Personvernerklæring for Journalhjelp

Sist oppdatert: 27. oktober 2025

1. Innledning

Denne personvernerklæringen forklarer hvordan Journalhjelp AS ("Journalhjelp", "vi" eller "oss") samler inn, bruker, lagrer og beskytter personopplysninger når du bruker vår dokumentasjonstjeneste på journalhjelp.no.

Vi er dedikert til å beskytte ditt personvern og behandle personopplysninger på en sikker, transparent og lovlig måte i samsvar med personvernforordningen (GDPR), personopplysningsloven, helseregisterloven, pasientjournalloven og annen relevant lovgivning.

2. Behandlingsansvarlig og Databehandlerroller

2.1 Journalhjelps Rolle

Journalhjelp opptrer i to forskjellige roller avhengig av hvilke data som behandles:

Som behandlingsansvarlig:
For brukerdata knyttet til din bruk av tjenesten (innloggingsinformasjon, kontaktinformasjon, betalingsinformasjon) er Journalhjelp behandlingsansvarlig.

Som databehandler:
For pasientopplysninger og helseopplysninger som lastes opp i tjenesten er Journalhjelp databehandler. Du som lege/helsepersonell er behandlingsansvarlig for disse opplysningene.

2.2 Ditt Ansvar som Behandlingsansvarlig

Som behandlingsansvarlig for pasientopplysninger er du ansvarlig for:

  • Å ha lovlig grunnlag for å behandle pasientopplysningene
  • Å overholde taushetsplikten og journalføringsplikten

2.3 Journalhjelp er IKKE Ansvarlig for Journalføring

Journalhjelp er ikke behandlingsansvarlig eller dataansvarlig for eventuelle journalpliktige helseopplysninger som behandles i tilknytning til din bruk av tjenesten. Dette ansvaret påhviler deg som lege eller helsepersonell.

3. Hvilke Personopplysninger Vi Samler Inn

Vi samler inn og behandler følgende kategorier av personopplysninger:

3.1 Brukerinformasjon (Langtidslagring)

Obligatorisk for bruk av tjenesten:

  • E-postadresse (brukes til innlogging og kommunikasjon)
  • Passord (lagres kryptert)
  • Brukernavn/bruker-ID

Valgfritt - permanent lagring hvis du velger det:

  • Fullt navn
  • HPR-nummer (Helsepersonellregisteret)
  • Telefonnummer
  • Arbeidsadresse/praksisadresse

Disse opplysningene brukes kun til funksjonalitet i tjenesten (f.eks. automatisk utfylling av lege-signatur) og deles IKKE med tredjeparter.

3.2 Pasientopplysninger (24-timers lagring)

Når du laster opp pasientjournaler eller annen pasientinformasjon, kan dette inkludere:

  • Helseopplysninger
  • Diagnose- og behandlingsinformasjon
  • Medisinsk historie
  • Demografisk informasjon om pasienter
  • Annen journalpliktig informasjon

Pseudonymisering: Pasientdata som lagres (i inntil 24 timer) er pseudonymisert slik at den ikke inneholder pasientens personalia.

VIKTIG: Alle pasientopplysninger slettes automatisk innen 24 timer etter opplasting.

3.3 Teknisk Informasjon

For drift og sikkerhet samler vi inn:

  • IP-adresse
  • Enhetstype og operativsystem
  • Nettlesertype og -versjon
  • Tidspunkt for pålogging og bruk
  • Feillogger og tekniske hendelser

Denne informasjonen brukes kun til teknisk drift, sikkerhet og feilsøking.

3.4 Betalingsinformasjon

Vi samler inn:

  • Faktureringsinformasjon (navn, adresse, organisasjonsnummer)
  • Betalingshistorikk
  • Abonnementsstatus

Selve betalingskortinformasjon behandles av vår betalingsleverandør og lagres ikke hos Journalhjelp.

3.5 Kommunikasjonsdata

Korrespondanse via:

  • E-post
  • Supporthenvendelser
  • Tilbakemeldinger

4. Formål med Behandlingen

Vi behandler personopplysninger for følgende formål:

4.1 Levering av Tjenesten (Rettslig grunnlag: Avtale - GDPR art. 6(1)(b))

  • Tilby dokumentasjonsverktøy
  • Behandle opplastede pasientjournaler
  • Generere dokumentasjonsforslag
  • Levere analyser og assistanse

4.2 Brukeradministrasjon (Rettslig grunnlag: Avtale - GDPR art. 6(1)(b))

  • Administrere brukerkontoer
  • Håndtere innlogging og autentisering
  • Tilpasse tjenesten til brukerens preferanser

4.3 Kundeservice (Rettslig grunnlag: Berettiget interesse - GDPR art. 6(1)(f))

  • Besvare henvendelser
  • Yte teknisk support
  • Løse problemer og klager

4.4 Fakturering (Rettslig grunnlag: Avtale og juridisk forpliktelse - GDPR art. 6(1)(b) og (c))

  • Håndtere betalinger
  • Utstede fakturaer
  • Føre regnskap

4.5 Sikkerhet og Forebygging av Misbruk (Rettslig grunnlag: Berettiget interesse - GDPR art. 6(1)(f))

  • Oppdage og forhindre sikkerhetstrusler
  • Forebygge uautorisert tilgang
  • Beskytte mot svindel og misbruk
  • Sikre systemintegritet

4.6 Forbedring av Tjenesten (Rettslig grunnlag: Berettiget interesse - GDPR art. 6(1)(f))

  • Analysere bruksmønstre (anonymisert)
  • Utvikle og forbedre tjenesten
  • Optimalisere brukeropplevelse
  • Identifisere og rette feil

VIKTIG: Forbedring av tjenesten skjer ALDRI basert på pasientopplysninger. Vi bruker kun anonymisert bruksdata, tekniske logger, tilbakemeldinger fra brukere og møter med brukere.

4.7 Juridiske Forpliktelser (Rettslig grunnlag: Juridisk forpliktelse - GDPR art. 6(1)(c))

  • Overholde regnskapsloven
  • Svare på lovlige henvendelser fra myndigheter
  • Oppfylle krav i personvernlovgivningen

5. Behandlingsgrunnlag for Særlige Kategorier Personopplysninger

Pasientopplysninger og helseopplysninger er "særlige kategorier personopplysninger" etter GDPR artikkel 9, som krever særskilt behandlingsgrunnlag:

Når du laster opp pasientopplysninger til Journalhjelp, skjer behandlingen basert på:

  • GDPR art. 9(2)(h): Behandling er nødvendig for formål knyttet til forebyggende eller arbeidsmedisin, medisinsk diagnose, tilrettelegging av helsehjelp, eller forvaltning av helsetjenester
  • Pasientjournalloven: Din taushetsplikt og journalføringsplikten som helsepersonell
  • Helseregisterloven: Pasientens rett til helsehjelp og ditt ansvar som behandler

Du er ansvarlig for å vurdere om det er lovlig grunnlag for å laste opp pasientopplysninger til Journalhjelp i hvert enkelt tilfelle.

6. Lagringstid

6.1 Pasientopplysninger

Slettes automatisk etter 24 timer

ALL pasientdata slettes permanent og irreversibelt innen 24 timer etter opplasting. Dette inkluderer:

  • Opplastede pasientjournaler
  • Genererte sammendrag og notater
  • Midlertidige filer
  • Cache og mellomlager

Du kan også slette data manuelt før 24-timersfristen via tjenesten.

Data kan IKKE gjenopprettes etter sletting. Du må sikre at nødvendig informasjon er lagret før sletting.

6.2 Brukerinformasjon

Lagres så lenge du har en aktiv brukerkonto, og i inntil 90 dager etter at kontoen er slettet (for å håndtere eventuelle tvister eller krav).

6.3 Betalings- og Faktureringsinformasjon

Lagres i henhold til regnskapsloven (minimum 5 år etter regnskapsårets slutt).

6.4 Tekniske Logger

Lagres i inntil 90 dager for sikkerhet og feilsøking, deretter automatisk slettet eller anonymisert.

6.5 Kommunikasjonsdata

Lagres så lenge det er nødvendig for å håndtere din henvendelse, normalt inntil 2 år.

7. Deling av Personopplysninger

7.1 Vi Deler IKKE Pasientopplysninger

Journalhjelp deler ALDRI pasientopplysninger eller helseopplysninger med tredjeparter, med unntak av:

  • Våre underleverandører som er nødvendige for å levere tjenesten (se punkt 7.3)
  • Når vi er pålagt ved lov

7.2 Vi Deler IKKE Brukerinformasjon til Kommersielle Formål

Vi selger ikke eller deler ikke brukerinformasjon til tredjeparter for markedsføringsformål.

7.3 Underleverandører (Underdatabehandlere)

Vi bruker følgende underleverandører i EØS for å levere tjenesten:

Microsoft Azure

  • Formål: Infrastruktur, prosessering og lagring
  • Lokasjon: Oslo, Norge
  • Sertifisering: ISO 27001, SOC 2

Vercel

  • Formål: Hosting av nettside
  • Lokasjon: EØS
  • Sertifisering: SOC 2

Alle underleverandører er nøye utvalgt og har inngått databehandleravtaler som sikrer at de behandler personopplysninger i samsvar med GDPR.

7.4 Deling ved Juridisk Krav

Vi kan dele informasjon hvis vi er lovpålagt, for eksempel:

  • Ved rettskjennelse eller pålegg fra myndigheter
  • For å beskytte våre juridiske rettigheter
  • Ved mistanke om lovbrudd der vi har opplysningsplikt

8. Overføring til Land Utenfor EØS

All databehandling skjer innenfor EØS. Vi overfører ikke personopplysninger til land utenfor EØS.

Skulle det i fremtiden bli nødvendig å overføre data til tredjeland, vil vi:

  • Varsle deg om dette
  • Sikre tilstrekkelige garantier (f.eks. EU-standardkontrakter)
  • Innhente ditt samtykke der dette kreves

9. Informasjonssikkerhet

9.1 Sikkerhetstiltak

Vi har implementert tekniske og organisatoriske sikkerhetstiltak for å beskytte personopplysninger, inkludert:

Tekniske tiltak:

  • Kryptering av data i transitt (TLS/SSL)
  • Kryptering av data ved lagring
  • Sikker autentisering og tilgangskontroll
  • Regelmessige sikkerhetsoppdateringer
  • Automatisk sletting av sensitive data etter 24 timer
  • Pseudonymisering av pasientdata
  • Logging og overvåking av systemaktivitet

Du er ansvarlig for:

  • Å beskytte ditt passord og innloggingsinformasjon
  • Å bruke sikre enheter og nettverk
  • Å logge ut etter bruk på delte enheter
  • Å rapportere mistanke om sikkerhetsbrudd umiddelbart

9.2 Personvernbrudd

Ved personvernbrudd som kan medføre risiko for dine rettigheter og friheter, vil vi:

  • Varsle Datatilsynet uten ugrunnet opphold og senest innen 72 timer
  • Varsle deg direkte hvis det er høy risiko for dine rettigheter
  • Iverksette tiltak for å begrense skaden

10. Dine Rettigheter

Du har følgende rettigheter etter GDPR:

10.1 Rett til Innsyn (GDPR art. 15)

Du har rett til å få vite:

  • Hvilke personopplysninger vi behandler om deg
  • Formålene med behandlingen
  • Kategorier av mottakere
  • Lagringstid
  • Dine øvrige rettigheter

10.2 Rett til Retting (GDPR art. 16)

Du har rett til å få rettet unøyaktige eller ufullstendige personopplysninger.

10.3 Rett til Sletting (GDPR art. 17)

Du har rett til å få slettet personopplysninger når:

  • De ikke lenger er nødvendige
  • Du trekker tilbake samtykke
  • Du motsetter deg behandlingen
  • Opplysningene er behandlet ulovlig

Merk: Pasientopplysninger slettes automatisk etter 24 timer. Visse opplysninger kan ikke slettes hvis vi har juridisk plikt til å oppbevare dem (f.eks. fakturaer).

10.4 Rett til Begrensning (GDPR art. 18)

Du kan be om at behandlingen av dine personopplysninger begrenses mens vi vurderer riktigheten eller lovligheten av behandlingen.

10.5 Rett til Dataportabilitet (GDPR art. 20)

Du har rett til å motta personopplysninger du har gitt oss i et strukturert, alminnelig anvendt og maskinlesbart format, og å overføre disse til en annen behandlingsansvarlig.

10.6 Rett til Innsigelse (GDPR art. 21)

Du har rett til å protestere mot behandling som er basert på berettiget interesse eller oppgaveløsning i allmennhetens interesse.

10.7 Rett til å Ikke Bli Gjenstand for Automatiserte Avgjørelser (GDPR art. 22)

Journalhjelp tar ikke automatiserte avgjørelser med juridiske konsekvenser for deg. Alt generert innhold må gjennomgås og godkjennes av deg som lege.

10.8 Rett til å Trekke Tilbake Samtykke

Hvis behandlingen er basert på samtykke, kan du når som helst trekke tilbake samtykket. Dette påvirker ikke lovligheten av behandlingen før tilbaketrekkingen.

10.9 Utøvelse av Rettigheter

For å utøve dine rettigheter, kontakt oss på:

  • E-post: kontakt@journalhjelp.no

Vi svarer på din henvendelse innen 30 dager. Hvis henvendelsen er kompleks, kan vi forlenge fristen med ytterligere 60 dager, og vi vil informere deg om dette.

10.10 Klagerett

Du har rett til å klage til Datatilsynet hvis du mener vi behandler personopplysninger i strid med personvernlovgivningen:

Datatilsynet

  • E-post: postkasse@datatilsynet.no
  • Nettside: www.datatilsynet.no

11. Cookies og Sporingsteknologi

Journalhjelp bruker cookies for å:

  • Opprettholde din innlogging
  • Huske dine preferanser

Vi bruker Plausible Analytics (cookieless) for anonymisert statistikk om bruk av tjenesten. Dette verktøyet bruker ikke cookies og samler ikke personopplysninger.

Du kan administrere eller slette cookies via nettleserens innstillinger. Merk at hvis du blokkerer nødvendige cookies, kan tjenesten slutte å fungere.

12. Endringer i Personvernerklæringen

Vi kan oppdatere denne personvernerklæringen for å reflektere endringer i vår praksis, lovgivning, teknologi eller tjenestens funksjonalitet.

13. Kontaktinformasjon

For spørsmål om personvern, behandling av personopplysninger, eller for å utøve dine rettigheter, kontakt oss på:

Journalhjelp AS
VM-paviljongen, 7034 Trondheim
E-post: kontakt@journalhjelp.no

Ved å bruke Journalhjelp bekrefter du at du har lest og forstått denne personvernerklæringen.