Personvernerklæring

Sist oppdatert: 23. september 2024

Ta kontakt med oss om du lurer på noe

Send e-post

Ved akutt fare, ring 113

Om du befinner deg i en krise eller har livstruende skader bør du ringe 113

1. Oversikt

Denne personvernerklæringen er utarbeidet av Dr.Dropin AS ("Dr.Dropin" eller "vi") for å gi deg informasjon om hvordan, hvorfor og på hvilket grunnlag vi behandler dine personopplysninger. I tillegg beskriver personvernerklæringen hvilke rettigheter du som registrert har etter EUs personvernforordning 2016/679 ("GDPR") og den norske personvernlovgivningen (sammen "Personvernlovgivningen").

Det er Dr.Dropin som er behandlingsansvarlig for behandlingen av personopplysninger som er beskrevet i denne erklæringen. Det er den behandlingsansvarlige som er ansvarlig for å ivareta dine rettigheter Personvernlovgivningen, herunder din rett til å få informasjon om hvordan dine personopplysninger behandles.

2. Kontaktopplysninger

Dersom du har spørsmål eller ønsker mer informasjon om hvilke personopplysninger vi behandler om deg, eller ønsker å bruke en av rettighetene dine, kan du kontakte oss via kontaktopplysningene nedenfor.

Dr.Dropin AS

Telefonnummer: 24077701

E-post: personvernombud@drdropin.no

Adresse: Sørkedalsveien 8, 0369 Oslo

Postadresse:
Dr.Dropin AS
Postboks 5247 Majorstuen
0303 Oslo

Dr.Dropin har eget personvernombud. Ta kontakt på personvernombud@drdropin.no dersom du har spørsmål til hvordan vi behandler dine personopplysninger og derfor ønsker å komme i kontakt med vedkommende.

Vi ber deg om ikke å sende personsensitiv informasjon (slik som helseopplysninger) på e-post.

3. Hva er personopplysninger

Personopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Det kan være ditt navn, din kontaktinformasjon, dine helseopplysninger eller medisinske vurderinger. Personvernlovgivningen bestemmer hvordan vi skal behandle dine personopplysninger. Personvernlovgivningen stiller en del krav til behandling av det som kalles særlige kategorier av personopplysninger (blant annet helseopplysninger) som Dr.Dropin er pålagt å følge. Som privat helseforetak må vi i Dr.Dropin også forholde oss til helselovenes regler for behandling av personopplysninger. Relevante helselover som omhandler behandling av personopplysninger er spesialisthelsetjenesteloven, helsepersonelloven, pasientjournalloven (inkl. pasientjournalforskriften), pasient- og brukerrettighetsloven, helsearkivloven etc. Samtlige lover og forskrifter kan leses på www.lovdata.no.

Med "behandling" av personopplysninger mener vi enhver bruk av personopplysninger, for eksempel innsamling, registrering, lagring, sammenstilling, utlevering, sletting osv. All behandling av personopplysninger er som hovedregel underlagt Personvernlovgivningen.

4. Hvem behandler vi personopplysninger om

Denne personvernerklæringen omfatter vår behandling av personopplysninger om følgende kategorier av personer:

  • Pasienter (personer som benytter våre helsetjenester)
  • Brukere av Dr.Dropin App
  • Besøkende på vår hjemmeside
  • Mottakere av vårt nyhetsbrev
  • Bedrifters kontaktpersoner registrert i vårt CRM-system
  • Ansatte av våre bedriftskunder registrert i vår Bedriftsportal

5. Behandling av personopplysninger

5.1 Hvordan bruker vi personopplysninger

Vårt hovedformål med behandlingen av dine personopplysninger er å yte forsvarlig helsehjelp, samt tilby våre medisinske tjenester. Personopplysningene som vi samler inn om deg er opplysninger som vi anser er relevante for å gi deg forsvarlig helsehjelp. De opplysningene vi behandler har vi fått av deg, fra annen helseinstans der du har mottatt behandling, fra medisinske prøver vi tar mv.

Når du blir diagnostisert, mottar helsehjelp eller medisinsk behandling hos Dr.Dropin så plikter vi å registrere alle opplysningene som er nødvendige for å yte helsehjelpen i våre systemer for pasientjournaler. Hvilke opplysninger som skal registreres er spesifisert i lov. Journalen kan for eksempel inneholde kontaktinformasjon, nærmeste pårørende, sykdomshistorikk, tidligere behandlinger, hvilke medisiner du bruker, diagnoser mv.

Det rettslige grunnlaget for vår behandling av dine personopplysninger i forbindelse med yting av helsehjelp og registrering i pasientjournal er at behandlingen er nødvendige for å oppfylle en rettslig forpliktelse (GDPR artikkel 6 (1) bokstav c), samt at den er nødvendig for å yte helsetjenester (GDPR artikkel 9 (2) bokstav h).

5.2 Digital resepttjeneste

Hos Dr.Dropin kan du bestille resept uten å måtte møte opp på legekontoret. Dersom du benytter deg av dette tilbudet, samler vi i Dr.Dropin inn personopplysninger om deg. Kontaktopplysninger (navn og telefonnummer) er nødvendige for at vi skal kunne kontakte deg både av medisinske årsaker, og for å bekrefte din bestilling. Vi benytter Vipps og fødselsnummer for å bekrefte din identitet. I tillegg må du oppgi de helseopplysningene som er nødvendige for at helsepersonell i Dr.Dropin skal kunne vurdere din forespørsel. Helseopplysningene blir registrert i våre systemer for pasientjournaler (som beskrevet ovenfor i punkt 5.1).

Det rettslige grunnlaget for vår behandling av dine personopplysninger i forbindelse med digital resepttjeneste er at den er nødvendig for oppfyllelse av avtale om helsetjenester (GDPR artikkel 6 (1) bokstav b), samt at den er nødvendig for å yte helsetjenester (GDPR artikkel 9 (2) bokstav h).

5.3 Booking

På våre hjemmesider og i Dr.Dropin App har du mulighet til å selv bestille time hos oss. Når du bestiller en time via vår hjemmeside må du oppgi navn, telefonnummer og fødselsdato, samt skrive en kort beskjed til den som skal behandle deg. Disse opplysningene vil bli lagret i vårt bookingsystem.

Du kan også bestille time i Dr.Dropin App. Innlogging i appen foregår via BankID. Helsepersonell hos Dr.Dropin har ikke tilgang til dine personopplysninger i appen før du initierer booking. I slike tilfeller vil helsepersonellet som skal behandle deg få tilgang til ditt navn, fødselsdato og eventuelle andre opplysninger som du har oppgitt i timebestillingen.

Det rettslige grunnlaget for vår behandling av dine personopplysninger i forbindelse med booking er at den er nødvendig for oppfyllelse av avtale om helsetjenester (GDPR artikkel 6 (1) bokstav b), samt at den er nødvendig for å yte helsetjenester (GDPR artikkel 9 (2) bokstav h).

5.4 Videokonsultasjon

Dr.Dropin tilbyr videokonsultasjon til pasienter som ønsker dette, eller som av ulike årsaker ikke har anledning til å møte opp til fysisk konsultasjon hos oss. Denne løsningen er tilgjengelig for deg i Dr.Dropin App.

Innlogging i appen foregår via BankID. Utover dette journalfører vi samtalen på samme måte som ved fysisk konsultasjon. Disse opplysningene lagres i våre systemer for pasientjournaler. All video er live, og vi lagrer ikke opptak av samtalen.

Helsepersonellet som du skal snakke med må identifisere seg via et eget innloggingssystem før vedkommende gis tilgang til videoanropet med deg. Det er kun den behandlende legen, psykologen eller lignende som har tilgang til informasjonen som du oppgir underveis i konsultasjonen.

Det rettslige grunnlaget for vår behandling av personopplysninger i forbindelse med videokonsultasjon er at den er nødvendige for å oppfylle en rettslig forpliktelse (GDPR artikkel 6 (1) bokstav c), samt at den er nødvendig for å yte helsetjenester (GDPR artikkel 9 (2) bokstav h).

5.5 Dr.Dropin App

Dersom du har opprettet en bruker i Dr.Dropin App, kan vi også behandle opplysninger om hvordan du bruker appen, herunder hvilke sider du bruker mest, hvilke tjenester du velger og om du opplever tekniske problemer. Opplysningene som benyttes er anonymisert. Formålet med behandlingen er å forbedre våre tjenester slik, herunder funksjonalitet og design i appen. Det rettslige grunnlaget for vår behandling er ditt samtykke (GDPR artikkel 6 (1) bokstav a), og du kan når som helst velge å trekke dette samtykket tilbake ved å sende en e-post til personvernombud@drdropin.no.

I tillegg til timebestilling og videokonsultasjon, tilbyr vi ytterlige tjenester i Dr.Dropin App, herunder “Min trening” hvor du kan få tilgang til treningsprogram fra din fysioterapeut eller kiropraktor. Velger du å benytte deg av denne funksjonen, så vil det automatisk opprettes en bruker hos tredjepartsleverandøren Exor Live AS. Ditt fødsels- og personnummer brukes for å opprette brukeren automatisk hos Exor Live AS. Det rettslige grunnlaget for vår behandling av disse personopplysningene er ditt samtykke (GDPR artikkel 6 (1) bokstav a og GDPR artikkel 9 (2) bokstav a). Du kan når som helst trekke ditt samtykke tilbake ved å sende en e-post til personvernombud@drdropin.no

5.6 Kontaktskjema

På vår hjemmeside har du mulighet til å komme i kontakt med oss via et kontaktskjema. Når du sender inn skjemaet, behandler vi dine personopplysninger slik som navn, e-post, mobilnummer og eventuelle andre opplysninger som er inkludert i din melding.

Meldingen overføres i kryptert tilstand fra nettløsningen til Dr.Dropin. Dine opplysninger vil kun være tilgjengelig for utvalgte ansatte hos oss.

Det rettslige grunnlaget for vår behandling av personopplysninger i forbindelse med kontaktskjemaet er at den er nødvendig for å kunne besvare din henvendelse og yte helsetjenester til deg (GDPR artikkel 6 (1) bokstav c og GDPR artikkel 9 (2) bokstav h).

5.7 Betaling for helsetjenester

Vi behandler betalingsinformasjon etter ditt besøk hos oss, og ved bruk av enkelte av våre digitale tjenester. Opplysninger om hvor mye du skal betale for konsultasjonen overføres til Verifone (leverandør av betalingsterminaler), eller til Vipps dersom du ønsker å betale via mobilen.

Det rettslige grunnlaget for vår behandling av betalingsinformasjon er at den er nødvendig for å oppfylle avtalen med deg (GDPR artikkel 6 (1) bokstav b).

5.8 Markedsføring

Vi Dr.Dropin ønsker å informere våre kunder om hva som skjer i vår voksende bedrift, for eksempel om at vi har åpnet en ny klinikk eller at vi har lansert en ny tjeneste eller et nytt tilbud. Slik informasjon formidles i vårt nyhetsbrev. Dersom du mottar nyhetsbrev fra oss, behandler vi personopplysninger om deg slik som navn og e-postadressen som du har lagt til i din profil i Dr.Dropin App. Det rettslige grunnlaget for behandlingen er ditt samtykke (GDPR artikkel 6 (1) bokstav a). Du kan når som helst trekke dette samtykket tilbake ved å melde deg av nyhetsbrevet. Dette gjør du ved å trykke på avmeldingslinken inkludert i e-posten som du har mottatt, eller ved å fjerne e-postadressen fra din profil i appen.

Vi ønsker å være tilgjengelig for våre kunder og potensielle kunder i sosiale medier og har derfor profil blant annet på Facebook og Instagram. Formålet med disse sidene er å gjøre våre tjenester, vår kontaktinformasjon og åpningstider tilgjengelige for våre kunder/pasienter og potensielle pasienter. Vi behandler personopplysninger om deg dersom du legger til en kommentar på våre sider, liker sidene våre eller skriver en melding til oss. Dersom du har et spørsmål som innebærer deling av dine sensitive personopplysninger (eks. opplysninger om din helse) bør du heller kontakte oss per telefon eller via våre hjemmeside slik at vi kan hjelpe deg.

5.9 Fotofinder

Hos Dr.Dropin kan du benytte deg av en tjeneste kjent som Fotofinder. Fotofinder er et teknologisk verktøy som hjelper våre hudleger og annet helsepersonell med å oppdage farlige føflekker og kartlegge hudforandringer hos deg over tid gjennom analyse av bilder av din hudoverflate etter gjentatte konsultasjoner.

Dersom du benytter deg av denne tjenesten samler vi personopplysninger om deg, herunder bilder av av din kropp. Programvaren og bildene fra Fotofinder-maskinen vil samles på en sentralisert server driftet av Netsolution. Relevant helsepersonell logger seg på serverplattformen for tilgang til Fotofinderløsningen og tilhørende data. Den sentraliserte lagringen av data fra Fotofinder-verktøyet muliggjør at (i) pasienter kan ta oppfølgingsbilder på en hvilken som helst Fotofinder-maskin, og (ii) at helsepersonellet får fjerntilgang og dermed anledning til å utføre analyser asynkront og fjernt. Helseopplysningene oppbevares til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for dem, jf. pasientjournalloven § 25. Dersom du ikke benytter deg av tjenesten innen 10 år etter siste Fotofinder-konsultasjon, vil personopplysningene herunder bildene slettes fra våre systemer.

Opplysningene som behandles er begrenset til det som er nødvendig for å nyttiggjøre seg av Fotofinder-verktøyet og slik tilby forsvarlig og effektiv helsehjelp. Første konsultasjon vil alltid utføres av hudlege der du blir informert om anbefalt tidsintervall mellom påfølgende konsultasjoner. Formålet er å begrense og tilpasse bruken av tjenesten, og dermed innhenting av personopplysningene, til et nivå som er nødvendig for forsvarlig og effektiv helsehjelp. I de tilfeller der legen av medisinske grunner mener at du ikke vil ha nytte av tjenesten, vil du henvises til andre tjenester for sjekk av føflekker der behovet for innhenting av persondata er mindre.

I tillegg må du oppgi de helseopplysningene som er nødvendige for at helsepersonell i Dr.Dropin skal kunne vurdere din forespørsel. Helseopplysningene blir registrert i våre systemer for pasientjournaler (som beskrevet ovenfor i punkt 5.1).

Vi samler også kontaktopplysninger når du booker Fotofinder-tjenesten. Du kan lese mer om hvordan dine kontaktopplysninger behandles under 5.3 Booking.

Det rettslige grunnlaget for vår behandling av dine personopplysninger i forbindelse med Fotofinder-tjenesten er at den er nødvendig for oppfyllelse av avtale om helsetjenester (GDPR artikkel 6 (1) bokstav b), samt at den er nødvendig for å yte helsetjenester (GDPR artikkel 9 (2) bokstav h).

5.10 Bildekonsultasjon

Hos Dr.Dropin kan du benytte deg av tjenesten Bildekonsultasjon hvor du kan få medisinsk rådgivning fra våre leger ved å besvare et skjema og sende inn bilder av hudoverflaten din.Denne tjenesten forutsetter behandling av dine personopplysninger. Disse blir registrert på konto som opprettes hos oss når du benytter tjenesten. Dette er navn, personnummer, kjønn og telefonnummer som du oppgir til oss direkte når du registrerer deg på på våre nettsider, eller indirekte dersom du blir sendt til oss via en av våre samarbeidspartnere. Fra våre forsikringspartnere vil vi også få tilgang til ditt avtalenummer/polisenummer. Deretter kan vi samle inn informasjon når du bruker tjenestene automatisk som: i) teknisk informasjon, inkludert IP-adresse, påloggingsinformasjon, type og versjon av operativsystem og enhet, tidsinnstillinger, språkinnstillinger, informasjonskapsler o.l.; og ii) informasjon om tjenestene vi leverer til deg, samt tastetrykk.

Når du ønsker å motta rådgivning fra ved hjelp av tjenesten Bildekonsultasjon, blir du bedt om å dele informasjon om din person og helsetilstand for at legene skal kunne gi deg så god oppfølging som mulig. Dette gjøres i hovedsak ved hjelp av en tekstbeskrivelse og to bilder av huden. Informasjonen du blir bedt om å oppgi for at legene skal kunne tilby deg god rådgivning kan omfatte, men er ikke begrenset til, informasjon om at du lider av en sykdom, din sykehistorie eller din fysiologiske eller medisinske tilstand. Legene som vurderer dokumentasjonen du har sendt inn vil lagre denne informasjonen i Dr.Dropin sine systemer og i tilfeller der videre oppfølging og/eller behandling er nødvendig også i et godkjent elektronisk journalsystem. Disse opplysningene vil kun være tilgjengelige for deg, legen som gir vurderingen og eventuelt andre leger som vil delta i behandling eller oppfølging av tilstanden din. Alle oppslag på din sykehistorie fra leger tilknyttet Dr.Dropin loggføres i henhold til gjeldende regelverk. Grunnlaget for å lagre opplysningene er å gi deg tilgang til dine opplysninger i vurderingen som er gjort og for at legen skal kunne se tilstanden i sammenheng med eventuell fremtidig behandling. Du står selv fritt både til å hente ut og slette dataene dine etter at vurderingen er gjort.

Den tekniske plattformen eies og kontrolleres av Dr.Dropin. Teknologien videreutvikles og kvalitetssikres kontinuerlig. Dine personopplysninger lagres på Dr.Dropin sin infrastruktur. Personopplysningene håndteres og lagres innen EU/EØS, og ingen sensitive personopplysninger, for eksempel informasjon om din helse, lagres utenfor EU/EØS i forbindelse med din bruk av Bildekonsultasjon.

Dr.Dropin Hud er forpliktet til å føre pasientjournaler når Bildekonsultasjon utføres, og relevante brukerdata føres i et pasientjournalsystem spesielt utviklet for å oppfylle kravene i gjeldende lovgivning. Personopplysningene i din pasientjournal håndteres og lagres innenfor EU/EØS.Det rettslige grunnlaget for vår behandling av dine personopplysninger i forbindelse med Bildekonsultasjoner er at den er nødvendig for oppfyllelse av avtale om helsetjenester (GDPR artikkel 6 (1) bokstav b), samt at den er nødvendig for å yte helsetjenester (GDPR artikkel 9 (2) bokstav h).

5.11 Transkribering og strukturering av informasjon

Hos Dr. Dropin benytter noe helsepersonell diktasjon og tilhørende teknologisk strukturering av muntlig informasjon som fremkommer i samtalen. Samtalen tas opp gjennom mikrofonen på helsepersonellets datamaskin, og prosesseres som beskrevet under. Løsningen effektiviserer/automatiserer deler av arbeidet vårt helsepersonell utfører under konsultasjonen, fremfor at helsepersonellet journalfører manuelt. Løsningen innhenter og behandler opplysninger som fremkommer i samtalen mellom helsepersonellet og pasienten. Dette gjør vi for å bidra til at helsehjelpen du mottar fra helsepersonell, skal være effektiv og av høy kvalitet.

Vi benytter en rekke sikkerhetsmekanismer og retningslinjer for å sikre at personopplysninger og helseinformasjon behandles sikkert.


Transkribering i sanntid
Lyd fra konsultasjonen transkriberes i sanntid ved hjelp av et GDPR-kompatibelt tale-til-tekst API. For sanntid tale-til-tekst prosessering, behandles biter av lyden fortløpende i korttidsminnet, og ingen data lagres. Det eksisterer derfor aldri, på noe tidspunkt, et fullstendig lydopptak av konsultasjonen. Kun individuelle biter av lyden behandles og forkastes deretter umiddelbart. Data under overføring er kryptert for beskyttelse.

Anonymisering av transkripsjon
Løsningen som benyttes bruker en deidentifiserings-algoritme for å systematisk fjerne alle deler av transkripsjoner som inneholder personlig identifiserbar informasjon. Denne anonymiserte transkripsjonen benyttes videre til å generere et anonymisert notat. Transkripsjonen forkastes deretter umiddelbart, slik at det eneste som gjenstår er et anonymisert notat.

Tidsbegrenset brukertilgang til notater
Helsepersonell har tilgang til sine anonymiserte notater gjennom to-faktor-beskyttede brukergrensesnitt for å muliggjøre gjennomgang av tidligere konsultasjoner. Helsepersonellet kan til enhver tid slette notater permanent dersom de ønsker. Etter 24 timer blir notatene automatisk og permanent slettet.

Ingen data brukes til andre formål enn beskrevet over.

Verken løsningen eller tredjeparter bruker data til å trene modeller eller andre formål. Anonymiserte notater tilgjengeliggjøres kun for at helsepersonell skal kunne tilgå tidligere konsultasjoner etter behov.

Fullstendig brukerkontroll
All informasjon som behandles er kun tilgjengelig for helsepersonell gjennom to-faktor-beskyttede brukergrensesnitt, og er dermed ikke synlig for våre databehandlere.

Det rettslige grunnlaget for vår behandling av dine personopplysninger i denne forbindelse er i samsvar med personvernforordningen (GDPR) Artikkel 6 og 9.

5.12 Salg til bedriftskunder som har sendt inn kontaktskjema

På vår bedriftshjemmeside har du mulighet til å komme i kontakt med oss via kontaktskjemaer. Når du sender inn skjemaet, behandler vi dine personopplysninger slik som navn, e-post, mobilnummer og eventuelle andre opplysninger som er inkludert i din melding.

Meldingen overføres i kryptert tilstand fra nettløsningen til Dr.Dropin. Dine opplysninger vil kun være tilgjengelig for ansatte med tilgang til vårt CRM-system.

Det rettslige grunnlaget for vår behandling av disse personopplysningene er ditt samtykke (GDPR artikkel 6 (1) bokstav a og GDPR artikkel 9 (2) bokstav Du kan når som helst trekke ditt samtykke tilbake ved å ta kontakt med oss.

5.13 Direkte salg til bedriftskunder

Vi kontakter potensielle bedriftskunder gjennom direkte telefonsalg eller e-post sekvensering. Dette inkluderer behandling av personopplysninger som navn, e-post og mobilnummer.

Vi anvender utelukkende offentlig tilgjengelig informasjon i våre lister. Alle lister som benyttes er underlagt vår kontroll og blir gjennomgått i henhold til interne kriterier før de tas i bruk. Våre lister vil kun være tilgjengelige for ansatte som har adgang til vårt CRM-system.


5.14 Oppfølgning av bedriftskunder

Vi i Dr.Dropin ønsker å følge opp våre bedriftskunder med informasjon, oppfølging og nyheter fra Arbeidstilsynet og Dr.Dropin. For å kunne følge opp våre kunder på en forsvarlig måte behandler vi personopplysninger, som navn, e-post og telefonnummer, for kontaktpersoner i bedriften vi har vært i kontakt med. Denne informasjonen oppbevares i vårt CRM-system.

For å kunne følge opp kunder og deres ansatte, oppbevares også personopplysninger i vår Bedriftsportal og i vårt bedriftsjournalsystem. Denne informasjonen inkluderer navn, telefonnummer, e-post, og fødselsnummer.

For ansatte som behandles som pasienter henviser vi til kapittel 5.1.

6. Hvem kan vi dele dine personopplysninger med

6.1 Helseforetak og annet helsepersonell

Det hender at vi blir kontaktet av helseforetak eller annet helsepersonell som også gir deg medisinsk behandling og som ber om å få utlevert dine pasientopplysninger.

Helsepersonell har anledning til å utlevere dine taushetsbelagte opplysninger til samarbeidende helsepersonell som er underlagt samme taushetsplikt som våre ansatte. Dette gjøres kun i den grad det anses som nødvendig for å gi deg forsvarlig helsehjelp og reglene følger av helsepersonelloven. Som pasient har du rett til å motsette deg slik utlevering. Opplysningene som eventuelt deles er begrenset til det som er nødvendig. Vi deler kun slik informasjon dersom det etterspørres av samarbeidende personell, ikke uten at vi har mottatt en slik henvendelse.

6.2 Offentlige myndigheter

Dersom det er pålagt ved lov eller det er mistanke om at det er begått lovbrudd i forbindelse med bruk av våre tjenester, vil informasjonen vi har lagret om deg kunne utleveres til offentlige myndigheter.

Videre kan opplysninger deles med offentlige helseregistre som vi er pålagt gjennom lovgivning å dele informasjon til, slik som Vaksineregisteret eller Kreftregisteret.

6.3 Databehandlere

En databehandler er et selvstendig selskap eller juridisk enhet som behandler personopplysninger på vegne av behandlingsansvarlig. En databehandler kan eksempelvis være en leverandør av bookingsystem eller system for elektronisk pasientjournal.

Dr.Dropin sørger for at alle databehandlere er underlagt samme taushetsplikt som personell ansatt hos Dr.Dropin, og at avtaler om bruk av databehandler oppfyller Personvernlovgivningen sine krav til bruk av databehandlere/innhold av databehandleravtaler.

Dr.Dropin benytter hovedsakelig databehandlere som behandler personopplysninger innenfor EU/ EØS. Det vil si at disse databehandlerne er underlagt det samme regelverket når det kommer til behandling av personopplysninger. Ved få unntak benyttes databehandlere som er lokalisert utenfor EU/EØS. I disse tilfellene har Dr.Dropin besørget at disse databehandlerne er underlagt tilstrekkelig beskyttelsesnivå for behandling av personopplysninger i henhold til GDPR art 45, eller at overføringen er underlagt tilstrekkelige garantier i henhold til GDPR artikkel 46 (for eksempel ved bruk av EU Kommisjonens standardkontrakter).

7. Hvor lenge lagrer vi dine personopplysninger

Vi vil i utgangspunktet ikke lagre personopplysninger lenger enn det som er nødvendig for å oppfylle formålet med behandlingen og de lovpålagte pliktene vi har. Når det kommer til personopplysninger lagret i pasientjournal, det vil si for opplysningene som vi behandler for å yte helsehjelp, gjelder andre regler.

Hovedregelen er at journalene skal oppbevares til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for dem. Dropin kan deretter være forpliktet til å avlevere journalmateriale til Norsk Helsearkiv i henhold til helsearkivforskriften.

For øvrig vil vi slette eller anonymisere personopplysninger i samsvar med følgende sletterutiner:

  • Opplysninger som lagres i vårt bookingsystem, anonymiseres av leverandøren syv dager etter at konsultasjonen fant sted.
  • Betalingsinformasjon oppbevares i minimum fem år i henhold til reglene i bokføringsloven. Opplysninger som oppbevares lenger enn dette anonymiseres.
  • Opplysninger som benyttes til utsendelse av nyhetsbrev, slettes dersom du trekker tilbake ditt samtykke eller dersom du sletter din bruker i Dr.Dropin App.
  • Opplysninger som benyttes for salg til bedriftskunder, slettes ved skriftlig forespørsel eller dersom du trekker tilbake ditt samtykke (for kunder som har kommet inn via kontaktskjema).
  • Opplysninger som benyttes for oppfølgning av bedriftskunder, slettes ved skriftlig forespørsel

8. Hva gjør vi for å beskytte dine personopplysninger

Som behandlingsansvarlig for dine personopplysninger har vi det overordnede ansvaret for å sørge for at dine personopplysninger behandles og oppbevares på en sikker måte. Dette innebærer at vi har gjennomført tekniske og organisatoriske tiltak som sørger for tilfredsstillende informasjonssikkerhet. Vi har blant annet implementert adgangskontrollmekanismer, det vil si at kun personer med et tjenstlig behov har tilgang til dine personopplysninger. I tillegg er all kommunikasjon med servere kryptert over http, og alle våre databaser benytter såkalt kryptering "at rest".

Alle våre ansatte som behandler helseopplysninger om deg er underlagt taushetsplikt. Det samme gjelder andre som behandler personopplysninger på våre vegne.

9. Hvilke rettigheter har du

Dersom vi behandler dine personopplysninger har du etter Personvernlovgivningen en rekke rettigheter som du kan gjøre gjeldende overfor oss.

Du har rett til å få innsyn i hvilke personopplysninger vi behandler om deg, herunder rett til å motta en kopi av disse. Dersom du mener opplysningene vi har registrert om deg er uriktige, har du rett til å be om at de rettes. Du har rett til å be om at dine opplysninger slettes fra våre systemer, noe vi er pålagt å etterkomme såfremt videre lagring ikke er strengt nødvendig eller lovpålagt. Dersom du har innsigelser mot vår behandling av dine opplysninger, men ikke vil at de skal slettes av hensyn til pågående prosesser, kan du be om begrensning av behandlingen. I slike tilfeller vil vår behandling begrenses til kun nødvendig lagring. Der vår behandling av dine opplysninger har grunnlag i berettigede interesser (se punkt 7 ovenfor) har du rett til å protestere mot behandlingen. Dersom du protesterer skal vi stanse den aktuelle behandlingen, med mindre det foreligger tvingende berettigede grunner for å fortsette behandlingen. Der vår behandling av dine opplysninger har grunnlag i ditt samtykke eller vår avtale med deg, har du rett til å få disse opplysningene utlevert i et strukturert, alminnelig anvendt og maskinleselig format, enten til deg selv eller direkte til en annen tredjepart.

Vi gjør oppmerksom på at det gjelder unntak og nærmere vilkår for rettighetene som er beskrevet ovenfor, og at ikke alle rettighetene vil være relevante for alle våre forbindelser. Du kan lese mer om dine rettigheter på hjemmesidene til Datatilsynet, her.

For ordens skyld ønsker vi også å gjøre deg oppmerksom på at når det gjelder personopplysninger i pasientjournaler så er adgangen til å få opplysninger slettet eller rettet begrenset av regler i helsepersonelloven §§ 42, 43 og 44. Videre har hoveddelen av Dr.Dropin's behandling av personopplysninger grunnlag i rettslige forpliktelser til å yte helsehjelp og er dermed ikke underlagt retten til dataportabilitet. Det er kun dersom behandlingen av dine personopplysningene har rettslig grunnlag i oppfyllelse av en avtale eller ditt samtykke at kan du be om å få opplysningene utlevert til deg selv eller at vi sender dem direkte til din nye medisinske behandler/ leverandør. Retten til dataportabilitet har imidlertid ikke innvirkning på våre plikter til oppbevaring av din pasientjournal.

Dersom du ønsker å gjøre bruk av en av dine rettigheter overfor oss, ber vi deg ta kontakt som angitt i punkt 2 ovenfor. Vi ber om at du ikke oppgir sensitive personopplysninger når du kontakter oss. Vi gjør oppmerksom på at vi kan bli nødt til å be deg om å identifisere deg, ettersom vi kan ha behov for å sikre at du er den du utgir deg for å være.

10. Cookies (Informasjonskapsler)

Dr.Dropin benytter informasjonskapsler for å kunne analysere besøkendes atferd for bruk i utvikling og forbedring av nettsidene og våre produkter, tekniske formål for å sikre at nettsidene fungerer og optimalisering av sidene, og for markedsføringsformål slik som for eksempel å måle effekten av vår markedsføring på nett eller for å målrette annonsering. Nærmere informasjon om hvilke informasjonskapsler vi benytter, hvilke data som behandles, hvem som behandler dataene og formålet med behandlingen kan du lese i vår [cookie-erklæring].

11. Datatilsynet og klagemuligheter

Datatilsynet er ansvarlig for å føre kontroll med Personvernlovgivningen og tilsyn med norske selskapers behandling av personopplysninger. Du kan kontakte oss når du vil om du har klager knyttet til vår behandling av dine personopplysninger. Du kan også klage til Datatilsynet, samt til et datatilsyn i en EU/EØS-medlemsstat der du bor, har ditt arbeidssted eller der den påståtte overtredelsen av Personvernlovgivningen har funnet sted.

Kontaktinformasjon til Datatilsynet finner du på deres hjemmeside, her. På hjemmesiden finner du også ytterligere informasjon om våre plikter etter den gjeldende Personvernlovgivningen.

Dersom vi avslår et krav på retting eller sletting av dine journalopplysninger, kan du påklage dette til Statsforvalteren. Du finner mer informasjon om hvordan du kan klage til Statsforvalteren på Statsforvalterens hjemmeside, her.

12. Endringer

Fra tid til annen kan vi revidere denne personvernerklæringen, eksempelvis som følge av at vår behandling av personopplysninger endrer seg eller som følge av endringer i Personvernlovgivningen. Når personvernerklæringen endres, vil en oppdatert versjon publiseres på vår hjemmeside. Denne personvernerklæringen er gjeldende fra datoen som er angitt innledningsvis.