PERSONVERNERKLÆRING ASSISTERT SELVHJELP

Innledning

Assistert Selvhjelp AS utvikler teknologi for å lage internettassistert behandling/selvhjelp («Forfatterverktøy») som man i kombinasjon med faginnhold kan utvikle «Selvhjelpsprogram».

Samlet sett kan Nettsider, Selvhjelpsprogram, og Forfatterverktøy beskrives som «Tjenester».

Vi behandler personopplysninger i samsvar med personopplysningsloven, som gjør EUs personvernforordning (heretter «GDPR» til norsk lov). Personvernerklæringen beskriver hvilke personopplysninger vi samler inn ved besøk på våre Nettsider, og bruk av våre Tjenester, og hvordan vi behandler disse. Denne erklæringen inneholder også detaljert informasjon om våre løsninger og underleverandører. Dette har vi gjort for å være transparente.

Før du kjøper eller bruker Tjenester fra Assistert Selvhjelp AS, bekrefter du å ha lest, forstått, og samtykker til innholdet i denne erklæringen.

Roller og ansvarsfordeling i forbindelse med personvernarbeid

Assistert Selvhjelp AS er behandlingsansvarlig for innhenting og bruk av personopplysninger som gjøres via nettstedet assistertselvhjelp.no, exporable.com, assistedselfhelp.com og tilhørende digitale tjenester («Nettsider»). Omfanget av ansvaret er presisert under.

Personvernerklæringen inneholder generell informasjon. På bakgrunn av ulik bruk av Tjenestene har vi spesiell informasjon rettet mot tre ulike roller:

  1. «Sluttbruker» som får tilgang til Tjenester via en Virksomhet
  2. «Privatpersoner» benytter betalingsløsning på nettsiden for å få tilgang til Tjenester
  3. «Virksomheter» er organisasjoner, foretak eller private virksomheter som tilbyr Tjenester til Sluttbrukere, for eksempel en helsetjeneste eller fastlege. En ansatt i en Virksomhet kan ha rollene «Kontaktperson» og/eller «Veileder»

KORT OPPSUMMERT – VÅR BEHANDLING AV PERSONOPPLYSNINGER

Våre holdninger til personopplysninger

Assistert Selvhjelp AS lagrer som hovedregel ikke data som kan identifisere Sluttbrukere og Privatpersoner:

Assistert Selvhjelp AS ønsker ikke å vite hvilke Sluttbrukere og Privatpersoner som benytter Tjenestene, og vårt mål er å oppbevare minst mulig persondata. Derfor bruker vi unike tilgangskoder som ikke knytter personopplysninger til innlogging. Vi stripper også ut all data som kan bidra å identifisere Sluttbrukere og Privatpersoner, og vi spør vi aldri om slik informasjon.

Vi vil gjerne spare på anonymisert statistikk og registreringer i forbindelse med bruk av Tjenestene, som kan hjelpe oss til å bli bedre. Dette vil utelukkende dreie seg om opplysninger som ikke kan knyttes til person.

De viktigste tilfellene av personopplysningsbehandling

Kjøp direkte fra Nettsiden:

Dersom du kjøper tilgang direkte fra nettsiden som en Privatperson kan du velge å få kvittering. Dette er valgfritt, men medfører at både Assistert Selvhjelp AS og Stripe ha eposten for å kunne sende ut kvittering. Personopplysninger om deg vil også lagres hos betalingsleverandøren. Vi har gjort tiltak for å hindre at personopplysninger og betalingsopplysningene om deg knyttes til bruk av selve Tjenesten. Assistert Selvhjelp AS sletter eposten din når kvitteringen er sendt.

Fått tilgangskode fra en Virksomhet:

Når Tjenesten tilbys gjennom en Virksomhet, vil det normalt sett være mulig for ansatte i Virksomheten å identifisere Sluttbrukeren. Virksomheter kan også velge å benytte en «rapportfunksjon», som kan være et nyttig verktøy i oppfølging underveis i bedringsprosessen. Rapportfunksjonen er en oversikt over tilgangskodene Virksomheten har levert ut, hvor Veiledere vil kunne følge bruk, fremdrift og se kartlegging som registreres i hver tilgangskode.

Virksomhetene som benytter rapportfunksjonen, må ha tilleggsopplysninger for å finne ut hvilken person som bruker Tjenestene. Mange Virksomheter løser dette ved å oppbevare tilgangskoden på et godt sikret område sammen med andre opplysninger om deg, for eksempel i journalen din. Formålet med dette vil være å identifisere hvilken tilgangskode som tilhører deg i rapportfunksjonen. På denne måten kan Veilederen forberede seg best mulig til avtalt oppfølging. Som Sluttbruker har du tilgang til alle opplysningene som vises i rapporten.

Det er fullt mulig å gjennomføre Veiledning uten å benytte denne funksjonen.

Ansatte i Virksomheter:

Vi oppbevarer enkelte personopplysninger om Veiledere og Kontaktpersoner som arbeider for Virksomhetene som tilbyr våre Tjenester. Dette gjør vi for å gi tilgang til funksjonalitet og for å sikre oppfølging av kundeforholdet.

INNHOLD

OPPLYSNINGER VI LAGRER

Assistert Selvhjelp AS har som mål å levere gode og trygge Tjenester som er lett tilgjengelig. Vi vil ha så lite personinformasjon om våre Sluttbrukere og Privatpersoner som mulig, og det klarer vi med noen forbehold. For å vite mer kan det være lurt at du kikker nærmere på hvordan vi jobber med personvern ut fra din bruk av Tjenestene.

Bruk av Assistert Selvhjelp AS sine Tjenester krever ikke at det oppgis sensitive og konfidensielle opplysninger som er direkte personidentifiserbare. Registrering av slike opplysninger er ikke tillatt, og skal ikke oppgis til Assistert Selvhjelp AS under noen omstendigheter. Har du helserelaterte spørsmål må du kontakte fastlege, legevakt eller annen relevant helsetjeneste.

Informasjonskapsler

Når du besøker våre Nettsider, eller noen av de andre adressene sidene våre er tilgjengelige på, logger vi informasjon om besøket, som oftest i form av cookies (informasjonskapsler). Disse benyttes for å personliggjøre innhold og funksjonalitet, analysere hvordan du bruker nettsiden. Vi kan ikke spore din bruk av nettstedet tilbake til deg som enkeltperson med informasjonen som logges i cookies.

Nødvendige informasjonskapsler er helt avgjørende for at nettstedet skal fungere ordentlig. Denne kategorien cookies inkluderer bare informasjonskapsler som sikrer grunnleggende funksjonaliteter og sikkerhetsfunksjoner på nettstedet.

Den ovennevnte informasjonsbehandlingen som gjelder cookies er tillatt etter ekomloven § 2-7 b.

Informasjonskapsler som kanskje ikke er spesielt nødvendige for at nettstedet skal fungere og brukes spesifikt til å samle inn Sluttbrukerens personlige data via analyser, annonser, annet innebygd innhold blir betegnet som ikke-nødvendige informasjonskapsler. Det er obligatorisk å innhente Sluttbrukerens samtykke før vi kjører disse informasjonskapslene fra Nettsidene.

Nettsideanalyse

Assistert Selvhjelp AS benytter analyseverktøyene Google Analytics for å samle inn opplysninger om besøkende på Nettsidene. Formålet er å utarbeide statistikk som vi bruker for å forbedre kvaliteten på Nettsidene.

Eksempler på hva statistikken gir oss svar på er: Hvor mange som besøker ulike sider, hvor lenge besøket varer, hvilke nettsteder brukerne kommer fra og hvilke nettlesere som benyttes. Opplysningene anonymiseres, slik at vi ikke kan spore opplysningene tilbake til en enkelt person.

Når du besøker våre Nettsider lagrer vi dessuten automatisk informasjon om nettlesertype, Internett-tjenesteleverandør (ISP), henvisnings-/utgangssider, operativsystem, dato/klokkeslett, klikkstrøm-data og andre brukeropplysninger som en del av tjenesteanalysen vår. Dette er anonymiserte og selvstendige data som blir ikke koblet til andre opplysninger som registreres ved bruk av Tjenesten.

Privat surfing, eller “inkognito modus” er en funksjonalitet som hindrer nettleseren i å lagre surfehistorikk og midlertidige data når du er på nett. På den måten etterlater du ingen spor på datamaskinen etter bruk. Les mer om hvordan dette kan gjøres i ulike nettlesere på nettvett.no

Opplysninger som lagres ved bruk av Tjenestene

Alle opplysningene som Sluttbrukere og Privatpersoner registrerer ved bruk av Tjenesten er anonymisert når de behandles av Assistert Selvhjelp AS. Det gjøres ved at vi:

  • benytter unike og randomiserte tilgangskoder bestående av tilfeldige tegn ved innlogging
  • aktivt stripper (fjerner) IP-adresse slik at disse aldri lagres
  • aldri spør om navn, epost, telefon eller annet som kan identifisere person, og;
  • aldri legger opp til registrering av personopplysninger ved bruk av Tjenesten.

Hvis det er hensiktsmessig med utfylling der bruker kan komme til å røpe personlige data, så lager vi det om til arbeidsark som kan lagres lokalt. Dette lagres ikke av Assistert Selvhjelp AS.

(Se eksempel).

Formålet med denne løsningen er å unngå at personopplysninger knyttes sammen med bruk av Nettsidene og Selvhjelpsprogrammene.

Personvernlovgivningen gjelder ikke for anonymiserte opplysninger. Opplysningene er anonyme hvis det ikke er mulig, med de hjelpemidlene som med rimelighet kan tenkes å ha blitt brukt, å identifisere enkeltpersoner i datasettet.

Eksempler på opplysninger som lagres ved bruk av Tjenesten:

  • Standardiserte svar/svarkategorier relatert til spørsmål og oppgaver om atferd, emosjoner, tanker og opplevelse av ulike situasjoner
  • Hvilket innhold som er gjennomgått
  • Oversikt over scoringer på kartleggingsverktøy, for eksempel kartlegging av symptomer på angst og depresjon
  • Automatisk informasjon om dato/klokkeslett for innlogging, og tidsbruk
  • Klikkstrøm-data, type operativsystem og nettleser og andre brukeropplysninger som en er en del av tjenesteanalysen
  • Evaluering og tilbakemeldinger knyttet til bruk av Tjenestene

Formålet med å lagre slike opplysningene er å:

  • gi oversikt over registreringer i Tjenestene
  • sikre best mulig utbytte av å bruke Tjenesten, for eksempel finne frem til mest relevant innhold i forhold til problemstilling
  • gi mulighet for å følge utvikling i perioden Tjenesten brukes
  • kunne finne tilbake til der man avsluttet
  • kvalitetssikre, forbedre og utvikle Tjenestene

Feedback, kontaktskjema og eposthenvendelser

Vi setter pris på tilbakemeldinger. Sluttbrukere og Veiledere kan gi tilbakemeldinger gjennom funksjonene «Foreslå endringer» og «Evalueringsskjema» ved innlogging med tilgangskode i Tjenesten.

Når du fyller ut slike digitale skjema eller benytter deg av innloggede tjenester vil ingen personopplysninger (for eksempel, navn, telefonnummer eller IP-adresse) bli registrert av Assistert Selvhjelp AS. Formålet med disse er å forbedre Tjenestene våre.

Vi lagrer opplysninger om deg når du sender oss e-post direkte eller bruker kontaktskjema. Henvendelser du sender direkte via e-post, sendes ikke kryptert. Vi oppfordrer deg derfor om ikke å sende taushetsbelagte, sensitive eller andre fortrolige opplysninger via e-post.

Kontaktskjema på nettsidene inneholder spørsmål om navn og telefonnummer som det er valgfritt å legge inn. Epost er påkrevd slik at vi enkelt kan besvare med rette vedkommende. Henvendelser til våre epostadresser som starter med «kontakt@» eller «info@» gjennomgås av postmottaket, som tar stilling til om den skal videresendes eller løses umiddelbart.

Vi sletter rutinemessig meldinger og epost som inneholder sensitive personopplysninger.

Se også egne avsnitt som er spesifikke for Sluttbrukere, Privatpersoner og Virksomheter

SLUTTBRUKERE

Dersom du har fått tilgang til Tjenesten av en Virksomhet, for eksempel som en del av tilbudet ved en helsetjeneste, vil det normalt sett være en forutsetning at din identitet er kjent for den du mottar tilgangskoden fra.

Rapportfunksjon for oppfølging

Virksomheter som tildeler Tjenesten har også mulighet til å tilgang til en funksjon som gir oversikt over tilgangskoder de har delt ut, og til opplysninger som er registrert i hver av tilgangskodene. Du må aktivt godkjenne at Virksomheten kan ha din kode i oversikten ved første innlogging. Som Sluttbruker har du tilgang til alle opplysningene som vises i denne rapportfunksjonen. Formålet med rapportfunksjonen er å kunne gi best mulig oppfølging av Sluttbrukere som benytter Tjenesten. I praksis vil det handle om at Veilederen kan:

  • følge fremdrift og bruk hos den som veiledes i forkant av avtaler
  • tilpasse arbeidsmengde mellom oppfølgingstimer best mulig
  • ha et bedre grunnlag for å vurdere nytteverdi og effekt

Siden kodene unike og tilfeldig sammensatt er det vanskelig å huske dem. Det vil i utgangspunktet være vanskelig for Virksomheten å finne ut hvem som bruker de ulike tilgangskodene, siden den ikke står sammen med navn eller andre personopplysninger om Sluttbrukeren. Virksomhetene som benytter funksjonen, må derfor ha tilleggsopplysninger for å finne ut hvem som bruker Tjenestene. Mange Virksomheter løser dette praktisk ved å oppbevare tilgangskoden på et sikret område sammen med andre opplysninger om deg, for eksempel i journalen din. Formålet med dette vil være å identifisere hvilken tilgangskode som tilhører deg i rapportfunksjonen. Det er bare Virksomheten som har tilgang til disse tilleggsopplysningene og kan beslutte hvem som skal ha tilgang til disse tilleggsopplysningene.

Det er fullt mulig å få oppfølging uten at Veilederen bruker rapportfunksjonen.

Sletting og anonymisering

Ved første innlogging må du aktivt godkjenne at Virksomheten kan forberede oppfølging med bruk av rapportfunksjon for Virksomheten. For å avgrense Virksomhetens tilgang til dine registreringer, og sikre din rett til personvern vil du 10 uker etter første innlogging 3 valg:

1. Få ny kode

Velges hvis du fortsatt ønsker å ha tilgang til Tjenesten etter at oppfølging fra en Veileder er avsluttet. Du vil få en ny tilgangskode slik at det ikke vil være mulig for Veilederen (eller noen andre) å knytte tidligere bruk av Tjenesten til personopplysninger om deg. Dersom den «gamle» tilgangskoden ble lagret av Virksomheten, for eksempel i journalen din, vil den ikke være mulig å benytte denne til innlogging. Tilgangskoden og registreringer som er gjort i denne vil ikke lenger være tilgjengelig i rapportfunksjonen hos Virksomheten du fikk oppfølging fra.

2. Forlenge kobling til Virksomheten

Velges hvis du fortsatt er i oppfølging. Tilgangskoden du bruker vil være tilgjengelig i rapportfunksjonen i Virksomheten i 10 nye uker. (Merk at også Virksomheten kan fjerne tilgangskoder fra oversikten i rapportfunksjonen).

3. Avslutte Tjenesten

Velges dersom oppfølging fra Virksomheten er avsluttet og/eller du ikke ønsker å benytte tjenesten i fremtiden. Dette vil føre til at du ikke lenger kan logge inn med tilgangskoden. Tilgangskoden vil ikke lenger vises i rapportfunksjonen hos Virksomheten du fikk oppfølging fra. Dersom du ønsker, kan du slette alle opplysninger du har registret.

Hvis du ikke gjør et valg innen 14 uker etter at tilgangskoden ble opprettet vil tilgangskoden fjernes i rapportfunksjonen hos Virksomheten inntil du tar et valg, men opplysninger du har registrert beholdes.

Sensitive og konfidensielle personopplysninger

Assistert Selvhjelp AS har ikke på noe tidspunkt tilgang til tilleggsopplysninger som gjør dine registreringer i Tjenesten personidentifiserbare. Skulle uvedkomne, for eksempel «hackere», mot formodning få tilgang til våre godt beskyttede servere, vil det uansett ikke være mulig å knytte opplysningene de finner til deg uten å «hacke» virksomheten der tilleggsopplysningene er lagret.

PRIVATPERSONER

Kjøp direkte fra Nettsidene

Dersom du kjøper tilgang til Tjenesten direkte fra Nettsiden som Privatperson kan din betaling i visse tilfeller medføre oppbevaring av personopplysninger om deg. Vi verken ønsker eller har behov for personopplysninger av denne art, og gjør aktive tiltak for å sørge for at tilgangskode og personopplysninger ikke kobles. Dersom du ikke har behov for kvittering, vil ikke Assistert Selvhjelp AS ha tilgang på personopplysninger om deg.

For oppfølging av kontrakten og relatert arbeid, er Assistert Selvhjelp AS behandlingsansvarlig og har behandlingsgrunnlag i GDPR artikkel 6 nr. 1 bokstav b (oppfyllelse av kontrakt) og artikkel 9 nr. 2 bokstav h (yting av helsetjeneste).

Dersom du har behov for kvittering:

For å hindre at Assistert Selvhjelp AS får tilgang på Privatpersoners identitet bruker vi Stripe som betalingsløsning (se «Underleverandører»). Ved kjøp fjerner Stripe persondata og kort-informasjon for Assistert Selvhjelp AS med unntak av IP-adressen og de 4 siste sifre på kortet. Stripe har likevel ikke tilgang til tilgangskoden din, eller andre data knyttet til denne. Formålet med å lagre denne betalingsinformasjonen er å kunne gi dokumentasjon på kjøp og å kunne tilby tilbakebetaling. For selve betalingsløsningen er tilbyder av betalingstjeneste den behandlingsansvarlige.

Det er valgfritt å få kvittering, men da må både Assistert Selvhjelp AS og Stripe ha eposten for å kunne sende ut kvittering.

Assistert Selvhjelp AS oppbevarer personopplysninger knyttet til betaling kun i den utstrekning det er nødvendig for å tilby Tjenesten og dokumentasjon på kjøp, og sletter disse løpende så snart dette kan anses som oppfylt. Du kan på anmodning få se alle personopplysningene som er registrert om deg, og be om retting av eventuelle feil. Ved slik kommunikasjon vil vi slette kommunikasjonsloggen så snart anmodningen kan anses som oppfylt.

Vi understreker at du har tilgang på alle opplysninger som du har registrert ved gjennomgang og bruk av Tjenesten, og som følgelig er lagret om deg, når du er logget inn med tilgangskoden.

Les mer om oppbevaring, sletting, innsyn og retting i «Behandling av personopplysninger»

VIRKSOMHETER

Assistert Selvhjelp AS innhenter og behandler opplysninger fra Virksomheter for å identifisere, registrere, levere Tjenesten i henhold til Tjenesteavtalen, og utføre support om:

  1. Kundeforholdet: Navn på virksomhet, Org.nr, telefonnummer, etc.
  2. Kontaktpersoner: Fornavn, etternavn, telefonnummer og epost til kontaktpersoner
  3. Veiledere: Den ansattes epost (tilknyttet virksomhet)

Dersom Assistert Selvhjelp AS blir kjent med at kontaktinformasjonen er feil, plikter Assistert Selvhjelp AS å oppdatere den ved hjelp av offentlige registre, fortrinnsvis nummeropplysningstjenester og Brønnøysundregistrene (bedrift).

Behandlingen av personopplysninger er forankret i GDPR artikkel 6 nr. 1 bokstav f, berettigede interesser. Assistert Selvhjelp ASs berettigede interesser er å inngå og forvalte kundeforhold, generere økonomisk aktivitet og ivareta/styrke eget omdømme.

Når du henvender deg til Assistert Selvhjelp AS, må våre medarbeidere noen ganger gå inn og se på opplysningene som er registret om kundeforholdet. Opplysningene vil derfor være tilgjengelig for medarbeidere i Assistert Selvhjelp AS. Alle medarbeidere våre har undertegnet avtale om konfidensialitet og taushetsplikt.

Merk at behandling av personopplysninger i relasjon til spesifikke tjenester og produkter kan være regulert i vår Tjenesteavtalen som gjelder for Virksomheter, eller i særavtaler dersom dette er inngått.

Virksomheter som benytter rapportfunksjon

Virksomheter som tildeler Tjenesten har også mulighet til å få tilgang til en funksjon som gir oversikt over alle tilgangstilgangskoder de har delt ut, og til opplysninger som er registrert i hver av tilgangskodene. Det forutsettes at Sluttbrukeren godkjenner dette, i forbindelse med første innlogging.

Formålet med rapport funksjonen er at Virksomheten skal kunne gi mer effektiv oppfølging ved bruk av Tjenesten. I praksis vil det handle om at Veilederen kan:

  • følge fremdrift og bruk hos den som veiledes i forkant av avtaler
  • tilpasse arbeidsmengde mellom oppfølgingstimer best mulig
  • ha et bedre grunnlag for å vurdere nytteverdi og effekt

Sluttbrukeren kan selv slette data og avslutte Tjenesten. Virksomhetens innsyn i registreringer være begrenset til Sluttbrukerens beslutninger og beslutninger i henhold til denne retten.

Tilleggsopplysninger og Databehandleravtale

Så lenge det er mulig å identifisere Sluttbrukere vil registreringer som sluttbrukeren gjør i Tjenesten regnes som personopplysninger. Siden det bare er tilgangskoder som vises oversikten, vil det i utgangspunktet være vanskelig for Virksomheten å vite hvem som bruker tilgangskodene. For å vite hvem tilgangskoden tilhører trenger Virksomheten tilleggsopplysninger. Dette oppnås ved å oppbevare tilgangstilgangskoden sammen med andre personopplysninger, for eksempel i Sluttbrukerens journalen. Det er bare Virksomheten som har tilgang til disse tilleggsopplysningene og kan beslutte hvem som skal ha tilgang til disse tilleggsopplysningene.

Dersom Virksomheten har slike rutiner, se Databehandleravtale i Tjenesteavtalen

Virksomhetens ansvar

Virksomheter er ansvarlig for å ivareta hensiktsmessige sikkerhetstiltak som følge av å koble personopplysninger til tilgangstilgangskoder og bruk av våre tjenester.

Kontaktperson i Virksomheten har ansvar for at oppdatert oversikt over Veiledere som skal ha tilgang til rapportfunksjon. Veiledere som ikke skal ha tilgang må deaktiveres, og personopplysninger som er registrert hos Assistert Selvhjelp AS vil slettes fortløpende.

UNDERLEVERANDØRER

Syse AS / Dedia AS (Databehandlere)

All informasjon som registreres, genereres og lagres i forbindelse med bruk av Tjenestene lagres på to separate servere som er eiet og driftet av Syse AS og Dedia AS. Dette gir dobbeltdekning for å sikre stabil drift og backup. Begge er lokalisert til Norge (Oslo).

Syse – Personvern Dedia – Personvern

Google Analytics

Google Analytics måler antall besøkende til en side, kilder til trafikken, og gjør oss i stand til å se hvordan du bruker nettsiden og vise personlig tilpassede annonser. I henhold til Googles retningslinjer for bruk av Google Analytics samles det ikke inn, eller brukes, informasjon som kan benyttes til å identifisere deg som person. Du kan lese mer om hvordan Google samler inn og beskytter data her:

Personvernregler – Personvern og vilkår – Google

Dataene deles med Google og tredjeparter i markedsføringsøyemed. Du kan reservere deg mot personlig tilpasning av annonser.

G Suite (Google)

G Suite drifter våre eposter og lagring knyttet til ekstern kommunikasjon. All informasjon som registreres, genereres og lagres i forbindelse med epostkorrespondanse med Assistert Selvhjelp AS lagres på servere som er eiet og driftet av Gsuite (Google mail). Her mottar vi også henvendelser via kontaktskjema på Nettsidene.

G Suite – Secure by design

Lets Encrypt

Lets Encrypt  leverer TLS/SSL-sertifikater som vi benytter til kryptering av kommunikasjon i våre systemer. Informasjonen som innhentes i forbindelse med registrering av et TLS/SSL-sertifikat lagres på servere som er eiet og driftet av Lets Encrypt.

Letsencrypt – Privacy

Stripe

Stripe behandler betaling ved kjøp fra Privatpersoner. Stripe vil ha tilgang til koble kortopplysninger, navn på kortholder og navn på kjøpt Tjeneste. Stripe vil ikke få tilgang til tilgangstilgangskoden på noe tidspunkt:

Stripe – Privacy

Microsoft
Microsoft Office 365 er et kontorstøtte verktøy, primært forbeholdt interne oversikter, arbeidsflyt og kommunikasjon mellom ansatte relatert til drift. Dette innebærer at det lagres noen opplysninger om kundeforhold.

https://privacy.microsoft.com/nb-no/privacystatement

Mailchimp
Kontaktpersonen ved Virksomheten sender inn e-postadresse til Veiledere som skal ha tilgang til rapportfunksjonen. I tillegg til at epostadressene lagres på servere ved opprettelse av brukere, registreres epostadressene i Mailchimp, som er en tjeneste for masseutsendelse av epost. Formålet med dette er å sende relevant informasjon om Tjenesten rettet mot Virksomheter og deres ansatte, for eksempel om utvikling, endringer og oppdateringer. Det sendes ut slik informasjon 2-4 ganger i året. Mottakere kan når som helst melde seg av.

Mailchimp – Privacy

Conta

Conta drifter plattformen for håndtering av Virksomhetsopplysninger og faktura. Ved betaling med faktura lagres opplysninger om (1) Kundeforhold og (2) Kontaktperson i Virksomheten, hos PayEx. Dette gjelder uansett hvilken måte fakturaen utstedes på, eller hvordan den betales. Øvrige personopplysninger oppgis på frivillig basis.

Conta – Brukeravtale

Xledger

Xledger er et regnskapssystem som Assistert Selvhjelp AS bruker i forbindelse med Virksomheters kundeforhold, regnskap og revisjon.

Xledger – Personvern

Tet Regnskap og Økonomi AS («Tet»)

Tet er Assistert Selvhjelp AS regnskapsfører og vil ha tilgang til fakturainformasjon til Virksomhetskunder og informasjon om relaterte kundeforhold, kontaktpersoner og annet regnskapsrelatert informasjon. Tet har ikke tilgang til personidentifiserende opplysninger om Privatpersoner som kjøper Tjenesten via Stripe.

Tet – Personvernerklæring

UNDERLEVERANDØRER UTENFOR EU

Utviklere

Hovedregelen er at ingen av personopplysningene som behandles av Assistert Selvhjelp AS skal føres ut av Norge og/eller EU. Assistert Selvhjelp AS har følgende unntak som innebærer overføring til utlandet:  

Det benyttes faste utviklere som har oppholdssted utenfor EU, nærmere bestemt Thailand, Filipinene og Russland. De utformer løsninger for nettsidene, slik at Assistert Selvhjelp ASs tjenester er enkle, oversiktlige og fungerer tilfredsstillende, herunder overholder kravene til personvern. I den forbindelse kan det forekomme at de får adgang til informasjon som behandles når løsninger utformes og testes. 

Utviklerne har på lik linje med øvrig personell i databehandleren ikke tilgang til tilleggsopplysninger som gjør det mulig å identifisere Sluttbrukere. Utviklerne har kun adgang til avidentifiserte opplysninger (pseudonymisering). Utviklerne må ha adgang til disse opplysningene for å kunne ivareta informasjonssikkerheten og lage en løsning som tilfredsstiller kravene i personopplysningsloven. Det gis hjemmel for dette i GDPR i seg selv, ved at det gir Databehandler mulighet til å «gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med» personopplysningsloven, se GDPR artiklene 6 nr. 1 bokstav c (rettslig plikt) og 9 nr. 2 bokstav g (viktige allmenne interesser), jf. GDPR artiklene 24 nr. 1 og 32.

Assistert Selvhjelp AS bekrefter at ingen av underleverandørene overfører personopplysninger som omfattes av denne avtalen til utlandet, med unntak for slike overføringer som er angitt her.  Her omfattes også fjerntilgang for utviklere fra utlandet. 

Ved overføring av personopplysninger til land utenfor EU/EØS (tredjeland) benytter Assistert Selvhjelp AS godkjente overføringsgrunnlag, dvs. EUs modellavtale for overføring til databehandlere.  

Andre underleverandrer

Underleverandører utenfor EU, og som ikke tilbyr lagring av data innenfor EU, har erklært overholdelse av, EU-U.S. Privacy Shield-rammeavtalen og U.S.-Swiss Safe Harbor-rammeavtalen som er fastsatt av det amerikanske handelsdepartementet, og forplikter seg til å underlegge alle personopplysninger fra EU-medlemsland den tilliten rammeavtalene gir, ifølge rammeavtalens gjeldende prinsipper.

Ingen personopplysninger overleveres tredjeparter uten eksplisitt samtykke fra den registrerte, men en underleverandør kan overføre data til en tredjepart som fungerer som en agent på deres vegne. En slik overføring kan allikevel ikke skje uten å overholde prinsippene til Privacy Shield for alle etterfølgende overføringer av personopplysninger fra EU, inkludert bestemmelsene om ansvar for videre overføring:

Google / G Suite (USA)

Google – Privacy shield

Let’s Encrypt (USA)

Lets Encrypt – Policy

Mailchimp (USA)

Mailchimp – Privacy shield

Microsoft (USA)

Microsoft – Privacy shield

Stripe (USA)

Stripe – Privacy shield

BEHANDLING AV PERSONOPPLYSNINGER

Personopplysninger hentes inn for at Assistert Selvhjelp AS skal kunne utføre de oppgaver og tjenester vi er pålagt å utføre i henhold til lov, forskrift og/eller avtale. Behandling av personopplysningene skjer innenfor rammen av til enhver tid gjeldende lov og forskrift.

Personopplysningene kan utleveres til tredjepart som Assistert Selvhjelp AS samarbeider med, så vel innenfor som utenfor EØS- og EU-området for at vi skal kunne utføre de oppgaver og tjenester vi er pålagt å utføre i henhold til lov, forskrift og/eller avtale, og i tråd med denne personvernserklæringen.

Oppbevaring og sletting

Assistert Selvhjelp AS lagrer personopplysninger i henhold til denne personvernerklæringen, Tjenesteavtalen (for Virksomheter), og enhver tids gjeldende lovgivning. Dersom det foreligger lovbestemt opplysningsplikt overfor offentlig myndighet, vil registrerte personopplysninger bli overlevert i henhold til myndighetenes krav.

Personopplysninger som ikke lenger er nødvendige eller tjener hensikt ut fra det formål de er lagret for vil bli slettet fortløpende.

Sluttbrukere og Privatpersoner

Sluttbrukere og Privatpersoner som er innlogget med en tilgangskode kan når som helst avslutte tjenesten og slette opplysninger som er registrert. Opplysninger som ikke kan knyttes til en person vil så lenge de ikke aktivt slettes, være tilgjengelig for ansatte i Assistert Selvhjelp AS i våre arkiv og benyttes til å analysere funksjonalitet, og til sammenstilling av gruppedata. Det vil også være mulig for Virksomheter å se sletteregistreringer gjort av Sluttbruker ved behov. Virksomheter vil også ha tilgang til sammenstilling av egne gruppedata. Formålet med å med dette er å kvalitetssikre, forbedre og tilpasse Tjenestene, samt å vurdere nytte og effekt for å øke nytte og utbytte ved bruk av Tjenestene. Ettersom opplysninger behandles på et statistisk eller aggregert nivå, vil de ikke utgjøre personopplysninger.

Med de forbehold som er nevnt spesifikt for Sluttbrukere, vil tilgangskoden i utgangspunktet være aktiv ett år ett år etter at den ble opprettet eller sist benyttet. Hvis det går ett år uten at den er benyttet til innlogging vil den automatisk deaktiveres.

Virksomheter og deres ansatte

Når Virksomheter og deres ansatte spesifikt ber om sletting av opplysninger eller sier opp tjenester, vil noen personopplysninger, først og fremst kontaktopplysningene, bestillings- og fakturahistorikk, og kopi av korrespondanse, forbli i Assistert Selvhjelp AS sine register i den utstrekning det er nødvendig for å beskytte juridiske rettigheter eller lovgivningsmessige krav til dokumentasjon.

Innsyn og retting

Sluttbrukere og Privatpersoner

Assistert Selvhjelp AS lagrer ikke opplysninger om Sluttbrukere og Privatpersoner som de ikke har tilgang på selv.

Siden Assistert Selvhjelp AS ikke kan identifisere Sluttbrukere og Privatpersoner basert på opplysninger vi har tilgang på, frarådes i det i utgangspunktet å rette en anmodning om innsyn som vil medføre identifikasjon, for eksempel med bruk av epost. Ved å logge inn med tilgangskoden vil de opplysninger som er registrert være tilgjengelig.

Feilregistrering under bruk av Tjenesten vil som oftest ha begrenset praktisk betydning. Dersom du som Sluttbrukere eller Privatpersoner likevel ønsker å rette feilregistrering er det viktig at du benytter tilbakemeldingsskjema etter innlogging med tilgangskoden, og beskriver hva som skal rettes kort og presist. Ved innsending kan Assistert Selvhjelp AS automatisk se hvilken tilgangskode som har sendt meldingen. Det er ikke teknisk mulig for Assistert Selvhjelp AS å gi deg tilbakemelding om at rettingen er utført. Retting vil utføres så snart som mulig, normalt innen 7 virkedager.

Dersom du som Sluttbrukere eller Privatpersoner likevel velger å henvende deg til Assistert Selvhjelp AS, på bakgrunn av ønske om retting eller innsyn i lagrede opplysninger, vil kommunikasjon som identifiserer deg slettes forløpende, så snart anmodningen kan anses som oppfylt.

Virksomheter og deres ansatte

Virksomheter og deres ansatte kan på anmodning få se alle personopplysningene som er registrert (om dem). Dersom opplysningene ikke er korrekte eller relevante, kan den registrerte be om at de korrigeres eller slettes og fjernes fra våre register, såfremt Assistert Selvhjelp AS ikke er underlagt noen lovmessige forhold som er til hinder for dette.

KONFIDENSIALITET OG SIKKERHET

Vi benytter en kombinasjon av fysisk, elektronisk og prosedyremessig sikring for å beskytte personopplysninger.

Opplysninger tilgjengelig ved «Logg inn» for ansatte i Virksomheter er passordbeskyttet. Videre blir kontoens passord lagret med en tilfeldig saltet hash-algoritme.

All dataoverføring som skjer over internett, er kryptert. Alle transaksjoner blir behandlet over en SSL/TLS-tilkobling av bransjestandard, med minimum 128-biters kryptering. Det foreligger imidlertid ingen garanti for at noen ikke kan få tilgang til slike opplysninger, eller at de ikke blir avslørt, endret eller ødelagt ved brudd på en brannmur eller sikker serverprogramvare.

Ingen dataoverføringer over Internett er 100 % sikre, og vi kan i så måte ikke garantere for sikkerheten tilknyttet personopplysninger. Vi understreker samtidig at vi kontinuerlig har fokus på at Tjenestene ikke medfører lagring av personopplysninger som følge av bruk, da særlig med tanke på Sluttbrukere og Privatpersoner. Identifikasjon som følge av at Tjenestene benyttes vil for de fleste være mindre sannsynlig.

Dersom Assistert Selvhjelp AS blir oppmerksom på et brudd i ett av sikkerhetssystemene som omhandler personopplysninger, vil vi så raskt som mulig underrette de berørte parter, slik at de kan foreta nødvendige beskyttende tiltak. Assistert Selvhjelp AS plikter dessuten å varsle sikkerhetsbrudd til datatilsynet senest i løpet av 72 timer etter at vi har fått kjennskap til bruddet.

TREDJEPARTS FUNKSJONALITET OG NETTSIDER

Tjenestene våre inkluderer i noen tilfeller tredjeparts funksjoner fra andre leverandører og nettsteder der personvernpraksisen kan avvike fra vår. Disse tredjepartsfunksjonene kan samle inn IP-adressen din, hvilken side du besøker på nettstedet, og de kan lagre en informasjonskapsel slik at tredjepartsfunksjoner fungerer som de skal. Tredjepartsfunksjoner kan også samle inn sensitive opplysninger, for eksempel finansielle opplysninger (kredittkort) for å ekspedere kjøp av produkter eller tjenester.

Hvis du sender personopplysninger til noen av disse nettstedene, er disse opplysningene underlagt deres retningslinjer for personvern. Vi oppfordrer deg til å lese nøye gjennom retningslinjene for personvern for alle nettsider du besøker før du gir ut personopplysninger.

DINE RETTIGHETER

Du har følgende rettigheter, som du kan påberope ved å kontakte oss i samsvar med informasjonen over.

Innsyn i informasjon mv.

Rettigheten følger av personvernforordningen artikkel 15. Unntak fra retten finnes i personopplysningsloven §§ 16 og 17.

Den registrerte skal ha rett til å få Assistert Selvhjelp ASs bekreftelse på om personopplysninger om vedkommende behandles, og, dersom dette er tilfellet, innsyn i personopplysningene og følgende informasjon:

a. formålene med behandlingen,

b. de berørte kategoriene av personopplysninger (f.eks. regnskapsdata, kundeinformasjon, elevinformasjon for å oppfylle rettigheter),

c. mottakerne eller kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, særlig mottakere utenfor EU/EØS,

d. dersom det er mulig, hvor lenge det forventes at personopplysningene vil bli lagret, eller, dersom dette ikke er mulig, kriteriene som brukes for å fastsette denne perioden,

e. retten til å anmode Assistert Selvhjelp AS om retting eller sletting av personopplysninger eller begrensning av behandlingen av personopplysninger som gjelder den registrerte, eller til å protestere mot nevnte behandling, samt dataportabilitet

f. retten til å klage til Datatilsynet,

g. dersom personopplysningene ikke er samlet inn fra den registrerte, all tilgjengelig informasjon om hvor personopplysningene stammer fra,

h. forekomsten av automatiserte avgjørelser, dvs. om det blir truffet beslutninger som gjelder enkeltpersoner uten at noe menneske deltar i saksbehandlingen. Det skal også gis relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte. Den registrerte kan også kreve at en fysisk person i Assistert Selvhjelp AS overprøver den automatiserte avgjørelsen.

i. Dersom personopplysningene overføres til utenfor EU/EØS, skal den registrerte ha rett til å bli underrettet om de nødvendige garantiene for å sikre en tilfredsstillende behandling.

Assistert Selvhjelp AS skal gjøre tilgjengelig en kopi av personopplysningene som behandles. Dersom den registrerte inngir anmodningen elektronisk, og med mindre den registrerte anmoder om noe annet, skal informasjonen gis i en vanlig elektronisk form.

Rett til korrigering

De registrerte har rett til å få korrigert personopplysninger som er feil eller unøyaktige. Korrigering skal gjøres så snart som mulig.

Rett til sletting

Rett til sletting foreligger når:

  • opplysningene ikke lenger er nødvendig for å oppnå formålet med behandlingen
  • samtykket til behandlingen er trukket tilbake og det ikke finnes et annet rettslig grunnlag for behandlingen
  • den registrerte har fremsatt en berettiget innsigelse
  • personopplysninger er blitt behandlet på en måte som ikke er lovlig
  • det er nødvendig for å overholde en rettslig forpliktelse

Rett til å kreve begrenset behandling av personopplysninger

Den registrerte kan ha rett til å kreve begrensning av behandling av egne personopplysninger. Dette innebærer at personopplysningene ikke kan brukes til noe utover lagring, f.eks. hvis det kommer påstander om at det brukes feil opplysninger og Assistert Selvhjelp AS må undersøke om det stemmer. Rettighetens rekkevidde og begrensninger er inntatt i artikkel 18.

Rett til dataportabilitet

Den registrerte skal ha rett til å motta personopplysninger om seg selv som vedkommende har gitt til en behandlingsansvarlig. Opplysningene skal mottas i et strukturert, alminnelig anvendt og maskinleselig format og skal ha rett til å overføre nevnte opplysninger til en annen behandlingsansvarlig uten at den behandlingsansvarlige som personopplysningene er gitt til.

Rettigheten forutsetter at behandlingen er basert på samtykke eller en avtale, og at behandlingen utføres automatisk.

Rett til å protestere mot behandling av personopplysninger

Den registrerte har rett til å protestere på behandling som skjer med grunnlag i:

  • å ivareta en oppgave i samfunnets interesse
  • å utøve offentlig myndighet
  • å ivareta berettigede interesser som ikke overstyres av den registrertes interesser og grunnleggende rettigheter og friheter

Den registrertes protest medfører normalt at Assistert Selvhjelp AS ikke lenger kan bruke personopplysningene, men det er en rekke unntak, se under. Med mindre opplysningene også behandles til andre formål som den registrerte ikke kan eller vil motsette seg, skal de også slettes.

Nærmere rammer for utøvelse av retten følger av personvernforordningen artikkel 21.

Retting av mangelfulle personopplysninger

Assistert Selvhjelp AS skal, av eget tiltak og/eller på begjæring fra den registrerte, rette opplysninger som er uriktige, ufullstendige eller slette opplysninger som det ikke er adgang til å behandle.

ENDRINGER I PERSONVERNERKLÆRINGEN

Sluttbrukere, Privatpersoner, samt Virksomheter og deres ansatt som benytter Tjenestene aksepterer at Assistert Selvhjelp AS forbeholder seg retten til å gjøre endringer i Personvernerklæringen fortløpende. Vesentlige endringer i Personvernerklæringen varsles på lik linje med vesentlige endringer i Tjenesteavtalen som gjelder for Virksomheter:

Assistert Selvhjelp AS plikter å varsle Sluttbrukere, Privatpersoner, samt Virksomheter og deres ansatte om vesentlige endringer som berører dem. Vesentlige endringer inkluderer ethvert forhold som innskrenker rettigheter, eller som endrer partenes forpliktelser eller rettigheter for øvrig.

Klagemulighet

Dersom du har innsigelser med hensyn til personvern eller bruk av data som ikke har blitt behandlet på en tilfredsstillende måte kan du kontakte oss eller klage til Datatilsynet. Vi setter imidlertid pris på om du kontakter Assistert Selvhjelp AS først, slik at vi kan imøtekomme eventuelle ønsker.