Personvernerklæring

Sist oppdatert 15. august 2023

Personvernerklæring

Denne personvernerklæringen inneholder informasjon om behandling av helseopplysninger og andre personopplysninger i tilknytning til de helsetjenester som ytes via kommunikasjons- og formidlingsplattformen Eyr (heretter omtalt som "Tjenesten").

I Norge leveres Tjenesten av Eyr Medical AS (heretter "Eyr" eller "vi"). Eyr er behandlingsansvarlig og dataansvarlig for helseopplysninger og andre personopplysninger som behandles i tilknytning til Tjenesten. Vi er kun formidler av helsetjenester gjennom Tjenesten og har ikke det medisinske ansvaret for helsetjenestene du bestiller gjennom Tjenesten. Hvis du har spørsmål til personvernerklæringen, ta gjerne kontakt med vårt personvernombud på privacy@eyr.md.

Formål og rettslig grunnlag for behandling av helse- og personopplysninger

Eyr behandler helseopplysninger og andre personopplysninger for følgende hovedformål:

  • Opprettelse og administrasjon av brukerkontoer
    Når du oppretter en brukerkonto lagrer vi ditt navn, personnummer, e-postadresse, telefonnummer, språk, land, betalingskort, IP-adresse og entydig identifikator for din mobile enhet, samt eventuelt forsikringsselskap og polisenummer. Hvis du er helsepersonell, registrerer vi i tillegg din organisatoriske tilknytning. Registrering og lagring av disse opplysningene er nødvendig for å levere Tjenesten. Opplysningene lagres så lenge du har en brukerkonto hos oss. Ved inaktivitet i 5 år slettes alle opplysningene knyttet til brukeren, med mindre Eyr er lovpålagt å fortsette å lagre opplysningene.
  • Administrasjon, herunder timebestilling og betaling
    For at du skal kunne bestille helsehjelp, bruker vi dine brukerkontoopplysninger nevnt ovenfor, samt helseopplysninger som er nødvendige for å yte helsehjelpen. Helseopplysningene kan eksempelvis være informasjon om symptomkategorier, allergier, reisedestinasjoner og kontraindikasjoner. Vi bruker ditt telefonnummer for å sende deg påminnelser om forestående konsultasjoner.
    For fakturering av privatkunder bruker vi opplysninger om navn, behandlingsdato, betalingskort og eventuelt Vipps-konto. For fakturering av forsikringskunder benytter vi i tillegg opplysninger om hva pasienten ble behandlet for.
    Behandlingene beskrevet over er nødvendige for å oppfylle avtalen som er inngått mellom deg og Eyr. Behandlingen av helseopplysninger er nødvendig for å gi, administrere og kvalitetssikre helsehjelp i tråd med lovpålagte krav.
    Opplysningene som behandles for disse formålene, lagres så lenge opplysningene er nødvendige for å gi, administrere og kvalitetssikre helsehjelpen. Ved inaktivitet i 5 år slettes alle opplysningene i tilknytning til brukeren, med mindre annet følger av lovpålagte krav. Betalingshistorikk vil bli lagret i samsvar med krav i bokføringsregelverket. Ved uoppgjorte krav vil opplysningene lagres så lenge som det er nødvendig for å inndrive kravet.
  • Ytelse av helsehjelp og journalføring
    For å kunne yte helsehjelp til deg og oppfylle journalplikten behandler vi og helsepersonellet opplysninger om deg. Helsepersonellet dokumenterer helsehjelpen i vårt pasientjournalsystem. Dette omfatter dine brukerkontoopplysninger og ulike helseopplysninger om deg avhengig av helsehjelpen som ytes. Dette vil blant annet kunne omfatte opplysninger om den medisinske behandlingen, diagnoser, symptomer, sykdomsforløp, sykdomshistorikk, medikamentbruk, henvisninger, rekvisisjoner og resepter. Opplysninger kan også finnes i form av bilder. Opplysninger som er nedtegnet i journalen oppbevares så lenge du benytter Tjenesten og slettes tidligst 10 år etter siste inntegning i journalen.
    For å levere de helsetjenestene som du har bestilt, kan det være nødvendig for legen å få oversikt over alle vaksiner som er registrert på deg i Nasjonalt vaksinasjonsregister ("SYSVAK") og gjøre oppslag i Reseptformidleren. Reseptformidleren er en database som direktoratet for e-helse er dataansvarlig for, og hvor det finnes opplysninger om legemidler du tidligere har fått resept på. Fra første januar 2019 ble regelverket endret slik at helsepersonell som behandler deg ikke lenger trenger å be om samtykke for å se reseptene dine. I stedet kan du nå velge å blokkere helsepersonells innsyn i dine resepter på [helsenorge.no] (https://www.helsenorge.no/)
    Behandling av helse- og personopplysninger ved ytelse av helsehjelp og journalføring er nødvendig for å oppfylle avtalen mellom deg og Eyr og for å oppfylle lovpålagte plikter. Utlevering av epikrise til reiseforsikring krever eksplisitt samtykke fra pasienten.
  • Kvalitetssikring av helsehjelp
    Vi er pålagt å kvalitetssikre helsehjelpen vi yter. I forbindelse med kvalitetssikring av helsehjelp vil vi kunne benytte helse- og personopplysninger som beskrevet i punktet over om ytelse av helsehjelp og journalføring. Opplysninger vil så langt som mulig bli anonymisert eller avidentifisert før de benyttes for kvalitetssikring. Bruk av helse- og personopplysninger til dette formålet har sitt grunnlag i lov og lagres så lenge som nødvendig for å oppfylle de lovpålagte forpliktelsene.
  • Rapportering til nasjonale kvalitetsregistre og til Statens helsetilsyn mv.
    Helsepersonell som yter helsehjelp via Tjenesten, er forpliktet til å rapportere visse opplysninger til medisinske kvalitetsregistre og offentlige myndigheter. Hvilke opplysninger som rapporteres, avhenger av det enkelte registeret, men det vil typisk kunne omfatte opplysninger som nevnt i punktet over om ytelse av helsehjelp og journalføring, og opplysningene vil rapporteres som anonym eller avidentifisert statistikk. Merk at du likevel kan motsette deg slik rapportering. Du finner mer informasjon om dette i punkter "Dine rettigheter" under.
    Eyr har plikt til å varsle Statens helsetilsyn om alvorlige hendelser og ellers gi opplysninger på tilsynets anmodning i tilfelle av kontroll med virksomheten (se helsetilsynsloven §§ 6 og 7).
    Bruk av opplysninger for rapporterings- og varslingsformål har sitt grunnlag i lov, og opplysningene vil lagres så lenge det er nødvendig for å oppfylle de lovpålagte forpliktelsene.
  • Teknisk support
    Vi tilbyr brukerne våre teknisk support via en chatfunksjon på hjemmesiden til Eyr. For å yte slik teknisk support behandler vi opplysninger om e-postadresse, IP-adresse, hva henvendelsen gjelder, og andre opplysninger som du velger å dele med oss. Grunnlaget for å behandle disse opplysningene er ditt samtykke ved at du forespør support. Opplysningene slettes når supportsaken er fullført.
  • Markedsføring
    Vi behandler personopplysninger for markedsføringsformål. Dersom du abonnerer på vårt nyhetsbrev, lagrer vi din epostadresse og din enhetsidentifikator. Du kan selv når som helst melde deg av nyhetsbrevet i Tjenesten. Utsendelse av nyhetsbrev har sitt grunnlag i samtykke eller interesseavveining, basert på våre legitime interesser i å markedsføre våre tjenester og vår forretningsvirksomhet.
    Vi samler inn noen utvalgte data for å kunne måle effekten av våre markedsføringstiltak. Dataene deles gjennom en MMP (Mobile Measurement Partner) med enkelte plattformer for sosiale medier. Se mer om dette i punktet under om utlevering. Dataene som samles inn er: data som identifiserer enheten som f.eks. device ID, samt noen få aktivitetsdata som f.eks. at brukeren logger inn i Eyr-applikasjon. Denne behandlingen har grunnlag i en interesseavveining, hvor våre legitime interesser er å kunne måle effekten av våre markedsføringstiltak og kampanjer.
  • Forbedring av Tjenesten
    Eyr benytter opplysninger fra fakturering, rapporteringsgrunnlag og statistikk til å forbedre Tjenesten. Dette omfatter blant annet opplysninger om brukernes fødselsdato/alder, kjønn, behandlingsdato, konsultasjonstidspunkt, hva pasienten ble behandlet for (kategori/symptomer), tekniske data om brukeren enhet. Dataene aggregeres før de benyttes for forbedringen av Tjenesten. Grunnlaget for denne behandlingen er våre lovpålagte plikter til å kvalitetssikre våre tjenester knyttet til å yte helsehjelp, og opplysningene behandles så lenge som nødvendig for å gjennomføre disse forpliktelsene.
  • Utlevering til leverandører, forsikringsselskaper, forskningsprosjekter mv. Overføringer til tredjeland Vi har databehandleravtaler med alle våre leverandører som har tilgang til personopplysninger. Leverandørene opptrer i henhold til våre instruksjoner som er fastsatt i databehandleravtalen. Mer informasjon om våre databehandlere finner du her.

    Noen av våre databehandlere opererer i land utenfor EØS. For at de skal kunne levere tjenestene til oss, må vi overføre personopplysninger til dem, men vi overfører ikke helseopplysninger til databehandlere utenfor EØS. Overføringene skjer i tråd med personvernregelverket. Mer informasjon om hvilke land våre underleverandører opererer i, og hvilke overføringsgrunnlag vi støtter oss på, finner du i underleverandøroversikten det er lenket til over.

    Dersom du ønsker å benytte din forsikring ved bruk av Tjenesten, må du samtykke til at vi deler enkelte personopplysninger med ditt forsikringsselskap. Forsikringsselskapet vil kun få tilgang til opplysninger som er nødvendige for å vurdere om det er grunnlag for dekning. Personopplysninger som deles kan inkludere navn, personnummer, dato for konsultasjon og sykdomskategori (eksempelvis astma, barnesykdommer, influensa etc.) som du velger i Tjenesten i tilknytning til timebestillingen.

    Forsikringsselskapet vil aldri få tilgang til andre helseopplysninger som private meldinger mellom deg og legen, det nærmere innholdet i konsultasjonen eller annen informasjon som blir samlet inn gjennom din bruk av Tjenesten, med mindre du har gitt et eksplisitt samtykke til dette. Slikt eksplisitt samtykke kan for eksempel være aktuelt dersom du trenger ekstra assistanse fra alarmsentralen hos din reiseforsikring. Vi kan da basert på ditt samtykke dele epikrisen med helsepersonellet hos din reiseforsikring, slik at de kan yte nødvendig helsehjelp for deg når du er på reise.

    Utleveringen av opplysninger til forsikringsselskapet vil stanses umiddelbart dersom du trekker samtykket ditt tilbake. Ved spørsmål om forsikringsselskapets behandling av dine helseopplysninger må du ta kontakt direkte med ditt forsikringsselskap.

    Helse- og personopplysninger vil i enkelte tilfeller kunne bli utlevert til forskning. Slik utlevering vil alltid skje innenfor rammen av norsk lov, hvor det klare utgangspunktet er at slik utlevering krever at du samtykker.


  • Bruk av helseopplysninger for kvalitetsforbedring og innsikt
    Dersom du benytter Eyr’s psykologtjeneste anbefales det i en del tilfeller å fylle ut et spørreskjema i appen for symptomkartlegging (SCL-90R), før og etter behandling, for å forbedre helsehjelpen og for å måle effekten av behandlingen. Dersom du velger å svare på symptomkartleggingen både før og etter behandling, vil i tillegg svarene dine avidentifiseres, aggregeres og inngå i overordnet statistikk som kan analyseres på gruppenivå. Vi bruker resultatene fra analysene i anonymisert form for å få innsikt i behandlingseffekten av psykologtjenesten som vil bidra til kvalitetssikring og produktutvikling. Vi deler den anonyme og aggregerte statistikken om behandlingseffekt med enkelte av Eyrs partnere, herunder forsikringsselskap, for å demonstrere behandlingseffekten av psykologtjenesten.

  • Sikkerhet
    Vi foretar jevnlig vurderinger av sikkerheten i alle sentrale systemer tilknyttet Tjenesten. Databehandleravtalene som er inngått med leverandører pålegger leverandøren å sørge for tilfredsstillende informasjonssikkerhet. Tilgang til helse- og personopplysninger i Tjenesten er begrenset til personell som har behov for tilgang for å yte, administrere eller kvalitetssikre helsehjelp eller på grunnlag av annen særskilt hjemmel i lov eller forskrift.

Dine rettigheter

Som bruker av Tjenesten gir lovgivningen deg visse rettigheter som du kan utøve ved å ta kontakt med oss:

  • Trekke et samtykke tilbake
    Samtykker du har avgitt i Tjenesten, for eksempel samtykke til at bestemte opplysninger skal deles med ditt forsikringsselskap, kan når som helst trekkes tilbake. Merk at tilbaketrekning av et samtykke ikke nødvendigvis innebærer at opplysninger som allerede er overført kan slettes.
  • Be om innsyn og få data overført til ny tjenestetilbyder:
    Du har rett til innsyn i hvilke personopplysninger som er registrert om deg i Tjenesten og til å få en kopi av disse. Dersom det er lovlig og teknisk mulig, vil det også kunne være adgang til å få opplysninger overført direkte til en ny tjenestetilbyder.
  • Be om retting, sletting eller begrensning av behandlingen:
    Du kan ta kontakt med oss for å få rettet feilaktige opplysninger som er registrert om deg i Tjenesten, eller be oss om å slette personopplysninger. Merk at du også kan korrigere og slette enkelte opplysninger selv. Du kan også be oss om å begrense behandlingen av visse opplysninger. Eyr vil så langt som mulig imøtekomme en forespørsel om å slette eller begrense behandling av personopplysninger, men kan ikke gjøre dette dersom det er tungtveiende eller lovpålagte grunner for ikke å gjøre dette, for eksempel dersom opplysningene må lagres av dokumentasjonshensyn, på grunn av rapporteringsforpliktelser eller fordi opplysningene er nødvendige for å yte forsvarlig helsehjelp.
  • Protestere på en behandling:
    Du har rett til å motsette deg behandling av personopplysninger som har sitt grunnlag i en interesseavveining. Dersom du kan vise til særlige grunner ved din situasjon som begrunner at behandlingen skal opphøre, vil vi etterkomme dette med mindre vi har tvingende berettigede grunner for å fortsette å behandle opplysningene. Eksempel på et slikt tvingende hensyn er plikten helsepersonell har til å dokumentere helsehjelpen de gir (journalføring).

Dersom du er uenig i måten Eyr behandler dine personopplysninger på, ber vi deg ta kontakt med vårt personvernombud på privacy@eyr.md. Du har for øvrig rett til å sende inn en klage til Datatilsynet.

Endringer og oppdateringer

Ved endringer i måten vi behandler personopplysninger på, vil vi varsle om dette i Tjenesten. På hjemmesiden og i Tjenesten finner du til enhver tid oppdatert versjon av personvernerklæringen.

Eyr Medical AS Oppdatert: 31. August 2022



Underbehandlere

Signicat

Formålet med behandlingen: For å indentifisere deg som bruker
Hvilken informasjon lagres: Navn og personnummer

Nexthop

Formålet med behandlingen: For å lagre dataene du deler med Eyr i forbindelse med bestilling, konsultasjon, chat mm
Hvilken informasjon lagres:Personopplysninger (deriblant navn, personnummer, e-post adresse, personnummer til barn, forsikringsnummer) og helseopplysninger (deriblant vaksineskjema, chat meldinger, symptom kategorier, bestillingshistorikk)

Stripe

Formålet med behandlingen: For å kunne ta betalt av deg
Hvilken informasjon lagres: Kortopplysninger, navn, kortnummer, utløpsdato, CVC nummer

Twilio

Formålet med behandlingen: For å sende SMS varsliger til deg før timen
Hvilken informasjon lagres: Telefonnummer

Pridok

Formålet med behandlingen: For at legen skal kunne journalføre
Hvilken informasjon lagres: Personopplysninger (deriblant navn, personnummer, personnummer til barn) og helseopplysninger (deriblant journalnotat, diagnoser, henvisninger, epikriser)

Intercom

Formålet med behandlingen: For å yte kundeservice til deg
Hvilken informasjon lagres: IP-addresse, e-post, navn

Sendgrid

Formålet med behandlingen: For å sende nyhetsbrev til deg, dersom du har gitt tilsagn til dette
Hvilken informasjon lagres: E-post addresse, navn

Appsflyer

Formålet med behandlingen: For å tilby deg den beste kundeopplevelsen, relevante tjenester, dyplenking fra nettside
Hvilken informasjon lagres: IP-addresse, enhetsidentifikator

Mixpanel

Formålet med behandlingen: For å tilby deg den beste kundeopplevelsen, relevant produkter, A/B testing, optimalisert brukergrensesnitt
Hvilken informasjon lagres: IP-addresse, enhetsidentifikator

Firebase

Formålet med behandlingen:For å kunne sende deg varslinger i Eyr appen og for å kunne forbedre kundeopplevelsen
Hvilken informasjon lagres: IP-addresse, enhetsidentifikator, krasjlog / stack traces ved feil i appen