GDPR art. 4, nr. 12.Uautoriseret adgang til brugerkonti; utilsigtet videregivelse af indhold.

4. Responsprocedure

  1. Opdag og registrér: Notér tidspunkt, kilde (overvågning, kunde, indberetning) og symptomer i hændelsesloggen.
  2. Klassificér: K1, K2 eller K3. Ved tvivl vælges den højeste kategori, indtil andet er afklaret.
  3. Inddæm: Isolér berørte komponenter. Ved K2/K3: rotér relevante hemmeligheder, spær berørte konti, og suspender om nødvendigt Tjenesten midlertidigt.
  4. Analysér: Fastlæg årsag, omfang, berørte data og registrerede. Bevar logs og dokumentation.
  5. Genopret: Reetablér Tjenesten, verificér normal drift, og overvåg skærpet i mindst 72 timer.
  6. Underret: K3: følg afsnit 5. K1 af længere varighed: orientér kunderne om status og forventet oppetid.
  7. Evaluér: Efter enhver K2/K3-hændelse udarbejdes en kort evaluering med forebyggende tiltag; politikker opdateres om nødvendigt.

5. Persondatabrud (K3) — underretning

  • Healthscan underretter de berørte dataansvarlige klinikker uden unødigt ophold efter at være blevet bekendt med bruddet, med den dokumentation klinikken skal bruge til sin egen vurdering og eventuelle anmeldelse.
  • Underretningen indeholder som minimum: hændelsens karakter, kategorier og omtrentligt antal berørte registrerede og oplysninger, sandsynlige konsekvenser, trufne og planlagte foranstaltninger samt kontaktpunkt (jf. GDPR art. 33, stk. 3).
  • Den dataansvarlige anmelder til Datatilsynet inden 72 timer, medmindre bruddet sandsynligvis ikke indebærer risiko for de registrerede. Healthscan bistår, herunder med underretning af berørte personer ved høj risiko (art. 34).
  • Alle brud — også dem, der ikke anmeldes — dokumenteres i hændelsesloggen.

6. Hemmeligheder og nøgler ved kompromittering

Ved mistanke om læk roteres de berørte API-nøgler og hemmeligheder (AI-leverandør, tale-til-tekst, betaling, delt klinikadgang) straks i hostingudbyderens miljøkonfiguration, hvorefter Tjenesten genstartes. Kompromitterede brugerkonti spærres, og brugeren får udstedt nyt adgangskodeflow.

7. Backup og reetablering

7.1 Hvad der beskyttes

AktivBeskyttelse
Kodebase og videnindeksPrivat versionsstyret repository — fuldt reetablérbar.
BrugerkontiPersistent disk hos hostingudbyderen med daglig automatisk backup (30 dages rotation) samt udbyderens egne disk-snapshots.
PatientindholdLagres ikke (in-memory) — intet tab af patientdata er muligt ved nedbrud.
Domæne og DNSAdministreres uafhængigt af hostingudbyderen.

7.2 Mål

  • RTO (reetableringstid): 4 timer inden for normal arbejdstid.
  • RPO (maksimalt datatab): 24 timer — gælder alene brugerkonti, da indhold ikke lagres.

8. Test og vedligeholdelse

  • Planen gennemgås mindst årligt og efter enhver K2/K3-hændelse.
  • Én årlig skrivebordsøvelse: gennemspil et K3-scenarie fra opdagelse til evaluering.
  • Reetableringsproceduren afprøves mindst én gang årligt.

Se også vores trust center, konsekvensanalyse (DPIA), databehandleraftale og sikkerhedspolitik.

← Tilbage til Tillid & sikkerhed

© Healthscan (CVR-nr. 20878835) · Medicinsk Copilot