Правові питання, ризики та відповідність

Інформація про наші стандарти відповідності, сертифікації, контролі та практики захисту даних

Certification Overview

Elderwise is committed to achieving and maintaining compliance with key industry certifications. Our strategic roadmap outlines our journey toward full certification, with timelines tailored to the complexity and requirements of each standard.

Certification Strategy & Timeline

Compliance Roadmap

Elderwise follows a structured approach to compliance certifications with timelines tailored to each standard's complexity. We prioritize certifications based on market requirements and technical complexity, with our most comprehensive certifications (HITRUST) targeted for Q3 2026, while more focused certifications like ISO 27001 are targeted for completion by Q1 2026.

Certification Process

Documentation Phase

Creation of policies, procedures, and controls documentation

Gap Analysis

Assessment of current practices against certification requirements

Implementation

Deploying necessary controls and remediation activities

Internal Audit

Verification of control effectiveness before external assessment

External Assessment

Official certification audit by accredited third parties

Certification

Receipt of formal certification and continuous monitoring

Current Implementation Status

While formal certifications are in progress, Elderwise has already implemented key security and privacy controls aligned with healthcare standards. Our approach follows industry-standard continuous compliance methodology, emphasizing automated evidence collection, regular assessments, and security by design.

Pre-certification Assurances

We provide interim compliance documentation to customers, including security questionnaire responses, SOC 2 readiness assessments, and draft BAAs/DPAs while formal certification is underway.

Continuous Compliance Monitoring

Following compliance best practices, Elderwise employs continuous monitoring tools to automatically detect and remediate compliance drift, ensuring our systems maintain compliance between formal assessment periods.

Медичні стандарти та відповідність Elderwise

Останнє оновлення: 2025-09-27

HIPAA

Ціль: Експлуатація

Закон HIPAA (персональні медичні дані, США)

Медичне законодавство США щодо захисту приватності й безпеки PHI.

Медична релевантність:

Вимоги до приватності та безпеки PHI для медустанов і партнерів у США.

Ключові вимоги:

Угоди з бізнес‑партнерами (BAA)
Рольовий доступ і багатофакторна автентифікація
Аудит‑журнали та безперервний моніторинг
Принцип мінімально необхідного доступу
Шифрування під час передачі та зберігання
Процедури повідомлення про інциденти
Періодичні оцінки ризиків і навчання персоналу

Як Elderwise забезпечує відповідність:

BAA з процесорами, RBAC/MFA/SSO, централізовані журнали аудиту, мінімальні привілеї, шифрування AES‑256/TLS 1.3, плани реагування й регулярні тренінги HIPAA.

GDPR

Ціль: Експлуатація

Загальний регламент ЄС про захист даних (GDPR)

Регламент ЄС про захист даних і права суб’єктів.

Медична релевантність:

Рамка ЄС/ЄЕЗ щодо законної обробки та прав суб’єктів даних.

Ключові вимоги:

Законні підстави та керування згодою
Права суб’єктів (доступ, видалення, перенесення)
Угоди з обробниками (DPA)
Захист даних за замовчуванням і під час проєктування
Реєстр операцій обробки (ROPA)
Гарантії міжнародних передач

Як Elderwise забезпечує відповідність:

Фіксація згоди та трасування, DPA з постачальниками, огляди privacy‑by‑design, процеси DSR і оцінки впливу на передачі.

PDPA

Ціль: Експлуатація

Закон Сінгапуру про захист персональних даних (PDPA)

Сінгапурський закон про захист персональних даних з акцентом на згоду та цілі.

Медична релевантність:

Місцеві вимоги щодо згоди, обмеження цілей, повідомлення та прав доступу/виправлення.

Ключові вимоги:

Згода та повідомлення
Обмеження цілей
Права доступу та виправлення
Захист і строки зберігання
Повідомлення про інциденти

Як Elderwise забезпечує відповідність:

Локалізовані тексти згоди, політики зберігання, канали доступу/виправлення та процедури повідомлення PDPC.

ISO27001

Ціль: IV кв. 2025

ISO/IEC 27001 Система управління інформаційною безпекою

Міжнародний стандарт ISMS для управління ризиками інформаційної безпеки.

Медична релевантність:

Міжнародний стандарт ISMS щодо впровадження та безперервного вдосконалення.

Ключові вимоги:

Програма керування ризиками
Управління ISMS і документація
Контролі за Додатком A
Цикл PDCA

Як Elderwise забезпечує відповідність:

Опис області ISMS, реєстр ризиків, політики та мапінг контролів, внутрішні аудити й підготовка до сертифікації.

SOC2

Ціль: II кв. 2026

SOC 2 Type II (Безпека, Доступність, Конфіденційність)

Звіт про ефективність контролів за період (Type II).

Медична релевантність:

Звіт про ефективність контролів за критеріями AICPA упродовж періоду.

Ключові вимоги:

Задокументовані політики та процедури
Моніторинг безпеки та сповіщення
Керування змінами та інцидентами
Керування ризиками постачальників

Як Elderwise забезпечує відповідність:

Мапінг контролів до TSC, автоматизація збирання доказів, безперервний моніторинг, квартальне тестування та готовність до аудиту.

HITRUST

Ціль: 2026

HITRUST CSF

Медичний сертифікований фреймворк, що гармонізує кілька стандартів.

Медична релевантність:

Медичний сертифікований фреймворк, що гармонізує HIPAA, ISO, NIST тощо.

Ключові вимоги:

Вибір контролів на основі ризику
Впровадження політик/процедур
Валідація та скоринг
Зовнішня оцінка

Як Elderwise забезпечує відповідність:

Визначення області PHI‑систем, успадкування контролів де можливо, поетапна підготовка до валідації.

HSA

Ціль: II кв. 2026

Настанови HSA Сінгапуру (медичні технології)

Настанови HSA Сінгапуру щодо медичних технологій і ПЗ.

Медична релевантність:

Регуляторні поради для медичних ПЗ та health‑tech рішень у Сінгапурі.

Ключові вимоги:

Класифікація ризику та документація
Відповідність системам якості
Клінічні та кібербезпекові аспекти

Як Elderwise забезпечує відповідність:

Вирівнювання з рекомендаціями HSA, документування призначення та контролів; використання ISO 14971/IEC 62304.

HITECH

Ціль: I кв. 2026

Закон HITECH (сповіщення про інциденти)

Посилення HIPAA щодо сповіщення про інциденти й нагляду.

Медична релевантність:

Посилення HIPAA щодо повідомлення про порушення та нагляду.

Ключові вимоги:

Оцінка ризику інциденту
Своєчасні сповіщення
Пороги звітності для ЗМІ та HHS

Як Elderwise забезпечує відповідність:

Плани реагування, збереження доказів і decision‑tree для матеріальності та строків звітування.

FHIR

Ціль: Експлуатація

HL7 FHIR (інтероперабельність)

Сучасний стандарт інтероперабельності для клінічних даних.

Медична релевантність:

Сучасний стандарт обміну структурованими клінічними даними.

Ключові вимоги:

Ресурси та профілі FHIR
RESTful API та відповідність
Безпека й авторизація (SMART on FHIR)

Як Elderwise забезпечує відповідність:

FHIR‑first моделювання для сутностей, версіоновані профілі, OAuth2/OpenID Connect.

HL7

Ціль: Експлуатація

HL7 v2/v3 обмін повідомленнями

Стандарти обміну повідомленнями, що використовуються EHR і лабораторіями.

Медична релевантність:

Широко використовується EHR‑системами та лабораторіями.

Ключові вимоги:

Формати повідомлень і сегменти
Обробка підтверджень/помилок
Транспорт і безпека

Як Elderwise забезпечує відповідність:

Адаптери HL7 v2.x за потреби, нормалізація до внутрішніх схем і безпечний транспорт.

ISO13485

Ціль: 2026

ISO 13485 Система управління якістю медичних виробів

Стандарт системи управління якістю для медичних виробів.

Медична релевантність:

Стандарт якості для організацій, залучених у життєвий цикл медвиробів.

Ключові вимоги:

Задокументована QMS
Контролі дизайну та розробки
Керування ризиками та трасованість
Нагляд після виходу на ринок

Як Elderwise забезпечує відповідність:

Поступове впровадження QMS для відповідних модулів; узгодження з регуляторними вимогами за класом виробу.

ISO42001

Ціль: 2026

ISO/IEC 42001 Система управління штучним інтелектом

Стандарт системи управління AI для відповідального використання.

Медична релевантність:

Рамка керування відповідальними AI‑системами протягом життєвого циклу.

Ключові вимоги:

Керування AI‑ризиками та контролі
Управління даними та прозорість
Моніторинг і постійне вдосконалення

Як Elderwise забезпечує відповідність:

Мапінг поточних контролів на AI‑ризики, визначення показників і документації прозорості, процеси AI‑governance.

Data Protection & Compliance

Elderwise is committed to maintaining the highest standards of data protection and regulatory compliance in healthcare technology, with a progressive certification roadmap for completion between Q3 2025 and Q4 2026.

Legal Documents & Compliance Materials

Data Protection & Security Contacts

Data Protection Officer:dpo@elderwise.ai

EU Representative (Art. 27 GDPR):eu-rep@elderwise.ai

APAC Representative:apac-rep@elderwise.ai

Security Team:security@elderwise.ai

Vulnerability Reporting:security-alerts@elderwise.ai

Certification Roadmap

Elderwise's phased certification timeline:

Q3 2025: FHIR & HL7 interoperability certifications
Q4 2025: GDPR compliance validation
Q2 2026: ISO 27001 certification (audit in progress)
February 2026: ISO 42001 (AI Management System) certification
Q2 2026: HIPAA, HITECH & HSA certifications
Q3 2026: SOC 2 Type II & HITRUST CSF certifications
Q4 2026: ISO 13485 certification & continuous compliance monitoring

Healthcare-Specific Security Features

for all sensitive health information
for healthcare provider access
aligned with clinical workflows
for all actions on protected health information
Secure API design for healthcare system integrations
Context-aware access controls for different care settings
Session timeout controls for clinical environments
Secure offline caching for emergency care scenarios

Healthcare Infrastructure Security

Hosting in ISO 27001 certified data centers
Region-specific data residency options for regulatory compliance
Regular vulnerability scanning and penetration testing
Disaster recovery with 99.9% uptime commitment
Infrastructure as Code (IaC) for secure, consistent deployments
Network segmentation for clinical vs. administrative data
24/7 infrastructure monitoring with healthcare-specific alerts
Continuous security control validation using automated tools

Continuous Compliance Program

Automated compliance monitoring tools
Regular internal audits specific to healthcare requirements
Vendor security assessment program for all third parties
Compliance training for all staff, with healthcare-specific modules
Quarterly security steering committee with clinical stakeholders
Real-time compliance monitoring dashboard for leadership visibility
Automated evidence collection to streamline certification maintenance

Healthcare Data Governance Framework

Data Collection in Healthcare Context

Explicit consent mechanisms for patient data with healthcare-specific language
Transparent data collection purposes aligned with clinical needs
Minimized data collection following principles of medical necessity
Special handling procedures for sensitive medical categories
Patient-centric approach to data ownership and control

Healthcare Data Retention

Retention policies aligned with medical record requirements by jurisdiction
Secure, compliant data archiving for long-term medical records
Automated data deletion when retention periods expire
Special provisions for pediatric and geriatric record retention
Data lifecycle management specific to clinical documentation standards

Clinical Data Processing

Processing limited to intended healthcare purposes
Secure analytics for population health insights
De-identified data use for research and development
Validation processes for algorithm-assisted clinical reference tools
Secure federated learning techniques for model improvements

Patient Data Rights

Patient access to personal health information
Correction mechanisms for inaccurate health data
Data portability between healthcare providers
Special handling for vulnerable populations and proxy access
Transparent record of all third-party data sharing

Elderwise Healthcare Compliance Commitment:

Our compliance strategy follows Vanta's recommended "security by design" principles, embedding healthcare compliance requirements into our development process from inception to deployment. We recognize that healthcare data security directly impacts patient outcomes and provider efficiency, so our approach integrates technical safeguards with clinical workflow considerations to create a secure environment that enhances rather than impedes care delivery. Our compliance program emphasizes both regulatory adherence and the ethical responsibility we have to protect sensitive health information.

Certification Overview

Certification Strategy & Timeline

Compliance Roadmap

Certification Process

Documentation Phase

Creation of policies, procedures, and controls documentation

Gap Analysis

Assessment of current practices against certification requirements

Implementation

Deploying necessary controls and remediation activities

Internal Audit

Verification of control effectiveness before external assessment

External Assessment

Official certification audit by accredited third parties

Certification

Receipt of formal certification and continuous monitoring

Current Implementation Status

Pre-certification Assurances

We provide interim compliance documentation to customers, including security questionnaire responses, SOC 2 readiness assessments, and draft BAAs/DPAs while formal certification is underway.