1. ExorLive Hjälpcenter
  2. Juridisk
  3. Juridisk

Säkerhet i ExorLive

Avatar
Print Friendly and PDF

ExorLive används inom hälso- och omsorgstjänster, kommuner, kliniker och organisationer som ställer höga krav på informationssäkerhet. Vi bygger lösningen enligt moderna säkerhetsprinciper och dokumenterbara standarder, så att både användare, patienter och verksamheter kan vara trygga med att data hanteras säkert.

Här hittar du en samlad översikt över hur ExorLive skyddar information – tekniskt, organisatoriskt och juridiskt.

Kort sammanfattat

  • Data lagras säkert inom EU/EES

  • All kommunikation är krypterad (TLS 1.2+)

  • Data i vila är krypterad (AES-256)

  • Årliga externa säkerhetstester

  • ISO 27001-certifierad och ISAE 3000-reviderad

  • Rollbaserad åtkomst, loggning och spårbarhet

  • Stöd för BankID, SSO och IdP-integrationer (tilläggstjänster)

Gå direkt till:

Speciellt för Fackpersoner
Speciellt för Administratörer
Speciellt för IT-avdelningar
Speciellt för Juridiskt ansvariga och inköpare

 

Regelverk och standarder

ExorLive följer alla relevanta lagar och krav som gäller för behandling av personuppgifter:

  • GDPR och dataskyddslagen

  • Norm för informationssäkerhet i hälso- och sjukvårdssektorn

  • Krav på personuppgiftsbiträden och säkerhetskontroller

  • Principer för riskstyrning, åtkomststyrning och kontinuerlig förbättring

Detta säkerställer att ExorLive kan användas tryggt inom både offentlig och privat sektor.

 

ISO-certifieringar och säkerhetsrevisioner

ExorLive är certifierat enligt ISO/IEC 27001 – den ledande internationella standarden för informationssäkerhet. Certifieringen innebär att vi har:

  • ett dokumenterat och reviderat ledningssystem för informationssäkerhet (ISMS)

  • fasta rutiner för riskbedömning, drift, åtkomststyrning och incidenthantering

  • kontroller som kontinuerligt övervakas och förbättras

  • utbildning och medvetandegörande av anställda

Dessutom genomför ExorLive:

  • ISAE 3000-revision, som kontrollerar att säkerhetsprocesser och åtgärder efterlevs i praktiken

  • Flera årliga tredjeparts-penetrationstester av externt exponerade tjänster

För kunder betyder detta att ExorLive följer internationellt erkänd best practice för informationssäkerhet – och att säkerhetsnivån är dokumenterad, mätt och kontinuerligt förbättrad.

 

För fackpersoner: Så skyddar ExorLive dina patienter

Vilka kan du se i ExorLive?

Du kan endast se de utövare som du själv har lagt in eller fått åtkomst till i systemet.

För att öppna andra utövare måste du:

  • aktivt söka fram dem

  • bekräfta att du har giltig grund för åtkomst

  • registrera en kommentar

Alla uppslag loggas och kan kontrolleras av administratör.

Signering och låsning av träningsprogram

Träningsprogram kan signeras så att de inte längre kan ändras.
Signering säkerställer integritet och dokumenterar professionellt ansvar.

Läs mer om hur du signerar träningsprogram HÄR.

Radering och makulering

Låsta/signerade program kan inte raderas – endast makuleras.
Mallar och icke-personliga program kan raderas av den som skapade dem eller en administratör.

Egna övningar och GDPR

När du laddar upp egna bilder eller videor:

  • behåller du rättigheterna

  • ansvarar du för att inhämta samtycke från personer som förekommer i materialet

  • väljer du själv hur övningen kan delas vidare

Läs mer här om vilka regler som gäller för innehåll..

 

För administratörer: Säker organisationsstyrning

Roller och rättigheter

ExorLive har ett flexibelt rollbaserat åtkomstsystem som säkerställer att:

  • varje användare endast har åtkomst till det de behöver

  • rättigheter följer organisatorisk struktur

  • ändringar registreras och är spårbara

Administratörer kan skapa, inaktivera eller ändra användare på ett säkert och kontrollerat sätt.

Här kan du läsa mer om de olika rollerna i ExorLive.

Trädstruktur

Organisationer kan byggas upp i en hierarkisk struktur med enheter, avdelningar och undergrupper.
Åtkomster följer denna struktur, så att användare endast får insyn där det är relevant.

Läs mer om detta HÄR.

Aktivitets- och åtkomstloggar

Administratör kan när som helst ta ut rapporter som visar:

  • uppslag i kontakter

  • ändringar i data

  • programåtkomster och signeringar

  • systemanvändning och inloggningar

Detta ger kontroll, spårbarhet och dokumentation vid behov.

Läs mer om rapporter i vårt hjälpcenter.

 

För IT-avdelningar: Teknisk säkerhet och infrastruktur

Identitet och autentisering

Standardautentisering:

  • Saltad och hashad lösenordslagring

  • TLS-krypterad inloggning

Tillgängliga säkerhetsmoduler (tilläggstjänster):

  • BankID (NO/SE/DK/FI) – ExorLive GO

  • Single Sign-On (SSO) via Azure AD/Entra ID

  • SAML2

  • OpenID Connect / OAuth2

  • IdP-integration för verksamheter

Dessa moduler kräver separat avtal.

Åtkomststyrning

  • Personliga användarkonton (inga delade konton)

  • Rättigheter tilldelas enligt principen ”least privilege”

  • Alla ändringar och uppslag är spårbara

  • Full loggning av administratörshändelser

Kryptering och kommunikation

  • All trafik är krypterad (HTTPS/TLS 1.2+)

  • All lagring i vila är krypterad (AES-256 eller motsvarande)

  • Videomöten är end-to-end-krypterade (kräver tilläggsmodul)

  • Inga inspelningar lagras som standard

Drift och lagring

  • ExorLive driftas i Microsoft Azure Dublin (EU/EES)

  • Dagliga, krypterade säkerhetskopior (lagras i 1 år)

  • Redundant lagring för hög tillgänglighet

  • Kontinuerlig övervakning av prestanda och säkerhet

Systemarkitektur

  • Modern trelagersarkitektur som minimerar exponering

  • Snabb patchning av sårbarheter via DevOps-process

  • Regelbunden övervakning av kapacitet, prestanda och belastning

API-säkerhet

  • OAuth2-baserad åtkomststyrning

  • API-nycklar med scopes

  • Rate limits och skydd mot missbruk

 

För juridiskt ansvariga och inköpare

Personuppgiftsbiträdesavtal

ExorLive är personuppgiftsbiträde för kundens slutanvändare. Avtalet är integrerat i licensvillkoren och följer GDPR-krav.

Personuppgiftsbiträdesavtalet finns här.

Rättslig grund

Inom hälsosektor och offentlig verksamhet används vanligtvis:

  • allmänt intresse / hälsoändamål

  • samtycke

  • avtal i rollen som personuppgiftsbiträde

Underbiträden

Vi använder endast etablerade och dokumenterade leverantörer:

  • Microsoft Azure (drift, lagring)

  • Microsoft Customer Lockbox är aktiverat

  • Atlassian/AWS (supportverktyg)

Ingen data lagras utanför EU/EES.

Rättning, radering och avslut av tjänsten

Vid avslut kan data:

  • raderas säkert

  • eventuellt exporteras enligt avtal

Åtkomster, integrationer och användare inaktiveras som en del av avslutningsprocessen.

Har du fler frågor? Se om någon av dem finns besvarade i vår översikt över aktuella frågor om säkerhet (FAQ), vårt hjälpcenter eller kontakta oss!

 

Artiklar i detta avsnitt

Se fler