PERSONVERNERKLÆRING ASSISTERT SELVHJELP
Sist oppdatert 02.09.2021
Assistert Selvhjelp AS («Assistert Selvhjelp») utvikler teknologi for å lage internettassistert behandling som man i kombinasjon med faginnhold kan bruke til å utvikle «Mestringsverktøy». Assistert Selvhjelp er behandlingsansvarlig for innhenting og bruk av personopplysninger som gjøres via nettstedet assistertselvhjelp.no og tilhørende digitale tjenester («Nettsider»). Samlet sett kan Nettsider og Mestringsverktøy beskrives som «Tjenester».
VÅR BEHANDLING AV PERSONOPPLYSNINGER
Assistert Selvhjelp lagrer personopplysninger i henhold til denne personvernerklæringen og Tjenesteavtalen (for Virksomheter).
Personvernerklæringen beskriver hvilke personopplysninger vi samler inn ved besøk på våre Nettsider og ved bruk av våre Tjenester, samt hvordan vi behandler disse. Denne erklæringen inneholder også detaljert informasjon om våre løsninger og underleverandører. Dette har vi gjort for å være transparente. Behandling av personopplysningene skjer innenfor rammen av til enhver tid gjeldende lov og forskrift. Dersom det foreligger lovbestemt opplysningsplikt overfor offentlig myndighet, vil registrerte personopplysninger bli overlevert i henhold til myndighetenes krav.
Personopplysninger hentes inn for at Assistert Selvhjelp skal kunne utføre de oppgaver og tjenester vi er pålagt å utføre i henhold til lov, forskrift og/eller avtale. Når vi behandler personopplysninger, gjøres det i samsvar med personopplysningsloven, som gjør EUs personvernforordning («GDPR») til norsk lov. Personopplysningene kan utleveres til tredjepart som Assistert Selvhjelp samarbeider med, så vel innenfor som utenfor EØS- og EU-området for at vi skal kunne utføre de oppgaver og tjenester vi er pålagt å utføre i henhold til lov, forskrift og/eller avtale, og i tråd med denne personvernserklæringen.
Personopplysninger som ikke lenger er nødvendige eller tjener hensikt ut fra det formål de er lagret for vil bli slettet fortløpende.
Personvernerklæringen inneholder spesifikke avsnitt basert på hvordan Tjenestene brukes, samt generell informasjon som gjelder uavhengig av bruksmåte. Før du kjøper eller bruker Tjenester fra Assistert Selvhjelp, anbefaler vi at du gjør deg kjent med innholdet i denne.
DE VIKTIGSTE TILFELLENE AV PERSONOPPLYSNINGSBEHANDLING
1. «Sluttbrukere» får tilgang til våre Tjenester av en Virksomhet
Assistert Selvhjelp lagrer ingen personopplysninger som er direkte identifiserbare når du bruker Tjenesten. Du vil som regel være mulig for Fagpersonen i Virksomheten du fikk tilgang av å identifisere deg. Du kan gi Virksomheten tilgang til dine data første gang du bruker Tjenesten, og du kan når som helst gi eller trekke tilbake Virksomhetens tilgang, eller slette dine data under Innstillinger. Hensikten med dette er at du skal få best mulig oppfølging. Så lenge det er mulig for Fagpersonen å identifisere deg vil dine data regnes som personopplysninger.
Se utfyllende beskrivelse under Sluttbrukere
2. «Privatpersoner» benytter betalingsløsning på nettsiden for å få tilgang til våre Tjenester
Dersom du kjøper tilgang til Tjenesten direkte fra Nettsiden som Privatperson vil personopplysninger om deg lagres hos av tredjepartsleverandør for betalingsløsningen. Assistert Selvhjelp verken ønsker eller har behov for personopplysninger av denne art, og vi har gjort tiltak for å hindre at person- og betalingsopplysningene om deg knyttes til bruk av selve Tjenesten. Trenger du kvittering må både Assistert Selvhjelp og Stripe lagre e-postadressen din for å kunne sende ut kvittering. Assistert Selvhjelp sletter lagrede e-postadresser når kvitteringen er sendt. Klarer du deg uten kvittering vil ikke Assistert Selvhjelp ha tilgang på personopplysninger om deg.
Se utfyllende beskrivelse under Privatpersoner
3. «Fagpersoner» er ansatte i en Virksomhet som tilbyr Tjenesten.
«Virksomheter» er organisasjoner, foretak eller private virksomheter som tilbyr Tjenesten til Sluttbrukere, for eksempel en helsetjeneste eller fastlege. Assistert Selvhjelp oppbevarer personopplysninger om Fagpersoner som arbeider i Virksomhetene som tilbyr våre Tjenester for å gi tilgang til funksjonalitet og for å sikre oppfølging av kundeforholdet.
PERSONVERNERKLÆRING ASSISTERT SELVHJELP
1. Sluttbrukere
OPPLYSNINGER VI BEHANDLER
Sluttbrukeres registreringer ved bruk av Tjenesten er ikke direkte personidentifiserbare når de behandles av Assistert Selvhjelp. Det gjøres ved at vi:
- benytter unike og randomiserte tilgangskoder bestående av tilfeldige tegn for å levere Tjenesten
- aldri spør om navn, epost, telefon eller annet som kan identifisere person, og;
- aldri legger opp til registrering av identifiserbare personopplysninger ved bruk av Tjenesten
- aktivt krypterer og fjerner IP-adresser, og/eller unngår at disse kobles til andre data som registreres
Eksempler på opplysninger som lagres ved bruk av Tjenesten:
- Standardiserte svar/svarkategorier relatert til spørsmål og oppgaver om atferd, emosjoner, tanker og opplevelse av ulike situasjoner
- Hvilket innhold som er gjennomgått
- Oversikt over scoringer på kartleggingsverktøy, for eksempel kartlegging av symptomer på angst og depresjon
- Automatisk informasjon om dato/klokkeslett for innlogging, og tidsbruk
- Klikkstrøm-data, type operativsystem og nettleser og andre brukeropplysninger som en er en del av tjenesteanalysen
- Evaluering og tilbakemeldinger knyttet til bruk av Tjenestene
Formålet med å lagre slike opplysningene er å:
- kunne finne tilbake til der man avsluttet
- gi oversikt over registreringer i Tjenestene
- sikre best mulig utbytte av å bruke Tjenesten, for eksempel finne frem til mest relevant innhold i forhold til problemstilling
- gi mulighet for å følge utvikling i perioden Tjenesten brukes
- kvalitetssikre, forbedre og utvikle Tjenestene
ivareta sikkerhet og opprettholde drift
PERSONOPPLYSNING NÅR DU DELER DATA
Så lenge det er mulig for Fagpersonen å identifisere Sluttbrukere vil det som registreres ved bruk av Tjenesten regnes som personopplysninger. Dette blir aktuelt når du velger å dele dine data med Virksomheten. Dine data vil da bli tilgjengelig for Fagpersoner i Virksomheten der du får oppfølging.
Formålet med funksjonalitet for å dele data er at Fagpersoner skal kunne:
- følge fremdrift og bruk hos den som følges opp i forkant av avtaler
- tilpasse arbeidsmengde mellom oppfølgingstimer best mulig
- ha et bedre grunnlag for å vurdere nytteverdi og effekt
DU BESTEMMER
Dersom du ønsker å gi Virksomheten tilgang til dine data kan du gi godkjenning ved første innlogging i Tjenesten. Du kan gi og trekke tilbake Virksomhetens tilgang når som helst via Innstillinger.
Hvis du ikke godkjenner virksomhetens tilgang, eller ikke svarer på spørsmål ved første innlogging, vil Fagpersoner i Virksomheten ikke ha mulighet til å se dine data, og forberede oppfølging deretter.
TIDSBEGRENSNING
Hvis du har valgt å dele data vil du etter 22 uker få opp et spørsmål om du fortsatt får oppfølging fra Virksomheten:
Dersom du velger «Ja» vil det samme spørsmålet komme på nytt når det er gått 22 nye uker.
Dersom du velger «Nei» vil dine data ikke lenger være tilgjengelig for Virksomheten du fikk oppfølging fra.
Hvis du ikke gjør et valg innen 26 uker, vil dine data ikke være tilgjengelig for Virksomheten. Du kan gi virksomheten tilgang på nytt ved en senere anledning etter behov.
ANONYMISERING
Du kan bruke Tjenesten helt anonymt eller slette dine data når som helst. Det er i denne forbindelse noen spesifikke betingelser som gjelder for Sluttbrukere ut fra nettstedet du bruker til innlogging. Det er også spesifikke betingelser som gjelder for sammenstilling av gruppedata. Nettstedet er ikke valgfritt, men bestemmes ut fra Virksomheten du fikk tilgang til Tjenesten av.
Les mer i avsnitt LOGG INN FRA ASSISTERTSELVHJELP.NO og LOGG INN FRA HELSENORGE.NO
LOGG INN FRA ASSISTERTSELVHJELP.NO
ANONYMISERING
For å få tilgang til Tjenesten brukes en unik kode som deles ut til deg som er Sluttbruker. Virksomheten lagrer ofte koden din på et sikret område, for eksempel i din journal. Når du deler data kan fagpersonen følge din utvikling og forberede oppfølging. Det er kun koden som vises i funksjonaliteten som virksomheten har tilgang på. Så lenge det er mulig for Fagpersoner å koble din bruk av Tjenesten til deg som person gjennom tilleggsopplysninger i journal (eller lignende), regnes dine registreringer som personopplysninger.
ENDRE KODE
Du kan endre koden ved å gå til Innstillinger når du har logget inn. Ved å endre kode vil du ledes trinnvis gjennom en prosess som gir deg en ny unik kode, som virksomheten ikke har tilgang på. Koden du fikk av Virksomheten vil da bli inaktiv/ugyldig.
Så lenge du deler data med Virksomheten vil de fortsatt ha mulighet til å identifisere deg fordi den gamle koden vises i deres oversikt. Når du har endret kode, og ikke lenger deler data med Virksomheten, er dine data kun synlig for Assistert Selvhjelp.
Ved videre bruk av Tjenesten vil dine data ikke lenger regnes som personopplysninger, siden Assistert Selvhjelp ikke på noe tidspunkt innhenter eller lagrer data som kan identifisere deg.
LOGG INN FRA HELSENORGE.NO
ANONYMISERING
Når en Virksomhet tildeler tilgang til Tjenesten via Helsenorge.no, opprettes en pseudonymisert kode av Helsenorge.no, slik at Assistert Selvhjelp ikke lagrer direkte identifiserbare personopplysninger. Når du ikke deler data med Virksomheten du fikk oppfølging fra, vil dine registeringer ikke være tilgjengelig for Fagpersoner i Virksomheten. Hos Assistert Selvhjelp er det ingen data som kan knyttes til deg som person.
SLETTING
Du kan slette alle data/registreringer under Innstillinger. Dette bør du kun gjøre dersom oppfølging fra Virksomheten er avsluttet og/eller du ikke ønsker å benytte Tjenesten i fremtiden. Det vil også være mulig for Virksomheter og Verktøyforvaltere hos Helsenorge.no å se sletteregistreringer gjort av Sluttbrukere ved behov.
SAMMENSTILLING OG UTLEVERING AV GRUPPEDATA
Opplysninger som ikke kan knyttes til en person vil så lenge de ikke aktivt slettes, være tilgjengelig for ansatte i Assistert Selvhjelp i våre arkiv og benyttes til å analysere funksjonalitet, og til sammenstilling av gruppedata.
Virksomheter vil ha tilgang til sammenstilling av egne gruppedata. Verktøyforvaltere hos Helsenorge.no vil i tillegg til gruppedata på Virksomhetsnivå ha tilgang til samlede gruppedata fra alle Sluttbrukere som får tilgang fra Helsenorge.no. Formålet med å med dette er å kvalitetssikre, forbedre og tilpasse Tjenestene, samt å vurdere nytte og effekt for å øke nytte og utbytte ved bruk av Tjenestene. Ettersom opplysninger behandles på et statistisk eller aggregert nivå, vil de ikke utgjøre personopplysninger.
INNSYN OG RETTING
Assistert Selvhjelp lagrer ikke opplysninger om Sluttbrukere som de ikke har tilgang på selv.
Siden Assistert Selvhjelp ikke kan identifisere Sluttbrukere basert på opplysninger vi har tilgang på, frarådes i det i utgangspunktet å rette en anmodning om innsyn som vil medføre identifikasjon, for eksempel med bruk av epost. Ved å logge inn med tilgangskoden vil de opplysninger som er registrert være tilgjengelig.
Feilregistrering under bruk av Tjenesten vil som oftest ha begrenset praktisk betydning. Dersom du likevel ønsker å rette feilregistrering er det viktig at du benytter tilbakemeldingsskjema etter innlogging, og beskriver hva som skal rettes kort og presist. Ved innsending kan Assistert Selvhjelp automatisk se en unik kode for hver innsender. Det er ikke teknisk mulig for Assistert Selvhjelp å gi tilbakemelding om at rettingen er utført, men retting vil av feilregistrering vil utføres så snart som mulig, normalt innen 7 virkedager.
Vi anbefaler deg å rette henvendelser til ansatte i Virksomheten hvor du får oppfølging, slik at disse eventuelt kan rette en henvendelse på vegne av deg uten at du blir identifisert.
Dersom du likevel velger å henvende deg til Assistert Selvhjelp, på bakgrunn av ønske om retting eller innsyn i lagrede opplysninger, vil kommunikasjon som identifiserer deg slettes forløpende, så snart anmodningen kan anses som oppfylt.
2. Privatpersoner
OPPLYSNINGER VI BEHANDLER
OPPLYSNINGER SOM ASSISTERT SELVHJELP LAGRER
Privatpersoners registreringer ved bruk av Tjenesten er ikke direkte personidentifiserbare når de behandles av Assistert Selvhjelp. Det gjøres ved at vi:
- benytter unike og randomiserte tilgangskoder bestående av tilfeldige tegn for å levere Tjenesten
- aldri spør om navn, epost, telefon eller annet som kan identifisere person, og;
- aldri legger opp til registrering av identifiserbare personopplysninger ved bruk av Tjenesten
- aktivt krypterer og fjerner IP-adresser, og/eller unngår at disse kobles til andre data som registreres
Eksempler på opplysninger som lagres ved bruk av Tjenesten:
- Standardiserte svar/svarkategorier relatert til spørsmål og oppgaver om atferd, emosjoner, tanker og opplevelse av ulike situasjoner
- Hvilket innhold som er gjennomgått
- Oversikt over scoringer på kartleggingsverktøy, for eksempel kartlegging av symptomer på angst og depresjon
- Automatisk informasjon om dato/klokkeslett for innlogging, og tidsbruk
- Klikkstrøm-data, type operativsystem og nettleser og andre brukeropplysninger som en er en del av tjenesteanalysen
- Evaluering og tilbakemeldinger knyttet til bruk av Tjenestene
Formålet med å lagre slike opplysningene er å:
- kunne finne tilbake til der man avsluttet
- gi oversikt over registreringer i Tjenestene
- sikre best mulig utbytte av å bruke Tjenesten, for eksempel finne frem til mest relevant innhold i forhold til problemstilling
- gi mulighet for å følge utvikling i perioden Tjenesten brukes
- kvalitetssikre, forbedre og utvikle Tjenestene
- ivareta sikkerhet og opprettholde drift
BEHANDLING AV PERSONOPPLYSNINGER
For å hindre at Assistert Selvhjelp får tilgang på Privatpersoners identitet bruker vi Stripe som betalingsløsning. Stripe fjerner persondata og kort-informasjon for Assistert Selvhjelp med unntak av IP-adressen og de 4 siste sifre på kortet. Stripe har likevel ikke tilgang til tilgangskoden din, eller andre data knyttet til denne. Formålet med å lagre denne betalingsinformasjonen er å kunne gi dokumentasjon på kjøp og å kunne tilby tilbakebetaling.
For oppfølging av kontrakten og relatert arbeid, er Assistert Selvhjelp behandlingsansvarlig og har behandlingsgrunnlag i GDPR artikkel 6 nr. 1 bokstav b (oppfyllelse av kontrakt) og artikkel 9 nr. 2 bokstav h (yting av helsetjeneste).
For selve betalingsløsningen er tilbyder av betalingstjeneste den behandlingsansvarlige.
Assistert Selvhjelp oppbevarer personopplysninger knyttet til betaling kun i den utstrekning det er nødvendig for å tilby Tjenesten og dokumentasjon på kjøp, og sletter disse løpende så snart dette kan anses som oppfylt. Du kan på anmodning få se alle personopplysningene som er registrert om deg, og be om retting av eventuelle feil. Ved slik kommunikasjon vil vi slette kommunikasjonsloggen så snart anmodningen kan anses som oppfylt.
Vi understreker at du har tilgang på alle opplysninger som du har registrert ved gjennomgang og bruk av Tjenesten, og som følgelig er lagret om deg, når du er logget inn med tilgangskoden.
Sletting og sammenstilling av gruppedata
Du kan du slette alle data/registreringer under «Innstillinger». Når du sletter alle data/registreringer vil det i praksis føre til at du ikke lenger kan logge inn med koden, og alle data som er knyttet til koden hos Assistert Selvhjelp slettes.
Med dette forbehold vil tilgangskoden i utgangspunktet være aktiv fem (5) år etter at den ble opprettet eller sist benyttet. Hvis det går fem år uten at den er benyttet til innlogging vil den automatisk deaktiveres. Opplysninger som ikke kan knyttes til en person vil være tilgjengelig for ansatte i Assistert Selvhjelp i våre arkiv og benyttes til å analysere funksjonalitet, og til sammenstilling av gruppedata, så lenge de ikke aktivt slettes.
Innsyn og retting
Assistert Selvhjelp lagrer ikke opplysninger om Privatpersoner som brukeren ikke har tilgang på selv.
Siden Assistert Selvhjelp ikke kan identifisere Privatpersoner basert på opplysninger vi har tilgang på, frarådes i det i utgangspunktet å rette en anmodning om innsyn som vil medføre identifikasjon, for eksempel med bruk av epost. Ved å logge inn med tilgangskoden vil de opplysninger som er registrert være tilgjengelig.
Feilregistrering under bruk av Tjenesten vil som oftest ha begrenset praktisk betydning.
Dersom du som likevel ønsker å rette feilregistrering er det viktig at du benytter tilbakemeldingsskjema etter innlogging med tilgangskoden, og beskriver hva som skal rettes kort og presist. Ved innsending kan Assistert Selvhjelp automatisk se hvilken tilgangskode som har sendt meldingen. Det er ikke teknisk mulig for Assistert Selvhjelp å gi deg tilbakemelding om at rettingen er utført. Retting vil utføres så snart som mulig, normalt innen 7 virkedager.
Dersom du likevel velger å henvende deg til Assistert Selvhjelp, på bakgrunn av ønske om retting eller innsyn i lagrede opplysninger, vil kommunikasjon som identifiserer deg slettes forløpende, så snart anmodningen kan anses som oppfylt.
INNSYN OG RETTING
Assistert Selvhjelp lagrer ikke opplysninger om Privatpersoner som de ikke har tilgang på selv.
Siden Assistert Selvhjelp ikke kan identifisere Privatpersoner basert på opplysninger vi har tilgang på, frarådes i det i utgangspunktet å rette en anmodning om innsyn som vil medføre identifikasjon, for eksempel med bruk av epost. Ved å logge inn med tilgangskoden vil de opplysninger som er registrert være tilgjengelig.
Feilregistrering under bruk av Tjenesten vil som oftest ha begrenset praktisk betydning. Dersom du likevel ønsker å rette feilregistrering er det viktig at du benytter tilbakemeldingsskjema etter innlogging, og beskriver hva som skal rettes kort og presist. Ved innsending kan Assistert Selvhjelp automatisk se en unik kode for hver innsender. Det er ikke teknisk mulig for Assistert Selvhjelp å gi tilbakemelding om at rettingen er utført, men retting vil av feilregistrering vil utføres så snart som mulig, normalt innen 7 virkedager.
Dersom du likevel velger å henvende deg til Assistert Selvhjelp, på bakgrunn av ønske om retting eller innsyn i lagrede opplysninger, vil kommunikasjon som identifiserer deg slettes forløpende, så snart anmodningen kan anses som oppfylt.
3. Fagpersoner og Virksomheter
BEHANDLING AV PERSONOPPLYSNINGER
BEHANDLING AV PERSONOPPLYSNINGER
Assistert Selvhjelp innhenter og behandler følgende opplysninger fra Virksomheter for å identifisere, registrere, levere Tjenesten i henhold til Tjenesteavtalen, og utføre support:
Kundeforholdet: Navn på virksomhet, Org.nr, telefonnummer, etc.
Kontaktperson(er): Fornavn, Etternavn, Stillingstittel, Telefonnummer og epost
Fagpersoner: Fornavn, Etternavn, epost, arbeidsplass, stilling
Fagpersoner med Helse-Id: Fornavn, Etternavn, Stillingstittel, Personnummer og Helsepersonellnummer, arbeidsplass, stilling
MERK: Fagpersoners telefonnummer blir ikke innhentet systematisk, men kan bli lagret i som følge av direkte kontakt.
Eksempler på opplysninger som lagres ved bruk av Tjenesten:
Behandlingen av personopplysninger er forankret i GDPR artikkel 6 nr. 1 bokstav f, berettigede interesser. Assistert Selvhjelps berettigede interesser er å inngå og forvalte kundeforhold, generere økonomisk aktivitet og ivareta/styrke eget omdømme.
Vi bruker i denne forbindelse innsamlede epost til å sende oppdateringer eller viktig informasjon, normalt 2-4 ganger i året. Vi sender bare informasjon vi mener er relevant, og mottaker kan når som helst melde seg av. I forbindelse med support eller henvendelser til Assistert Selvhjelp, kan det oppstå behov for å se på opplysningene som er registret om kundeforholdet, som derfor vil være tilgjengelig for medarbeidere i Assistert Selvhjelp. Alle medarbeidere våre har undertegnet avtale om konfidensialitet og taushetsplikt.
Merk at behandling av personopplysninger i relasjon til spesifikke tjenester og produkter kan være regulert i vår Tjenesteavtalen som gjelder for Virksomheter, eller i særavtaler dersom dette er inngått.
SLETTING OG RETTING
Når Virksomheter og deres ansatte spesifikt ber om sletting av opplysninger eller sier opp tjenester, vil noen personopplysninger, først og fremst kontaktopplysningene og bestillings- og fakturahistorikk, forbli i Assistert Selvhjelp sine register i den utstrekning det er nødvendig for å beskytte juridiske rettigheter eller lovgivningsmessige krav til dokumentasjon.
Virksomheter og deres ansatte kan på anmodning få se alle personopplysningene som er registrert om dem. Dersom opplysningene ikke er korrekte eller relevante, kan den registrerte be om at de korrigeres eller slettes og fjernes fra våre register, såfremt Assistert Selvhjelp ikke er underlagt noen lovmessige forhold som er til hinder for dette. Kontaktskjema på nettsiden kan benyttes for henvendelser.
DATABEHANDLERAVTALE OG VIRKSOMHETENS ANSVAR
IDENTIFIKASJON AV SLUTTBRUKERE GJENNOM TILLEGGSOPPLYSNINGER
Virksomheter som tildeler Tjenesten har tilgang til en oversiktsfunksjon som gir oversikt over en pseudonymisert kode for hver Sluttbruker. Forutsatt Sluttbrukerens aktive godkjenning til å dele deling av data får Virksomheten også tilgang til opplysninger som er registrert ved bruk av Tjenesten. Godkjenning fra Sluttbrukeren gis enten ved første innlogging i Tjenesten, eller senere via Innstillinger. Sluttbrukeren når som helst kan gi og trekke tilbake godkjenningen, eller slette data og avslutte Tjenesten. Virksomhetens innsyn i registreringer være begrenset til Sluttbrukerens beslutninger i henhold til denne retten.
Så lenge det er mulig å identifisere Sluttbrukere vil registreringer som Sluttbrukeren gjør i Tjenesten regnes som personopplysninger. Dette vil være mulig ved bruk av tilleggsopplysninger, vanligvis ved at pseudokoden oppbevares sammen med andre personopplysninger, for eksempel i Sluttbrukerens journalen. Det er bare Virksomheten som har tilgang til tilleggsopplysningene og kan beslutte hvem som skal ha tilgang til disse.
Virksomheter er ansvarlig for å ivareta hensiktsmessige sikkerhetstiltak som følge av å bruke tilleggsopplysninger for å identifisere Sluttbrukeren i oversiktsfunksjonen.
Dersom Virksomheten har slike rutiner, se Databehandleravtale i Tjenesteavtalen.
VIRKSOMHETENS ANSVAR
Virksomheten har ansvar for at (minst) en definert ansatt har rolle som Superbruker, og med dette holder oversikten over Fagpersoner som skal ha tilgang til funksjonalitet oppdatert. Fagpersoner som ikke skal ha tilgang må deaktiveres. Ved avslutning av kundeforhold personopplysninger som er registrert hos Assistert Selvhjelp vil slettes fortløpende. Dersom Assistert Selvhjelp blir kjent med at kontaktinformasjonen er feil, plikter Assistert Selvhjelp å oppdatere den ved hjelp av offentlige registre, fortrinnsvis nummeropplysningstjenester og Brønnøysundregistrene (bedrift).
PERSONVERNERKLÆRING ASSISTERT SELVHJELP
DINE RETTIGHETER
Du har følgende rettigheter, som du kan påberope ved å kontakte oss i samsvar med informasjonen over.
Innsyn i informasjon mv.
Rettighetene følger av personvernforordningen artikkel 15. Unntak fra retten finnes i personopplysningsloven §§ 16 og 17.
Den registrerte skal ha rett til å få Assistert Selvhjelps bekreftelse på om personopplysninger om vedkommende behandles, og, dersom dette er tilfellet, innsyn i personopplysningene og følgende informasjon:
- formålene med behandlingen,
- de berørte kategoriene av personopplysninger (f.eks. regnskapsdata, kundeinformasjon, elevinformasjon for å oppfylle rettigheter),
- mottakerne eller kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, særlig mottakere utenfor EU/EØS,
- dersom det er mulig, hvor lenge det forventes at personopplysningene vil bli lagret, eller, dersom dette ikke er mulig, kriteriene som brukes for å fastsette denne perioden,
- retten til å anmode Assistert Selvhjelp om retting eller sletting av personopplysninger eller begrensning av behandlingen av personopplysninger som gjelder den registrerte, eller til å protestere mot nevnte behandling, samt dataportabilitet
- retten til å klage til Datatilsynet,
- dersom personopplysningene ikke er samlet inn fra den registrerte, all tilgjengelig informasjon om hvor personopplysningene stammer fra,
- forekomsten av automatiserte avgjørelser, dvs. om det blir truffet beslutninger som gjelder enkeltpersoner uten at noe menneske deltar i saksbehandlingen. Det skal også gis relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte. Den registrerte kan også kreve at en fysisk person i Assistert Selvhjelp overprøver den automatiserte avgjørelsen.
- Dersom personopplysningene overføres til utenfor EU/EØS, skal den registrerte ha rett til å bli underrettet om de nødvendige garantiene for å sikre en tilfredsstillende behandling.
Assistert Selvhjelp skal gjøre tilgjengelig en kopi av personopplysningene som behandles. Dersom den registrerte inngir anmodningen elektronisk, og med mindre den registrerte anmoder om noe annet, skal informasjonen gis i en vanlig elektronisk form.
Rett til korrigering
De registrerte har rett til å få korrigert personopplysninger som er feil eller unøyaktige. Korrigering skal gjøres så snart som mulig.
Rett til sletting
Rett til sletting foreligger når:
opplysningene ikke lenger er nødvendig for å oppnå formålet med behandlingen
samtykket til behandlingen er trukket tilbake og det ikke finnes et annet rettslig grunnlag for behandlingen
den registrerte har fremsatt en berettiget innsigelse
personopplysninger er blitt behandlet på en måte som ikke er lovlig
det er nødvendig for å overholde en rettslig forpliktelse
Rett til å kreve begrenset behandling av personopplysninger
Den registrerte kan ha rett til å kreve begrensning av behandling av egne personopplysninger. Dette innebærer at personopplysningene ikke kan brukes utover lagring, f.eks. hvis det kommer påstander om at det brukes feil opplysninger og Assistert Selvhjelp må undersøke om det stemmer. Rettighetens rekkevidde og begrensninger er inntatt i artikkel 18.
Rett til dataportabilitet
Den registrerte skal ha rett til å motta personopplysninger om seg selv som vedkommende har gitt til en behandlingsansvarlig. Opplysningene skal mottas i et strukturert, alminnelig anvendt og maskinleselig format og skal ha rett til å overføre nevnte opplysninger til en annen behandlingsansvarlig uten at den behandlingsansvarlige som personopplysningene er gitt til.
Rettigheten forutsetter at behandlingen er basert på samtykke eller en avtale, og at behandlingen utføres automatisk.
Rett til å protestere mot behandling av personopplysninger
Den registrerte har rett til å protestere på behandling som skjer med grunnlag i:
å ivareta en oppgave i samfunnets interesse
å utøve offentlig myndighet
å ivareta berettigede interesser som ikke overstyres av den registrertes interesser og grunnleggende rettigheter og friheter
Den registrertes protest medfører normalt at Assistert Selvhjelp ikke lenger kan bruke personopplysningene, men det er en rekke unntak, se under. Med mindre opplysningene også behandles til andre formål som den registrerte ikke kan eller vil motsette seg, skal de også slettes.
Nærmere rammer for utøvelse av retten følger av personvernforordningen artikkel 21.
Retting av mangelfulle personopplysninger
Assistert Selvhjelp skal, av eget tiltak og/eller på begjæring fra den registrerte, rette opplysninger som er uriktige, ufullstendige eller slette opplysninger som det ikke er adgang til å behandle.
BEHANDLING AV HENVENDELSER OG TILBAKEMELDINGER
Vi setter stor pris på tilbakemeldinger. Sluttbrukere, Privatpersoner og Fagpersoner kan gi tilbakemeldinger gjennom funksjonene «Foreslå endringer» og «Evalueringsskjema» etter innlogging i Tjenesten.
Når du fyller ut slike digitale skjema eller benytter deg av innloggede Tjenester vil ingen personopplysninger (for eksempel, navn, telefonnummer eller IP-adresse) bli registrert av Assistert Selvhjelp. Formålet med disse er å forbedre Tjenestene våre.
Vi lagrer opplysninger om deg når du sender oss e-post direkte eller bruker kontaktskjema. Henvendelser du sender direkte via e-post, sendes ikke kryptert. Vi oppfordrer deg derfor om ikke å sende taushetsbelagte, sensitive eller andre fortrolige opplysninger via e-post.
Kontaktskjema på nettsidene inneholder spørsmål om navn og telefonnummer som det er valgfritt å legge inn. Epost er påkrevd slik at vi enkelt kan besvare med rette vedkommende. Henvendelser gjennomgås av postmottaket, som tar stilling til om den skal videresendes eller løses umiddelbart. Vi sletter rutinemessig meldinger og epost som inneholder sensitive personopplysninger.
Se også INNSYN OG RETTING i avsnitt som er spesifikke for Sluttbrukere, Privatpersoner og Fagpersoner i Virksomheter.
NETTSIDEANALYSE
Når du besøker våre Nettsider, eller noen av de andre adressene sidene våre er tilgjengelige på, logger vi informasjon om besøket, som oftest i form av cookies (informasjonskapsler). Disse benyttes for å personliggjøre innhold og funksjonalitet, analysere hvordan du bruker nettsiden. Opplysningene kan ikke spores tilbake til en enkelt person.
Nødvendige cookies inkluderer bare informasjonskapsler som sikrer grunnleggende funksjonaliteter og sikkerhetsfunksjoner på nettstedet. Dette er tillatt etter ekomloven § 2-7 b.
Personlige data via analyser, annonser, annet innebygd innhold blir betegnet som ikke-nødvendige cookies. Det er obligatorisk å innhente inn samtykke før vi kjører disse fra Nettsidene.
Assistert Selvhjelp benytter analyseverktøyene Google Analytics for å samle inn opplysninger om besøk på Nettsidene, f.eks. hvor mange som besøker ulike sider, hvor lenge besøket varer, hvilke nettsteder brukerne kommer fra og hvilke nettlesere som benyttes. Formålet er å utarbeide statistikk som vi bruker for å forbedre kvaliteten på Nettsidene.
Når du besøker våre Nettsider lagrer vi dessuten automatisk informasjon om Internett-tjenesteleverandør (ISP), henvisnings-/utgangssider, operativsystem, dato/klokkeslett, klikkstrøm-data og andre brukeropplysninger som en del av tjenesteanalysen vår.
KONFIDENSIALTET OG SIKKERHET
KONFIDENSIALITET OG SIKKERHET
Vi benytter en kombinasjon av fysisk, elektronisk og prosedyremessig sikring for å beskytte personopplysninger.
All dataoverføring som skjer over internett, er kryptert. Alle transaksjoner blir behandlet over en SSL/TLS-tilkobling av bransjestandard, med minimum 128-biters kryptering. Det foreligger imidlertid ingen garanti for at uvedkommende ikke kan få tilgang til slike opplysninger, eller at de ikke blir avslørt, endret eller ødelagt ved brudd på en brannmur eller sikker serverprogramvare.
Ingen dataoverføringer over Internett er 100 % sikre, og vi kan i så måte ikke garantere for sikkerheten tilknyttet personopplysninger. Vi understreker at vi har kontinuerlig fokus på at bruk av Tjenestene ikke skal medføre innhenting eller lagring av direkte identifiserbare personopplysninger fra Sluttbrukere og Privatpersoner. Identifikasjon som følge av at disse benytter Tjenestene vil derfor være mindre sannsynlig. Opplysninger tilgjengelig ved «Logg inn» for Fagpersoner i Virksomheter er passord-beskyttet. Videre blir kontoens passord lagret med en tilfeldig saltet hash-algoritme.
Dersom Assistert Selvhjelp blir oppmerksom på et brudd i ett av sikkerhetssystemene som omhandler personopplysninger, vil vi så raskt som mulig og uten unødig opphold, underrette de berørte parter, slik at de kan foreta nødvendige beskyttende tiltak. Assistert Selvhjelp plikter dessuten å varsle sikkerhetsbrudd til Datatilsynet senest i løpet av 72 timer etter at vi har fått kjennskap til bruddet.
TREDJEPARTS FUNKSJONALITET OG NETTSIDER
Tjenestene våre inkluderer i noen tilfeller tredjeparts funksjoner fra andre leverandører og nettsteder der personvernpraksisen kan avvike fra vår. Disse tredjepartsfunksjonene kan samle inn IP-adressen din, hvilken side du besøker på nettstedet, og de kan lagre en informasjonskapsel slik at tredjepartsfunksjoner fungerer som de skal. Tredjepartsfunksjoner kan også samle inn sensitive opplysninger, for eksempel finansielle opplysninger (kredittkort) for å ekspedere kjøp av produkter eller tjenester.
Hvis du sender personopplysninger til noen av disse nettstedene, er disse opplysningene underlagt deres retningslinjer for personvern. Vi oppfordrer deg til å lese nøye gjennom retningslinjene for personvern for alle nettsider du besøker før du gir ut personopplysninger.
UNDERLEVERANDØRER
Syse AS og DigitalOcean (Databehandlere)
All informasjon som registreres, genereres og lagres i forbindelse med bruk av Tjenestene lagres på to separate servere som er eiet og driftet av Syse AS og DigitalOcean LLC. Serveren hos Syse er lokalisert i Norge (Oslo). DigitalOcean sin server er lokalisert i Nederland (Amsterdam), som følgelig er forpliktet til å oppfylle EU sine personvernforordning på lik linje med de norske leverandørene. Her lagres en back-up av data som er lagret på hovedserveren i Norge. Serverenes lokasjoner er valgt for å redusere geografisk sårbarhet (jfr. geo redundans).
Google Analytics
Google Analytics måler antall besøkende til en side, kilder til trafikken, og gjør oss i stand til å se hvordan du bruker nettsiden og vise personlig tilpassede annonser. I henhold til Googles retningslinjer for bruk av Google Analytics samles det ikke inn, eller brukes, informasjon som kan benyttes til å identifisere deg som person. Du kan lese mer om hvordan Google samler inn og beskytter data her:
Personvernregler – Personvern og vilkår – Google
Dataene deles med Google og tredjeparter i markedsføringsøyemed. Du kan reservere deg mot personlig tilpasning av annonser.
G Suite (Google)
G Suite drifter våre eposter og lagring knyttet til ekstern kommunikasjon. All informasjon som registreres, genereres og lagres i forbindelse med epostkorrespondanse med Assistert Selvhjelp AS lagres på servere som er eiet og driftet av Gsuite (Google mail). Her mottar vi også henvendelser via kontaktskjema på Nettsidene.
Let’s Encrypt
Let’s Encrypt leverer TLS/SSL-sertifikater som vi benytter til kryptering av kommunikasjon i våre systemer. Informasjonen som innhentes i forbindelse med registrering av et TLS/SSL-sertifikat lagres på servere som er eiet og driftet av Let’s Encrypt.
Kun relevant for privatpersoner:
Stripe
Stripe behandler betaling ved kjøp fra Privatpersoner. Stripe vil ha tilgang til å koble kortopplysninger, navn på kortholder og navn på kjøpt Tjeneste. Stripe vil ikke få tilgang til tilgangstilgangskoden på noe tidspunkt:
Kun relevant for Virksomheter:
Microsoft
Microsoft Office 365 er et kontorstøtteverktøy, primært forbeholdt interne oversikter, arbeidsflyt og kommunikasjon mellom ansatte relatert til drift. Dette innebærer at det lagres noen opplysninger om kundeforhold.
https://privacy.microsoft.com/nb-no/privacystatement
Mailchimp
Kontaktpersonen ved Virksomheten sender inn e-postadresse til Veiledere som skal ha tilgang til rapportfunksjonen. I tillegg til at epostadressene lagres på servere ved opprettelse av brukere, registreres epostadressene i Mailchimp, som er en tjeneste for masseutsendelse av epost. Formålet med dette er å sende relevant informasjon om Tjenesten rettet mot Virksomheter og deres ansatte, for eksempel om utvikling, endringer og oppdateringer. Det sendes ut slik informasjon 2-4 ganger i året. Mottakere kan når som helst melde seg av.
Conta
Conta drifter plattformen for håndtering av Virksomhetsopplysninger og faktura. Ved betaling med faktura lagres opplysninger om (1) Kundeforhold og (2) Kontaktperson i Virksomheten, hos PayEx. Dette gjelder uansett hvilken måte fakturaen utstedes på, eller hvordan den betales. Øvrige personopplysninger oppgis på frivillig basis.
Xledger
Xledger er et regnskapssystem som Assistert Selvhjelp bruker i forbindelse med Virksomheters kundeforhold, regnskap og revisjon.
Xledger – Personvern
Tet Regnskap og Økonomi AS («Tet»)
Tet er Assistert Selvhjelp regnskapsfører og vil ha tilgang til fakturainformasjon til Virksomhetskunder og informasjon om relaterte kundeforhold, kontaktpersoner og annet regnskapsrelatert informasjon. Tet har ikke tilgang til personidentifiserende opplysninger om Privatpersoner som kjøper Tjenesten via Stripe.
UNDERLEVERANDØRER UTENFOR EU
Utviklere
Hovedregelen er at ingen av personopplysningene som behandles av Assistert Selvhjelp skal føres ut av Norge og/eller EU som følge av å bruke være tjenester. Assistert Selvhjelp har følgende unntak som innebærer overføring til utlandet:
Det benyttes faste utviklere som har oppholdssted utenfor EU. De utformer løsninger for nettsidene, slik at Assistert Selvhjelp sine tjenester er enkle, oversiktlige og fungerer tilfredsstillende, herunder overholder kravene til personvern. Ved utforming og testing av løsningen vil utviklere ha behov for adgang til avidentifiserte opplysninger om Sluttbrukere eller Privatpersoner (pseudonymisering). For å ivareta sikkerhet og opprettholde drift vil de også kunne ha behov for å fjerne kryptering av IP-adresser midlertidig, uten at disse er koblet til annen data som registreres. Verken Assistert Selvhjelp eller våre utviklere har på noe tidspunkt tilgang på direkte identifiserbare personopplysninger i denne forbindelse. I bestemte tilfeller, f.eks for å rette feil, urtviklene ha tilgang til personinfomasjon om Fagpersoner som vises i Profil på Min side (for Fagpersoner).
Utviklerne må ha adgang til disse opplysningene for å ivareta informasjonssikkerheten og lage en løsning som tilfredsstiller kravene i personopplysningsloven. Det gis hjemmel for dette i GDPR i seg selv, ved at det gir Databehandler mulighet til å «gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med» personopplysningsloven, se GDPR artiklene 6 nr. 1 bokstav c (rettslig plikt) og 9 nr. 2 bokstav g (viktige allmenne interesser), jf. GDPR artiklene 24 nr. 1 og 32.
Assistert Selvhjelp bekrefter at ingen av underleverandørene overfører personopplysninger som omfattes av denne avtalen til utlandet, med unntak for slike overføringer som er angitt her. Her omfattes også fjerntilgang for utviklere fra utlandet.
Ved overføring av personopplysninger til land utenfor EU/EØS (tredjeland) benytter Assistert Selvhjelp godkjente overføringsgrunnlag, dvs. EUs modellavtale for overføring til databehandlere.
Andre underleverandører
Underleverandører utenfor EU, og som ikke tilbyr lagring av data innenfor EU, har erklært overholdelse av, EU-U.S. Privacy Shield-rammeavtalen og U.S.-Swiss Safe Harbor-rammeavtalen som er fastsatt av det amerikanske handelsdepartementet, og forplikter seg til å underlegge alle personopplysninger fra EU-medlemsland den tilliten rammeavtalene gir, ifølge rammeavtalens gjeldende prinsipper.
Ingen personopplysninger overleveres tredjeparter uten eksplisitt samtykke fra den registrerte, men en underleverandør kan overføre data til en tredjepart som fungerer som en agent på deres vegne. En slik overføring kan allikevel ikke skje uten å overholde prinsippene til Privacy Shield for alle etterfølgende overføringer av personopplysninger fra EU, inkludert bestemmelsene om ansvar for videre overføring:
Google / G Suite (USA)
Let’s Encrypt (USA)
Mailchimp (USA)
Microsoft (USA)
Stripe (USA)
ENDRINGER I PERSONVERNERKLÆRINGEN
Sluttbrukere, Privatpersoner, samt Virksomheter og deres ansatt som benytter Tjenestene aksepterer at Assistert Selvhjelp forbeholder seg retten til å gjøre endringer i Personvernerklæringen fortløpende.
Assistert Selvhjelp plikter å varsle Sluttbrukere, Privatpersoner, samt Virksomheter og deres ansatte om vesentlige endringer som berører dem. Vesentlige endringer inkluderer ethvert forhold som innskrenker rettigheter, eller som endrer partenes forpliktelser eller rettigheter ellers.
Klagemulighet
Dersom du har innsigelser med hensyn til personvern eller bruk av data som ikke har blitt behandlet på en tilfredsstillende måte kan du kontakte oss eller klage til Datatilsynet. Vi setter imidlertid pris på om du kontakter Assistert Selvhjelp først, slik at vi kan imøtekomme eventuelle ønsker.
ENDRINGSLOGG
Endringer fra versjon publisert 27.11.2020 til versjon publisert 02.09.2021:
- Vi har endret varighet på samtykke til å dele data med virksomheter fra 14 til 26 uker. Dette er gjort på bakgrunn av tilbakemeldinger fra flere Virksomheter, hvor samtykke avsluttes før brukeren er ferdig med oppfølging, for eksempel i forbindelse med ferieavvikling. Sluttbrukere kan uansett trekke samtykke fra innstillinger når som helst.
Endringer fra versjon publisert 05.05.2020 til versjon publisert 27.11.2020:
- Vi har redusert tekstomfang og gjort innhold mer oversiktlig. Dette er gjort på bakgrunn av tilbakemeldinger fra flere Virksomheter.
- Vi byttet i løpet av 1. kvartal 2020 fra Digitalocean (Amsterdam, Nederland) til Dedia AS (Oslo, Norge), men bytter nå tilbake. Bakgrunnen er at dette vil redusere sårbarhet knyttet georedundanse, da Dedia ASbenytter samme datasentervår hovedserver (Syse AS). Serverleverandørene er innenfor EU hvor EU’s personvernforordning (GDPR) er gjeldende.
- IP-adresser krypteres og/eller fjernes slik at disse ikke kobles med andre data. Vi presiserer at vi vil kunne ha behov for å fjerne krypteringen midlertidig. Formålet er å hindre/ blokkere/ forebygge vanlige nettangrep som kan ramme de fleste nettsteder. Dersom dette skulle bli nødvendig vil IP-adressen fortsatt ikke kobles mot andre registrerte data som lagres atskilt.
- Vi har lagt til informasjon rettet mot Sluttbrukere som logger seg inn via Helsenorge.no, og Fagpersoner som logger inn med Helse-ID.