Personvernerklæring

Sist oppdatert 3. september 2018

Eyr Medical AS

Eyr.md og Eyr applikasjonen

Oppdatert 12.10.2017

Vilkår som fremgår av denne Personvernerklæringen gjelder for opprettelse av Brukerkonto i Tjenesten og for bruk av alle funksjoner i Tjenesten. Personvernerklæringen er en del av Brukervilkårene for Tjenesten og må leses i sammenheng med disse. Begreper som allerede er definert i Brukervilkår defineres derfor ikke på nytt.

Personvernerklæringen må leses grundig og aksepteres før Kunden oppretter Brukerkonto og tar Tjenesten i bruk. Vilkår som fremgår av Personvernerklæringen aksepteres ved å klikke «Aksepter Brukervilkår» nederst i dette dokumentet. Ved bruk av funksjoner i Tjenesten som krever behandling av Helseopplysninger, må Kunden også akseptere vilkårene i Pasienterklæringen. Personvernerklæringen er utarbeidet i samsvar med:

  • Lov og forskrift om behandling av personopplysninger (Lov nr. 31 av 14. april 2000 og forskrift nr. 1265 av 15. desember 2000 om behandling av personopplysninger)
  • Forskrift om pasientjournal (Forskrift nr. 1385 av 21. desember 2000)
  • Norm for informasjonssikkerhet i Helse- og omsorgstjenesten (Normen)

1. Behandling av Personopplysninger

Med personopplysninger menes enhver opplysning om en identifisert eller identifiserbar fysisk person («Personopplysninger»). Med behandling av Personopplysninger menes enhver operasjon eller rekke av operasjoner som gjøres med Personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, lagring, endring, bruk, utlevering, overføring og sletting («Behandling»).

1.1 Behandlingsansvarlig

Eyr er behandlingsansvarlig for de Personopplysningene som Behandles i forbindelse med Tjenesten. Kontaktopplysningene fremgår av punkt 9.

1.2 Hvilke Personopplysninger Behandles

Ved å akseptere vilkårene i denne Personvernerklæringen, samtykker Kunden i at Eyr og tilknyttede medhjelpere (som nevnt i punkt 2), kan Behandle følgende Personopplysninger dersom det er nødvendig for å oppfylle formålene fastsatt i punkt 1.3:

  • Kundens navn;
  • Kundens fødselsdato;
  • Kundens personnummer (Dette vil ikke bli brukt til andre formål enn identifisering i forbindelse med tilgang til og bruk av Tjenesten);
  • Kundens e-postadresse;
  • Kundens postadresse;
  • Kundens telefonnummer;
  • Kundens forsikringsselskap og polisenummer
  • Personopplysninger som Kunden frivillig gir fra seg i Tjenesten;
  • IP-adressen til enheten Kunden benytter, samt URL til eventuell nettside som lenket Kunden til Tjenesten;

1.3 Formål med Behandling av Personopplysninger

Eyr Behandler Personopplysninger for følgende formål:

  • for å kunne tilby og levere Tjenesten og de enkelte funksjoner i Tjenesten
  • for å kunne opprette, administrere og vedlikeholde Kundens Brukerkonto i Tjenesten
  • for administrasjon relatert til den enkelte Kunde
  • for å betjene og beskytte Tjenesten og funksjoner i Tjenesten
  • for å kunne videreutvikle og forbedre Tjenesten
  • for å kunne utvikle nye produkter og funksjoner i Tjenesten og for å viderutvikle eksisterende produkter og funksjoner
  • for å kunne gjennomgå og analysere Tjenesten for å sørge for en teknisk god og sikker Tjeneste
  • for markedsføring og organisering og effektivisering av salg
  • for å forebygge og etterforske bedrageri og annet misbruk
  • for å beskytte Eyrs rettigheter og/eller eiendom
  • for statistiske formål

1.4 Loggføring ved Behandling

All Behandling av Personopplysninger i Tjenesten blir automatisk logget i Tjenesten, i samsvar med Normen. Av hensyn til sikker drift og vedlikehold stiller Normen også krav om at Eyr overvåker og logger bruken av Tjenesten, slik at det er enklere å oppdage virus, feil, misbruk, angrep (innbrudd) og lignende. Opplysninger om bruk av Tjenesten vil også kunne bli brukt til statistiske formål.

1.5 Tidspunkt og varighet for Behandlingen

Personopplysninger vil bli Behandlet for nevnte formål så lenge det er nødvendig for levering av Tjenesten eller funksjoner i Tjenesten.

1.6 Det rettslige grunnlaget for Behandlingen

Eyr Behandler Personopplysningene i medhold av Kundens samtykke og for å oppfylle avtalen med Kunden om bruk av Tjenesten (Brukervilkår).

2. Medhjelpere

Eyr kan i enkelte tilfeller ha behov for å dele Kundens Personopplysninger med sine medhjelpere. Med medhjelpere menes leverandører, som f.eks. tilknyttede helseforetak, leverandører av software og servervansvarlig, og samarbeidspartenere, som f.eks. forsikringsselskap («Medhjelpere»). Deling med Medhjelpere finner ikke sted på annen måte enn det som fremgår av punkt 2.1, 2.2 og 2.3.

2.1 Begrenset deling

2.1.1 Leverandører

Eyr vil ha behov for å bruke leverandører for å levere Tjenesten til Kunden. I den grad Eyr overfører Personopplsyninger til leverandører, skjer all Behandling av Kundens Personopplysninger under Eyrs instruks, og i samsvar med prinsippene i denne Personvernerklæringen. Eksempel på slike leverandører er tilknyttede helseforetak, leverandører av software, serveransvarlig og lignende. Personopplysningene skal krypteres i prosessen.

2.1.2 Forsikringsselskap

Eyr kan også dele enkelte Personopplysninger med Kundens forsikringsselskap dersom Kunden ønsker å benytte sin forsikring ved bruk av betalte funksjoner i Tjenesten. Forsikringsselskapet vil kun få tilgang til Personopplysninger som er nødvendige for å vurdere om det er grunnlag for dekning. Personopplysningene skal krypteres i prosessen.

2.1.3 Apotek

[Eyr kan dele enkelte Personopplysninger med samarbeidsapotek, dersom Kunden samtykker til dette. Valgt apotek vil kun få tilgang til Personopplysninger som er nødvendige for leveranse av medisin og annet som Kunden har bestilt gjennom Tjenesten.]

2.2 Geografisk avgrensning

Eyr knytter seg kun til databehandlere som er lokalisert i EU/EØS og som også har servere og backuper lokalisert i EU/EØS. På den måten er Eyr garantert at alle databehandlere plikter å ha samme sikkerhetstiltak og beskyttelsesnivå som seg selv. Ved å akseptere vilkårene i denne Personvernerklæringen, samtykker Kunden til at egne Personopplysninger kan overføres til alle Eyrs databehandlere i samsvar med vilkårene her.

2.3 Offentlige pålegg

Eyr deler Personopplysninger med offentlige myndigheter dersom de har plikt til det etter norsk og/eller europeisk lovgivning. Kunden vil bli varslet om dette dersom slik varsling er tillatt i det enkelte tilfelle.

3. Eyrs tiltak for beskyttelse av Personopplysninger

Eyr er behandlingansvarlig for Personopplysningene som Kunden oppgir i Tjenesten. Eyr er sitt ansvar bevisst og derfor opptatt av å beskytte Kundens Personopplysninger. Eyr er alltid årvåkne i arbeidet med å forhindre uautorisert tilgang, modifikasjon og ulovlig ødeleggelse av Kundens Personopplysninger. Alle Personopplysninger Behandles i samsvar med den til enhver tid gjeldende personvernlovgivning. I tillegg stiller Eyr høye krav til egen sikkerhet. Eyr har gjort en rekke tiltak for å sikre tilfredsstillende sikkerhet, konfidensialitet, integritet og tilgjenglighet i Tjenesten. Slike tiltak er blant annet at:

  • Eyr har bundet seg til «Normen» og Behandler derfor alle Personopplysninger i samsvar med denne. Dette betyr blant annet at:
    • alle servere er sikret og beskyttet av brannmur
    • SSL/TSL-kryptering alltid benyttes ved overføring av Personopplysninger
    • tilgang til Personopplysninger skal begrenses til kun et få antall ansatte (hos Eyr og hos tredjeparter)
    • alle opplysninger og all kommunikasjon i Tjenesten krypteres
  • Tjenesten krever bruk av BankID Norge eller Buypass ved innlogging, dvs. identifisering/autentisering på høyeste sikkerhetsnivå (nivå 4).
  • Kunden må idenfisere seg med fingeravtrykk eller passord hver gang Tjenesten åpnes. Ved opprettelse av Brukerkonto kan Kunden velge om den ønsker identifisering med fingeravtrykk eller passord. Eventuelt passord vil bli lagret trygt i Tjenesten i henhold til norsk bransjestandard.
  • Eyr tilknytter seg kun databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at Behandling av Personopplysninger oppfyller krav i gjeldende lovgivning og som sikrer tilstrekkelig vern av Kundens rettigheter.

4. Eksterne lenker

Tjenesten inneholder lenker til eksterne nettsteder. Eksterne nettsteder med tilhørende innhold og applikasjoner er underlagt egne vilkår og omfattes således ikke av vilkårene i denne Personvernerklæringen.

5. Kundens rettigheter og ansvar

Personopplysningsloven sikrer Kunden rettigheter knyttet til egne Personopplysninger som er samlet inn av Eyr, selv om Personopplysningene Behandles av andre. Kunden har blant annet:

  • rett til innsyn i hvilke av Kundens Personopplysninger som Behandles, samt nærmere angitt informasjon om Behandlingen
  • rett til korrigering og i enkelte tilfeller rett til rett til sletting av Personopplysninger om seg selv
  • rett til å motta Personopplysninger om seg selv som Kunden har gitt til en behandlingsansvarlig, i et strukturert, alminnelig anvendt og maskinleselig format, og til å overføre nevnt opplysninger til en annen behandlingsansvarlig (dataportabilitet)
  • rett til at Behandlingen begrenses, dersom det i gjeldende lov er grunnlag for begrensning
  • [rett til å klage til Datatilsynet hvis han/hun mener at Eyr Behandler Personopplysninger på en måte som er i strid med gjeldende rett]

Som behandlingsansvarlig er Eyr opptatt av at det skal være enkelt for Kunden å utøve disse rettighetene. Eyr praktiserer derfor full åpenhet for Kunden om Behandling av vedkommendes egne Personopplysninger. Kunden kan ta kontakt med Eyr med anmodning om

  • tilgang til eller informasjon om Personopplysningene som Behandles om seg selv
  • korrigering av uriktige Personopplysninger om seg selv
  • sletting av Personopplysninger om seg selv
  • å begrense Behandlingen av Personopplysninger om seg selv
  • dataportabilitet

Anmodninger som nevnt kan rettes til privacy@eyr.md. Slike anmodninger kan imidlertid bare rettes til Eyr hvis Kunden ikke har tilgang til å utøve den aktuelle rettigheten på egenhånd, hvilket Kunden i mange tilfeller vil ha dersom Kunden har opprettet helseprofil i Tjenesten. Eventuelle henvendelser vil bli besvart fortløpende og innen de fristene som følger av gjeldende lov. Øvrige spørsmål om rettigheter knyttet til egne Personopplysninger kan også rettes til denne e-postadressen. Eyr tar sitt ansvar på alvor og er opptatt av at Kunden også gjør det. Kunden har derfor plikt til å holde sitt passord for seg selv, slik at ingen andre enn Kunden får tilgang til vedkommendes Brukerkonto.

6. Opplysninger om barn

Kunden må være minst 16 år for å opprette Brukerkonto og ta i bruk Tjenesten. Tjenesten er kun ment for personlig bruk, men foreldre/foresatte kan også bruke Eyr på vegne av sine barn. Barn over 16 år må imidlertid lage sin egen Brukerkonto for å kunne bruke Tjenesten. Foreldre/foresatte kan ikke bruke Eyr på vegne av barn som er over 16 år.

7. Revisjon

Tjenesten er stadig under utvikling. Dette medfører at det tidvis vil være endringer i vilkårene som fremgår av denne Personvernerklæringen. Kunden vil få beskjed dersom vilkårene er endret. Ved eventuell endring må Kunden akseptere vilkårene på nytt for å kunne fortsette å bruke Tjenesten.

8. Personvernrådgiver

Eyr har en egen personvernrådgiver, som skal sørge for at Behandlingen av Personopplysninger skjer på betryggende måte. Personvernrådgiveren kan kontaktes på følgende adresse: privacy@eyr.md **

9. Kontakt

E-postadresse: privacy@eyr.md Øvrig kontaktinformasjon og annen informasjon finner du på vår nettside: www.eyr.md Organisasjonsnummer: 915 487 467

10. Samtykke

Ved å akseptere vilkårene som fremgår av denne personvernerklæringen, samtykker Kunden i at

  • Eyr Behandler Kundens Personopplysninger som angitt i punkt 1.2
  • Eyr benytter seg av medhjelpere og at disse gis tilgang til enkelte av Kundens Personopplysninger
  • Eyr overfører enkelte Personopplysninger til Kundens forsikringsselskap for å avklare forsikringsdekning i samsvar med punkt 2.1.2
  • Eyr overfører Personopplysninger til sine databehandlere i andre land innenfor EØS-området

Kunden gir sitt samtykke ved å klikke «Aksepter vilkår» nedenfor. Samtykket er bindende og gjelder helt til det eventuelt trekkes tilbake. Dersom Kunden trekker sitt samtykke, vil ikke dette påvirke lovligheten av Behandling som bygger på samtykket før dette trekkes tilbake.

  • Jeg aksepterer vilkår som fremgår av Personvernerklæringen

Aksepter vilkår

(ved aksept kan denne ‘knappen’ endres til “Trekk samtykke”)

Ved å klikke «Aksepter» nedenfor samtykker Kunden til at Personopplysningene også kan brukes til markedsføringsformål. Dersom Kunden trekker sitt samtykke, vil ikke dette påvirke lovligheten av Behandling som bygger på samtykket før dette trekkes tilbake.

  • Jeg aksepterer at mine Personopplysninger brukes til markedsføringsformål

(ved aksept kan denne ‘knappen’ endres til "Trekk samtykke”)