Personvernerklæring

1. Innledning

Hos Kry arbeider helsepersonell side om side med teknisk personell for å utvikle og levere helsetjenester. Hos Kry setter vi deg som enkeltperson og pasient alltid først, og denne personvernpolicyen («Personvernpolicy») forklarer hvordan vi behandler dine personopplysninger når du oppsøker helsetjenester eller lignende tjenester fra oss («Tjenester»).

Vi forklarer nærmere i denne personvernpolicyen hvordan Kry fungerer for deg som «bruker» og «pasient» og hvem som er ansvarlig for behandling av dine personopplysninger, som utføres i forbindelse med din bruk av Tjenestene.

Vi beskriver hvilke personopplysninger om deg som behandles når du bruker tjenestene, hvordan vi behandler personopplysningene, og hvorfor. Vi beskriver det rettslige grunnlaget for vår behandling og hvilke eksterne parter som kan behandle personopplysninger om deg for at vi skal kunne tilby deg Tjenestene.

Du får også informasjon om dine rettigheter i forbindelse med behandlingen av dine personopplysninger og om hva du kan gjøre for å utøve disse rettighetene.

2. Hvem er ansvarlig for behandlingen av personopplysninger?

Anvendelse av Appen uten å søke legehjelp

Kry International AB, organisasjonsnr. 556967-0820 («Kry International»), som er morselskapet i Kry-gruppen, eier og stiller den tekniske plattformen «Kry» og applikasjonen («Appen») til rådighet, og er behandlingsansvarlig for personopplysningene som du registrerer i Appen, helt frem til du innleder kontakten med en leverandør av helsetjenester for medisinske råd og oppfølging.

Når du søker helsetjenester fra Kry, er det utelukkende etablerte leverandører av helsetjenester som er ansvarlige for å levere helsetjenester, inkludert behandling av personopplysninger som utføres i forbindelse med din bruk av Tjenestene.

I praksis betyr dette at så snart du begynner å dele informasjon om din helse via Appen, overføres ansvaret for dine personopplysninger til Leverandøren av helsetjenester.

Helsetjenester via appen

I Norge er det Kry Internationals heleide datterselskap Digital Medical Supply Norway AS, organisasjonsnr. 918 106 030, som leverer helsetjenestene i Tjenestene («Leverandør av helsetjenester»), med mindre annet er tydelig opplyst til deg i forbindelse med din bruk av Tjenestene.

Leverandør av helsetjenester er behandlingsansvarlig for behandling av personopplysninger som utføres i forbindelse med din bruk av helsetjenestene. I forbindelse med helsetjenester opptrer Kry International, i egenskap av behandler av personopplysninger, kun som leverandør av den tekniske plattformen og den tilknyttede tjenesten. Dette betyr at dine personopplysninger kun behandles i henhold til anvisningene fra Leverandøren av helsetjenester.

I tilfelle en annen leverandør av helsetjenester slutter seg til Kry-plattformen og behandler dine personopplysninger i forbindelse med din bruk av Tjenestene, vil vi informere deg når du bruker Tjenestene slik at du alltid vet hvilken leverandør av helsetjenester som er behandlingsansvarlig for dine personopplysninger.

Kontaktopplysninger til behandlingsansvarlig

Kry International
Box 3468
SE-103 69 Stockholm, Sverige

Digital Medical Supply Norway AS.
Hoffsveien 92
0377 Oslo, Norge

Hvis du har spørsmål eller kommentarer angående behandlingen av dine personopplysninger i forbindelse med din bruk av Tjenestene, er du alltid velkommen til å kontakte oss og/eller vårt personvernombud gjennom å sende en e-post til privacy@kry.no.

3. Hvor henter vi dine personopplysninger som behandles når du bruker Tjenestene?

3.1. Personopplysninger som er registrert gjennom din brukerkonto i Appen

Kry International og Leverandøren av helsetjenester behandler dine personopplysninger, som du registrerer gjennom kontoen, som navn, personnummer, adresse og e-postadresse når du åpner en brukerkonto hos oss, og deretter eventuell informasjon som du registrerer når du bruker Appen.

I tillegg kan vi samle inn og behandle følgende informasjon automatisk:

  • i) teknisk informasjon, inkludert IP-adresse, påloggingsinformasjon, type og versjon av operativsystem og enhet, tidsinnstillinger, språkinnstillinger, informasjonskapsler o.l.;

  • ii) informasjon om Tjenestene vi leverer til deg, samt tastetrykk.

Informasjon om vår bruk av informasjonskapsler finnes også i Krys retningslinjer for informasjonskapsler.

Vi kaller disse kategoriene av personopplysninger, som du oppgir når du laster ned og bruker Appen, «Brukerdata» nedenfor.

3.2. Personopplysninger til og fra Leverandøren av helsetjenester

Når du ønsker å motta helsetjenester fra oss, blir du bedt om å dele data knyttet til din fysiske og/eller mentale helse. Du gjør dette i hovedsak ved å fylle ut skjemaet med relevante symptomer i Appen.

Denne informasjonen kan omfatte, men er ikke begrenset til, informasjon om at du lider av en sykdom, din sykehistorie eller din fysiologiske eller medisinske tilstand. Leverandøren av helsetjenester som du kommer i kontakt med ved å bruke Tjenestene, kan også overføre personopplysninger om deg for å tilby helsetjenester og følge opp de helsetjenestene du har mottatt innenfor rammen av Tjenestene.

Personopplysninger knyttet til din helse som Leverandøren av helsetjenester bruker for å levere helsetjenester, omtales nedenfor som «Pasientdata».

3.3. Personopplysninger fra tredjeparter, inkludert andre leverandører av helsetjenester

Dine personopplysninger kan også bli oppdatert og behandlet av oss som pasientdata basert på de helsetjenestene du har mottatt fra andre leverandører av helsetjenester som ikke er knyttet til Kry.

I tilfelle disse dataene anses som relevante for levering av helsetjenester innenfor rammen av Tjenestene, kan de lagres og behandles av Leverandøren av helsetjenester og legges inn i din pasientjournal av legen som behandler deg.

4. Hvor lagres dine personopplysninger?

Appen er en teknisk plattform som er utviklet av Kry International og som også eies og kontrolleres av Kry International. Appen utvikles og kvalitetssikres kontinuerlig.

De fleste av dine personopplysninger som vi samler inn når du bruker Tjenestene, lagres ikke på din smarttelefon eller nettbrett. I stedet lagres disse personopplysningene av Kry International, i infrastruktur som leveres av en av Kry Internationals underleverandører.

Personopplysningene håndteres og lagres hovedsakelig innen EU/EØS, og ingen sensitive personopplysninger, for eksempel informasjon om din helse, lagres utenfor EU/EØS i forbindelse med din bruk av Tjenestene.

Leverandøren av helsetjenester er forpliktet til å føre pasientjournaler når Tjenestene utføres, og relevante pasientdata føres i et pasientjournalsystem (spesielt utviklet for å oppfylle kravene i gjeldende lovgivning) på anmodning fra Leverandøren av helsetjenester.

Personopplysningene i din pasientjournal håndteres og lagres innenfor EU/EØS.

5. Hvorfor behandles personopplysninger når du bruker Kry?

5.1. Kry Internationals behandling av dine brukerdata

Kry International behandler dine brukerdata (som beskrevet over i avsnitt 3.1) for følgende formål:

  • i) for å behandle din søknad eller avslutte din brukerkonto i Appen,

  • ii) for å gi deg tillatelse til å logge deg inn og benytte din brukerkonto,

  • iii) for å bekrefte din identitet og alder,

  • iv) for å føre riktige og oppdaterte opplysninger om deg,

  • v) for at du skal kunne ha tilsyn med og administrere pågående helsesaker,

  • vi) for å håndtere dine valg av innstillinger og betalingsinformasjon, og

  • vii) for på andre måter å kunne levere Tjenestene til deg i henhold til våre Generelle vilkår.

Det rettslige grunnlaget for å behandle dine brukerdata er at det er nødvendig for å oppfylle vår kontrakt, som utgjør våre Generelle vilkår, for det formål å kunne levere tjenestene, inkludert det å gjøre det mulig for Leverandøren av helsetjenester å gi god helsebehandling i forbindelse med din bruk av Tjenestene.

5.2. Leverandøren av helsetjenesters levering av helsetjenester

Leverandøren av helsetjenester behandler pasientdata (som beskrevet over i avsnitt 3.2) med det formål å levere Tjenestene til deg i form av helsetjenester og andre nødvendige behandlinger eller råd i forbindelse med at selve helsetjenesten leveres.

Som en Leverandør av helsetjenester reguleres vår forretningsvirksomhet av nasjonal lovgivning. Vi behandler derfor dine personopplysninger i samsvar med gjeldende lov.

Behandlingen av dine pasientdata som er nødvendig for å levere Tjenestene, er også nødvendig for å oppfylle andre juridiske forpliktelser for Leverandøren av helsetjenester. Dette innbefatter at våre leger fører pasientjournaler, som Leverandøren av helsetjenester er forpliktet til å oppbevare i et angitt tidsrom.

Leverandøren av helsetjenester benytter også Kry International for å sikre kvaliteten på og utvikle Tjenestene. På denne måten kan Kry International behandle (arbeide teknisk med og å lagre) sensitive personopplysninger om deg for å sikre en høy kvalitet i helsebehandlingen og leveringen av helsetjenester innenfor Tjenestene i henhold til gjeldende lovgivning.

Denne behandlingen av dine sensitive personopplysninger skjer uavhengig av Kry International og i henhold til anvisninger fra Leverandøren av helsetjenester.

Anonymiserte data som ikke utgjør personopplysninger, kan deles av Leverandøren av helsetjenester med KRY International med sikte på å utvikle Tjenestene og utvikle vår forretningsvirksomhet.

5.3. Levering av støttetjenester i forbindelse med din bruk av Tjenestene

Kry International og helsetjenesten kan kommunisere med deg som bruker av Tjenestene. Dette omfatter blant annet å svare på henvendelser og undersøke klager og forhold som gjelder brukerstøtte (inkludert teknisk støtte) gjennom våre støttetjenester på telefon eller på digitale kanaler.

Avhengig av dine omstendigheter kan du dele ytterligere brukerdata og pasientdata, som vi deretter behandler for å kunne hjelpe deg å bruke Tjenestene på best mulig måte.

Kry International og Leverandøren av helsetjenesten gir brukerstøtte som beskrevet over som en del av Tjenestene (dvs. som er nødvendig for å oppfylle kontrakten med deg og KRY International).

I den grad støttetjenestene er knyttet til helsebehandling eller behandling av pasientdata (eller sensitive personopplysninger om deg), skjer behandlingen for å yte helsetjenester som en del av Tjenestene og for å sikre helsetjenester av høy kvalitet.

Behandlingen av dine personopplysninger i forbindelse med støttetjenester kan også finne sted for at Leverandøren av helsetjenester skal kunne oppfylle sine juridiske forpliktelser i henhold til gjeldende lovgivning på helseområdet (se også avsnitt 5.5 nedenfor).

5.4. For å kunne markedsføre produkter og tjenester og forbedre din brukeropplevelse

Kry International behandler noen av dine brukerdata (som beskrevet over i avsnitt 3.1) for følgende formål: direkte markedsføring til deg på e-post eller gjennom tekstmeldinger, eller andre lignende elektroniske kommunikasjonskanaler, for eksempel i forbindelse med kampanjer og tilbud i samarbeid med Kry Internationals partnere.

Dette omfatter analyser om deg som Kry-bruker og hvordan du bruker Tjenestene (for eksempel hvilke nettsider du har besøkt, og hvilke nettsøk du har gjort) og din historikk basert på kontakten din med Leverandøren av helsetjenester. Analysen vår omfatter også informasjon om alderen din og bostedet ditt.

Kry International bruker informasjon om din bruk av Tjenestene for disse formålene på grunnlag av sin legitime interesse i å forbedre brukeropplevelsen i Appen.

Informasjonen om deg som bruker benyttes også til markedsføringsformål. Det sendes markedsføring til deg på e-post på grunnlag av ditt samtykke, som du når som helst kan trekke tilbake i samsvar med avsnitt 9 nedenfor.

5.5. For å oppfylle juridiske forpliktelser

Kry International og Leverandøren av helsetjenester kan behandle dine brukerdata og pasientdata (som beskrevet over i avsnitt 3.1–3.2) ettersom det er nødvendig for å oppfylle deres juridiske forpliktelser som angitt i vedtekter, rettskjennelser eller beslutninger fra offentlige myndigheter.

I den grad pasientdata er relevante, baserer Kry International og Leverandøren av helsetjenester seg også på å levere helsetjenester som en del av Tjenestene og for å sikre helsetjenester av høy kvalitet.

Ellers lagrer vi og behandler dine personopplysninger i det omfang som er nødvendig for å kunne oppfylle våre juridiske forpliktelser og krav.

5.6. For å kunne evaluere, utvikle og forbedre kvaliteten på Tjenestene

Kry International og Leverandøren av helsetjenester kan behandle dine brukerdata for å utvikle og forbedre Tjenestene og IT-systemene som brukes til å levere Tjenestene.

Dette gjøres på grunnlag av våre legitime interesser i å stadig forbedre sikkerheten og behandlingen av personopplysninger, og for å gjøre Appen mer brukervennlig, for eksempel ved å endre brukergrensesnittet for å forenkle informasjonsflyten, eller for å utheve funksjoner som ofte benyttes av brukerne.

Vi behandler bare sensitive personopplysninger om deg for å kunne tilby Tjenestene (dvs. for å kunne oppfylle en kontrakt mellom deg og Kry International) og for å kunne sikre helsetjenester av høy kvalitet og yte helsetjenester i henhold til gjeldende lovgivning.

All annen utvikling av våre Tjenester foregår ved hjelp av anonymiserte data.

6. Hvor lenge oppbevarer vi dine personopplysninger?

Vi behandler dine personopplysninger kun så lenge som nødvendig for formålene med behandlingen av den aktuelle informasjonen, i henhold til avsnitt 5 over. Dette betyr så lenge det er nødvendig for å kunne gi god helsebehandling eller for på annen måte å kunne yte Tjenestene, eller for å oppfylle de juridiske forpliktelsene som påhviler oss.

Leverandøren av helsetjenester har plikt til å oppbevare pasientjournaler i tilknytning til helsemøter med deg i et angitt tidsrom. Vi har ellers rutiner for hvordan vi lagrer eller anonymiseres personopplysninger for å sikre at dine personopplysninger alltid er tilstrekkelige og relevante for vår fortsatte levering av Tjenestene.

Din brukerdata blir slettet eller anonymisert senest seks (6) måneder fra det tidspunktet du lukket din brukerkonto hos oss, forutsatt at det ikke er nødvendig å lagre personopplysninger for at vi skal kunne oppfylle våre juridiske forpliktelser eller dersom informasjonen er nødvendig på annen måte for å håndheve rettslige krav.

Etter at formålet med informasjonen er oppnådd, blir all informasjon som ikke er nødvendig for oppfyllelse og utvikling av Tjenestene, eller for å sikre kvalitet, anonymisert og lagret, eller slettet automatisk.

Brukerdata som er lagret på grunnlag av ditt samtykke, slettes av oss dersom du trekker tilbake ditt samtykke. Du kan lese mer i avsnitt 9 om hvordan du utøver din rett til å trekke tilbake ditt samtykke.

7. Tredjeparter som dine personopplysninger kan bli delt med når du bruker Tjenestene

7.1. Kry Internationals underleverandører

For at vi skal kunne tilby deg Tjenestene, bruker vi enkelte tredjepartsleverandører som behandler personopplysninger i enkelte tilfeller. De eksterne leverandørene er hovedsakelig Amazon Web Services, Inc (driftsleverandør), Pridok AS (leverandør av system for pasientjournal) og Zendesk (verktøy for kundetjenester og support).

De eksterne leverandørene jobber bare på anmodning fra Kry International og/eller Digital Medical Supply Norway AS, og behandler bare personopplysninger (i egenskap av databehandler) i henhold til anvisninger.

Kry International benytter også tjenester fra leverandører som arbeider selvstendig, og som på denne måten selv er ansvarlig for behandling av dine personopplysninger, for eksempel leverandører av betalingsløsninger. Når det er aktuelt, vil du bli bedt om å inngå separate avtaler direkte med disse leverandørene.

Vi ber deg om å være oppmerksom på at denne personvernpolicyen ikke gjelder behandlingen av personopplysninger som finner sted ved hjelp av disse leverandørene. For informasjon om hvordan andre leverandører behandler dine personopplysninger, ta kontakt med disse leverandørene.

7.2. Leverandør av helsetjenesters underleverandører

Leverandøren av helsetjenester fører pasientjournaler i samsvar med gjeldende lovgivning i forbindelse med levering av helsetjenester innenfor rammen av Tjenestene.

Pasientjournalene lagres i pasientjournalsystemer utenfor Appen hos en tredjepartsleverandør av vertstjenester, på anmodning fra Leverandøren av helsetjenester og i henhold til anvisninger fra Leverandøren av helsetjenester.

Leverandøren av helsetjenester er ansvarlig for alle personopplysninger (pasientdata) som er lagret i pasientjournaler.

7.3. Arbeidsgivere og forsikringsselskaper

Hvis du er blitt henvist til oss av din forsikringsgiver, for å behandle din spesifikke sak, kan vi gi informasjon til din forsikringsgiver om at du har benyttet Tjenestene og om din helsetilstand, inkludert kopier av din pasientjournal.

En slik overføring av dine personopplysninger som beskrevet over, utføres av oss i slike tilfeller på forespørsel fra din forsikringsgiver, ettersom vi er behandlingsansvarlig for personopplysninger.

Med andre ord krever dette at du har inngått en avtale med forsikringsgiveren din eller på annen måte uttrykkelig samtykket til behandling overfor din forsikringsgiver.

Denne personvernpolicyen gjelder ikke behandling av personopplysninger som er utført av din forsikringsgiver. Hvis du vil ha mer informasjon om hvordan forsikringsgiveren din behandler personopplysninger, må du ta kontakt med forsikringsgiveren.

Hvis du har blitt henvist til oss av din arbeidsgiver, fungerer vi som behandlingsansvarlig for personopplysninger. Vi oppgir ikke sensitive personopplysninger til din arbeidsgiver, det vil si informasjon om din helse, inkludert hvorvidt du har brukt Tjenestene eller ikke.

8. Overføringer til tredjeland

Kry International og Leverandøren av helsetjenester benytter IT-leverandører til driftstjenester utenfor EU/EØS. Dette betyr at Kry International og Leverandøren av helsetjenester vil overføre dine personopplysninger utenfor EU/EØS, for tiden til USA.

Overføringer av personopplysninger skjer imidlertid bare i ekstraordinære tilfeller til land utenfor EU/EØS, og bare forutsatt at overføringen er lovlig i henhold til gjeldende personvernlovgivning om sikring av personvernet i mottakerland med henvisning til:

  • i) Europakommisjonens beslutning om tilstrekkelig nivå av sikkerhet;

  • ii) bruk av Europakommisjonens standard kontraktklausuler for overføringer til tredjeparter;

  • iii) at mottakeren er dekket av Privacy Shield-reglene og dermed av kravet om et tilstrekkelig nivå av sikkerhet (gjelder overføringer til USA); eller

  • iv) andre gjeldende beskyttelsestiltak for å oppfylle gjeldende personvernlovgivning.

9. Dine rettigheter som registrert i Appen og som bruker av Tjenestene

Du har rett til å motta informasjon om hvilke personopplysninger om deg som vi behandler, for hvilket formål de behandles, om slike personopplysninger er blitt overført til et tredjeland, og hvilke parter som har mottatt dine personopplysninger.

For å avklare dette kan du til enhver tid til å kontakte oss for å:

  • Be om tilgang til, og informasjon om, de personopplysningene som behandles i sammenheng med din bruk av Appen og/eller Tjenestene;

  • Be oss om å rette opp eventuelle feil i informasjonen om deg;

  • Be oss om at dine personopplysninger blir slettet (imidlertid ber vi deg her om å bemerke at Leverandører av helsetjenester har visse lovfestede forpliktelser til å lagre personopplysninger, særlig i tilknytning til pasientdata, inkludert det å føre pasientjournaler i forbindelse med bruken av Tjenestene). På anmodning fra deg vil alle pasientdata som vi ikke har en juridisk forpliktelse til å oppbevare, bli slettet;

  • Be oss om å begrense behandlingen av dine personopplysninger når du mener at disse dataene er uriktige; at vår behandling er ulovlig; eller at vi ikke lenger trenger å behandle disse dataene for et bestemt formål med mindre vi ikke er i stand til å slette data på grunn av en juridisk plikt eller annen plikt, eller fordi du ikke ønsker at vi skal slette dem;

  • Protestere mot behandlingen av dine personopplysninger når den rettslige begrunnelsen for vår behandling av dine personopplysninger, er vår legitime interesse. Vi vil rette oss etter din anmodning med mindre vi har tungtveiende legitime grunner til behandlingen som overstyrer dine interesser og rettigheter, eller dersom vi må fortsette å behandle dataene for å opprettholde, utøve eller forsvare et rettslig krav;

  • Dersom vi bruker dine personopplysninger på grunnlag av ditt samtykke, har du når som helst rett til å trekke tilbake ditt samtykke, uten kostnader. Dette inkluderer også dersom du ønsker å velge bort markedsføringsmeldinger. Bemerk at Kry International og Leverandøren av helsetjenester håndterer dine personopplysninger i forbindelse med ulike formål (både som en teknisk leverandør av Appen, men også som en Leverandør av helsetjenester). Tilbaketrekking av samtykke påvirker ikke Leverandøren av helsetjenesters plikt til å føre pasientjournaler, eller behandle dine personopplysninger i samsvar med gjeldende lovgivning; eller

  • Be om at dine personopplysninger flyttes til en annen behandlingsansvarlig for personopplysninger, i den utstrekning du har levert dem, i et elektronisk format som vanligvis brukes for å kunne overføre dem til en annen part (retten til dataportabilitet).

Dersom du ønsker å kontakte oss angående noen av punktene over, oppfordrer vi deg til å sende en e-post til privacy@kry.no.

10. Rett til å levere en klage til tilsynsmyndigheten

Med denne personvernpolicyen håper vi oppriktig at vi har gjort det klart for deg hvordan vi håndterer dine personopplysninger. Dersom du fortsatt har spørsmål, må du gjerne kontakte oss.

Vi ønsker også å informere deg om at hvis du mener at behandlingen av dine personopplysninger er uriktig eller ikke i samsvar med juridiske krav, har du rett til å levere en klage til den relevante tilsynsmyndigheten.