Retningslinjer for personvern

Denne erklæringen har til hensikt å forklare hvordan Drevelin Nordic samler inn, lagrer og bruker personopplysninger. 

Formålet med behandlingen

Formålet med behandlingen av personopplysninger er å motta bestillinger fra sykehusene og videresende disse til produsenten, slik at de bestilte produktene kan produseres og leveres i henhold til bestillingen.

Behandling av personopplysninger

Vi behandler bare et begrenset antall personopplysninger:

  • Pasient-ID
  • Fødselsår
  • I noen tilfeller: pasientens navn

Når bestillingen videresendes til produsenten i Argentina, bare pasient-ID blir sendt. Dette kan ikke spores tilbake til pasienten av uvedkommende. 

Juridisk grunnlag for saksbehandling

Behandlingen av personopplysninger er basert på: 

  • GDPR artikkel 6 nr. 1 bokstav f) - berettiget interesse, for å muliggjøre korrekt bestilling og produksjon.
  • GDPR artikkel 9 nr. 2 bokstav h) - behandlingen er nødvendig for formål knyttet til levering av helsetjenester (via sykehusets bestilling).

Hvordan dataene deles

  • Sykehus: Sender bestillingsskjemaet til oss.
  • Produsent i Argentina: Mottar kun pasient-ID. Ingen direkte identifiserbar informasjon overføres utenfor Europa.
  • Tekniske leverandører: Vi bruker Microsoft 365 for lagring og behandling av informasjon. Microsoft tilbyr databehandleravtaler i tråd med GDPR, inkludert mekanismer for dataoverføring utenfor EØS.

Overføring til tredjeland

Produsenten er lokalisert i Argentina. Overføring av data skjer i henhold til GDPR kapittel V. Vi overfører kun pseudonymiserte data (pasient-ID), som ikke kan knyttes til pasienten uten informasjon som kun sykehuset har. Risikoen for pasientens personvern anses derfor som svært lav. 

Retention Period

Vi oppbevarer personopplysninger så lenge det er nødvendig for å oppfylle formålet med behandlingen (administrasjon av bestillingen) og i samsvar med gjeldende lovkrav. Opplysningene slettes eller anonymiseres når de ikke lenger er nødvendige. 

Dine rettigheter

Pasienter har rettigheter i henhold til GDPR, blant annet 

  • Rett til innsyn, retting og sletting
  • Rett til begrensning av behandling
  • Rett til å protestere
  • Rett til dataportabilitet (der det er aktuelt)

Siden dataene mottas fra sykehuset og pseudonymiseres før de videresendes, kan vi i noen tilfeller henvise forespørsler direkte til sykehuset som behandlingsansvarlig for pasientens helseopplysninger. 

Informasjonssikkerhet

Vi har iverksatt tekniske og organisatoriske tiltak for å beskytte personopplysningene mot uautorisert tilgang, endring, tap eller utlevering. All behandling skjer i sikre systemer, primært Microsoft 365, med tilgangskontroll og kryptering.

Kontakt oss

Hvis du har spørsmål om hvordan vi behandler personopplysninger, kan du kontakte oss på Info@drevelin.com

Hvis du mener at vår behandling er i strid med personvernlovgivningen, har du rett til å klage til Datatilsynet eller den relevante tilsynsmyndigheten i ditt land.