Sikkerhed og databeskyttelse

Sådan håndterer Notano data

Notano er et præhospitalt støtteværktøj til diktering, tekststrukturering og QR-generering til manuel indsætning i journalsystemet (PPJ). Notano er ikke et journalsystem og ikke klinisk beslutningsstøtte. Brugeren kontrollerer og godkender al tekst inden indsættelse.

Notano drives af Avalab i kontrolleret beta.

Principper

Nøgleprincipper

Ingen klinisk lagring

Lydoptagelser, transskriptioner og journaltekst gemmes ikke. Klinisk indhold lever udelukkende i browserhukommelsen og ryddes automatisk ved afslutning og inaktivitet.

QR genereres lokalt

QR-koden genereres udelukkende i browseren og sendes aldrig til Notanos servere eller tredjeparter. Den sløres automatisk efter 60 sekunder.

Kontrolleret adgang

Adgang kræver login via Microsoft Entra ID. Brugere tildeles og deaktiveres centralt. Alle adgangshændelser registreres i en teknisk log.

Dokumenteret behandling

Databehandling er dokumenteret i overensstemmelse med GDPR Art. 28 og Art. 30. Privacy by design er et bærende arkitekturprincip.

Datastrøm

Hvad sker der med dine data?

Trin 1 — Lydoptagelse

Browser → Corti (EU)

Brugeren optager lyd i browseren. Browseren henter et kortlivet, afgrænset token fra Notanos backend og streamer lyden til Cortis WebSocket-tjeneste i EU (wss://api.eu.corti.app). Notano opbevarer ikke lyd.

Trin 2 — Dokumentgenerering

Backend → Corti REST API (EU)

Transskriptionsteksten sendes til Notanos backend, som videresender til Cortis REST API med et nul-retention-direktiv. Det færdige SOAP-dokument returneres til browseren og gemmes ikke af Notano.

Trin 3 — QR og indsætning

Browser → Journalsystem (PPJ)

Journalteksten konverteres til en QR-kode lokalt i browseren. Koden sendes aldrig til backend. Brugeren scanner koden i PPJ og godkender teksten inden indsættelse.

Leverandører

Underdatabehandlere

Notano anvender følgende leverandører som underdatabehandlere til behandling af personoplysninger.

CortiStemmetransskription og AI-baseret dokumentgenereringEU
VercelApplikationshosting og serverless-funktionerGlobal
Neon.techAdministreret PostgreSQL-database (bruger- og auditdata)EU
Microsoft Entra IDIdentitetsudbyder, OAuth 2.0 / OIDC-loginGlobal

Kontraktgrundlag med Corti verificeres inden produktionsibrugtagning. Serverregioner for Vercel og Neon bekræftes i de respektive dashboards.

Dokumentation

Tilgængelig dokumentation

Nedenstående dokumenter er udarbejdet af Notano og kan rekvireres ved henvendelse.

Privatlivsoverblik

Privatlivs- og dataoverblik

Hvad gemmes, hvem er dataansvarlig, og hvilke rettigheder har registrerede.

Sikkerhedsoverblik

Teknisk sikkerhedsoversigt

Implementerede sikkerhedsforanstaltninger, adgangskontrol og tekniske kontroller.

Underdatabehandlere

Liste over underdatabehandlere

Verificeret liste over leverandører der behandler personoplysninger.

Opbevaring og sletning

Opbevarings- og sletningsoversigt

Hvad gemmes, hvor længe, og hvornår slettes det automatisk.