Personvern
Personvernerklæring og databehandleravtale for bruk av ECG247
1 Vern av personopplysninger
Appsens AS er et ansvarlig foretak som har utviklet og drifter tjenester knyttet til bruk av ECG247 hjerteovervåker med tilhørende tjenester. Denne personvernerklæringen med vilkår inneholder opplysninger du har krav på når det samles inn opplysninger fra vår digitale plattform og generell informasjon om hvordan vi behandler personopplysninger.
Hensikten med vilkårene er å gi deg som kunde tilstrekkelig informasjon om hvordan vi behandler personopplysninger om deg i tråd med den til enhver tid gjeldende personvernlovgivning. Med personopplysninger menes informasjon som kan knyttes til en fysisk person, eksempelvis opplysninger om navn, bosted, telefonnummer og e-postadresse. Med behandling siktes det til enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering.
Vi samler inn informasjon i ECG247 app, ved bruk av ECG247 hjerteovervåker og fra ECG247 portal. Alle medisinske data lagres i tråd med regelverket for helseopplysninger.
Appsens er opptatt av å behandle personopplysninger på en måte som gjør at du kan føle deg trygg på at opplysninger om deg er underlagt streng konfidensialitet og høy sikkerhet. Vi benytter derfor 2-faktor autentisering som er den beste metoden for å sikre at du logger deg inn på riktig måte i våre systemer, og at du på ulike måter kan verifisere hvem du er. Her benyttes en kombinasjon av brukernavn, passord, telefonnummer og en kode du mottar på SMS. All datakommunikasjonen og lagring er kryptert slik at uvedkommende ikke skal få tilgang.
2 Samtykke til behandling av personopplysninger, herunder helseopplysninger
Ved aksept av vilkårene ved opprettelse av brukerprofil på Appsens digitale plattform (se pkt. 5), bekrefter du at du har lest, forstått og samtykker til innholdet i dette dokumentet og til vår behandling av dine personopplysninger, herunder helseopplysninger. For personer under 16 år er samtykke av dens foresatte eller verge påkrevd. Hvis barn under 16 år likevel ved en feil har gitt oss personopplysninger, vil vi slette opplysningene så snart vi blir oppmerksomme på forholdet. Foresatte kan kontakte oss som angitt i pkt. 15.
Du kan når som helst trekke tilbake ditt samtykke til at vi oppbevarer og behandler dine personopplysninger, herunder helseopplysningene (se pkt. 3). Personopplysningene vil da slettes som nærmere angitt i punkt 12 nedenfor. Merk at tjenestene vi leverer og ECG247 hjerteovervåker ikke lenger kan benyttes dersom du trekker tilbake samtykket til behandling av personopplysninger.
Selv om samtykket trekkes tilbake, vil vi fortsatt kunne benytte innsamlede opplysninger som ikke er personopplysninger. Dette er altså opplysninger som ikke kan knyttes til deg som person – enten fordi de aldri har hatt slik tilknytning, eller fordi vi har fjernet tilknytningen, slik at opplysningene ikke lenger kan spores til deg som person.
3 Arkiv for registrering av hjerterytme (EKG)
Når du tar i bruk ECG247 app på din mobiltelefon som forbruker og aksepterer vilkårene for bruk, opprettes et personlig arkiv for dine hjerterytmeregistreringer (EKG), der du har full kontroll på dine lagrede opplysninger. Appsens har etablert dette som en sikker tjeneste for lagring av helseopplysninger og dette arkivet oppfyller krav gitt av personvernregelverket GDPR og krav for lagring av medisinske opplysninger. Alle data lagres i Norge/Europa. Alle data er kryptert.
Du kan velge å dele dine hjerterytmeopplysninger med andre personer som for eksempel din fastlege, men du har full kontroll over hvem du har delt opplysningene med. Du kan når som helst trekke tilbake et samtykke til å dele opplysninger med andre. Dette vil medføre at gjeldende person ikke lenger vil ha tilgang til dine data.
Samtykke til deling og tilbaketrekking av samtykke gjøres i ECG247 app.
For ECG247 tester initiert av helsepersonell via SMS lenke eller invitasjonskode vil aktuelle lege/helsepersonell ha tilgang til dine EKG opptak automatisk. Ta evt kontakt med vedkommende for å slette dine data. Tester initiert av helsepersonell kan gjennomføres uten lagring av persondata ved bruk av en såkalt koblingsnøkkel/ID-kode (pseudonymisering).
4 Lagring og behandling av personopplysninger og avidentifiserte opplysninger
Appsens behandler personopplysninger som er nødvendige for at du kan nyttiggjøre deg av våre tjenester. Dessuten gjennomfører vi analyser for å kunne forbedre tjenestetilbudet. Slike analyser vil gjennomføres ved bruk av aggregerte og avidentifiserte opplysninger. Disse opplysningene vil ikke kunne knyttes til deg som person.
5 Appsens digitale plattform – nærmere om tekniske løsninger
Med Appsens digitale plattform menes nettside, nettbutikk, ECG247 app og ECG247 nettportal med tilhørende lagringsløsning, samt datavarehus og integrasjonsplattform.
Opphavsretten, øvrige rettigheter og innhold i Appsens digitale plattform tilhører Appsens AS eller dets underleverandører og samarbeidspartnere.
5.1 ECG247 app
Dersom du registrerer deg i ECG247 app på din mobiltelefon som forbruker, blir det opprettet en personlig profil knyttet til ditt mobilnummer. For denne funksjonen benyttes programvaren Google Firebase for 2-faktor autentisering og innlogging.
For å overvåke at ECG247 app fungerer som den skal på din mobiltelefon vil programvaren Google Crashlytics sende oss anonyme brukerdata med rapport om eventuelle feil slik at vi kan rette disse.
ECG247 app vil automatisk motta hjerterytmesignaler fra ECG247 sensor, og laste disse data opp i ditt personlige arkiv for hjerterytme (se pkt. 3). Eventuelle hjerterytmeforstyrrelser vil varsles i ECG247 appen. Videre kan du fra ECG247 app dele dine hjerterytmeregistreringer med andre personer, for eksempel din fastlege.
Du kan også fra ECG247 app bestille nye elektroder eller bestille en kardiologivurdering av din hjerterytmetest.
5.2 Personlig arkiv for hjerterytmeregistering (EKG) (se ogå pkt. 3)
Dine hjerterytmedata (EKG) er trygt lagret i vår skytjeneste basert på Microsoft Azure med sikker kryptert datalagring i Norge i tråd med gjeldende regelverk. Dette arkivet inneholder:
- Identifikasjonsdata: navn (valgfritt), fødselsdato (valgfritt), adresse (valgfritt), risikoscore (valgfritt) og telefonnummer ELLER koblingsnøkkel
- Start- og sluttdato for hjerterytmeregistrering
- Funn fra ECG247 arytmianalyse
- Eventuell utarbeidet rapport over gjennomført hjerterytmeregistrering
- Eventuell rapport fra kardiologivurdering
- Oversikt over hvem du har delt dine hjerterytmeregistreringer med
- Benyttet operativsystem, versjonsnummer for app og sensorprogramvare
5.3 ECG 247 nettportal
Via ECG247 nettportal kan du få tilgang til dine registrerte EKG-registreringer. Disse er tilrettelagt for vurdering av lege/helsepersonell og krever medisinsk kunnskap for å tolke. Ved innlogging benytter vi programvaren Google Firebase for 2-faktor autentisering.
5.4 Aksept for deling av avidentifiserte hjerterytmeregistreringer
Når du som forbruker i ECG247 app aksepterer vilkår og betingelser omfatter dette at du samtykker til at Appsens AS kan bruke dine hjerterytmeregistreringer til forskningsformål og kvalitetssikring. Dine data blir avidentifisert på en slik måte at det ikke er mulig å spore informasjonen tilbake til deg som person. Vi benytter slike data til å forbedre produktet og algoritmene som benyttes for deteksjon av unormale hjerterytmer/arytmier.
Appsens AS har ikke tilgang til hjerterytmeregistreringer tilhørende helseinstitusjoner (inviterte tester) og kan følgelig ikke bruke slike data til forskning eller kvalitetssikring.
5.5 Hvilke personopplysninger behandles og hvorfor?
Vi samler inn personopplysninger for følgende formål:
- For å analysere hjerterytmeregistreringer
- For å kunne administrere ditt kundeforhold. Personlige profilinnstillinger lagres for at vi skal kunne sende deg automatiske kvitteringer og/eller nyhetsbrev i tråd med dine ønsker.
- Endringer i profil lagres som informasjon hos kundeservice ved henvendelse fra kunde.
- Kortdata lagres ved bestillinger dersom du ønsker å ha tilgang til kvitteringer og kjøpshistorikk, samt eventuelle rabatter.
- Elektronisk og teknisk informasjon, herunder informasjon om din mobile enhet og app. App-versjon, operativsystem og telefonmodell lagres slik at vi skal kunne hjelpe deg best mulig ved behov.
- Dersom du kontakter vår kundeservice vil kontakten loggføres for å kunne yte best mulig hjelp.
For å unngå misbruk av våre tjenester vil vi benytte oss av registrerte data til kontrollformål. Personopplysninger avidentifiseres før data benyttes til analyse av kundeatferd. Dette gjøres for at vi skal kunne forbedre brukeropplevelsen og vår digitale plattform.
5.6 Kjøp av kardiologivurdering
ECG247 app gir deg tilgang til å kjøpe kardiologvurderinger av testresultater. Du vil også kunne få tilgang til kvitteringer for dine kjøp. Ved kjøp av kardiologvurdering må du oppgi:
- Telefonnummer
- E-postadresse
- Betalingsinformasjon
- Navn
Alle kjøp og betaling håndteres av betalingsformidleren som opptrer som databehandler på vegne av Appsens.
6 ECG247.com, nettbutikk og datavarehus
ECG247 APP gir deg muligheter for å bestille ny sensor og elektrodeplaster. Du kan også kjøpe ECG247 sensor og elektrodeplaster direkte uten å være innlogget i ECG247 app. Du må registrere følgende opplysninger:
- Mobilnummer
- E-postadresse
- Postadresse
- Betalingsinformasjon
Registrering av mobilnummer gjøres for å kunne gi deg god og effektiv kundeservice. Dersom mobiltelefonnummeret allerede finnes i vårt kunderegister, vil kjøpet knyttes til eksisterende kundeprofil.
Ved betaling legger du inn kortdata for belastning slik at kjøpet skal kunne gjennomføres. Alle kjøp og betaling håndteres av betalingsformidleren som opptrer som databehandler på vegne av Appsens.
Appsens vil behandle personopplysningene slik at vi kan tilby deg relevante tjenester, samt nødvendig kommunikasjon og administrasjon av ditt kundeforhold. Dersom du har samtykket til elektronisk markedsføring vil du også motta informasjon med tilbud og nyheter fra Appsens.
6.1 Kortbetalinger
Kortnummer oppbevares ikke utover det som er nødvendig for å sikre effektiv håndtering av eventuelle problemer med belastning, oppheving av reservasjon og kreditering. Det er ikke mulig for Appsens å se hele ditt kortnummer i noen av våre systemer. Skulle det oppstå problemer med en kortbetaling kan betalingsansvarlige hos oss finne de 6 første og de 4 siste sifrene i ditt kortnummer (IIN/BIN nummer) for å identifisere hvilken bank som har utstedt kortet slik at vi kan bistå i å løse problemet.
Velger du kort som betalingsmetode vil betalingsopplysninger og kortopplysninger bli delt med vår betalingsleverandør for kortbetaling. Betalings- og kortopplysninger blir kun brukt til å utføre en betaling.
Informasjonen du oppgir ved nettbetaling vil kun være knyttet til din kundekonto. Informasjonen er lagret i henhold til gjeldende lover.
6.2 Informasjonskapsler (cookies og pixels)
Informasjonskapsler er små tekstfiler som lagres på din enhet når du laster ned en nettside. Disse brukes vanligvis til å forbedre din brukeropplevelse og huske hvem du er, slik at du forblir innlogget.
Formålet med informasjonskapsler er å gi nettsiden grunnleggende funksjonalitet, og for analyse, personalisering og markedsføring. Førsteparts informasjonskapsler er nødvendige for at websiden skal fungere. Tredjeparts informasjonskapsler blir brukt til analyser, markedsføring og personalisering av websiden. Du samtykker til bruk av informasjonskapsler med mindre du reserverer deg særskilt mot dette. Slik reservasjon kan gjøres i din nettleser. Vær oppmerksom på at din reservasjon mot alle/enkelte typer informasjonskapsler kan medføre at nettsidene våre ikke fungerer optimalt.
6.3 Samtykke til elektronisk markedsføring
Du må aktivt samtykke til at personopplysninger blir benyttet i direkte markedsføring. Du kan når som helst trekke tilbake ditt samtykke.
7 Stedsdata
ECG247-appen trenger tilgang til posisjonen din. Plassering brukes bare for overføring av data fra ECG247-sensoren til ECG247-appen. Posisjonsdataene dine vil under ingen omstendigheter brukes til sporing eller annonsering. Ingen stedsdata lagres for senere bruk.
8 Er det frivillig å gi fra seg opplysningene?
Det er frivillig å gi fra seg personopplysninger, men for å kunne benytte ECG247 hjerteovervåker, må grunnleggende persondata registreres, jf. pkt. 2.
9 Hvem er behandlingsansvarlig i Appsens AS?
Appsens AS ved administrerende direktør er behandlingsansvarlig etter personopplysningsloven for virksomhetens behandling av personopplysninger. Med behandlingsansvarlig menes den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes.
Vi har også utpekt et personvernombud som skal sikre at vår behandling av personopplysninger skjer i tråd med gjeldende regelverk. Vårt personvernombud er teknisk leder (CTO).
10 Hva er det rettslige grunnlaget?
Appsens AS forholder seg til personopplysningsloven og helseregisterloven. Det rettslige grunnlaget for vår behandling er nedfelt i personopplysningsloven § 8, helseregisterloven § 5 samt personvernforordningen artikkel 6 nr. 1. Ditt samtykke av vilkårene i denne erklæringen er det rettslige grunnlaget for vår behandling av dine personopplysninger, herunder dine helseopplysninger. Ved annen bruk enn det som kommer frem av denne erklæringen, vil vi innhente spesifikke samtykker.
11 Er mine personopplysninger sikre?
Du kan være trygg på at opplysninger om deg ikke misbrukes av Appsens AS som behandlingsansvarlig for de personopplysningene vi behandler. Alle personlige opplysninger blir forsvarlig lagret og fortrolig behandlet i Norge eller innenfor EU/EØS-området henhold til:
- Personopplysningsloven av 14. april 2000 nr. 31 med tilhørende forskrifter
- Bransjenormen for informasjonssikkerhet og personvern i helse og omsorgstjenesten
- Payment Card Industry Data Security Standard (PCI DSS).
Vi har etablert regler og rutiner for beskyttelse av personopplysninger og personvern. For å sikre at behandlingen av opplysninger hos oss skjer på en sikker måte, er det kun spesielt godkjente personer som har tilgang til informasjonen du gir oss. Antallet ansatte med slik godkjenning er begrenset. Alle systemer som behandler kundedata, er underlagt streng tilgangsstyring. Vi tar personvern på alvor og gjennomfører og oppdaterer regelmessig risikovurderinger knyttet til personvern.
Vi er pålagt å oppbevare ordreinformasjon i forbindelse med regnskapsføring, avgiftshåndtering og eventuell garanti-/returhåndtering. Denne historikken slettes etter ti år.
Utover det som følger av pkt. 11 nedenfor, vil dine personopplysninger ikke bli utlevert til tredjepart, med mindre du har gitt oss samtykke til at slik utlevering kan skje.
En overordnet informasjonssikkerhetspolicy setter rammer og føringer for til enhver tid gjeldende informasjonssikkerhetsplan. Vårt personvernombud er ansvarlig for løpende oppfølging av dette. Det føres oversikt over alle systemer med kritiske data, deriblant personopplysninger.
12 Utleveres opplysningene til andre?
Som en del av vår forretningsvirksomhet benyttes underleverandører. Dersom en underleverandør må behandle personopplysninger på våre vegne, sikres personvernet gjennom databehandleravtaler.
Databehandlerne er underlagt strenge vilkår fra vår side og kan ikke bruke personopplysningene for noe annet formål enn å yte tjenesten som er avtalt med oss. Vi tar forholdsregler for å forsikre oss om at underleverandørene opptrer i samsvar med denne personvernerklæringen, egne databehandleravtaler og norsk personvernlovgivning.
Dersom det er pålagt ved lov eller det er mistanke om at det er begått lovbrudd i forbindelse med bruk av våre tjenester, vil informasjonen vi har lagret om deg kunne utleveres til offentlige myndigheter.
13 Hvordan arkiveres og slettes opplysningene?
Vi vil ikke lagre dine personopplysninger lenger og i større grad enn nødvendig for å oppfylle de formålene som er angitt i denne personvernerklæring, med mindre en lengre lagringsperiode er pålagt i henhold til gjeldende lovgivning. Oppbevaring av avidentifiserte opplysninger er ikke gjenstand for slik begrensinger eller krav.
AppSens har rutiner for sletting og avidentifisering. Du kan selv også slette din profil, eventuelt få hjelp til dette fra vår Kundeservice ved å sende mail til: slettbruker@ecg247.com. Dersom du velger å slette profilen din, vil dine personopplysninger slettes. Du kan da ikke lenger kunne benytte ECG247 for registrering av hjerterytmen. Dine kvitteringer vil som følge av slettingen bli anonyme.
14 Hva er dine rettigheter og valgmuligheter?
Du har rett til å:
- Få vite hvilke opplysninger vi har registrert om deg (med de begrensningene som følger av gjeldende lovgivning)
- Kreve at feilaktige, unødvendige, mangelfulle eller utdaterte personopplysninger rettes, suppleres eller fjernes
- Trekke tilbake eventuelle samtykker til å behandle personopplysninger som du har gitt oss. Vær likevel oppmerksom på at dette kan føre til at vi ikke lenger kan levere enkelte av våre tjenester.
Du kan utøve dine rettigheter ved å kontakte kundeservice. Se ECG247.com for kontaktinformasjon.
Appsens er opptatt av å føre en ansvarlig og bærekraftig forretningsvirksomhet. Dersom du mener at vi ikke følger denne personvernerklæringen eller gjeldende lovgivning, kan du klage til Appsens, vårt personvernombud eller eventuelt til Datatilsynet.
Personvernerklæringen med vilkår vil bli oppdatert fra tid til annen bl.a. som følge av at tjenestene utvides eller endres, og vi vil varsle deg dersom dette krever nytt samtykke fra deg. Den til enhver tid gjeldende versjonen av vilkårene finner du på ECG247.com Ved større endringer vil vi også kunne forsøke å kontakte deg direkte gjennom tilgjengelige kanaler som eksempelvis e-post eller varsler på våre nettsteder og digitale tjenester.
15 Våre rettigheter
Enhver rett til samtlige av Appsens AS’ produkter og løsninger mv er beskyttet av opphavsrettslige regler. Dette omfatter, men er ikke begrenset til, oppbygging av og designet på ECG247 Smart Sensor System, algoritmer, kildekoder, app-design mv. Enhver kommersiell utnyttelse av disse er forbudt uten forutgående skriftlig avtale med Appsens AS, eller våre underleverandører og samarbeidspartnere. Dette gjelder både kopiering, videreformidling og salg av informasjon, bilder, grafiske elementer, programkoder og tekniske løsninger. Du har ikke rett til å forsøke å omgå sikkerhetssystemet til Appsens digitale plattform. Brudd på dette punkt kan medføre erstatningsansvar og straffeansvar.
Hvordan kontakte oss?
Kontaktinformasjon finner du på ECG247.com
Appsens AS
Senterveien 30
4790 Lillesand
Norge
12.10.2023