Pasienterklæring

Sist oppdatert 31. januar 2019

Eyr Medical AS

Eyr mobilapplikasjon og nettstedet eyr.md Oppdatert: 18.02.2018

Vilkår som fremgår av denne Pasienterklæringen gjelder ved bruk av funksjoner i Tjenesten hvor det Behandles helseopplysninger. Pasienterklæringen gjelder i tillegg til Brukervilkår og Personvernerklæring, og må leses i sammenheng med disse. Begreper som allerede er definert i Brukervilkår eller Personvernerklæring defineres derfor ikke på nytt. Pasienterklæringen må leses grundig og aksepteres før funksjoner som omfattes av Pasienterklæringen kan tas i bruk. Pasienterklæringen er utarbeidet i samsvar med:

  • Lov og forskrift om behandling av personopplysninger (Lov nr. 31 av 14. april 2000 og forskrift nr. 1265 av 15. desember 2000 om behandling av personopplysninger)
  • Forskrift om pasientjournal (Forskrift nr. 1385 av 21. desember 2000)
  • Norm for informasjonssikkerhet i Helse- og omsorgstjenesten (Normen)

1. Behandling av Helseopplysninger

Med helseopplysninger menes taushetsbelagte opplysninger og andre opplysninger og vurderinger om eller av betydning for helseforhold, som kan knyttes til en enkeltperson («Helseopplysninger»). Med Behandling av Helseopplysninger menes enhver operasjon eller rekke av operasjoner som gjøres med Helseopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, lagring, endring, bruk, utlevering, overføring og sletting («Behandling»).

1.1 Behandlingsansvarlig

Eyr er behandlingsansvarlig for Helseopplysningene som Behandles i forbindelse med Tjenesten. Kontaktopplysningene fremgår av punkt 8.

1.2 Hvilke Helseopplysninger Behandles

Ved å akseptere vilkår i denne Pasienterklæringen, samtykker Kunden i at Eyr og tilknyttede medhjelpere (som nevnt i punkt 2), kan Behandle Kundens Helseopplysninger dersom det er nødvendig for å oppfylle formålene fastsatt i punkt 1.3 i denne Pasienterklæringen. Samtykket gjelder alle Helseopplysninger som fremgår: av Helseopplysninger Kunden deler med Helsepersonell i forkant av bestilling av konsultasjon, f.eks valg av tema/kategori for konsultasjonen; av «Meldinger » («Meldinger» er notater som legen skriver til Kunden i Tjenesten og må ikke forveksles med journalen som legen fører i sitt eget journalsystem), f.eks. beskrivelse og/eller bilder av Kundens helseplager, legens råd og vurderinger, resepter og testresultat.

1.3 Formål med Behandling av Helseopplysninger

Eyr Behandler Helseopplysninger for følgende formål:

for å kunne levere enkelte funksjoner i Tjenesten, f.eks for å: kunne levere Kunden en mest mulig fullstendig helseprofil kunne levere Kunden konsultasjon med Helsepersonell gjennom Tjenesten, kunne gi veiledning og Behandling gjennom Tjenesten; for statistiske formål (anonymisert form); * for kartlegging av hvilke typer Helsepersonell det er behov for i Tjenesten (anonymisert form).

1.4 Loggføring ved Behandling

All Behandling av Helseopplysninger i Tjenesten blir automatisk logget i Tjenesten, i samsvar med Normen. Av hensyn til sikker drift og vedlikehold stiller Normen også krav om at Eyr overvåker og logger bruken av Tjenesten, slik at det er enklere å oppdage virus, feil, misbruk, angrep (innbrudd) og lignende. Opplysninger om bruk av Tjenesten (anonymisert form) vil også kunne bli brukt til statistiske formål.

1.5 Tidspunkt og varighet for Behandlingen

Helseopplysninger vil bli Behandlet for nevnte formål så lenge det er nødvendig for levering av Tjenesten eller funksjoner i Tjenesten.

1.6 Det rettslige grunnlaget for Behandlingen

Eyr Behandler Helseopplysninger i medhold av Kundens samtykke og for å oppfylle avtalen med Kunden om bruk av Tjenesten (Brukervilkår).

2. Medhjelpere

Eyr kan i enkelte tilfeller ha behov for å dele Kundens Helseopplysninger med sine medhjelpere. Med medhjelpere menes leverandører, som f.eks. tilknyttede helseforetak, leverandører av software og serveransvarlig, og samarbeidspartnere, som f.eks. forsikringsselskap. Deling med medhjelpere finner ikke sted på annen måte enn det som fremgår av punkt 2.1, 2.2 og 2.3.

2.1 Begrenset deling

2.1.1 Leverandører Eyr vil ha behov for å bruke leverandører for å levere Tjenesten til Kunden. I den grad Eyr overfører Helseopplsyninger til leverandører, skjer all Behandling av Kundens Helseopplysninger under Eyrs instruks, og i samsvar med prinsipper i denne Pasienterklæring. Eksempel på slike leverandører er tilknyttede helseforetak, leverandører av software, serveransvarlig og lignende. Helseopplysningene skal krypteres i prosessen.

2.1.2 Forsikringsselskap Eyr kan også dele enkelte Helseopplysninger med Kundens forsikringsselskap dersom Kunden ønsker å benytte sin forsikring ved bruk av betalte funksjoner i Tjenesten. Forsikringsselskapet vil kun få tilgang til Helseopplysninger som er nødvendige for å vurdere om det er grunnlag for dekning. Av funksjonene som tilbys i Tjenesten på nåværende tidspunkt, er det kun konsultasjonsfunksjonen som er en betalt funksjon. Helseopplysninger vil således bare bli delt med forsikringsselskapet ved bruk av denne funksjonen. Forsikringsselskapet tilgang til Helseopplysninger er begrenset til informasjon om hvilke av følgende kategorier Kunden har valgt som tema/kategori for konsultasjonen:

  • Allergi
  • Øyeinfeksjon
  • Utslett og insektbitt
  • Urinveisinfeksjon
  • Muskel- og skjelettplager
  • Generelt medisinsk råd
  • Forkjølelse, feber og sår hals
  • Graviditet og barn
  • Fornyelse av resept
  • Diaré og oppkast
  • Hodepine og migrene

Forsikringsselskapet vil altså aldri få tilgang til andre Helseopplysninger, f.eks. private meldinger mellom Kunde og Helsepersonell, det nærmere innholdet i konsultasjonen eller annen informasjon som blir samlet inn gjennom Kundens bruk av Tjenesten eller funksjoner i Tjenesten.

2.1.3 Øvrige tilfeller Helseopplysninger kan også deles i følgende tilfeller: Dersom Kunden har bedt om det og samtidig gitt eksplisitt samtykke til det. Dersom deling er nødvendig for beskyttelse av menneskeliv og/eller for å unngå alvorlig skade på Kundens helse. * Dersom tredjeparter som har lov til å få opplysningene utlevert, ber om det.

2.2 Geografisk avgrensning

Eyr knytter seg kun til databehandlere som er lokalisert i EU/EØS og som også har servere og backuper lokalisert i EU/EØS. På den måten er Eyr garantert at alle databehandlere plikter å ha samme sikkerhetstiltak og beskyttelsesnivå som seg selv. Ved å akseptere vilkårene i denne Personvernerklæringen, samtykker Kunden til at egne Helseopplysninger kan overføres til alle Eyrs databehandlere i samsvar med vilkårene her.

2.3 Offentlige pålegg

Eyr deler Helseopplysninger med myndighetene dersom de har plikt til det etter norsk og/eller europeisk lovgivning. Kunden vil bli varslet om dette dersom slik varsling er tillatt i det enkelte tilfelle.

3. Eyrs tiltak for beskyttelse av Helseopplysninger

Eyr er behandlingsansvarlig for Helseopplysningene som Kunden oppgir i Tjenesten. Eyr er sitt ansvar bevisst og derfor opptatt av å beskytte Kundens Helseopplysninger. Eyr er alltid årvåkne i arbeidet med å forhindre uautorisert tilgang, modifikasjon og ulovlig ødeleggelse av Kundens Helseopplysninger. Alle Helseopplysninger Behandles i samsvar med den til enhver tid gjeldende personvernlovgivning. I tillegg stiller Eyr høye krav til egen sikkerhet. Eyr har gjort en rekke tiltak for å sikre tilfredsstillende sikkerhet, konfidensialitet, integritet og tilgjengelighet i Tjenesten. Slike tiltak er blant annet at:

  • Eyr har bundet seg til «Normen» og Behandler derfor alle Helseopplysninger i samsvar med denne. Dette betyr blant annet at:
    • alle servere er sikret og beskyttet av brannmur
    • SSL/TSL-kryptering alltid benyttes ved overføring av Helseopplysninger
    • tilgang til Helseopplysninger skal begrenses til kun et få antall ansatte (hos Eyr og hos tredjeparter)
    • alle helseopplysninger og all kommunikasjon i Tjenesten krypteres
    • Tjenesten krever bruk av BankID Norge eller Buypass ved innlogging, dvs. identifisering/autentisering på høyeste sikkerhetsnivå (nivå 4).
  • Kunden må identifisere seg med fingeravtrykk eller passord hver gang Tjenesten åpnes. Ved opprettelse av Brukerkonto kan Kunden velge om den ønsker identifisering med fingeravtrykk eller passord. Eventuelt passord vil bli lagret trygt i Tjenesten i henhold til norsk bransjestandard.
  • Ved innlogging fra en ny enhet må Kunden identifisere seg ved hjelp av BankID Norge eller Buypass. Kunden kan opprette et passord-signert sertifikat og bruke dette for å logge inn på nytt fra samme enhet.
  • Eyr tilknytter seg kun databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at Behandling av Helseopplysninger oppfyller krav i gjeldende lovgivning og som sikrer tilstrekkelig vern av Kundens rettigheter.

4. Eksterne lenker

Tjenesten inneholder lenker til eksterne nettsteder. Eksterne nettsteder med tilhørende innhold og applikasjoner er underlagt egne vilkår og omfattes således ikke av vilkårene i denne Pasienterklæringen.

5. Kundens rettigheter og ansvar

Kunden har samme rettigheter og ansvar knyttet til egne Helseopplysninger som til egne Personopplysninger. Se punkt 5 i Personvernerklæringen om dette.

6. Revisjon

Tjenesten er stadig under utvikling. Dette medfører at det tidvis vil være endringer i vilkårene som fremgår av denne Pasienterklæringen. Kunden vil få beskjed dersom vilkårene er endret. Ved eventuelle endring må Kunden akseptere vilkårene på nytt for å kunne fortsette å bruke Tjenesten.

7. Kontakt

E-postadresse: privacy@eyr.md Øvrig kontaktinformasjon og annen informasjon finner du på vår nettside: www.eyr.md Organisasjonsnummer: 915 487 467

8. Samtykke

Ved å ta i bruk funksjoner i Tjenesten som krever behandling av Helseopplysninger, samtykker Kunden i at Eyr Behandler Kundens Helseopplysninger som angitt i punkt 1.2 Eyr benytter seg av medhjelpere og at disse gis tilgang til enkelte av Kundens Helseopplysninger Eyr overfører enkelte Helseopplysninger til Kundens forsikringsselskap for å avklare forsikringsdekning i samsvar med punkt 2.1.2 Eyr overfører Helseopplysninger til sine databehandlere innenfor EU/EØS Kunden gir sitt samtykke ved å ta i bruk funksjoner i Tjenesten som krever behandling av Helseopplysninger. Samtykket er bindende og gjelder helt til Brukervilkår trekkes tilbake. Dersom Kunden trekker sitt samtykke, vil ikke dette påvirke lovligheten av Behandling som bygger på samtykket før dette trekkes tilbake.

  • Jeg aksepterer vilkår som fremgår av Pasienterklæringen ved å ta i bruk funksjoner i Tjenesten som krever behandling av Helseopplysninger.