Rettslig dokument
Personvernerklæring
Virkeområde
Denne erklæringen gjelder behandling av personopplysninger i forbindelse med bruk av Vidd — en applikasjon for lydopptak og automatisk transkripsjon av medisinske konsultasjoner, tilgjengelig via Google Play og Apple App Store.
Erklæringen beskriver hvilke opplysninger som behandles, på hvilket rettslig grunnlag, og hvilke rettigheter den registrerte har etter EUs personvernforordning (GDPR), norsk personopplysningslov og gjeldende krav til informasjonssikkerhet i helse- og omsorgstjenesten.
Behandlingsansvarlig
Behandlingsansvarlig for personopplysninger beskrevet i denne erklæringen er:
Vidd Medical AS
Org.nr. 932 256 150
Trondheimsveien 184, 0570 Oslo
dev@viddmedical.com · www.viddmedical.com
Roller ved klinisk bruk
Ved bruk av Vidd i helsevirksomhet vil den aktuelle virksomheten normalt være behandlingsansvarlig for pasientopplysningene, mens Vidd Medical AS opptrer som databehandler og behandler opplysninger utelukkende etter den behandlingsansvarliges dokumenterte instrukser, jf. GDPR artikkel 28.
Forholdet reguleres av en skriftlig databehandleravtale som inngås mellom Vidd Medical AS og den aktuelle helsevirksomheten før behandling påbegynnes. Forespørsler om databehandleravtale rettes til dev@viddmedical.com.
Innsamlede personopplysninger
Følgende kategorier av personopplysninger behandles i forbindelse med tjenesten:
| Kategori | Opplysninger | Merknad |
|---|---|---|
| Lydopptak | Opptak av medisinske konsultasjoner | Aktiveres manuelt av helsepersonell. Krever mikrofontillatelse. Kan inneholde helseopplysninger (særlige kategorier, jf. GDPR art. 9). |
| Brukerdata | Navn, e-postadresse og brukeridentifikator | Innhentes ved registrering og benyttes for autentisering og tilgangsstyring. |
| Tekniske data | Enhetstype, operativsystem, appversjon og nettverksstatus | Nødvendig for drift og feilhåndtering. Feillogger pseudonymiseres. |
Applikasjonen innhenter ikke opplysninger om lokasjon, kontakter, kalender eller andre enhetsfunksjoner utover det som fremgår av tabellen over.
Formål og rettslig grunnlag
Personopplysninger behandles utelukkende for følgende formål og på angitt rettslig grunnlag:
| Formål | Rettslig grunnlag |
|---|---|
| Levering av tjenesten | Avtale, jf. GDPR art. 6 nr. 1 bokstav b |
| Medisinsk journalføring | Rettslig forpliktelse, jf. GDPR art. 6 nr. 1 bokstav c, jf. helsepersonelloven § 39 |
| Behandling av helseopplysninger | GDPR art. 9 nr. 2 bokstav h, jf. helsepersonelloven § 39 |
| Drift, sikkerhet og tjenesteutvikling | Berettiget interesse, jf. GDPR art. 6 nr. 1 bokstav f |
Personopplysninger benyttes ikke til reklame, markedsføring eller profilering.
Utlevering til tredjeparter
Personopplysninger utleveres ikke til tredjeparter for kommersielle formål. Utlevering kan skje til underleverandører som er nødvendige for å levere tjenesten — herunder leverandører av skyinfrastruktur, teknisk drift og transkripsjon — forutsatt at det er inngått databehandleravtale i samsvar med GDPR artikkel 28. Samtlige underleverandører er kontraktsmessig forpliktet til å behandle opplysningene utelukkende etter Vidd Medical AS sine instrukser.
Utlevering kan videre skje dersom dette er påkrevd ved lov eller av kompetente myndigheter med lovhjemmel. Overføring til tredjeland skjer kun dersom gyldig overføringsgrunnlag etter GDPR kapittel V foreligger.
Lagring og sletting
Personopplysninger lagres på infrastruktur lokalisert innenfor EØS. Lydopptak og genererte dokumenter oppbevares i samsvar med helsepersonelloven § 40 og journalforskriften, som fastsetter en minimumsperiode på 10 år etter siste journalføring. Øvrige opplysninger slettes eller anonymiseres så snart formålet er oppfylt.
Brukere kan når som helst anmode om sletting av sin brukerkonto og tilhørende data som ikke er underlagt lovpålagt oppbevaringsplikt, ved henvendelse til dev@viddmedical.com.
Informasjonssikkerhet
Vidd Medical AS gjennomfører tekniske og organisatoriske sikkerhetstiltak i samsvar med GDPR artikkel 32 og Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten:
| Tiltak | Beskrivelse |
|---|---|
| Transportkryptering | All kommunikasjon mellom applikasjonen og servere krypteres med TLS. |
| Lagringskryptering | Sensitive data på enheten krypteres med EncryptedSharedPreferences. |
| Tilgangskontroll | Biometrisk autentisering og rollebasert tilgangsstyring begrenser tilgang til opplysningene. |
| Bruddvarsling | Personvernbrudd varsles Datatilsynet innen 72 timer, jf. GDPR art. 33, og berørte registrerte der dette er påkrevd etter art. 34. |
Den registrertes rettigheter
I henhold til GDPR kapittel III har den registrerte følgende rettigheter:
| Rettighet | Innhold |
|---|---|
| Innsyn (art. 15) | Rett til å få bekreftet om og hvilke opplysninger som behandles. |
| Retting (art. 16) | Rett til retting av uriktige eller ufullstendige opplysninger. |
| Sletting (art. 17) | Rett til sletting, med mindre lovpålagt oppbevaringsplikt gjelder. |
| Begrensning (art. 18) | Rett til å begrense behandlingen i nærmere angitte tilfeller. |
| Dataportabilitet (art. 20) | Rett til å motta opplysninger i et strukturert, maskinlesbart format. |
| Protest (art. 21) | Rett til å protestere mot behandling basert på berettiget interesse. |
| Tilbaketrekking av samtykke | Der behandling er basert på samtykke, kan dette til enhver tid trekkes tilbake uten at det berører lovligheten av forutgående behandling. |
Rettigheter utøves ved skriftlig henvendelse til dev@viddmedical.com. Henvendelser besvares innen 30 dager. Klage over behandlingen kan rettes til Datatilsynet.
Tillatelser i applikasjonen
Applikasjonen benytter følgende enhetstillatelser:
| Tillatelse | Formål |
|---|---|
| Mikrofon | Nødvendig for lydopptak av konsultasjoner. Aktiveres utelukkende ved bevisst handling fra brukeren. Tillatelsen kan tilbakekalles i enhetens innstillinger, noe som vil deaktivere opptaksfunksjonaliteten. |
| Internett | Nødvendig for overføring av opptak til transkripsjon og synkronisering av dokumenter. |
Endringer i erklæringen
Erklæringen oppdateres ved vesentlige endringer i tjenesten eller gjeldende regelverk. Dato for siste oppdatering fremgår øverst i dette dokumentet. Registrerte brukere varsles om vesentlige endringer i applikasjonen.
Kontakt
Henvendelser om denne erklæringen, utøvelse av rettigheter eller forespørsler om databehandleravtale rettes til:
Vidd Medical AS
Trondheimsveien 184, 0570 Oslo
dev@viddmedical.com · www.viddmedical.com