Privatlivspolitik

Last updated 10. juni 2022

Denne privatlivspolitik indeholder information om behandlingen af helbredsoplysninger og andre personoplysninger i relation til de sundhedstjenester som leveres via kommunikations- og formidlingsplatformen Eyr (herefter omtalt som "Tjenesten"). I Danmark leveres Tjenesten af Eyr Medical Danmark ApS (herefter "Eyr" eller "vi"). Eyr er dataansvarlig for behandlingen af helbredsoplysninger og andre personoplysninger som behandles i tilknytning til Tjenesten. Vi er kun formidler af sundhedstjenester gennem Tjenesten og har ikke det medicinske ansvar for sundhedstjenesterne, som du bestiller igennem Tjenesten. Hvis du har spørgsmål til privatlivspolitikken, kan du kontakte vores databeskyttelsesrådgiver på privacy@eyr.md.

Formål og retsgrundlag for behandling af helbreds- og personoplysninger

Eyr behandler helbredsoplysninger og andre personoplysninger til følgende formål:


Oprettelse og administration af brugerkonti

Når du opretter en brugerkonto, gemmer vi dit navn, personnummer, e-mailadresse, telefonnummer, sprog, land, betalingskort, IP-adresse og entydig identifikator for din mobilenhed samt eventuelt forsikringsselskab og policenummer. Hvis du er sundhedspersonale, registrerer vi derudover din organisatoriske tilknytning. Registrering og opbevaring af disse personoplysninger er nødvendige for at levere Tjenesten og dermed opfylde den aftale, som er indgået mellem Eyr og dig, jf. GDPR art. 6(1)(b). Oplysningerne opbevares så længe, du har en brugerkonto hos os. Ved inaktivitet i 5 år slettes alle oplysningerne tilknyttet brugeren, medmindre Eyr er pålagt ved lov at fortsætte med at opbevare oplysningerne.


Administration, herunder tidsbestilling og betaling

For at du skal kunne bestille sundhedsydelser, behandler vi dine brugerkontooplysninger som nævnt ovenfor samt helbredsoplysninger, som er nødvendige for at yde hjælpen. Helbredsoplysninger kan eksempelvis være information om symptomkategorier, allergier, rejsedestinationer og kontraindikationer. Vi bruger dit telefonnummer til at sende dig påmindelser om kommende konsultationer.

Til fakturering af privatkunder behandler vi oplysninger om navn, behandlingsdato, betalingskort og eventuelt MobilePay-konto. For fakturering af forsikringskunder behandler vi derudover oplysninger om, hvad patienten er blevet behandlet for.

Behandlingen af personoplysninger som beskrevet ovenfor er nødvendig at levere Tjenesten og dermed for at opfylde aftalen indgået mellem dig og Eyr, jf. GDPR artikel 6(1)(b). Behandlingen af helbredsoplysninger er nødvendig for at levere, administrere og kvalitetssikre sundhedsydelser i overensstemmelse med lovpligtige krav herom efter sundhedsloven, jf. GDPR artikel 6(1)(c) og artikel 9(1)(b).

Oplysningerne der behandles til disse formål, opbevares så længe oplysningerne er nødvendige for at levere, administrere og kvalitetssikre sundhedsydelserne. Ved inaktivitet i 5 år slettes alle oplysningerne tilknyttet brugeren, med mindre behandlingen fortsat er påkrævet efter lovgivning. Betalingshistorik vil blive opbevaret i overensstemmelse med reglerne herom i bogføringsloven. Ved uopgjorte krav vil oplysningerne opbevares, så længe det er nødvendigt for at inddrive kravet.


Levering af sundhedsydelser og journalføring

For at kunne levere sundhedsydelser til dig og opfylde journaliseringspligten behandlinger vi og sundhedspersonalet oplysninger om dig. Sundhedspersonalet dokumenterer sundhedsydelserne i vores patientjournalsystem. Dette omfatter dine brugerkontooplysninger og forskellige helbredsoplysninger om dig afhængig af hvilken sundhedsydelser, der er leveret. Dette kan blandt andet omfatte oplysninger om den medicinske behandling, diagnoser, symptomer, sygdomsforløb, sygdomshistorik, stofmisbrug, henvisninger, anmodninger og recepter. Oplysninger kan også være i form af billeder. Oplysninger, som er registreret i journalen, opbevares så længe, du benytter Tjenesten og slettes tidligst 10 år efter sidste registrering i journalen. For at levere de sundhedsydelser du har bestilt, kan det være nødvendigt for lægen at modtage en oversigt over alle vacciner, der er registreret om dig i det Danske Vaccinationsregister ("DDV") og foretage opslag i Medicinkortet. Medicinkortet er en database, som Sundhed.dk er ansvarlig for, hvor der findes oplysninger om medicin, som du tidligere har haft recept på. Sundhedspersonale, der behandler dig, skal ikke indhente dit samtykke for at se dine recepter. I stedet kan du vælge at begrænse adgangen til dine sundhedsdata i Medicinkortet ved at privatmarkere eller spærre dine sundhedsdata. Du kan læse mere om adgang til dine sundhedsdata på sundhed.dk. Behandlingen af helbreds- og personoplysninger ved levering af sundhedsydelser og journalføring er nødvendige for at opfylde aftalen mellem dig og Eyr og for at overholde lovbestemte forpligtelser, herunder journalføringsbekendtgørelsen, jf. GDPR artikel 6(1)(c) og artikel 9(1)(b). Udlevering af epikrise til rejseforsikring kræver udtrykkeligt samtykke fra patienten.


Kvalitetssikring af sundhedsydelser

Vi er pålagt at kvalitetssikre de sundhedsydelser, som vi leverer. I forbindelse med kvalitetssikring af sundhedsydelserne vil vi kunne behandle helbreds- og personoplysninger som beskrevet i punktet ovenfor om levering af sundhedsydelser og journalføring. Oplysninger vil så vidt muligt blive anonymiseret eller afidentificeret før de behandles til kvalitetssikring. Behandling af helbreds- og personoplysninger til dette formål sker med hjemmel i sundhedsloven, jf. GDPR artikel 6(1)(c) og artikel 9(1)(b), og opbevares så længe det er nødvendigt for at overholde forpligtelserne efter loven.


Rapportering til nationale kvalitetsregistre og til Sundhedsdatastyrelsen samt Styrelsen for Patientsikkerhed mv.

Sundhedspersoner, der leverer sundhedsydelser via Tjenesten, er forpligtet til at rapportere visse oplysninger til medicinske kvalitetsregistre og offentlige myndigheder. Hvilke oplysninger, der rapporteres, afhænger af det enkelte register, men vil typisk omfatte oplysninger som nævnt i punktet ovenfor om levering af sundhedsydelser og journalføring. Oplysningerne vil blive rapporteret anonyme eller som afidentificeret statistik. Bemærk, du kan stadig modsætte sig rapporteringen. Du kan finde mere information om dette under punktet "Dine rettigheder" nedenfor. Eyr er forpligtet til at anmelde utilsigtede hændelser til Styrelsen for Patientsikkerhed samt videregive oplysninger i tilfælde af kontrol med virksomheden (se sundhedslovens § 43). Behandling af oplysninger til rapporterings- og anmeldelsesformål sker med hjemmel i sundhedsloven, jf. GDPR artikel 6(1)(c) og artikel 9(1)(b), og oplysningerne vil blive opbevaret så længe det er nødvendigt for at opfylde forpligtelsen efter lovgivningen.


Teknisk support

Vi tilbyder vores brugere teknisk support via en chatfunktion på Eyrs hjemmeside. For at yde denne tekniske support behandler vi oplysninger om e-mailadresse, IP-adresse, hvad henvendelsen drejer sig om, samt andre oplysninger du vælger at dele med os. Vi behandler disse oplysninger på baggrund af vores legitime interesse efter GDPR art. 6(1)(f) i at kunne yde support til dig som bruger af vores Tjeneste. Oplysningerne slettes når supportsagen er færdiggjort.


Markedsføring

Vi behandler dine personoplysninger til markedsføringsformål. Hvis du abonnerer på vores nyhedsbrev, opbevarer din e-mailadresse og enhedsidentifikator. Du kan til enhver tid framelde dig nyhedsbrevet i Tjenesten. Udsendelse af nyhedsbrev sker på baggrund af samtykke. Hvis du er eksisterende kunde, baserer vi udsendelsen på en interesseafvejning, baseret på vores legitime interesse i at markedsføre vores tjenester og vores forretning. Vi indsamler udvalgte data for at kunne måle effekten af vores markedsføringstiltag. Dataene deles igennem en MMP (Mobile Measurement Partner) med enkelte platforme på sociale medier. Se mere om dette i punktet nedenfor om videregivelse. Dataene som indsamles er: data som identificere enheden som fx device ID samt nogle få aktivitetsdata som fx at brugeren logger ind på Eyr-appen. Behandlingen sker på baggrund af en interesseafvejning, hvor vores legitime interesse efter GDPR artikel 6(1)(f) er at kunne måle effekten af vores markedsføringstiltag og kampagner.


Forbedring af Tjenesten

Eyr behandler oplysninger om fakturering, rapporteringsgrundlag og statistik for at forbedre Tjenesten. Dette omfatter blandt andet oplysninger om brugernes fødselsdato/alder, køn, behandlingsdato, konsultationstidspunkt, hvad patienten er blevet behandlet for (kategori/symptomer), tekniske data om brugerens enhed. Dataene aggregeres før de benyttes til forbedring af Tjenesten. Grundlaget for behandlingen er vores lovbestemte forpligtelse efter sundhedsloven, jf. GDPR artikel 6(1)(c) og artikel 9(1)(b), til at kvalitetssikre vores tjenester i forbindelse med leveringen af sundhedsydelser, og oplysningerne behandles så længe det er nødvendigt for at overholde disse forpligtelser.


Videregivelse til leverandører, forsikringsselskaber mv.

Vi har databehandleraftaler med alle vores leverandører med adgang til personoplysninger. Leverandørerne handler i overensstemmelse med vores instruktioner, som er fastsat i databehandleraftalen. Du kan finde mere information om vores databehandlere her. Hvis du ønsker at benytte din forsikring ved brug af Tjenesten, skal du samtykke til, at vi deler visse personoplysninger med dit forsikringsselskab. Forsikringsselskabet vil kun få adgang til oplysninger, som er nødvendige for at vurdere, om der er grundlag for dækning. Personoplysninger som deles kan omfatte navn, personnummer, dato for konsultation og sygdomskategorier (eksempelvis astma, barnesygdomme, influenza mv.) som du vælger i Tjenesten i forbindelse med tidsbestillingen. Forsikringsselskabet vil ikke få adgang til andre helbredsoplysninger såsom private beskeder mellem dig og lægen, det nærmere indhold i konsultationen eller anden information, der indsamles gennem din brug af Tjenesten, medmindre du har givet udtrykkeligt samtykke til dette. Et sådant udtrykkeligt samtykke kan for eksempel være aktuelt, hvis du har brug for hjælp fra alarmcentralen hos din rejseforsikring. Vi kan i sådanne tilfælde dele epikrisen med sundhedspersonalet hos din rejseforsikring, så de kan yde den nødvendige sundhedsfaglige hjælp til dig, når du er på ferie. Videregivelse af oplysninger til forsikringsselskabet vil blive stoppet umiddelbart efter, at du har trukket dit samtykke tilbage. Ved spørgsmål om forsikringsselskabets behandling af dine helbredsoplysninger, skal du kontakte dit forsikringsselskab direkte. Helbreds- og personoplysninger kan i enkelte tilfælde videregives til forskning. En sådan videregivelse vil altid ske i overensstemmelse med dansk lovgivning, herunder databeskyttelseslovens § 10. En sådan videregivelse kan ske uden dit samtykke, hvis behandlingen er nødvendig for udførelsen af videnskabelige undersøgelser af væsentlig samfundsmæssig betydning.


Sikkerhed

Vi foretager jævnligt vurderinger af sikkerheden i alle centrale systemer tilknyttet Tjenesten. Databehandleraftalerne indgået med leverandører, pålægger leverandøren at sørge for tilfredsstillende informationssikkerhed. Adgang til helbreds- og personoplysninger i Tjenesten er begrænset til personale, som har behov for adgangen for at levere, administrere eller kvalitetssikre sundhedsydelser eller på grundlag af anden særskilt hjemmel i lovgivning eller retsgrundlag.


Dine rettigheder

Som bruger af Tjenesten har du i medfør af lovgivning visse rettigheder som du kan udøve ved at kontakte os:

  • Trække et samtykke tilbage:
  • Samtykke, som du har afgivet i Tjenesten, for eksempel samtykke til at bestemte oplysninger skal deles med dit forsikringsselskab, kan til enhver tid trækkes tilbage. Bemærk at tilbagekaldelsen ikke nødvendigvis indebærer, at oplysninger som allerede er overført kan slettes.
  • Anmodning on indsigt og overførsel af data til en ny tjenesteudbyder:
  • Du har ret til indsigt i hvilke personoplysninger, der er registreret om dig i Tjenesten, og til at få en kopi af disse. Hvis det er lovligt og teknisk muligt, kan der også være adgang til at få oplysninger overført direkte til en ny tjenesteudbyder.
  • Anmodning om berigtigelse, sletning eller begrænsning af behandlingen:
  • Du kan kontakte os for at få rettet fejlagtige oplysninger, som er registreret om dig i Tjenesten, eller anmode os om at slette personoplysninger. Bemærk, at du også kan berigtige eller slette visse oplysninger selv. Du kan også anmode os om at begrænse behandlingen af visse oplysninger. Eyr vil så vidt muligt imødekomme en anmodning om at slette eller begrænse behandlingen af personoplysninger, men vi kan ikke imødekomme din anmodning, hvis der er tungtvejende eller lovmæssige grunde til ikke at gøre dette, for eksempel hvis oplysningerne skal opbevares af hensyn til dokumentation, på grund af rapporteringsforpligtelser eller fordi oplysningerne er nødvendige for at levere forsvarlige sundhedsydelser.
  • Indsigelse mod en behandling:
  • Du har ret til at gøre indsigelse mod behandlingen af personoplysninger som sker på baggrund af en interesseafvejning. Hvis du kan fremlægge grunde, der vedrører din særlige situation, der begrunder, at behandlingen skal ophøre, vil vi efterkomme dette, medmindre vi har afgørende legitime grunde til at fortsætte med at behandle oplysningerne. Et eksempel på et afgørende hensyn er sundhedspersonalets pligt til at dokumentere de sundhedsydelser de leverer (journalføring).

Hvis du er uenig i måden Eyr behandler dine personoplysninger på, kan du kontakte vores databeskyttelsesrådgiver på privacy@eyr.md. Du har derudover ret til at indgive en klage til Datatilsynet.

Ændringer og opdateringer

Ved ændringer i måden vi behandler personoplysninger på, giver vi dig besked herom i Tjenesten. På hjemmesiden og i Tjenesten finder du den til enhver tid opdaterede version af privatlivspolitikken.

Eyr Medical Danmark ApS
Opdateret: 10.06.2022


Oversigt over underleverandører som behandler personoplysninger

Opdateret: 10.06.2022

Vi benytter underleverandører som behandler personoplysninger på vores vegne. Det vil sige, at Eyr Medical Danmark ApS optræder som dataansvarlig, og hver underleverandør optræder som vores databehandler.

Nedenfor er en oversigt over vores underleverandører, som behandler personoplysninger:

Signicat

The purpose of processing: To identify you (the user)
What information is stored: Name and social security number
Country of storage: Norway

Nexthop

The purpose of processing: To store the data you share with Eyr in connection with ordering, consulting, chatting, etc.
What information is stored: Personal data (including name, social security number, e-mail address, children's social security number, insurance number) and health information (including vaccine form, chat messages, symptom categories, booking history)
Country of storage: Norway

Stripe

The purpose of processing: To be able to charge you
What information is stored: Card details, name, card number, expiration date, CVC number
Country of storage: Norway

Twilio

The purpose of processing: To send SMS to you before your appointment
What information is stored: Telephone number
Country of storage: USA

Intercom

The purpose of processing: Customer service
What information is stored: IP address, e-mail, name
Country of storage: USA

Sendgrid

The purpose of processing: To send newsletters to you, if you have accepted the relevant terms.
What information is stored: IP address, e-mail, name
Country of storage: USA

Appsflyer

The purpose of processing: To offer you the better customer experience, relevant products, deep linking
What information is stored: IP address, Device ID.
Country of storage: USA

Mixpanel

The purpose of processing: To offer you the better customer experience, relevant products, A/B testing, UI/UX
What information is stored: IP address, Device ID.
Country of storage: USA

Firebase

The purpose of processing: To send you notifications in the Eyr app
What information is stored: Device ID.
Country of storage: USA