กฎหมาย ความเสี่ยง และการปฏิบัติตามข้อกำหนด

ข้อมูลเกี่ยวกับมาตรฐานการปฏิบัติตามข้อกำหนด การรับรอง การควบคุม และแนวปฏิบัติด้านการคุ้มครองข้อมูลของเรา

Certification Overview

Elderwise is committed to achieving and maintaining compliance with key industry certifications. Our strategic roadmap outlines our journey toward full certification, with timelines tailored to the complexity and requirements of each standard.

Certification Strategy & Timeline

Compliance Roadmap

Elderwise follows a structured approach to meeting healthcare compliance standards. Target completion dates are subject to change.

Certification Process

Documentation Phase

Creation of policies, procedures, and controls documentation

Gap Analysis

Assessment of current practices against certification requirements

Implementation

Deploying necessary controls and remediation activities

Internal Audit

Verification of control effectiveness before external assessment

External Assessment

Official certification audit by accredited third parties

Certification

Receipt of formal certification and continuous monitoring

Current Implementation Status

While formal certifications are in progress, Elderwise has already implemented key security and privacy controls aligned with healthcare standards. Our approach follows industry-standard continuous compliance methodology, emphasizing automated evidence collection, regular assessments, and security by design.

Pre-certification Assurances

We provide interim compliance documentation to customers, including security questionnaire responses, SOC 2 readiness assessments, and draft BAAs/DPAs while formal certification is underway.

Continuous Compliance Monitoring

Following compliance best practices, Elderwise employs continuous monitoring tools to automatically detect and remediate compliance drift, ensuring our systems maintain compliance between formal assessment periods.

มาตรฐานด้านสุขภาพและการปฏิบัติตามของ Elderwise

อัปเดตล่าสุด: 2026-04-13

HIPAA

เป้าหมาย: เสร็จสมบูรณ์แล้ว

พระราชบัญญัติการพกพาและความรับผิดชอบด้านการประกันสุขภาพ

กฎหมายความเป็นส่วนตัวและความปลอดภัยด้านสุขภาพของสหรัฐฯ ที่กำกับดูแล PHI

ความเกี่ยวข้องกับการดูแลสุขภาพ:

ความปลอดภัยของข้อมูลสุขภาพของสหรัฐอเมริกา

ข้อกำหนดหลัก:

ข้อตกลงร่วมธุรกิจ (BAA)
Role-based access and MFA (TH)
การบันทึกการตรวจสอบและการตรวจสอบ
Minimum necessary access (TH)
การเข้ารหัสระหว่างทางและที่เหลือ
ขั้นตอนการแจ้งเตือนการละเมิด
การประเมินความเสี่ยงและการฝึกอบรมพนักงานเป็นระยะ

แนวทางการปฏิบัติตามของ Elderwise:

การเข้ารหัส AES-256, การควบคุมการเข้าถึงตามบทบาท, เส้นทางการตรวจสอบที่ครอบคลุม

GDPR

เป้าหมาย: ไตรมาส 2 ปี 2026

กฎระเบียบทั่วไปว่าด้วยการคุ้มครองข้อมูล

กฎระเบียบการปกป้องข้อมูลของ EU ครอบคลุมการประมวลผลที่ถูกกฎหมายและสิทธิ

ความเกี่ยวข้องกับการดูแลสุขภาพ:

การคุ้มครองข้อมูลสำหรับพลเมือง EU

ข้อกำหนดหลัก:

Lawful basis and consent management (TH)
สิทธิ์ของเจ้าของข้อมูล (การเข้าถึง การลบ การเคลื่อนย้าย)
ข้อตกลงการประมวลผลข้อมูล
การปกป้องข้อมูลตามการออกแบบและค่าเริ่มต้น
Records of processing activities (TH)
International transfer safeguards (TH)

แนวทางการปฏิบัติตามของ Elderwise:

สถาปัตยกรรมความเป็นส่วนตัวตั้งแต่การออกแบบ พร้อมเครื่องมือจัดการความยินยอม

PDPA

เป้าหมาย: เสร็จสมบูรณ์แล้ว

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

กฎหมายปกป้องข้อมูลของสิงคโปร์เน้นความยินยอมและข้อจำกัดวัตถุประสงค์

ความเกี่ยวข้องกับการดูแลสุขภาพ:

การคุ้มครองข้อมูลสำหรับสิงคโปร์

ข้อกำหนดหลัก:

ความยินยอมและการแจ้งเตือน
Purpose limitation (TH)
Access and correction rights (TH)
Protection and retention limits (TH)
การแจ้งเตือนการละเมิดข้อมูล

แนวทางการปฏิบัติตามของ Elderwise:

การปฏิบัติตามกรอบ PDPA อย่างสมบูรณ์

ISO27001

เป้าหมาย: Q2 2026 (TH)

ISO/IEC 27001 ระบบบริหารจัดการความปลอดภัยของข้อมูล

มาตรฐาน ISMS สากลสำหรับการจัดการความเสี่ยงด้านความปลอดภัยของข้อมูล

ความเกี่ยวข้องกับการดูแลสุขภาพ:

มาตรฐานสากลสำหรับการจัดตั้ง ดำเนินการ บำรุงรักษา และปรับปรุง ISMS อย่างต่อเนื่อง

ข้อกำหนดหลัก:

โปรแกรมการจัดการความเสี่ยง
ISMS การกำกับดูแลและเอกสารประกอบ
การควบคุมความปลอดภัยตามภาคผนวก A
Continuous improvement cycle (TH)

แนวทางการปฏิบัติตามของ Elderwise:

การกำหนดขอบเขต ISMS อย่างเป็นทางการ ทะเบียนความเสี่ยง นโยบายและการทำแผนที่การควบคุม การตรวจสอบภายในอยู่ระหว่างดำเนินการ และการตรวจสอบเพื่อรับรองกำลังดำเนินอยู่

SOC2

เป้าหมาย: อยู่ระหว่างดำเนินการ

การควบคุมองค์กรบริการ 2

การรับรองความปลอดภัยและความพร้อมใช้งานขององค์กร

ความเกี่ยวข้องกับการดูแลสุขภาพ:

มาตรฐานความปลอดภัยและความพร้อมใช้งาน

ข้อกำหนดหลัก:

Documented policies and procedures (TH)
การตรวจสอบและแจ้งเตือนความปลอดภัย
Change and incident management (TH)
การจัดการความเสี่ยงของผู้ขาย

แนวทางการปฏิบัติตามของ Elderwise:

การตรวจสอบและการรับรองอย่างต่อเนื่อง

HITRUST

เป้าหมาย: 2026

HITRUST CSF (TH)

กรอบความปลอดภัยที่สามารถรับรองได้เน้นด้านสุขภาพ ผสานมาตรฐานหลายรายการเข้าด้วยกัน

ความเกี่ยวข้องกับการดูแลสุขภาพ:

กรอบงานที่สามารถรับรองได้เน้นด้านสุขภาพ ผสาน HIPAA, ISO, NIST และข้อกำหนดอื่นๆ

ข้อกำหนดหลัก:

การเลือกการควบคุมตามความเสี่ยง
Policy/procedure implementation (TH)
Validation and scoring (TH)
การประเมินภายนอก

แนวทางการปฏิบัติตามของ Elderwise:

การกำหนดขอบเขตสำหรับระบบ PHI การสืบทอดการควบคุมที่เหมาะสม และความพร้อมแบบเป็นขั้นตอนสู่การประเมินที่ผ่านการตรวจสอบ

HITECH

เป้าหมาย: ไตรมาส 1 ปี 2026

พระราชบัญญัติ HITECH (การแจ้งเตือนการละเมิด)

การแจ้งเตือนการละเมิดและการปรับปรุงการบังคับใช้ HIPAA ของสหรัฐฯ

ความเกี่ยวข้องกับการดูแลสุขภาพ:

การปรับปรุงการแจ้งเตือนการละเมิดและการบังคับใช้ของสหรัฐอเมริกาต่อ HIPAA

ข้อกำหนดหลัก:

การประเมินความเสี่ยงจากการละเมิด
การแจ้งเตือนตามเวลา
เกณฑ์การรายงานต่อสื่อและ HHS

แนวทางการปฏิบัติตามของ Elderwise:

คู่มือการตอบสนองเหตุการณ์ การรักษาหลักฐาน แผนภูมิการตัดสินใจ

FHIR

เป้าหมาย: ไตรมาส 3 ปี 2026

Fast Healthcare Interoperability Resources

มาตรฐานการทำงานร่วมกันที่ทันสมัยสำหรับการแลกเปลี่ยนข้อมูลทางคลินิกที่มีโครงสร้าง

ความเกี่ยวข้องกับการดูแลสุขภาพ:

มาตรฐานการแลกเปลี่ยนข้อมูลสุขภาพ

ข้อกำหนดหลัก:

ทรัพยากรและโปรไฟล์ FHIR
RESTful APIs and conformance (TH)
ความปลอดภัยและการอนุญาต (SMART บน FHIR)

แนวทางการปฏิบัติตามของ Elderwise:

การออกแบบ API ที่สอดคล้องกับ FHIR R4

HL7

เป้าหมาย: ดำเนินงาน

HL7 v2/v3 การส่งข้อความ

มาตรฐานการส่งข้อความด้านสุขภาพที่ใช้โดย EHR และห้องปฏิบัติการ

ความเกี่ยวข้องกับการดูแลสุขภาพ:

มาตรฐานการส่งข้อความด้านสุขภาพเดิมและปัจจุบันที่ใช้กันอย่างแพร่หลายโดย EHR และห้องปฏิบัติการ

ข้อกำหนดหลัก:

รูปแบบและส่วนของข้อความ
Ack/error handling (TH)
การคมนาคมและการรักษาความปลอดภัย

แนวทางการปฏิบัติตามของ Elderwise:

อแดปเตอร์สำหรับการเชื่อมต่อ HL7 v2.x ตามที่จำเป็น การทำให้เป็นมาตรฐานเป็นสคีมาภายใน และการส่งข้อมูลอย่างปลอดภัย

ISO42001

เป้าหมาย: 2026

ISO/IEC 42001 ระบบจัดการ AI

มาตรฐานระบบจัดการ AI สำหรับการกำกับดูแล AI อย่างรับผิดชอบ

ความเกี่ยวข้องกับการดูแลสุขภาพ:

กรอบงานสำหรับการกำกับดูแลระบบ AI อย่างรับผิดชอบตลอดวงจรชีวิต

ข้อกำหนดหลัก:

การจัดการความเสี่ยงและการควบคุม AI
การกำกับดูแลข้อมูลและความโปร่งใส
การติดตามและปรับปรุงอย่างต่อเนื่อง

แนวทางการปฏิบัติตามของ Elderwise:

ทำแผนที่การควบคุมที่มีอยู่กับความเสี่ยงด้าน AI กำหนด KPI และเอกสารเพื่อความโปร่งใส และจัดตั้งขั้นตอนการกำกับดูแลโมเดล

Data Protection & Compliance

Elderwise maintains data protection controls designed for healthcare regulatory compliance, with an ongoing certification program. Target dates are subject to change.

Legal Documents & Compliance Materials

Data Protection & Security Contacts

Data Protection Officer:dpo@elderwise.ai

EU Representative (Art. 27 GDPR):eu-rep@elderwise.ai

APAC Representative:apac-rep@elderwise.ai

Security Team:security@elderwise.ai

Vulnerability Reporting:security-alerts@elderwise.ai

Certification Roadmap

Elderwise is pursuing industry certifications on a phased timeline. Target dates are subject to change.

FHIR & HL7 interoperability: validation in progress
GDPR compliance: assessment underway
ISO 27001: audit in progress (target 2026)
ISO 42001 (AI Management System): planned
HIPAA & HITECH: designed for compliance — formal certification in progress (target Q2 2026)
SOC 2 Type II & HITRUST CSF: planned

Healthcare-Specific Security Features

for all sensitive health information
for healthcare provider access
aligned with clinical workflows
for all actions on protected health information
Secure API design for healthcare system integrations
Context-aware access controls for different care settings
Session timeout controls for clinical environments
Secure offline caching for emergency care scenarios

Healthcare Infrastructure Security

Hosting in data centers with industry-standard security controls
Region-specific data residency options for regulatory compliance
Regular vulnerability scanning and penetration testing
Disaster recovery with high-availability architecture
Infrastructure as Code (IaC) for secure, consistent deployments
Network segmentation for data isolation
Infrastructure monitoring with automated alerting
Continuous security control validation using automated tools

Continuous Compliance Program

Automated compliance monitoring tools
Regular internal audits specific to healthcare requirements
Vendor security assessment program for all third parties
Compliance training for all staff, with healthcare-specific modules
Quarterly security steering committee with clinical stakeholders
Real-time compliance monitoring dashboard for leadership visibility
Automated evidence collection to streamline certification maintenance

Healthcare Data Governance Framework

Data Collection in Healthcare Context

Explicit consent mechanisms for patient data with healthcare-specific language
Transparent data collection purposes aligned with clinical needs
Minimized data collection following principles of medical necessity
Special handling procedures for sensitive medical categories
Patient-centric approach to data ownership and control

Healthcare Data Retention

Retention policies aligned with medical record requirements by jurisdiction
Secure, compliant data archiving for long-term medical records
Automated data deletion when retention periods expire
Special provisions for pediatric and geriatric record retention
Data lifecycle management specific to clinical documentation standards

Clinical Data Processing

Processing limited to intended healthcare purposes
Secure analytics for population health insights
De-identified data use for research and development
Quality checks on AI-generated summaries before they reach clinicians
Secure federated learning techniques for model improvements

Patient Data Rights

Patient access to personal health information
Correction mechanisms for inaccurate health data
Data portability between healthcare providers
Special handling for vulnerable populations and proxy access
Transparent record of all third-party data sharing

Elderwise Healthcare Compliance Commitment:

Our compliance strategy follows industry-standard "security by design" principles, embedding healthcare compliance requirements into our development process from inception to deployment. We recognize that healthcare data security directly impacts patient outcomes and provider efficiency, so our approach integrates technical safeguards with clinical workflow considerations to create a secure environment that enhances rather than impedes care delivery. Our compliance program emphasizes both regulatory adherence and the ethical responsibility we have to protect sensitive health information.

กฎหมาย ความเสี่ยง และการปฏิบัติตามข้อกำหนด

Certification Overview

Certification Strategy & Timeline

Compliance Roadmap

Elderwise follows a structured approach to meeting healthcare compliance standards. Target completion dates are subject to change.

Certification Process

Documentation Phase

Creation of policies, procedures, and controls documentation

Gap Analysis

Assessment of current practices against certification requirements

Implementation

Deploying necessary controls and remediation activities

Internal Audit

Verification of control effectiveness before external assessment

External Assessment

Official certification audit by accredited third parties

Certification

Receipt of formal certification and continuous monitoring

Current Implementation Status

Pre-certification Assurances

We provide interim compliance documentation to customers, including security questionnaire responses, SOC 2 readiness assessments, and draft BAAs/DPAs while formal certification is underway.