Så möter Careifai GDPR - vår säkerhetsdesign i tre lager

Skrivet av Andreas Grönberg

I psykiatrin handlar datasäkerhet om förtroende:

  • Patienter ska våga berätta om sina problem utan rädsla att känslig information sprids.

  • Vårdgivare ska lita på att de verktyg och journalsystem som används håller informationen säker och tillgänglig endast för behöriga. 

  • Leverantörer ska ha kunskap och kompetens att kunna leverera en trygg och säker miljö för data.

Vi på Careifai vill i det här inlägget berätta hur vi bygger förtroende avseende datasäkerhet.

Den grundläggande princip vi utgår från är säkerhet genom enkelhet. Genom att utforma våra verktyg för vården så de hanterar så få personuppgifter som möjligt, under så kort tid som möjligt, skapar vi en säker grund.

Vi lagrar inte personuppgifter och vi avidentifierar all data/information före all språkmodellbearbetning. Bara verkligt anonymiserade utdrag kan sparas för att förbättra tjänsten – och då med tydlig transparens och opt-out.

Dataskyddsförordningen GDPR syftar till att säkra den grundlagsskyddade personliga integriteten i relation till personuppgifter. Genom att bryta kopplingen mellan data/information och person möter vi denna centrala aspekt på datasäkerhet.

Vilka regler vi utgår från

De regelverk vi har att förhålla oss till är GDPR och svenska Dataskyddslagen, och för vårdens del Patientdatalagen (PDL). Därtill anpassar vi oss till NIS2 (cybersäkerhet i leverantörskedjan), EU Data Act (portabilitet/åtkomst) och kommande Cyber Resilience Act, samt AI-förordningen. För vår framtida ”Assessor” gäller MDR klass IIa; Summarizer är däremot designad som icke-medicinsk textbearbetning.       

Roller & ansvar (korta versionen)

Vårdgivaren är normalt personuppgiftsansvarig. Careifai verkar som personuppgiftsbiträde och behandlar endast transient data enligt instruktion – utan lagring. Underbiträden (t.ex. driftpartner) regleras uttryckligen. 

Säkerhetsdesign i lager

Integritetsmyndigheten räknar som personuppgifter all data/information som direkt eller indirekt kan kopplas till en levande person – även röst, bild och krypterade/kodade uppgifter om någon har nyckeln. I praktiken betyder det att vi behandlar både tydliga identifierare (namn, personnummer, adress) och kombinationer som kan återidentifiera någon (t.ex. exakt datum + liten ort + ovanlig diagnos) med samma försiktighet.

Först maskar vi sådant som kan peka ut en individ. Identifierare tas bort: exakta datum blir intervall, små orter generaliseras och ovanliga yrken och händelsemönster grovfrasas.

I modellen kör vi stateless: ingen kundtext lagras, parametrar uppdateras inte. Allt sker i serverns minne med information som försvinner när sessionen avslutas.

Lagring, portabilitet och hosting

Vi lagrar varken råtext eller personuppgifter. All behandling sker i korta sessioner som rensas när arbetet är klart. För att förbättra kvaliteten kan vi – enligt policy och med tydlig möjlighet att avstå – spara verkligt anonymiserade sammanfattningar.

Driften sker i Sverige hos svenskt datacenter eller inom EU för att undvika tredjelandsöverföringar och ge vårdgivare full kontroll över data samt smidig export och portabilitet.

Loggning & transparens

Vi för säkerhetsloggar (t.ex. i brandvägg/proxy) med kort retention, separerade från innehåll. För vårdgivare stödjer vi PDL-krav på spårbarhet och uppföljning.   

AI som stöd – inte domare

Summarizer: icke-medicinsk textbearbetning (”simple search/summarization”), med transparens kring begränsningar och mänsklig kontroll.

Assessor (på väg): MDR klass IIa med QMS, riskhantering och dokumentation; utvecklas i takt med AI-förordningen. 

Incidentberedskap

Om något skulle hända agerar vi omedelbart: vi informerar vårdgivaren utan dröjsmål, bistår med tekniska fakta/loggar, och stödjer Personuppgiftsansvarige i eventuell 72-timmarsanmälan och kommunikation till berörda.   

Andreas Grönberg
Nästa

Från prototyp till nytta i vården: enhetsvis utvärdering av Careifai Summarizer i Region Norrbotten