1. ExorLive Hjælpecenter
  2. Juridisk
  3. Juridisk

Sikkerhed i ExorLive

Avatar
Print Friendly and PDF

ExorLive bruges i sundheds- og omsorgstjenester, kommuner, klinikker og organisationer, der stiller høje krav til informationssikkerhed. Vi bygger løsningen efter moderne sikkerhedsprincipper og dokumenterbare standarder, så både brugere, patienter og virksomheder kan være trygge ved, at data behandles sikkert.

Her finder du et samlet overblik over, hvordan ExorLive beskytter information – teknisk, organisatorisk og juridisk.

 

Kort opsummeret

  • Data lagres sikkert i EU/EØS

  • Al kommunikation er krypteret (TLS 1.2+)

  • Data i hvile er krypteret (AES-256)

  • Årlige eksterne sikkerhedstests

  • ISO 27001-certificeret og ISAE 3000-revideret

  • Rollebaseret adgang, logning og sporbarhed

  • Understøttelse af BankID, SSO og IdP-integrationer (tillægstjenester)

Gå til:

Specielt for Fagpersoner
Specielt for Administratorer
Specielt for IT-afdelinger
Specielt for Juridisk ansvarlige og indkøbere

 

Regelværk og standarder

ExorLive følger alle relevante love og krav for behandling af personoplysninger:

  • GDPR og databeskyttelsesloven

  • Norm for informationssikkerhed i sundheds- og omsorgssektoren

  • Krav til databehandlere og sikkerhedskontroller

  • Principper for risikostyring, adgangsstyring og kontinuerlig forbedring

Dette sikrer, at ExorLive kan bruges sikkert i både offentlig og privat sektor.

 

ISO-certificeringer og sikkerhedsrevisioner

ExorLive er certificeret efter ISO/IEC 27001, den ledende internationale standard for informationssikkerhed. Certificeringen indebærer, at vi har:

  • et dokumenteret og revideret informationssikkerhedsstyringssystem (ISMS)

  • faste procedurer for risikovurdering, drift, adgangsstyring og hændelseshåndtering

  • kontroller, der løbende overvåges og forbedres

  • oplæring og bevidstgørelse af medarbejdere

Derudover gennemfører ExorLive:

  • ISAE 3000-revision, som kontrollerer, at sikkerhedsprocesser og tiltag efterleves i praksis

  • Flere årlige tredjeparts penetrationstests af eksternt eksponerede tjenester

For kunder betyder dette, at ExorLive følger internationalt anerkendt best practice for informationssikkerhed – og at sikkerhedsniveauet er dokumenteret, målt og kontinuerligt forbedret.

 

Til fagpersoner: Sådan beskytter ExorLive dine patienter

Hvem kan du se i ExorLive?

Du kan kun se de udøvere, som du selv har oprettet eller fået adgang til i systemet.

For at åbne andre udøvere skal du:

  • aktivt søge dem frem

  • bekræfte, at du har gyldigt grundlag for adgang

  • registrere en kommentar

Alle opslag logges og kan kontrolleres af administrator.

Signering og låsning af træningsprogrammer

Træningsprogrammer kan signeres, så de ikke længere kan ændres.
Signering sikrer integritet og dokumenterer fagligt ansvar.

Læs mere om signering HER.

Sletning og annullering

Låste/signerede programmer kan ikke slettes – kun annulleres.
Skabeloner og ikke-personlige programmer kan slettes af opretteren eller en administrator.

Egne øvelser og GDPR

Når du uploader egne billeder eller videoer:

  • bevarer du rettighederne

  • er du ansvarlig for at indhente samtykke fra personer på materialet

  • vælger du selv, hvordan øvelsen kan deles videre

Læs mere her om hvilke regler der gælder for indhold.

 

Til administratorer: Sikker organisationsstyring

Roller og rettigheder

ExorLive har et fleksibelt rollebaseret adgangssystem, som sikrer, at:

  • hver bruger kun har adgang til det, de behøver

  • rettigheder følger organisatorisk placering

  • ændringer registreres og er sporbare

Administratorer kan oprette, deaktivere eller ændre brugere på en sikker og kontrolleret måde.

Her kan du læse mere om de forskellige roller, man kan have i ExorLive.

Trestruktur

Organisationer kan bygges hierarkisk med enheder, afdelinger og undergrupper.
Adgange følger denne struktur, så brugere kun får indsigt, hvor det er relevant.

Læs mere om dette HER.

Aktivitets- og adgangslog

Administrator kan til enhver tid hente rapporter over:

  • opslag i kontakter

  • ændringer i data

  • programadgange og signeringer

  • systembrug og login

Dette giver kontrol, sporbarhed og dokumentation ved behov.

Læs mere om rapporter i vores helpcenter.

 

Til IT-afdelinger: Teknisk sikkerhed og infrastruktur

Identitet og autentisering

Standard autentisering:

  • Saltet og hashet passwordlagring

  • TLS-krypteret login

Tilgængelige sikkerhedsmoduler (tillægstjenester):

  • BankID (NO/SE/DK/FI) – ExorLive GO

  • Single Sign-On (SSO) via Azure AD/Entra ID

  • SAML2

  • OpenID Connect / OAuth2

  • IdP-integration til virksomheder

Disse moduler kræver særskilt aftale.

Adgangsstyring

  • Personlige brugere (ingen delte konti)

  • Rettigheder tildeles efter princippet om “least privilege”

  • Alle ændringer og opslag er sporbare

  • Fuld logning af administratorhandlinger

Kryptering og kommunikation

  • Al trafik er krypteret (HTTPS/TLS 1.2+)

  • Al lagring i hvile er krypteret (AES-256 eller tilsvarende)

  • Videomøder er ende-til-ende-krypteret (kræver tilkøbt videomodul)

  • Ingen optagelser lagres som standard

Drift og lagring

  • ExorLive driftes i Microsoft Azure Dublin (EU/EØS)

  • Daglige, krypterede backups (opbevares i 1 år)

  • Redundant lagring for høj tilgængelighed

  • Kontinuerlig overvågning af ydeevne og sikkerhed

Systemarkitektur

  • Moderne trelagsarkitektur, der reducerer eksponering

  • Hurtig patchning af sårbarheder via DevOps-processer

  • Regelmæssig overvågning af kapacitet, ydeevne og belastning

API-sikkerhed

  • OAuth2-baseret adgangsstyring

  • API-nøgler med scopes

  • Rate limits og misbrugsbeskyttelse

 

Til juridisk ansvarlige og indkøbere

Databehandleraftale

ExorLive er databehandler for kundens slutbrugere. Databehandleraftalen er integreret i licensvilkårene og følger GDPR-krav.

Databehandleraftalen kan findes HER.

Behandlingsgrundlag

I sundheds- og offentlig sektor anvendes typisk:

  • offentlig interesse / sundhedsformål

  • samtykke

  • aftaleforhold som databehandler

Underdatabehandlere

Vi anvender kun etablerede og dokumenterede leverandører:

  • Microsoft Azure (drift, lagring)

  • Microsoft Customer Lockbox er aktiveret

  • Atlassian/AWS (supportværktøjer)

Ingen data lagres uden for EU/EØS.

Retting, sletning og ophør

Ved ophør af tjenesten kan data:

  • slettes sikkert

  • eventuelt eksporteres efter aftale

Adgange, integrationer og brugere deaktiveres som led i afslutningsprocessen.

 

Har du flere spørgsmål? Se vores oversigt over aktuelle sikkerhedsspørgsmål (FAQ), læs mere i vores helpcenter eller kontakt os her!

 

 

 

Artikler i denne sektion

Se mere