Denne erklæring har til formål at forklare, hvordan Drevelin Nordic indsamler, opbevarer og bruger personoplysninger. 

Formål med behandling

Formålet med behandlingen af personoplysninger er at modtage bestillinger fra hospitaler og videresende disse til producenten, så de bestilte produkter kan produceres og leveres i overensstemmelse med bestillingen.

Behandling af personlige data

Vi behandler kun et begrænset antal personoplysninger:

• Patient-ID
• Fødselsår
• I nogle tilfælde: patientens navn

Når ordren er sendt videre til producenten i Argentina, kun patient-id'et er sendt. Dette kan ikke spores til patienten af uautoriserede parter. 

Juridisk grundlag for behandling

Behandlingen af personoplysninger er baseret på: 

• GDPR artikel 6, stk. 1, litra f) - legitim interesse, for at muliggøre korrekt bestilling og produktion.
• GDPR artikel 9, stk. 2, litra h) - behandling er nødvendig til formål relateret til levering af sundhedsydelser (via hospitalets ordre).

Hvordan data deles

• Hospital: Sender bestillingssedlen til os.
• Producent i Argentina: Modtager kun patient-id'et. Ingen direkte identificerbare oplysninger overføres til lande uden for Europa.
• Tekniske udbydere: Vi bruger Microsoft 365 til opbevaring og behandling af oplysninger. Microsoft leverer databehandlingsaftaler i overensstemmelse med GDPR, herunder mekanismer til dataoverførsler uden for EØS.

Overførsel til tredjelande

Producenten er placeret i Argentina. Overførsel af data finder sted i overensstemmelse med GDPR kapitel V. Vi overfører kun pseudonymiserede data (patient-ID), som ikke kan knyttes til patienten uden oplysninger, der udelukkende opbevares af hospitalet. Risikoen for patientens privatliv anses derfor for at være meget lav. 

Retention Period

Vi opbevarer personoplysninger, så længe det er nødvendigt for at opfylde formålet med behandlingen (administration af ordren) og i overensstemmelse med gældende lovkrav. Data slettes eller anonymiseres, når de ikke længere er nødvendige. 

Dine rettigheder

Patienter har rettigheder i henhold til GDPR, herunder: 

• Ret til adgang, berigtigelse og sletning
• Ret til begrænsning af behandling
• Ret til at gøre indsigelse
• Ret til dataportabilitet (hvor det er relevant)

Da dataene modtages fra hospitalet og pseudonymiseres før videresendelse, kan vi i nogle tilfælde henvise anmodninger direkte til hospitalet som ansvarlig for patientens sundhedsdata. 

Informationssikkerhed

Vi har implementeret tekniske og organisatoriske foranstaltninger for at beskytte personoplysninger mod uautoriseret adgang, ændring, tab eller videregivelse. Al behandling foregår i sikre systemer, primært Microsoft 365, med adgangskontrol og kryptering.

Kontakt os

Hvis du har spørgsmål om, hvordan vi behandler personoplysninger, kan du kontakte os på: Info@drevelin.com

Hvis du mener, at vores behandling er i strid med databeskyttelsesloven, har du ret til at indgive en klage til det norske datatilsyn eller den relevante tilsynsmyndighed i dit land.