Skip to main contentSkip to navigationSkip to footer
Elderwise Logo
Elderwise
臨牀醫生照護者成效部落格聯繫

照護者

  • 下載應用程式
  • 隱私政策
  • 服務條款
  • 漏洞報告

醫療機構

  • 臨牀解決方案
  • 價格
  • 整合
  • 預約諮詢

資源中心

  • 部落格
  • Elderwise 洞見
  • 常見問題
  • 聯絡我們

關於我們

  • 關於我們
  • 核心價值
  • 影響力
  • 加入我們
  • 法律、風險與合規

合規與安全

合規概述•Cookie 政策•HIPAA 合規•

患者與資料權利

申請醫療記錄•報告資料洩露•刪除帳號•刪除資料
Elderwise Logo
Elderwise

© {year} Elderwise。保留所有權利。

    1. 首頁
    3. 合規與安全 | Elderwise
    HIPAA 合規

    合規與安全

    您的信任至關重要。我們堅持最高標準的數據防護與法規遵循。

    主要認證

    HIPAA 合規
    合規

    全面符合美國《健康保險可攜性與責任法案》規範

    GDPR 合規
    合規

    符合歐盟一般資料保護條例對個人資料的要求

    PDPA 合規
    合規

    符合PDPA標準的個人資料保護

    ISO 27001(稽核進行中)
    進行中

    ISO 27001 認證稽核目前正在進行中

    安全措施

    技術

    數據加密

    靜態數據採用 AES-256、傳輸數據採用 TLS 1.3 標準

    管理

    訪問控制

    基於角色的權限管理,並支援多因素認證與單點登入

    技術

    7×24 安全監控

    即時監測系統狀態並及時偵測潛在威脅

    技術

    備份與復原

    自動化備份流程,定期演練災難復原計畫

    隱私承諾

    我們致力於保護您的隱私,並賦予您對數據的完整掌控權。

    醫療標準與 Elderwise 合規

    最後更新: 2025-09-27
    HIPAA
    目標: 已營運

    美國醫療保險可攜與責任法案 (HIPAA)

    規範 PHI 隱私與安全的美國醫療法規。

    醫療相關性:

    規範醫療機構與其業務夥伴對受保護健康資訊 (PHI) 的隱私與安全處理。

    關鍵要求:

    • 簽署業務夥伴協議 (BAA)
    • 角色為本存取控制與多因素驗證
    • 稽覈日誌與持續監控
    • 最小必要使用原則
    • 資料傳輸與靜態加密
    • 資安事件通報流程
    • 定期風險評估與員工訓練

    Elderwise 的合規作法:

    與處理方簽訂 BAA、落實 RBAC/MFA/SSO、集中式稽覈日誌、最小權限、AES‑256/TLS 1.3 加密、事件回應手冊與定期 HIPAA 訓練。

    GDPR
    目標: 已營運

    歐盟一般資料保護規則 (GDPR)

    規範合法處理與資料當事人權利的歐盟資料保護法規。

    醫療相關性:

    EU/EEA 的資料保護框架,涵蓋合法處理與資料當事人權利。

    關鍵要求:

    • 合法處理基礎與同意管理
    • 資料當事人權利(存取、刪除、可攜)
    • 資料處理協議 (DPA)
    • 隱私保護內建與預設
    • 處理活動紀錄 (ROPA)
    • 跨境資料傳輸保障

    Elderwise 的合規作法:

    蒐集並追蹤同意、與供應商簽署 DPA、隱私內建審查、DSR 流程,以及跨境傳輸影響評估。

    PDPA
    目標: 已營運

    新加坡個人資料保護法 (PDPA)

    強調同意與目的限制的新加坡資料保護法。

    醫療相關性:

    關於同意、目的限制、通知、存取/更正等義務的在地法規。

    關鍵要求:

    • 同意與通知
    • 目的限制
    • 存取與更正權
    • 保護措施與保存期限
    • 資料外洩通報

    Elderwise 的合規作法:

    在地化同意聲明、保存政策、存取/更正管道,並依 PDPC 指引執行外洩通報。

    ISO27001
    目標: 2026 年 Q2

    ISO/IEC 27001 資訊安全管理系統

    用於資訊安全風險管理的國際 ISMS 標準。

    醫療相關性:

    建立、實施、維護與持續改進 ISMS 的國際標準。

    關鍵要求:

    • 風險管理計畫
    • ISMS 治理與文件化
    • 附錄 A 安全控制
    • 持續改進(PDCA)

    Elderwise 的合規作法:

    界定 ISMS 範圍、建立風險登錄與政策/控制對映、內部稽覈進行中與認證稽覈進行中。

    SOC2
    目標: 2026 年 Q2

    SOC 2 Type II(安全、可用性、機密性)

    針對安全控制在一定期間之有效性進行鑑證。

    醫療相關性:

    依 AICPA 信任服務準則,對控制成效進行期間性鑑證。

    關鍵要求:

    • 政策與流程文件
    • 安全監控與警示
    • 變更與事件管理
    • 供應商風險管理

    Elderwise 的合規作法:

    對齊 TSC 控制、證據自動蒐集、持續監控、按季測試控制並準備外部稽覈。

    HITRUST
    目標: 2026 年

    HITRUST CSF

    整合多項標準的醫療領域資安框架。

    醫療相關性:

    以醫療為核心、整合 HIPAA、ISO、NIST 等要求的可鑑證框架。

    關鍵要求:

    • 以風險為本的控制選擇
    • 政策/流程落實
    • 驗證與評分
    • 外部評估

    Elderwise 的合規作法:

    界定 PHI 系統範圍、適用時繼承控制,分階段朝驗證性評估前進。

    HSA
    目標: 2026 年 Q2

    新加坡 HSA 指南(醫療科技)

    新加坡 HSA 針對醫療科技/軟體之監管指引。

    醫療相關性:

    醫療軟體與健康科技解決方案之監管指引。

    關鍵要求:

    • 風險分類與文件化
    • 品質管理體系對齊
    • 臨牀與資安考量

    Elderwise 的合規作法:

    遵循 HSA 建議,文件化預期用途與風險控制;參考 ISO 14971/IEC 62304。

    HITECH
    目標: 2026 年 Q1

    HITECH 法案(外洩通報)

    強化 HIPAA 的外洩通報與執法要件。

    醫療相關性:

    強化 HIPAA 的外洩通報與執法。

    關鍵要求:

    • 外洩風險評估
    • 及時通報
    • 媒體與 HHS 通報門檻

    Elderwise 的合規作法:

    事件回應手冊、證據保存,以及重大性/通報時機的決策樹。

    FHIR
    目標: 已營運

    HL7 FHIR(互通性)

    現代化的結構化臨牀資料交換標準。

    醫療相關性:

    現代化的臨牀資料交換標準。

    關鍵要求:

    • FHIR 資源與設定檔
    • RESTful API 與一致性
    • 安全與授權(SMART on FHIR)

    Elderwise 的合規作法:

    核心實體採 FHIR 優先建模、版本化設定檔、OAuth2/OIDC 授權。

    HL7
    目標: 已營運

    HL7 v2/v3 訊息

    醫院與檢驗機構廣泛採用的醫療訊息標準。

    醫療相關性:

    於醫院與檢驗機構廣泛使用的醫療訊息標準。

    關鍵要求:

    • 訊息格式與段
    • 確認/錯誤處理
    • 傳輸與安全

    Elderwise 的合規作法:

    視需要提供 HL7 v2.x 轉接、內部模型正規化與安全傳輸。

    ISO13485
    目標: 2026 年

    ISO 13485 醫療器材品質管理系統

    醫療器材品質管理系統 (QMS) 國際標準。

    醫療相關性:

    針對醫療器材全生命週期的品質管理標準。

    關鍵要求:

    • 文件化之 QMS
    • 設計與開發控制
    • 風險管理與可追溯性
    • 上市後監測

    Elderwise 的合規作法:

    於相關軟體模組逐步導入 QMS;如適用,配合器材分級與法規路徑。

    ISO42001
    目標: 2026 年

    ISO/IEC 42001 人工智慧管理系統

    面向負責任 AI 治理的 AI 管理系統標準。

    醫療相關性:

    面向負責任 AI 治理的全流程框架。

    關鍵要求:

    • AI 風險管理與控制
    • 資料治理與透明度
    • 監測與持續改進

    Elderwise 的合規作法:

    將既有控制對映至 AI 風險,建立透明度文件與指標,完善模型治理流程。

    想進一步瞭解安全策略?

    安全團隊隨時準備回答您對合規與數據防護的任何疑問。

    探索更多

    面向醫療提供者

    了解 Elderwise 如何與臨床工作流程整合

    價格與方案

    比較家庭和提供者方案

    知識中心

    長者照護專業人員的資源

    聯繫我們

    聯繫我們的安全團隊

    Legal Documents & Compliance Materials

    • Request Business Associate Agreement (BAA)
    • Request Data Processing Agreement (DPA)
    • Request Security & Privacy Documentation
    • Request Compliance Attestation
    • Request Penetration Test Executive Summary

    Data Protection & Security Contacts

    Data Protection Officer:dpo@elderwise.ai

    EU Representative (Art. 27 GDPR):eu-rep@elderwise.ai

    APAC Representative:apac-rep@elderwise.ai

    Security Team:security@elderwise.ai

    Vulnerability Reporting:security-alerts@elderwise.ai

    Certification Roadmap

    Elderwise's phased certification timeline:

    • Q3 2025: FHIR & HL7 interoperability certifications
    • Q4 2025: GDPR compliance validation
    • Q2 2026: ISO 27001 certification (audit in progress)
    • February 2026: ISO 42001 (AI Management System) certification
    • Q2 2026: HIPAA, HITECH & HSA certifications
    • Q3 2026: SOC 2 Type II & HITRUST CSF certifications
    • Q4 2026: ISO 13485 certification & continuous compliance monitoring

    Healthcare-Specific Security Features

    • for all sensitive health information
    • for healthcare provider access
    • aligned with clinical workflows
    • for all actions on protected health information
    • Secure API design for healthcare system integrations
    • Context-aware access controls for different care settings
    • Session timeout controls for clinical environments
    • Secure offline caching for emergency care scenarios

    Healthcare Infrastructure Security

    • Hosting in ISO 27001 certified data centers
    • Region-specific data residency options for regulatory compliance
    • Regular vulnerability scanning and penetration testing
    • Disaster recovery with 99.9% uptime commitment
    • Infrastructure as Code (IaC) for secure, consistent deployments
    • Network segmentation for clinical vs. administrative data
    • 24/7 infrastructure monitoring with healthcare-specific alerts
    • Continuous security control validation using automated tools

    Continuous Compliance Program

    • Automated compliance monitoring tools
    • Regular internal audits specific to healthcare requirements
    • Vendor security assessment program for all third parties
    • Compliance training for all staff, with healthcare-specific modules
    • Quarterly security steering committee with clinical stakeholders
    • Real-time compliance monitoring dashboard for leadership visibility
    • Automated evidence collection to streamline certification maintenance

    Healthcare Data Governance Framework

    Data Collection in Healthcare Context
    • Explicit consent mechanisms for patient data with healthcare-specific language
    • Transparent data collection purposes aligned with clinical needs
    • Minimized data collection following principles of medical necessity
    • Special handling procedures for sensitive medical categories
    • Patient-centric approach to data ownership and control
    Healthcare Data Retention
    • Retention policies aligned with medical record requirements by jurisdiction
    • Secure, compliant data archiving for long-term medical records
    • Automated data deletion when retention periods expire
    • Special provisions for pediatric and geriatric record retention
    • Data lifecycle management specific to clinical documentation standards
    Clinical Data Processing
    • Processing limited to intended healthcare purposes
    • Secure analytics for population health insights
    • De-identified data use for research and development
    • Validation processes for algorithm-assisted clinical reference tools
    • Secure federated learning techniques for model improvements
    Patient Data Rights
    • Patient access to personal health information
    • Correction mechanisms for inaccurate health data
    • Data portability between healthcare providers
    • Special handling for vulnerable populations and proxy access
    • Transparent record of all third-party data sharing

    Elderwise Healthcare Compliance Commitment:

    Our compliance strategy follows Vanta's recommended "security by design" principles, embedding healthcare compliance requirements into our development process from inception to deployment. We recognize that healthcare data security directly impacts patient outcomes and provider efficiency, so our approach integrates technical safeguards with clinical workflow considerations to create a secure environment that enhances rather than impedes care delivery. Our compliance program emphasizes both regulatory adherence and the ethical responsibility we have to protect sensitive health information.