Datenschutzbestimmungen

In dieser Erklärung wird erläutert, wie Drevelin Nordic personenbezogene Daten sammelt, speichert und verwendet. 

Zweck der Verarbeitung

Zweck der Verarbeitung personenbezogener Daten ist es, Bestellungen von Krankenhäusern entgegenzunehmen und diese an den Hersteller weiterzuleiten, damit die bestellten Produkte auftragsgemäß produziert und geliefert werden können.

Verarbeitung personenbezogener Daten

Wir verarbeiten nur eine begrenzte Anzahl von personenbezogenen Daten:

  • Patienten-ID
  • Geburtsjahr
  • In einigen Fällen: Name des Patienten

Wenn die Bestellung an den Hersteller in Argentinien weitergeleitet wird, nur die Patienten-ID gesendet wird. Dies kann von Unbefugten nicht bis zum Patienten zurückverfolgt werden. 

Rechtsgrundlage für das Verfahren

Die Verarbeitung der personenbezogenen Daten erfolgt auf der Grundlage: 

  • Datenschutzgrundverordnung Artikel 6 Absatz 1 Buchstabe f. - berechtigtes Interesse, um eine korrekte Bestellung und Produktion zu ermöglichen.
  • GDPR Artikel 9 Absatz 2 Buchstabe h) - die Verarbeitung ist für Zwecke im Zusammenhang mit der Erbringung von Gesundheitsdienstleistungen erforderlich (im Auftrag des Krankenhauses).

Wie die Daten weitergegeben werden

  • Krankenhaus: Schickt das Bestellformular an uns.
  • Hersteller in Argentinien: Erhält nur die Patienten-ID. Es werden keine direkt identifizierbaren Informationen außerhalb Europas übermittelt.
  • Technische Dienstleister: Wir verwenden Microsoft 365 für die Speicherung und Verarbeitung von Informationen. Microsoft bietet Datenverarbeitungsverträge im Einklang mit der GDPR, einschließlich Mechanismen für Datenübertragungen außerhalb des EWR.

Transfer in Drittländer

Der Hersteller befindet sich in Argentinien. Die Übermittlung von Daten erfolgt gemäß GDPR Kapitel V. Wir übermitteln nur pseudonymisierte Daten (Patienten-ID), die nicht mit dem Patienten in Verbindung gebracht werden können, ohne dass die Informationen ausschließlich im Besitz des Krankenhauses sind. Das Risiko für die Privatsphäre der Patienten wird daher als sehr gering eingestuft. 

Retention Period

Wir bewahren personenbezogene Daten so lange auf, wie es zur Erfüllung des Verarbeitungszwecks (Verwaltung des Auftrags) und in Übereinstimmung mit den geltenden gesetzlichen Bestimmungen erforderlich ist. Die Daten werden gelöscht oder anonymisiert, wenn sie nicht mehr benötigt werden. 

Ihre Rechte

Die Patienten haben nach der Datenschutz-Grundverordnung Rechte, unter anderem: 

  • Recht auf Auskunft, Berichtigung und Löschung
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Widerspruch
  • Recht auf Datenübertragbarkeit (falls zutreffend)

Da die Daten vom Krankenhaus empfangen und vor der Weiterleitung pseudonymisiert werden, können wir in einigen Fällen Anfragen direkt an das Krankenhaus als den für die Gesundheitsdaten des Patienten Verantwortlichen weiterleiten. 

Informationssicherheit

Wir haben technische und organisatorische Maßnahmen ergriffen, um personenbezogene Daten vor unbefugtem Zugriff, Veränderung, Verlust oder Offenlegung zu schützen. Die gesamte Verarbeitung erfolgt in sicheren Systemen, in erster Linie Microsoft 365, mit Zugangskontrolle und Verschlüsselung.

Kontakt

Wenn Sie Fragen zur Verarbeitung personenbezogener Daten durch uns haben, können Sie sich an uns wenden: Info@drevelin.com

Wenn Sie der Meinung sind, dass unsere Verarbeitung gegen das Datenschutzrecht verstößt, haben Sie das Recht, eine Beschwerde bei der norwegischen Datenschutzbehörde (Datatilsynet) oder der zuständigen Aufsichtsbehörde in Ihrem Land einzureichen.