Personvernerklæring

1. Behandlingsansvarlig

Journalhjelp AS er behandlingsansvarlig for behandlingen av personopplysninger som beskrevet i denne erklæringen.

2. Hvilke personopplysninger samler vi inn?

Brukerinformasjon:

• Navn og kontaktinformasjon (fra BankID/Google autentisering)
• E-postadresse
• Arbeidssted og rolle (fastlege, helsesekretær, etc.)
• Profesjonell autorisasjon (verifisering av helsepersonell-status)

Journaldata:

• Opplastede PDF-journaler fra EMR-systemer (Infodoc, WebMed, etc.)
• Automatisk anonymiserte utdrag fra journaler
• Genererte skjemaer og dokumenter
• Metadata om journalbehandling (tidspunkt, EMR-system, etc.)

Tekniske data:

• Påloggingslogger og bruksmønstre
• IP-adresser for sikkerhet og feilsøking
• Nettleserinformasjon og enhetsdata
• Systemytelse og feilrapporter

3. Rettslig grunnlag for behandling

Vi behandler personopplysninger basert på følgende rettslige grunnlag i henhold til GDPR:

• Artikkel 6(1)(b) - Avtaleoppfyllelse: For å levere AI-assisterte journaltjenester i henhold til brukertiltalevilkårene
• Artikkel 6(1)(f) - Berettiget interesse: For systemsikkerhet, feilsøking og forbedring av tjenester
• Artikkel 9(2)(h) - Medisinsk formål: For behandling av helseopplysninger i forbindelse med automatisert journalbehandling
• Artikkel 9(2)(j) - Allmenn interesse: For kvalitetssikring av helsetjenester og medisinsk dokumentasjon

4. Hvordan bruker vi opplysningene?

• AI-drevet journalanalyse: Automatisk utdrag av relevant informasjon fra pasientjournaler
• Skjemautfylling: Automatisk populering av NAV-skjemaer og andre medisinske dokumenter
• Smart søk: AI-assistert søk i journalinnhold og medisinsk dokumentasjon
• Kvalitetssikring: Verifisering og forbedring av AI-generert innhold
• Brukerautentisering: Sikker pålogging via BankID og Google
• Kundesupport: Teknisk støtte og brukerhjelp
• Sikkerhet: Overvåking av uautorisert tilgang og systemtrusler
• Tjenesteutvikling: Anonymisert analyse for forbedring av AI-modeller og brukeropplevelse

5. Datasikkerhet og -lagring

Tekniske sikkerhetstiltak:

• Ende-til-ende kryptering: AES-256 kryptering av all dataoverføring og lagring
• Azure EU-nordregion: All data behandles utelukkende i Microsoft Azure EU-datasentre
• Automatisk anonymisering: Deidentifiseringsalgoritme fjerner PII før AI-behandling
• 24-timers datasletting: Pasientjournaler slettes automatisk innen 24 timer
• Zero-trust arkitektur: Multi-faktor autentisering og rollbasert tilgangskontroll
• SOC2-kompatibel infrastruktur: Continuous monitoring og audit-logging

Lagringsperioder:

• Opplastede journaler: Slettes automatisk innen 24 timer
• Anonymiserte resultater: Oppbevares i 12 måneder eller til brukeren sletter dem
• Genererte skjemaer: Lagres så lenge brukerkontoen er aktiv
• Brukerkontodata: Oppbevares så lenge kontoen er aktiv + 3 år etter avslutning
• Audit-logger: Oppbevares i 12 måneder for sikkerhetshensyn

6. Dine rettigheter

Som registrert har du følgende rettigheter i henhold til GDPR:

• Rett til innsyn (Art. 15): Be om kopi av dine personopplysninger
• Rett til retting (Art. 16): Få rettet unøyaktige eller ufullstendige opplysninger
• Rett til sletting (Art. 17): Be om sletting av dine opplysninger ("rett til å bli glemt")
• Rett til begrensning (Art. 18): Begrense behandlingen av dine opplysninger
• Rett til dataportabilitet (Art. 20): Få dine data i strukturert, maskinlesbart format
• Rett til innsigelse (Art. 21): Protestere mot behandling av dine opplysninger
• Retten til å ikke være gjenstand for automatiserte avgjørelser (Art. 22)

For å utøve disse rettighetene, kontakt oss på: kontakt@journalhjelp.no

7. Deling med tredjeparter

Vi deler kun personopplysninger med tredjeparter når det er nødvendig for å levere våre tjenester eller når det kreves av lov.

Databehandlere (i henhold til Art. 28):

Alle databehandlere er bundet av strenge databehandleravtaler som sikrer GDPR-compliance og begrenser behandlingen til spesifiserte formål.

Vi deler ALDRI data til:

• Markedsføringsselskaper eller annonseplattformer
• Databrokers eller tredjepartsanalytikk
• Sosiale medier eller tracking-tjenester
• Uautoriserte tredjeparter for kommersielle formål

8. Internasjonale overføringer

• All infrastruktur er lokalisert i Microsoft Azure EU-nordregion (Stockholm/Dublin)
• Ingen overføring til tredjeland utenfor EU/EØS
• Compliant med Schrems II-kjennelsen og nye standardkontraktbestemmelser
• Kontinuerlig overvåking av databehandleres compliance-status

9. Cookies og sporingsteknologier

Journalhjelp bruker kun strengt nødvendige cookies for funksjonalitet og sikkerhet:

Vi bruker IKKE cookies for sporing, annonsering eller tredjepartsanalyse. Se vår fullstendige cookie-policy for mer informasjon.

10. Databrudd og varsling

I tilfelle et databrudd vil vi:

• Varsle Datatilsynet innen 72 timer (Art. 33)
• Informere berørte brukere uten unødig opphold hvis det er høy risiko (Art. 34)
• Dokumentere hendelsen og tiltak som er iverksatt
• Gjennomføre grundig rotårsaksanalyse og forbedring av sikkerhetstiltak

11. Barn og unge

Journalhjelp er kun beregnet på autorisert helsepersonell over 18 år. Vi behandler ikke bevisst personopplysninger fra personer under 16 år, unntatt som pasientinformasjon i medisinske journaler som behandles av autorisert helsepersonell.

12. Endringer i personvernerklæringen

Vi kan oppdatere denne personvernerklæringen fra tid til annen. Ved vesentlige endringer vil vi:

• Informere deg via e-post minst 30 dager før endringene trer i kraft
• Publisere en oppdatert versjon på vår nettside med tydelig datering
• Be om nytt samtykke hvis det kreves av loven
• Tilby deg muligheten til å avslutte kontoen hvis du ikke aksepterer endringene

13. Klagerett og tilsyn

Du har rett til å klage til tilsynsmyndigheten dersom du mener vi behandler personopplysningene dine i strid med personvernregelverket:

14. Kontakt oss

Har du spørsmål om denne personvernerklæringen eller vår behandling av personopplysninger?