Tietosuojakäytäntö

Tämän selvityksen tarkoituksena on selittää, miten Drevelin Nordic kerää, tallentaa ja käyttää henkilötietoja. 

Käsittelyn tarkoitus

Henkilötietojen käsittelyn tarkoituksena on vastaanottaa sairaaloiden tilaukset ja välittää ne valmistajalle, jotta tilatut tuotteet voidaan valmistaa ja toimittaa tilauksen mukaisesti.

Henkilötietojen käsittely

Käsittelemme vain rajoitettua määrää henkilötietoja:

  • Potilaan tunnus
  • Syntymävuosi
  • Joissakin tapauksissa: potilaan nimi

Kun tilaus toimitetaan valmistajalle Argentiinaan, vain potilastunnus lähetetään. Asiattomat tahot eivät voi jäljittää tätä potilaan luo. 

Menettelyn oikeusperusta

Henkilötietojen käsittely perustuu: 

  • GDPR 6 artiklan 1 kohdan f alakohta - oikeutettu etu, jotta tilaukset ja tuotanto voidaan tehdä oikein.
  • GDPR 9 artiklan 2 kohdan h alakohta. - käsittely on tarpeen terveydenhuoltopalvelujen tarjoamiseen liittyviä tarkoituksia varten (sairaalan tilauksesta).

Miten tietoja jaetaan

  • Sairaala: Lähettää tilauslomakkeen meille.
  • Valmistaja Argentiinassa: Vastaanottaa vain potilastunnuksen. Suoraan tunnistettavia tietoja ei siirretä Euroopan ulkopuolelle.
  • Tekniset palveluntarjoajat: Käytämme Microsoft 365 -palvelua tietojen tallentamiseen ja käsittelyyn. Microsoft tarjoaa GDPR:n mukaisia tietojenkäsittelysopimuksia, mukaan lukien mekanismit tietojen siirtämiseksi ETA:n ulkopuolelle.

Siirto kolmansiin maihin

Valmistaja sijaitsee Argentiinassa. Tietojen siirto tapahtuu GDPR:n luvun V mukaisesti. Siirrämme vain pseudonymisoituja tietoja (potilastunnus), joita ei voida yhdistää potilaaseen ilman sairaalan yksinomaisesti hallussa olevia tietoja. Potilaan yksityisyyteen kohdistuvaa riskiä pidetään näin ollen hyvin pienenä. 

Retention Period

Säilytämme henkilötietoja niin kauan kuin se on tarpeen käsittelyn tarkoituksen (tilauksen hallinnointi) täyttämiseksi ja sovellettavien oikeudellisten vaatimusten mukaisesti. Tiedot poistetaan tai anonymisoidaan, kun niitä ei enää tarvita. 

Oikeutesi

Yleisen tietosuoja-asetuksen mukaan potilailla on muun muassa seuraavat oikeudet: 

  • Oikeus tutustua tietoihin, oikaista ne ja poistaa ne rekisteristä
  • Oikeus käsittelyn rajoittamiseen
  • Oikeus vastustaa
  • Oikeus tietojen siirrettävyyteen (tarvittaessa)

Koska tiedot vastaanotetaan sairaalasta ja ne pseudonymisoidaan ennen niiden välittämistä, voimme joissakin tapauksissa osoittaa pyynnöt suoraan sairaalalle, joka on potilaan terveystietojen rekisterinpitäjä. 

Tietoturva

Olemme toteuttaneet teknisiä ja organisatorisia toimenpiteitä henkilötietojen suojaamiseksi luvattomalta käytöltä, muuttamiselta, häviämiseltä tai paljastamiselta. Kaikki käsittely tapahtuu suojatuissa järjestelmissä, ensisijaisesti Microsoft 365:ssä, jossa on pääsynvalvonta ja salaus.

Ota yhteyttä

Jos sinulla on kysyttävää siitä, miten käsittelemme henkilötietoja, voit ottaa meihin yhteyttä osoitteeseen: Info@drevelin.com

Jos uskot, että käsittelymme rikkoo tietosuojalainsäädäntöä, sinulla on oikeus tehdä valitus Norjan tietosuojaviranomaiselle (Datatilsynet) tai maasi toimivaltaiselle valvontaviranomaiselle.