GDPR-dokumentation for Behandlernet ApS

1. Oversigt over personoplysninger                      

1.1 Klientoplysninger, der anses som følsomme eller identificerbare:

Disse oplysninger krypteres individuelt før transmission til API’et.

  • Navn (fornavn og efternavn)
  • E-mail
  • Køn
  • Telefonnummer
  • Adresse
  • Kommentar (udfyldt i anden information relevant for matching)
  • Geolokation (latitude og longitude – baseret på adresse)
  • Feltet “Angivet ved Andet”
  • Ændringshistorik

1.2 Klientoplysninger, der ikke vurderes som følsomme:

Disse oplysninger gemmes i klartekst.

  • Fødselsdag
  • Afstand til behandler
  • Ønske om handicapvenlig adgang
  • Kønsmæssig præference ift. behandler
  • Patientårsager
  • Overvejelser

2. Server- og databaseopsætning

Servermiljøet er hostet via Amazon Web Services (AWS) og består af:

  • En EC2 instans som fungerer som API-server.
  • En RDS Postgres database, som kun kan tilgås internt fra EC2-instansen.

Sikkerhedsforanstaltninger:

  • API’et kræver en gyldig JWT-token, udstedt via admin-portalen behandlernet.dk.
  • Brugeroprettelse sker kun af eksisterende administratorer.
  • Login til adminpanelet kræver multi-faktor autentificering (MFA).
  • En middleware funktionalitet tjekker oprindelsen af alle forespørgsler og tillader kun kendte domæner (admin.behandlernet.dk og findpsykologer.dk).

3. Opbevaring og håndtering af klientdata

Data indsendes via formularen på findpsykologer.dk, som efter validering og kryptering videresendes til Behandlernet API’et.

3.1        Kryptering og indsendelse:

  • Følsomme felter (såsom navn, e-mail, adresse, telefonnummer, notat, mv.) krypteres med offentlig RSA-nøgle (public.pem) i WordPress/PHP-backenden.
  • E-mailadressen gemmes desuden som SHA-256 hash for sikker matching.
  • Adresse omdannes til koordinater via. OpenStreetMap (Nominatim API), hvorefter latitude og longitude også krypteres med RSA.
  • Hvis kryptering fejler, bliver indsendelsen afbrudt, og brugeren informeres.

3.2 API-anmodning:

Når alle felter er valideret og krypteret, sendes data som en JSON-body via POST til https://api.behandlernet.dk/patient med WordPress API-nøglen i headeren.

3.3 Admin manager:

Alle krypterede datafelter dekrypteres i admin managersystemet med en privat RSA-nøgle (private.pem). Nøglen opbevares sikkert i GitHub secrets.

4. E-mailverificering ved formularindsendelse

For at sikre, at indsendelser kun stammer fra valide personer, indeholder formularen en e-mailverificering:

  • Når brugeren angiver sin e-mail, sendes den krypteret og hashed til backend for at igangsætte verifikationen.
  • Brugeren modtager en kode via e-mail og skal indtaste den for at komme videre i formularen.
  • Verifikationen foretages i baggrunden via en anmodning til https://api.behandlernet.dk/email-verification/check-code.

5. Samlet sikkerhedspraksis

  • Al kommunikation over serveren foregår over HTTPS.
  • Kun autoriserede domæner eller systemer med gyldig API-nøgle har adgang.
  • Al følsomme data bliver krypteret individuelt før transmission og opbevaring.
  • Adgang til API’et kræver administratoroprettet bruger og MFA.
  • Servere og databaser er adskilt og sikret internt i AWS-netværket.

6. Rollefordeling og underdatabehandlere

Behandlernet fungerer som dataansvarlig for systemet. Følgende underdatabehandler benyttes:

  • Amazon Web Services (AWS) til hosting af server og database. AWS overholder GDPR og er certificeret under bl.a. ISO 27001 og SOC 2.
  • Eventuelle øvrige samarbejdspartnere oplyses særskilt i databehandleraftaler.

7. Adgangsstyring og logning

Adgang til følsomme data er begrænset til autoriserede administratorer, som oprettes manuelt og skal benytte MFA.

8. Sletning og datasletningspolitik

Klientdata slettes manuelt ved anmodning eller som led i oprydning, i overensstemmelse med dataminimeringsprincippet. Krypterede oplysninger kan ikke læses uden privat nøgle og slettes permanent fra databasen ved sletning.

Automatiseret datasletning og oprydning:
Behandlernet har implementeret følgende automatiserede processer for at sikre dataminimering og løbende oprydning af persondata:

  • Sletning af statiske patientdata:
    Hver nat kl. 04:00 kører et job, som anonymiserer personfølsomme data i tabellen for patienter i fakturerede bestillinger, såfremt de er over 12 måneder gamle. Følgende felter anonymiseres:
    • Navn, email, , adresse
      • Dette sikrer, at identificerbare oplysninger ikke opbevares unødigt, samtidig med at det statistiske formål med resten af bestillingen bevares.
    • Rydning af gamle e-mailverifikationer:
      Hver time kører et job, der sletter ubrugte e-mailverifikationskoder, som er ældre end én time. Formålet er at undgå̊ opbevaring af midlertidige koder

Begge processer er implementeret automatisk på serveren.

9. Backup og gendannelse

Al data i databasen sikkerhedskopieres dagligt via AWS RDS snapshots. Sikkerhedskopien oprettes dagligt kl. 6 (kl. 7 i sommertid). Gendannelse af data kan foretages i tilfælde af utilsigtet datatab eller tekniske fejl, men kræver autoriseret adgang.

10. Håndtering af brud på datasikkerhed

Ved sikkerhedsbrud, som potentielt kompromitterer persondata, skal relevante parter informeres inden for 72 timer, i overensstemmelse med GDPR-artikel 33.

Kontakt og ansvar

Denne dokumentation beskriver Behandlernet ApS’ behandling af persondata som databehandler. Det er Behandlernets ansvar som dataansvarlig at sikre, at databehandleraftale og øvrig juridisk dokumentation er på plads i overensstemmelse med GDPR.

Kontakt: Info@behandlernet.dk