Personvernerklæring Flokki AS

1. Oversikt

Denne personvernerklæringen vil gi deg informasjon om hvordan, hvorfor og på hvilket grunnlag vi behandler dine personopplysninger. Det er Flokki som er behandlingsansvarlig for behandlingen av personopplysninger som er beskrevet i denne erklæringen.

2. Hva er personopplysninger

Personopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Det kan være ditt navn, din kontaktinformasjon, dine helseopplysninger eller medisinske vurderinger. Med "behandling" av personopplysninger mener vi enhver bruk av personopplysninger, for eksempel innsamling, registrering, lagring, sammenstilling, utlevering, sletting osv. All behandling av personopplysninger er som hovedregel underlagt Personvernlovgivningen.

3. Hvem behandler vi personopplysninger om

Denne personvernerklæringen omfatter vår behandling av personopplysninger om følgende kategorier av personer:

4. Hvordan bruker vi personopplysninger

4.1. Helsehjelp og registrering i pasientjournal

Vårt hovedformål med behandlingen av dine personopplysninger er å yte forsvarlig helsehjelp, samt tilby våre medisinske tjenester. Personopplysningene som vi samler inn om deg er opplysninger som vi anser er relevante for å gi deg forsvarlig helsehjelp. De opplysningene vi behandler har vi fått av deg, fra annen helseinstans der du har mottatt behandling, fra medisinske prøver vi tar mv. Når du blir diagnostisert, mottar helsehjelp eller medisinsk behandling hos Flokki så plikter vi å registrere alle opplysningene som er nødvendige for å yte helsehjelpen i våre systemer for pasientjournaler. Hvilke opplysninger som skal registreres er spesifisert i lov. Journalen kan for eksempel inneholde kontaktinformasjon, kontraindikasjoner for vaksiner, sykdomshistorikk, tidligere vaksinasjoner, hvilke medisiner du bruker, diagnoser mv.

4.2. Digital resept tjeneste

Hos Flokki kan du bestille resept uten å måtte møte opp på legekontoret. Dersom du benytter deg av dette tilbudet, samler vi i Flokki inn personopplysninger om deg og slår opp dine opplysninger i reseptformidleren. Kontaktopplysninger (navn og telefonnummer) er nødvendige for at vi skal kunne kontakte deg både av medisinske årsaker, og for å bekrefte din bestilling. Vi benytter Vipps, BankID eller Buypass og fødselsnummer for å bekrefte din identitet. I tillegg må du oppgi de helseopplysningene som er nødvendige for at helsepersonell i Flokki skal kunne vurdere din forespørsel. Helseopplysningene blir registrert i våre systemer for pasientjournaler (som beskrevet ovenfor i punkt 5.1).

4.3. Kommunikasjon - opprettelse av profil

På våre nettsider har du mulighet til å bestille en vaksinesjekk. Når du bestiller denne må du logge inn med BankID og vil innhente navn, telefonnummer og fødselsdato, mailadresse og tidligere vaksinasjoner (og arbeidssted for b2b tjenesten). Ved bestilling av e-resept vil vi også innhente helseopplysninger som omhandler kontraindikasjoner for vaksinasjon. Alle disse opplysningene vil bli lagret i våre systemer. Dersom du har opprettet en bruker på Flokki sine nettsider, kan vi også behandle opplysninger om hvordan du bruker tjenesten, herunder hvilke sider du bruker mest, hvilke tjenester du velger og om du opplever tekniske problemer. Formålet med behandlingen er å forbedre våre tjenester slik, herunder funksjonalitet og design på nettsiden. Dersom du har profil hos oss, som du får ved bestilling av en vaksinesjekk, vil vi kunne sende deg vaksinenyheter og påminnelser per sms og/eller mail.

4.4. Innheting av din vaksinestatus fra det Nasjonale Vaksinasjonsregisteret

Flokki tilbyr vaksinevurdering/vaksinesjekk til brukere som ønsker dette.
For å kunne levere en vaksinevurdering henter vi inn tidligere vaksinasjoner fra det Nasjonale Vaksinasjonsregisteret - SYSVAK. For å kunne gi oppdatert informasjon om vaksinasjonsstatus og nye vaksinevureringer vil vi innen de neste 24 månedene fra bestilling av en vaksinesjekk, kunne hente inn vaksinasjons data fra det nasjonale vaksinasjonsregisteret.
Dersom man har et aktiv abonnement hos oss, kan vi hente inn vaksinasjonsdata fra det nasjonale vaksinasjonsregisteret om deg så lenge abonnementet er aktivt.  
Helsepersonellet som skal gjøre vaksinevurderingene må identifisere seg via et eget innloggingssystem før vedkommende gis tilgang til systemet som vurderer din vaksinasjonsstatus.

4.5. Betaling for helsetjenester

Vi behandler betalingsinformasjon etter ditt besøk hos oss, og ved bruk av enkelte av våre digitale tjenester. Opplysninger om hvor mye du skal betale for konsultasjonen overføres til Vipps.

5. Hvem kan vi dele dine personopplysninger med

5.1. Helseforetak og annet helsepersonell

Det hender at vi blir kontaktet av helseforetak eller annet helsepersonell som også gir deg medisinsk behandling og som ber om å få utlevert dine pasientopplysninger.

Helsepersonell har anledning til å utlevere dine taushetsbelagte opplysninger til samarbeidende helsepersonell som er underlagt samme taushetsplikt som våre ansatte. Dette gjøres kun i den grad det anses som nødvendig for å gi deg forsvarlig helsehjelp og reglene følger av helsepersonelloven. Som pasient har du rett til å motsette deg slik utlevering. Opplysningene som eventuelt deles er begrenset til det som er nødvendig. Vi deler kun slik informasjon dersom det etterspørres av samarbeidende personell, ikke uten at vi har mottatt en slik henvendelse.

5.2. Offentlige myndigheter

Dersom det er pålagt ved lov eller det er mistanke om at det er begått lovbrudd i forbindelse med bruk av våre tjenester, vil informasjonen vi har lagret om deg kunne utleveres til offentlige myndigheter.

Videre kan opplysninger deles med offentlige helseregistre som vi er pålagt gjennom lovgivning å dele informasjon til, slik som Vaksineregisteret.

5.3. Databehandlere

En databehandler er et selvstendig selskap eller juridisk enhet som behandler personopplysninger på vegne av behandlingsansvarlig. En databehandler kan eksempelvis være en leverandør av bookingsystem eller system for elektronisk pasientjournal.

Flokki sørger for at alle databehandlere er underlagt samme taushetsplikt som personell ansatt hos Flokki, og at avtaler om bruk av databehandler oppfyller Personvernlovgivningen sine krav til bruk av databehandlere/innhold av databehandleravtaler.

Oversikt over våre underleverandører:

  • Klikk – leverandør av servertjenester
  • Pro IT Consult: IKT tjenester
  • OpiumDev – dev ops tjenester
  • Sectigo – leverandør av SSL sertifikat
  • Pridok - leverandører av medisinske journalsystemer
  • Link Mobility - Plattform for SMS-utsendelse
  • Google Workspace: Samhandlingsplattform for dokumenter/mail/kalender/møter, samt innhenting og systematisering av anonyme pasientdata
  • Microsoft Office - Samhandlingsplattform for dokumenter/mail/kalender/møter, samt innhenting og systematisering av anonyme pasientdata
  • Slack - Samhandlingsplattform for dokumenter og chat
  • Vipps - betalingsløsning og plattform for autentisering av pasienter
  • Signicat - for sikker autentisering av pasienter
  • Webflow - leverandør av nettsted
  • Typeform - leverandør av spørreskjema

    SendGrid - Plattform for mail-utsendelse

6. Hvor lenge lagrer vi dine personopplysninger

Vi vil i utgangspunktet ikke lagre personopplysninger lenger enn det som er nødvendig for å oppfylle formålet med behandlingen og de lovpålagte pliktene vi har. Når det kommer til personopplysninger lagret i pasientjournal, det vil si for opplysningene som vi behandler for å yte helsehjelp, gjelder andre regler.
Hovedregelen er at journalene skal oppbevares til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for dem.

For øvrig vil vi slette eller anonymisere personopplysninger i samsvar med følgende sletterutiner:

  • Betalingsinformasjon oppbevares i minimum fem år i henhold til reglene i bokføringsloven. Opplysninger som oppbevares lenger enn dette anonymiseres.

7. Hva gjør vi for å beskytte dine personopplysninger

Som behandlingsansvarlig for dine personopplysninger har vi det overordnede ansvaret for å sørge for at dine personopplysninger behandles og oppbevares på en sikker måte. Dette innebærer at vi har gjennomført tekniske og organisatoriske tiltak som sørger for tilfredsstillende informasjonssikkerhet. Vi har blant annet implementert adgangskontrollmekanismer, det vil si at kun personer med et tjenstlig behov har tilgang til dine personopplysninger. I tillegg er all kommunikasjon med servere kryptert over https.

Alle våre ansatte som behandler helseopplysninger om deg er underlagt taushetsplikt. Det samme gjelder andre som behandler personopplysninger på våre vegne.

8. Hvilke rettigheter har du

Dersom vi behandler dine personopplysninger har du etter Personvernlovgivningen en rekke rettigheter som du kan gjøre gjeldende overfor oss.

Du har rett til å få innsyn i hvilke personopplysninger vi behandler om deg, herunder rett til å motta en kopi av disse. Dersom du mener opplysningene vi har registrert om deg er uriktige, har du rett til å be om at de rettes. Du har rett til å be om at dine opplysninger slettes fra våre systemer, noe vi er pålagt å etterkomme såfremt videre lagring ikke er strengt nødvendig eller lovpålagt. Dersom du har innsigelser mot vår behandling av dine opplysninger, men ikke vil at de skal slettes av hensyn til pågående prosesser, kan du be om begrensning av behandlingen. I slike tilfeller vil vår behandling begrenses til kun nødvendig lagring. Der vår behandling av dine opplysninger har grunnlag i berettigede interesser, har du rett til å protestere mot behandlingen. Dersom du protesterer skal vi stanse den aktuelle behandlingen, med mindre det foreligger tvingende berettigede grunner for å fortsette behandlingen. Der vår behandling av dine opplysninger har grunnlag i ditt samtykke eller vår avtale med deg, har du rett til å få disse opplysningene utlevert i et strukturert, alminnelig anvendt og maskinleselig format, enten til deg selv eller direkte til en annen tredjepart.

Vi gjør oppmerksom på at det gjelder unntak og nærmere vilkår for rettighetene som er beskrevet ovenfor, og at ikke alle rettighetene vil være relevante for alle våre forbindelser. Dersom du ønsker å gjøre bruk av en av dine rettigheter overfor oss, ber vi deg ta kontakt på post@flokki.no.

9. Datatilsynet og klagemuligheter

Datatilsynet er ansvarlig for å føre kontroll med Personvernlovgivningen og tilsyn med norske selskapers behandling av personopplysninger. Du kan kontakte oss når du vil om du har klager knyttet til vår behandling av dine personopplysninger. Du kan også klage til Datatilsynet, samt til et datatilsyn i en EU/EØS-medlemsstat der du bor, har ditt arbeidssted eller der den påståtte overtredelsen av Personvernlovgivningen har funnet sted.

Dersom vi avslår et krav på retting eller sletting av dine journalopplysninger, kan du påklage dette til Statsforvalteren.

10. Endringer

Fra tid til annen kan vi revidere denne personvernerklæringen, eksempelvis som følge av at vår behandling av personopplysninger endrer seg eller som følge av endringer i Personvernlovgivningen. Når personvernerklæringen endres, vil en oppdatert versjon publiseres på vår hjemmeside. Denne personvernerklæringen er gjeldende fra datoen som er angitt innledningsvis.

Sist endret: 16.11.23