Personvernerklæring

Denne personvernerklæringen beskriver hvordan EDB Hagen («MediVarsel», «vi», «oss») behandler personopplysninger når du bruker tjenesten på medivarsel.com.

For bruker­kontoer (farmasøyter, apotekledere, fastleger) er MediVarsel behandlingsansvarlig for de personopplysningene vi samler inn for å levere tjenesten. Når apoteket eller legekontoret ditt bruker MediVarsel på vegne av virksomheten, er virksomheten dataansvarlig og MediVarsel databehandler; forholdet reguleres av egen databehandleravtale.

MediVarsel behandler ikke pasientopplysninger. Systemet inneholder verken navn, fødsels­nummer, diagnose- eller reseptinformasjon.

Vi lagrer følgende opplysninger om deg som bruker:

Vi lagrer ikke pasientnavn, fødselsnummer, diagnose- eller reseptinformasjon, eller legemiddelhistorikk koblet til person.

Behandlingen av navn, e-post, arbeidsplass, rolle og abonnerte virkestoffer skjer for å oppfylle avtalen om bruk av tjenesten, jf. personvern­forordningen (GDPR) artikkel 6 nr. 1 bokstav b.

Innloggings- og notifikasjonslogger behandles på grunnlag av berettiget interesse i drift og informasjonssikkerhet, jf. GDPR artikkel 6 nr. 1 bokstav f.

Databasen driftes av Supabase i AWS-regionen eu-north-1 (Stockholm), innenfor EU/EØS. Opplysningene krypteres både i overføring (TLS 1.2+) og i hvile. Ingen personopplysninger overføres til tredjeland utenfor EØS uten at Standard Contractual Clauses (SCC) og egnede sikringstiltak er på plass.

Vi bruker følgende under­leverandører for å levere tjenesten. Med hver av dem har vi inngått databehandleravtale (DPA):

• Supabase — databaselagring og autentisering (EU Stockholm)
• Resend — utsendelse av varsler og systemeposter
• Vercel — hosting av nettapplikasjon og bakgrunnsjobber
• Stripe — håndtering av abonnement og betaling. Stripe mottar betalings­informasjon direkte fra Brukeren; MediVarsel lagrer ikke kortnumre eller andre betalings­data.
• Cloudflare — DNS og e-post-ruting for medivarsel.com

Kontoopplysninger lagres så lenge du har et aktivt abonnement. Når du sletter kontoen din, fjernes profilen din umiddelbart. Avidentifiserte drifts- og sikkerhetslogger kan oppbevares i inntil 90 dager før de slettes permanent.

Du har følgende rettigheter etter personvern­forordningen:

• Innsyn — få oversikt over hvilke opplysninger vi har lagret om deg
• Retting — endre feilaktige eller utdaterte opplysninger
• Sletting — slette kontoen din og dine personopplysninger
• Dataportabilitet — få utlevert opplysningene dine i et maskinlesbart format
• Begrensning og innsigelse — be om at behandlingen begrenses eller motsette deg behandling

De fleste rettighetene kan du utøve selv fra profil­innstillingene. Ellers kan du sende en henvendelse til kontakt@medivarsel.com. Vi svarer senest innen 30 dager.

Hvis du mener vi behandler opplysningene dine i strid med regelverket, kan du klage til Datatilsynet (datatilsynet.no).

Vi følger kravene i personvern­forordningen og Normen for informasjons­sikkerhet og personvern i helse- og omsorgssektoren. Dette inkluderer kryptering, tilgangsstyring med Row Level Security, audit-logging og rutiner for avviks­håndtering.

Ved sikkerhets­brudd varsler vi berørte brukere uten ugrunnet opphold, og Datatilsynet innen 72 timer dersom bruddet kan medføre risiko for rettigheter og friheter.

Vi kan oppdatere denne erklæringen. Ved vesentlige endringer varsler vi deg på e-post senest 14 dager før endringene trer i kraft. Siste oppdatering står øverst på siden.

EDB Hagen (Org.nr: 935 389 682)
E-post: kontakt@medivarsel.com