Driftsmiljö
SGX körs i Microsofts molntjänst Azure där också all data sparas. Läs mer om Azure, https://azure.microsoft.com/sv-se/overview/trusted-cloud/
Microsoft har många datacenter i världen, för att följa alla regler använder vi bara de som ligger inom EU.
Det finns ännu inget datacenter i Sverige så vi använder det som ligger i Nederländerna (närmast), även ett center på Irland används (främst för att spara säkerhetskopior på en geografiskt skild plats)garanterar att de har fysisk kontroll över i sina datacenter och de har säkerhetscertifieringar för Azure, som tillmötesgår EU’s krav för säker datalagring.
Lagring
Databaser och säkerhetskopior sparas krypterat och även alla säkerhetskopior är krypterade.All . Lagringen sker i GEO-zon Europa och all data säkerhetskopieras dagligen och sparas på en geografiskt skild plats.
Kommunikation
All kommunikation sker krypterat enligt branschstandard TLS 1.1/1.2.
Inloggning
Autentisering
EInloggning i SGX tillåts endast via e-tjänstekort (SITHS-kort) eller via , tvåfaktorsautentisering (lösenord och engångskod, Yubikey https://www.yubico.com) . Lösenord sparas envängskrypterade med bcrypt.eller Mobilt BankID.
Dataskydd
För att hjälpa för dig som personuppgiftsansvarig att följa nödvändiga bestämmelser och regler i och med GDPR kommer vi att ha följande rutiner.
- Att du som personuppgiftsansvarig ska på begäran kunna ta fram patienters personuppgifter som gäller en viss person
- Att du som personuppgiftsansvarig ska på begäran kunna radera alla personuppgifter om en viss person efter att först ha bedömt att det inte stöter på hinder
- Att du som personuppgiftsansvarig ska kunna ändra en patientspersonuppgifter på begäran av den det gäller
- Att du som personuppgiftsansvarig ska kunna kontrollera åldern på personer som lämnar in personuppgifter. Ex. Id-kontroll.
Rutin
- Registerutdrag, skriv ut en patients uppgifter - Rätten till insyn
- Radera patient – Rätten att bli glömd
- Lista patienter baserat på senaste behandlingstillfälle. För att t.ex. kunna ta bort patienter 10 år efter senaste behandlingstillfälle – Dataminimering
Vidare måste du som personuppgiftsansvarig se till att alla dina patienters personuppgifter är korrekta, aktuella och relevanta. Systemet kommer inte att automatiskt ta bort, förändra eller anonymisera ditt data.
