Sikkerhet
Bygget på tillit,
sikkert fra grunnen av.
Journalia har blitt utviklet for trygg bruk i helse- og omsorgstjenesten fra dag én. Alle arkitekturbeslutninger prioriterer beskyttelse av pasientdata, regulatorisk etterlevelse og klinisk tillit.
CE-merket
Klasse I medisinsk utstyr
Sertifisert under EU MDR 2017/745 som Klasse I medisinsk programvare. Kvalitetsstyring, risikovurdering og klinisk evaluering.
GDPR
Full etterlevelse
Tekniske og organisatoriske tiltak. All data behandles innenfor EU/EØS.
HVORDAN VI BESKYTTER DINE DATA
Sikkerhet er ikke en funksjon.
Det er fundamentet.
Ingen lagring av lyd
- Lyd lagres aldri, transkriberes i sanntid og forkastes umiddelbart
- Transkripsjonsdata slettes automatisk etter behandling
- Pasientdata brukes aldri til å trene KI-modeller
- Konfigurerbare retningslinjer for oppbevaring for din organisasjon
Ende-til-ende-kryptering
- AES-256-kryptering i hvile, TLS 1.3 under overføring
- Kryptering på brukernivå, kun du kan se dine pasienters data
- All behandling innenfor EU/EØS-infrastruktur
- Data behandles og lagres innenfor EU/EØS
SAML og SSO
- SSO for virksomheter via SAML 2.0 og OpenID Connect
- Autentisering via BankID og Buypass for norsk helsevesen
- Multifaktor-autentisering påkrevd for alle kontoer
- Rollebasert tilgangskontroll og revisjonslogging
CE-MERKING
Hva innebærer CE-merkingen?
Journalia er CE-merket som medisinsk programvare i Klasse 1 etter EU MDR (Medical Device Regulation 2017/745). Dette innebærer at produktet oppfyller EUs krav til sikkerhet, ytelse og kvalitet for medisinsk utstyr.
Med CE-merking klasse I er Journalia et rent dokumentasjonsverktøy uten klinisk beslutningsstøtte. Systemet automatiserer notatskriving, men behandlende lege har alltid det fulle ansvaret for det faglige innholdet.
PERSONVERN
Hvordan ivaretar Journalia personvernet?
Journalia er utviklet i Norge med et gjennomgående fokus på norsk og europeisk personvernlovgivning. Vi etterlever GDPR, Helsepersonelloven, Pasientjournalloven og Normen for informasjonssikkerhet i helse- og omsorgstjenesten.
Transkripsjonen skjer i sanntid – ingen lydopptak lagres. Kun behandlende helsepersonell har tilgang til det genererte notatet, som slettes automatisk etter 48 timer.
Vi følger Helsedirektoratets retningslinjer for bruk av kunstig intelligens i helse- og omsorgstjenesten, og begrenser bruk til transkribering og dokumentasjon uten beslutningsstøtte.
Sentrale sikkerhetstiltak
- Sanntidstranskribering uten lagring av lyd
- Tilgangskontroll begrenset til behandlende helsepersonell
- Automatisk sletting av all data etter 48 timer
- Retningslinjer i tråd med Helsedirektoratets anbefalinger
ANSVARLIG BRUK
Hvordan sikre ansvarlig bruk i praksis?
I henhold til Datatilsynets krav skal pasienter informeres når kunstig intelligens brukes i konsultasjonen. Journalia anbefaler at helsepersonell opplyser pasienter muntlig og gjennom informasjonsplakat på venterommet.
Forslag til kommunikasjon
“Jeg kommer til å bruke et transkriberingsverktøy som oppsummerer timen skriftlig i etterkant. Resultatet er at jeg raskere og mer utfyllende oppdaterer journalen din. Dette gjøres i tråd med GDPR og norsk helselovgivning, og tilgangen er begrenset til meg som din behandler. Lydopptak lagres aldri og den skriftlige oppsummeringen slettes permanent innen 48 timer.”
Last ned informasjonsplakater til venterom
SAMSVARDOKUMENTER
Åpenhet som standard.
Vi tror på full åpenhet rundt våre sikkerhetsrutiner. All samsvardokumentasjon er tilgjengelig for gjennomgang, ingen NDA kreves.
FAQ
Ofte stilte spørsmål
Nei. Journalia lagrer aldri lydopptak. Lyd strømmes og transkriberes i sanntid under konsultasjonen, lydstrømmen forkastes umiddelbart og lagres aldri på noen server eller enhet. Kun teksttranskripsjonen og det genererte notatet lagres midlertidig, og disse slettes permanent innen 48 timer.
Nei. Pasientdata brukes aldri til å trene eller forbedre KI-modeller. Dette er en fast forpliktelse. All pasientdata slettes permanent innen 48 timer og blir aldri aksessert, analysert eller brukt til noe formål utover å generere ditt notat. Våre KI-modeller trenes med separate, anonymiserte datasett.
Ja. Vi opprettholder full GDPR-dokumentasjon — databehandleravtale (DPA), behandlingsprotokoll (ROPA), DPIA-vurdering og en detaljert oversikt over underleverandører og rettsgrunnlag. Alt er klart for å deles med tilsyn eller ditt eget personvernombud uten NDA.
Vi har en dokumentert hendelsesresponsplan. Ved varslingspliktige hendelser informerer vi berørte kunder uten ugrunnet opphold og senest innen 72 timer, slik GDPR krever. Vi har en navngitt personvernombud som kontaktpunkt for både kunder og tilsyn.
Nei. All databehandling skjer hos underleverandører innenfor EU/EØS. Vi opprettholder en åpent tilgjengelig liste over alle underleverandører — du kan be om den uten NDA.
CE-merking under EUs forordning om medisinsk utstyr (MDR) betyr at Journalia er evaluert og oppfyller europeiske standarder for sikkerhet, kvalitet og klinisk ytelse som medisinsk programvare. I motsetning til generelle KI-verktøy er CE-merkede medisinske enheter underlagt strenge krav inkludert klinisk evaluering, risikostyring, kvalitetsstyringssystemer og kontinuerlig markedsovervåking. Dette gir deg trygghet om at verktøyet er validert for klinisk bruk.
Journalia har CE-merking som Klasse I medisinsk utstyr under EU MDR og opprettholder full GDPR-etterlevelse. Vi gjennomfører regelmessige tredjeparts sikkerhetsrevisjoner og penetrasjonstester.
Ja. Vi leverer ferdige maler for risiko- og sårbarhetsanalyse (ROS) og personvernkonsekvensvurdering (DPIA) tilpasset bruk av Journalia, og gjennomgår dem sammen med deres personvernombud. Dette inngår i institusjons- og kommunepakker.
Spørsmål om sikkerhet?
Teamet vårt veileder deg gjerne gjennom vår sikkerhetsarkitektur, sertifiseringer og tiltak for databeskyttelse.