PERSONVERNERKLÆRING ASSISTERT SELVHJELP

Sist oppdatert 05.05.2020

Innledning

Assistert Selvhjelp AS (“Assistert Selvhjelp”) utvikler teknologi for å lage internettassistert behandling/selvhjelp («Forfatterverktøy») som man i kombinasjon med faginnhold kan utvikle «Selvhjelpsprogram».

Assistert Selvhjelp er behandlingsansvarlig for innhenting og bruk av personopplysninger som gjøres via nettstedet assistertselvhjelp.no, exporable.com, assistedselfhelp.com og tilhørende digitale tjenester («Nettsider»). Omfanget av ansvaret er presisert under.

Samlet sett kan Nettsider, Selvhjelpsprogram, og Forfatterverktøy beskrives som «Tjenester».

Vi behandler personopplysninger i samsvar med personopplysningsloven, som gjør EUs personvernforordning (heretter «GDPR» til norsk lov). Personvernerklæringen beskriver hvilke personopplysninger vi samler inn ved besøk på våre Nettsider, og bruk av våre Tjenester, og hvordan vi behandler disse. Denne erklæringen inneholder også detaljert informasjon om våre løsninger og underleverandører. Dette har vi gjort for å være transparente.

Før du kjøper eller bruker Tjenester fra Assistert Selvhjelp, bekrefter du å ha lest, forstått, og samtykker til innholdet i denne erklæringen.

Roller og ansvarsfordeling i forbindelse med personvernarbeid

Personvernerklæringen inneholder generell informasjon. På bakgrunn av ulik bruk av Tjenestene har vi spesiell informasjon rettet mot tre ulike roller:

  1. «Sluttbruker» som får tilgang til Tjenester via en Virksomhet
  2. «Privatpersoner» benytter betalingsløsning på nettsiden for å få tilgang til Tjenester
  3. «Virksomheter» er organisasjoner, foretak eller private virksomheter som tilbyr Tjenester til Sluttbrukere, for eksempel en helsetjeneste eller fastlege. En ansatt i en Virksomhet kan ha rollene «Kontaktperson» og/eller «Veileder»

KORT OPPSUMMERT – VÅR BEHANDLING AV PERSONOPPLYSNINGER

Våre holdninger til personopplysninger

Assistert Selvhjelp lagrer som hovedregel ikke data som kan identifisere Sluttbrukere og Privatpersoner:

Assistert Selvhjelp ønsker ikke å vite hvilke Sluttbrukere og Privatpersoner som benytter Tjenestene, og vårt mål er å oppbevare minst mulig persondata. Derfor bruker vi unike tilgangskoder som ikke knytter personopplysninger til innlogging. Vi stripper også ut all data som kan bidra å identifisere Sluttbrukere og Privatpersoner, og vi spør vi aldri om slik informasjon.

Vi vil gjerne spare på anonymisert statistikk og registreringer i forbindelse med bruk av Tjenestene, som kan hjelpe oss til å bli bedre. Dette vil utelukkende dreie seg om opplysninger som ikke kan knyttes til person.

Se nærmere beskrivelse under “Opplysninger vi lagrer

De viktigste tilfellene av personopplysningsbehandling

Fått tilgangskode fra en Virksomhet:

Når Tjenesten tilbys gjennom en Virksomhet, vil det være mulig for ansatte i Virksomheten å identifisere deg som er Sluttbruker, som regel ved at de oppbevarer tilgangskoden du fikk i journalen din, eller på annen sikker måte som loven pålegger dem. Så lenge det er mulig å koble koden til deg som person vil det som er registrert regnes som personopplysninger. Som Sluttbruker kan du selv velge om du vil dele data med Virksomheten. Hensikten med å dele data er at den som Veileder deg kan forberede seg til samtalene, og gi best mulig oppfølging. Du kan endre koden din og trekke tilbake samtykket til å dele data når du selv ønsker det, slik at registreringene dine anonymiseres.

Se utfyllende beskrivelse under «Sluttbrukere»

Kjøp direkte fra Nettsiden:

Dersom du kjøper tilgang direkte fra nettsiden som en Privatperson kan du velge å få kvittering. Dette er valgfritt, men medfører at både Assistert Selvhjelp og Stripe ha eposten for å kunne sende ut kvittering. Personopplysninger om deg vil også lagres hos betalingsleverandøren. Vi har gjort tiltak for å hindre at personopplysninger og betalingsopplysningene om deg knyttes til bruk av selve Tjenesten. Assistert Selvhjelp sletter eposten din når kvitteringen er sendt.

Se utfyllende beskrivelse under «Privatpersoner»

Ansatte i Virksomheter:

Vi oppbevarer enkelte personopplysninger om Veiledere og Kontaktpersoner som arbeider for Virksomhetene som tilbyr våre Tjenester. Dette gjør vi for å gi tilgang til funksjonalitet og for å sikre oppfølging av kundeforholdet.

Se utfyllende beskrivelse under «Virksomheter»

INNHOLD

OPPLYSNINGER VI LAGRER

Assistert Selvhjelp har som mål å levere gode og trygge Tjenester som er lett tilgjengelig. Vi vil ha så lite personinformasjon om våre Sluttbrukere og Privatpersoner som mulig, og det klarer vi med noen forbehold. For å vite mer kan det være lurt at du kikker nærmere på hvordan vi jobber med personvern ut fra din bruk av Tjenestene.

Bruk av Assistert Selvhjelp sine Tjenester krever ikke at det oppgis sensitive og konfidensielle opplysninger som er direkte personidentifiserbare. Registrering av slike opplysninger er ikke tillatt, og skal ikke oppgis til Assistert Selvhjelp under noen omstendigheter. Har du helserelaterte spørsmål må du kontakte fastlege, legevakt eller annen relevant helsetjeneste.

Informasjonskapsler

Når du besøker våre Nettsider, eller noen av de andre adressene sidene våre er tilgjengelige på, logger vi informasjon om besøket, som oftest i form av cookies (informasjonskapsler). Disse benyttes for å personliggjøre innhold og funksjonalitet, analysere hvordan du bruker nettsiden. Vi kan ikke spore din bruk av nettstedet tilbake til deg som enkeltperson med informasjonen som logges i cookies.

Nødvendige informasjonskapsler er helt avgjørende for at nettstedet skal fungere ordentlig. Denne kategorien cookies inkluderer bare informasjonskapsler som sikrer grunnleggende funksjonaliteter og sikkerhetsfunksjoner på nettstedet.

Den ovennevnte informasjonsbehandlingen som gjelder cookies er tillatt etter ekomloven § 2-7 b.

Informasjonskapsler som kanskje ikke er spesielt nødvendige for at nettstedet skal fungere og brukes spesifikt til å samle inn Sluttbrukerens personlige data via analyser, annonser, annet innebygd innhold blir betegnet som ikke-nødvendige informasjonskapsler. Det er obligatorisk å innhente Sluttbrukerens samtykke før vi kjører disse informasjonskapslene fra Nettsidene.

Nettsideanalyse

Assistert Selvhjelp benytter analyseverktøyene Google Analytics for å samle inn opplysninger om besøkende på Nettsidene. Formålet er å utarbeide statistikk som vi bruker for å forbedre kvaliteten på Nettsidene.

Eksempler på hva statistikken gir oss svar på er: Hvor mange som besøker ulike sider, hvor lenge besøket varer, hvilke nettsteder brukerne kommer fra og hvilke nettlesere som benyttes. Opplysningene anonymiseres, slik at vi ikke kan spore opplysningene tilbake til en enkelt person.

Når du besøker våre Nettsider lagrer vi dessuten automatisk informasjon om nettlesertype, Internett-tjenesteleverandør (ISP), henvisnings-/utgangssider, operativsystem, dato/klokkeslett, klikkstrøm-data og andre brukeropplysninger som en del av tjenesteanalysen vår. Dette er anonymiserte og selvstendige data som blir ikke koblet til andre opplysninger som registreres ved bruk av Tjenesten.

Privat surfing, eller “inkognito modus” er en funksjonalitet som hindrer nettleseren i å lagre surfehistorikk og midlertidige data når du er på nett. På den måten etterlater du ingen spor på datamaskinen etter bruk. Les mer om hvordan dette kan gjøres i ulike nettlesere på nettvett.no

Opplysninger som lagres ved bruk av Tjenestene

Alle opplysningene som Sluttbrukere og Privatpersoner registrerer ved bruk av Tjenesten er anonymisert når de behandles av Assistert Selvhjelp. Det gjøres ved at vi:

  • benytter unike og randomiserte tilgangskoder bestående av tilfeldige tegn ved innlogging
  • aktivt stripper (fjerner) IP-adresse slik at disse aldri lagres
  • aldri spør om navn, epost, telefon eller annet som kan identifisere person, og;
  • aldri legger opp til registrering av personopplysninger ved bruk av Tjenesten.

Hvis det er hensiktsmessig med utfylling der bruker kan komme til å røpe personlige data, så lager vi det om til arbeidsark som kan skrives ut, eller fylles ut elektronisk og lagres lokalt på enheten. Dette lagres ikke av Assistert Selvhjelp.

(Se eksempel).

Formålet med denne løsningen er å unngå at personopplysninger knyttes sammen med bruk av Nettsidene og Selvhjelpsprogrammene.

Personvernlovgivningen gjelder ikke for anonymiserte opplysninger. Opplysningene er anonyme hvis det ikke er mulig, med de hjelpemidlene som med rimelighet kan tenkes å ha blitt brukt, å identifisere enkeltpersoner i datasettet.

Eksempler på opplysninger som lagres ved bruk av Tjenesten:

  • Standardiserte svar/svarkategorier relatert til spørsmål og oppgaver om atferd, emosjoner, tanker og opplevelse av ulike situasjoner
  • Hvilket innhold som er gjennomgått
  • Oversikt over scoringer på kartleggingsverktøy, for eksempel kartlegging av symptomer på angst og depresjon
  • Automatisk informasjon om dato/klokkeslett for innlogging, og tidsbruk
  • Klikkstrøm-data, type operativsystem og nettleser og andre brukeropplysninger som en er en del av tjenesteanalysen
  • Evaluering og tilbakemeldinger knyttet til bruk av Tjenestene

Formålet med å lagre slike opplysningene er å:

  • gi oversikt over registreringer i Tjenestene
  • sikre best mulig utbytte av å bruke Tjenesten, for eksempel finne frem til mest relevant innhold i forhold til problemstilling
  • gi mulighet for å følge utvikling i perioden Tjenesten brukes
  • kunne finne tilbake til der man avsluttet
  • kvalitetssikre, forbedre og utvikle Tjenestene

Feedback, kontaktskjema og eposthenvendelser

Vi setter pris på tilbakemeldinger. Sluttbrukere og Veiledere kan gi tilbakemeldinger gjennom funksjonene «Foreslå endringer» og «Evalueringsskjema» ved innlogging med tilgangskode i Tjenesten.

Når du fyller ut slike digitale skjema eller benytter deg av innloggede tjenester vil ingen personopplysninger (for eksempel, navn, telefonnummer eller IP-adresse) bli registrert av Assistert Selvhjelp. Formålet med disse er å forbedre Tjenestene våre.

Vi lagrer opplysninger om deg når du sender oss e-post direkte eller bruker kontaktskjema. Henvendelser du sender direkte via e-post, sendes ikke kryptert. Vi oppfordrer deg derfor om ikke å sende taushetsbelagte, sensitive eller andre fortrolige opplysninger via e-post.

Kontaktskjema på nettsidene inneholder spørsmål om navn og telefonnummer som det er valgfritt å legge inn. Epost er påkrevd slik at vi enkelt kan besvare med rette vedkommende. Henvendelser til våre epostadresser som starter med «kontakt@» eller «info@» gjennomgås av postmottaket, som tar stilling til om den skal videresendes eller løses umiddelbart.

Vi sletter rutinemessig meldinger og epost som inneholder sensitive personopplysninger.

Se også egne avsnitt som er spesifikke for Sluttbrukere, Privatpersoner og Virksomheter

SLUTTBRUKERE

De fleste som bruker Tjenestene har fått tilgangskode av en Virksomhet, for eksempel som en del av tilbudet ved en helsetjeneste. Det normalt sett være en forutsetning at Sluttbrukerens identitet blir kjent for Virksomheten som deler ut koden. I tillegg tilbyr Assistert Selvhjelp en funksjon til Virksomheter der formålet er at Veiledere skal kunne gi best mulig oppfølging av Sluttbrukere som benytter Tjenesten. I praksis vil funksjonen gjøre at Veiledere kan se en oversikt over koder som er delt ut i egen Virksomhet, og registeringer i disse (forutsatt samtykke fra Sluttbrukeren).

Siden kodene unike og tilfeldig sammensatt vil det i utgangspunktet være svært vanskelig for Veiledere å vite hvem som bruker kodene i oversikten. Virksomhetene som benytter funksjonen, må derfor ha tilleggsopplysninger for å finne ut hvem som bruker Tjenestene. Det betyr at koden må oppbevares slik at det er mulig for Virksomheten å finne ut hvem som benytter de ulike kodene, for eksempel i journalen til sluttbrukeren. Det er bare Virksomheten som har tilgang til disse tilleggsopplysningene og kan beslutte hvem som skal ha tilgang til disse tilleggsopplysningene.

Så lenge det er mulig å koble personopplysninger om en Sluttbruker til en kode, vil det som registreres regnes som personopplysninger etter loven.

Vi gjort flere tiltak for å gi Sluttbrukere mulighet til å avgrense Virksomhetens tilgang til registreringer og sikre retten til personvern:

Samtykke til å dele data

Hvis du som er Sluttbruker ønsker at Veilederen skal kunne se registreringene dine underveis, må du aktivt godkjenne dette ved første innlogging. Da vil Veilederen kunne:

  • følge fremdrift og bruk hos den som veiledes i forkant av avtaler
  • tilpasse arbeidsmengde mellom oppfølgingstimer best mulig
  • ha et bedre grunnlag for å vurdere nytteverdi og effekt

Hvis du ikke samtykker til å dele data, vil ikke Veiledere i Virksomheten ha mulighet til å se dine registreringer.

Dersom du endrer mening, kan du både gi og trekke tilbake tilgangen til Virksomheten under «Innstillinger».

Endre kode

Du kan endre koden ved å gå til «Innstillinger» når du har logget inn. Ved å endre kode vil ledes trinnvis gjennom en prosess som gir deg en ny unik kode, som virksomheten ikke har tilgang på.

Koden du fikk av Virksomheten vil da bli inaktiv/ugyldig, men så lenge du deler data med Virksomheten vil de fortsatt ha mulighet til å identifisere deg fordi den gamle koden vises i deres oversikt. Dersom du ikke lenger deler data med Virksomheten, er dine data kun synlig for Assistert Selvhjelp. De vil ikke lenger regnes som personopplysninger, siden Assistert Selvhjelp ikke på noe tidspunkt innhenter eller lagrer data som kan identifisere Sluttbrukere.

Automatisk påminnelse etter 10 uker:

Vi anbefaler at du endrer tilgangskoden når du er ferdig med oppfølging. Hvis du har valg å dele data vil du 10 uker etter første innlogging automatisk få opp et spørsmål om du fortsatt får oppfølging fra Virksomheten.

Dersom du velger «Ja» vil det samme spørsmålet komme på nytt når det er gått 10 nye uker.

Hvis du velger «Nei» vil koden og registreringer som er gjort i denne vil ikke lenger være tilgjengelig i oversikten til Virksomheten du fikk oppfølging fra. Du vil deretter ledes trinnvis gjennom prosessen som gir deg en ny unik kode, som bare du har tilgang på.

Hvis du ikke gjør et valg innen 14 uker etter at koden ble opprettet vil dine registreringer ikke være tilgjengelig for Virksomheten inntil du tar et valg.

Sletting

Du kan du slette alle data/registreringer under «Innstillinger». Dette bør du kun gjøre dersom oppfølging fra Virksomheten er avsluttet og/eller du ikke ønsker å benytte tjenesten i fremtiden.

Når du sletter alle data/registreringer vil det i praksis føre til at du ikke lenger kan logge inn med koden, og alle data som er knyttet til koden hos Assistert Selvhjelp slettes. Verken koden eller data/registreringer vil være tilgjengelig i oversikten til Virksomheten du fikk oppfølging fra.

Dersom du ikke sletter alle data/registreringer vil koden blir uansett deaktiveres automatisk når det er 12 måneder siden sist den ble benyttet. I disse tilfellene vil Assistert Selvhjelp vil fortsatt kunne se registreringene, men disse vil være anonymisert og kan ikke knyttes til deg som person. Hensikten med å beholde anonymiserte data er å samle statistikk som hjelper oss å forbedre tjenestene.

PRIVATPERSONER

Kjøp direkte fra Nettsidene

Dersom du kjøper tilgang til Tjenesten direkte fra Nettsiden som Privatperson kan din betaling i visse tilfeller medføre oppbevaring av personopplysninger om deg. Vi verken ønsker eller har behov for personopplysninger av denne art, og gjør aktive tiltak for å sørge for at tilgangskode og personopplysninger ikke kobles. Dersom du ikke har behov for kvittering, vil ikke Assistert Selvhjelp ha tilgang på personopplysninger om deg.

For oppfølging av kontrakten og relatert arbeid, er Assistert Selvhjelp behandlingsansvarlig og har behandlingsgrunnlag i GDPR artikkel 6 nr. 1 bokstav b (oppfyllelse av kontrakt) og artikkel 9 nr. 2 bokstav h (yting av helsetjeneste).

Dersom du har behov for kvittering:

For å hindre at Assistert Selvhjelp får tilgang på Privatpersoners identitet bruker vi Stripe som betalingsløsning (se «Underleverandører»). Ved kjøp fjerner Stripe persondata og kort-informasjon for Assistert Selvhjelp med unntak av IP-adressen og de 4 siste sifre på kortet. Stripe har likevel ikke tilgang til tilgangskoden din, eller andre data knyttet til denne. Formålet med å lagre denne betalingsinformasjonen er å kunne gi dokumentasjon på kjøp og å kunne tilby tilbakebetaling. For selve betalingsløsningen er tilbyder av betalingstjeneste den behandlingsansvarlige.

Det er valgfritt å få kvittering, men da må både Assistert Selvhjelp og Stripe ha eposten for å kunne sende ut kvittering.

Assistert Selvhjelp oppbevarer personopplysninger knyttet til betaling kun i den utstrekning det er nødvendig for å tilby Tjenesten og dokumentasjon på kjøp, og sletter disse løpende så snart dette kan anses som oppfylt. Du kan på anmodning få se alle personopplysningene som er registrert om deg, og be om retting av eventuelle feil. Ved slik kommunikasjon vil vi slette kommunikasjonsloggen så snart anmodningen kan anses som oppfylt.

Vi understreker at du har tilgang på alle opplysninger som du har registrert ved gjennomgang og bruk av Tjenesten, og som følgelig er lagret om deg, når du er logget inn med tilgangskoden.

Les mer om oppbevaring, sletting, innsyn og retting i «Behandling av personopplysninger»

VIRKSOMHETER

Assistert Selvhjelp innhenter og behandler opplysninger fra Virksomheter for å identifisere, registrere, levere Tjenesten i henhold til Tjenesteavtalen, og utføre support om:

  1. Kundeforholdet: Navn på virksomhet, Org.nr, telefonnummer, etc.
  2. Kontaktpersoner: Fornavn, etternavn, telefonnummer og epost til kontaktpersoner
  3. Veiledere: Den ansattes epost (tilknyttet virksomhet)

Dersom Assistert Selvhjelp blir kjent med at kontaktinformasjonen er feil, plikter Assistert Selvhjelp å oppdatere den ved hjelp av offentlige registre, fortrinnsvis nummeropplysningstjenester og Brønnøysundregistrene (bedrift).

Behandlingen av personopplysninger er forankret i GDPR artikkel 6 nr. 1 bokstav f, berettigede interesser. Assistert Selvhjelps berettigede interesser er å inngå og forvalte kundeforhold, generere økonomisk aktivitet og ivareta/styrke eget omdømme.

Når du henvender deg til Assistert Selvhjelp, må våre medarbeidere noen ganger gå inn og se på opplysningene som er registret om kundeforholdet. Opplysningene vil derfor være tilgjengelig for medarbeidere i Assistert Selvhjelp . Alle medarbeidere våre har undertegnet avtale om konfidensialitet og taushetsplikt.

Merk at behandling av personopplysninger i relasjon til spesifikke tjenester og produkter kan være regulert i vår Tjenesteavtalen som gjelder for Virksomheter, eller i særavtaler dersom dette er inngått.

Virksomheter som benytter rapportfunksjon

Virksomheter som tildeler Tjenesten har også mulighet til å få tilgang til en funksjon som gir oversikt over alle tilgangstilgangskoder de har delt ut, og til opplysninger som er registrert i hver av tilgangskodene. Det forutsettes at Sluttbrukeren godkjenner dette, i forbindelse med første innlogging.

Formålet med rapport funksjonen er at Virksomheten skal kunne gi mer effektiv oppfølging ved bruk av Tjenesten. I praksis vil det handle om at Veilederen kan:

  • følge fremdrift og bruk hos den som veiledes i forkant av avtaler
  • tilpasse arbeidsmengde mellom oppfølgingstimer best mulig
  • ha et bedre grunnlag for å vurdere nytteverdi og effekt

Sluttbrukeren kan selv slette data og avslutte Tjenesten. Virksomhetens innsyn i registreringer være begrenset til Sluttbrukerens beslutninger og beslutninger i henhold til denne retten.

Tilleggsopplysninger og Databehandleravtale

Så lenge det er mulig å identifisere Sluttbrukere vil registreringer som sluttbrukeren gjør i Tjenesten regnes som personopplysninger. Siden det bare er tilgangskoder som vises oversikten, vil det i utgangspunktet være vanskelig for Virksomheten å vite hvem som bruker tilgangskodene. For å vite hvem tilgangskoden tilhører trenger Virksomheten tilleggsopplysninger. Dette oppnås ved å oppbevare tilgangstilgangskoden sammen med andre personopplysninger, for eksempel i Sluttbrukerens journalen. Det er bare Virksomheten som har tilgang til disse tilleggsopplysningene og kan beslutte hvem som skal ha tilgang til disse tilleggsopplysningene.

Dersom Virksomheten har slike rutiner, se Databehandleravtale i Tjenesteavtalen

Virksomhetens ansvar

Virksomheter er ansvarlig for å ivareta hensiktsmessige sikkerhetstiltak som følge av å koble personopplysninger til tilgangstilgangskoder og bruk av våre tjenester.

Kontaktperson i Virksomheten har ansvar for at oppdatert oversikt over Veiledere som skal ha tilgang til rapportfunksjon. Veiledere som ikke skal ha tilgang må deaktiveres, og personopplysninger som er registrert hos Assistert Selvhjelp vil slettes fortløpende.

UNDERLEVERANDØRER

Syse AS / Dedia AS (Databehandlere)

All informasjon som registreres, genereres og lagres i forbindelse med bruk av Tjenestene lagres på to separate servere som er eiet og driftet av Syse AS og Dedia AS. Dette gir dobbeltdekning for å sikre stabil drift og backup. Begge er lokalisert til Norge (Oslo).

Syse – Personvern Dedia – Personvern

Google Analytics

Google Analytics måler antall besøkende til en side, kilder til trafikken, og gjør oss i stand til å se hvordan du bruker nettsiden og vise personlig tilpassede annonser. I henhold til Googles retningslinjer for bruk av Google Analytics samles det ikke inn, eller brukes, informasjon som kan benyttes til å identifisere deg som person. Du kan lese mer om hvordan Google samler inn og beskytter data her:

Personvernregler – Personvern og vilkår – Google

Dataene deles med Google og tredjeparter i markedsføringsøyemed. Du kan reservere deg mot personlig tilpasning av annonser.

G Suite (Google)

G Suite drifter våre eposter og lagring knyttet til ekstern kommunikasjon. All informasjon som registreres, genereres og lagres i forbindelse med epostkorrespondanse med Assistert Selvhjelp AS lagres på servere som er eiet og driftet av Gsuite (Google mail). Her mottar vi også henvendelser via kontaktskjema på Nettsidene.

G Suite – Secure by design

Lets Encrypt

Lets Encrypt  leverer TLS/SSL-sertifikater som vi benytter til kryptering av kommunikasjon i våre systemer. Informasjonen som innhentes i forbindelse med registrering av et TLS/SSL-sertifikat lagres på servere som er eiet og driftet av Lets Encrypt.

Letsencrypt – Privacy

Stripe

Stripe behandler betaling ved kjøp fra Privatpersoner. Stripe vil ha tilgang til koble kortopplysninger, navn på kortholder og navn på kjøpt Tjeneste. Stripe vil ikke få tilgang til tilgangstilgangskoden på noe tidspunkt:

Stripe – Privacy

Microsoft
Microsoft Office 365 er et kontorstøtte verktøy, primært forbeholdt interne oversikter, arbeidsflyt og kommunikasjon mellom ansatte relatert til drift. Dette innebærer at det lagres noen opplysninger om kundeforhold.

https://privacy.microsoft.com/nb-no/privacystatement

Mailchimp
Kontaktpersonen ved Virksomheten sender inn e-postadresse til Veiledere som skal ha tilgang til rapportfunksjonen. I tillegg til at epostadressene lagres på servere ved opprettelse av brukere, registreres epostadressene i Mailchimp, som er en tjeneste for masseutsendelse av epost. Formålet med dette er å sende relevant informasjon om Tjenesten rettet mot Virksomheter og deres ansatte, for eksempel om utvikling, endringer og oppdateringer. Det sendes ut slik informasjon 2-4 ganger i året. Mottakere kan når som helst melde seg av.

Mailchimp – Privacy

Conta

Conta drifter plattformen for håndtering av Virksomhetsopplysninger og faktura. Ved betaling med faktura lagres opplysninger om (1) Kundeforhold og (2) Kontaktperson i Virksomheten, hos PayEx. Dette gjelder uansett hvilken måte fakturaen utstedes på, eller hvordan den betales. Øvrige personopplysninger oppgis på frivillig basis.

Conta – Brukeravtale

Xledger

Xledger er et regnskapssystem som Assistert Selvhjelp bruker i forbindelse med Virksomheters kundeforhold, regnskap og revisjon.

Xledger – Personvern

Tet Regnskap og Økonomi AS («Tet»)

Tet er Assistert Selvhjelp regnskapsfører og vil ha tilgang til fakturainformasjon til Virksomhetskunder og informasjon om relaterte kundeforhold, kontaktpersoner og annet regnskapsrelatert informasjon. Tet har ikke tilgang til personidentifiserende opplysninger om Privatpersoner som kjøper Tjenesten via Stripe.

Tet – Personvernerklæring

UNDERLEVERANDØRER UTENFOR EU

Utviklere

Hovedregelen er at ingen av personopplysningene som behandles av Assistert Selvhjelp skal føres ut av Norge og/eller EU som følge av å bruke være tjenester. Assistert Selvhjelp  har følgende unntak som innebærer overføring til utlandet:  

Det benyttes faste utviklere som har oppholdssted utenfor EU, nærmere bestemt Thailand, Filipinene og Russland. De utformer løsninger for nettsidene, slik at Assistert Selvhjelp sine tjenester er enkle, oversiktlige og fungerer tilfredsstillende, herunder overholder kravene til personvern. Ved utforming og testing av løsningen vil utviklere ha behov for adgang til avidentifiserte opplysninger (pseudonymisering).  

Utviklerne må ha adgang til disse opplysningene for å kunne ivareta informasjonssikkerheten og lage en løsning som tilfredsstiller kravene i personopplysningsloven. Det gis hjemmel for dette i GDPR i seg selv, ved at det gir Databehandler mulighet til å «gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med» personopplysningsloven, se GDPR artiklene 6 nr. 1 bokstav c (rettslig plikt) og 9 nr. 2 bokstav g (viktige allmenne interesser), jf. GDPR artiklene 24 nr. 1 og 32.

Assistert Selvhjelp bekrefter at ingen av underleverandørene overfører personopplysninger som omfattes av denne avtalen til utlandet, med unntak for slike overføringer som er angitt her.  Her omfattes også fjerntilgang for utviklere fra utlandet. 

Ved overføring av personopplysninger til land utenfor EU/EØS (tredjeland) benytter Assistert Selvhjelp godkjente overføringsgrunnlag, dvs. EUs modellavtale for overføring til databehandlere.  

Andre underleverandører

Underleverandører utenfor EU, og som ikke tilbyr lagring av data innenfor EU, har erklært overholdelse av, EU-U.S. Privacy Shield-rammeavtalen og U.S.-Swiss Safe Harbor-rammeavtalen som er fastsatt av det amerikanske handelsdepartementet, og forplikter seg til å underlegge alle personopplysninger fra EU-medlemsland den tilliten rammeavtalene gir, ifølge rammeavtalens gjeldende prinsipper.

Ingen personopplysninger overleveres tredjeparter uten eksplisitt samtykke fra den registrerte, men en underleverandør kan overføre data til en tredjepart som fungerer som en agent på deres vegne. En slik overføring kan allikevel ikke skje uten å overholde prinsippene til Privacy Shield for alle etterfølgende overføringer av personopplysninger fra EU, inkludert bestemmelsene om ansvar for videre overføring:

Google / G Suite (USA)

Google – Privacy shield

Let’s Encrypt (USA)

Lets Encrypt – Policy

Mailchimp (USA)

Mailchimp – Privacy shield

Microsoft (USA)

Microsoft – Privacy shield

Stripe (USA)

Stripe – Privacy shield

BEHANDLING AV PERSONOPPLYSNINGER

Personopplysninger hentes inn for at Assistert Selvhjelp skal kunne utføre de oppgaver og tjenester vi er pålagt å utføre i henhold til lov, forskrift og/eller avtale. Behandling av personopplysningene skjer innenfor rammen av til enhver tid gjeldende lov og forskrift.

Personopplysningene kan utleveres til tredjepart som Assistert Selvhjelp samarbeider med, så vel innenfor som utenfor EØS- og EU-området for at vi skal kunne utføre de oppgaver og tjenester vi er pålagt å utføre i henhold til lov, forskrift og/eller avtale, og i tråd med denne personvernserklæringen.

Oppbevaring og sletting

Assistert Selvhjelp lagrer personopplysninger i henhold til denne personvernerklæringen, Tjenesteavtalen (for Virksomheter), og enhver tids gjeldende lovgivning. Dersom det foreligger lovbestemt opplysningsplikt overfor offentlig myndighet, vil registrerte personopplysninger bli overlevert i henhold til myndighetenes krav.

Personopplysninger som ikke lenger er nødvendige eller tjener hensikt ut fra det formål de er lagret for vil bli slettet fortløpende.

Sluttbrukere og Privatpersoner

Sluttbrukere og Privatpersoner som er innlogget med en tilgangskode kan når som helst avslutte tjenesten og slette opplysninger som er registrert. Opplysninger som ikke kan knyttes til en person vil så lenge de ikke aktivt slettes, være tilgjengelig for ansatte i Assistert Selvhjelp i våre arkiv og benyttes til å analysere funksjonalitet, og til sammenstilling av gruppedata. Det vil også være mulig for Virksomheter å se sletteregistreringer gjort av Sluttbruker ved behov. Virksomheter vil også ha tilgang til sammenstilling av egne gruppedata. Formålet med å med dette er å kvalitetssikre, forbedre og tilpasse Tjenestene, samt å vurdere nytte og effekt for å øke nytte og utbytte ved bruk av Tjenestene. Ettersom opplysninger behandles på et statistisk eller aggregert nivå, vil de ikke utgjøre personopplysninger.

Med de forbehold som er nevnt spesifikt for Sluttbrukere, vil tilgangskoden i utgangspunktet være aktiv ett år ett år etter at den ble opprettet eller sist benyttet. Hvis det går ett år uten at den er benyttet til innlogging vil den automatisk deaktiveres.

Virksomheter og deres ansatte

Når Virksomheter og deres ansatte spesifikt ber om sletting av opplysninger eller sier opp tjenester, vil noen personopplysninger, først og fremst kontaktopplysningene, bestillings- og fakturahistorikk, og kopi av korrespondanse, forbli i Assistert Selvhjelp AS sine register i den utstrekning det er nødvendig for å beskytte juridiske rettigheter eller lovgivningsmessige krav til dokumentasjon.

Innsyn og retting

Sluttbrukere og Privatpersoner

Assistert Selvhjelp lagrer ikke opplysninger om Sluttbrukere og Privatpersoner som de ikke har tilgang på selv.

Siden Assistert Selvhjelp ikke kan identifisere Sluttbrukere og Privatpersoner basert på opplysninger vi har tilgang på, frarådes i det i utgangspunktet å rette en anmodning om innsyn som vil medføre identifikasjon, for eksempel med bruk av epost. Ved å logge inn med tilgangskoden vil de opplysninger som er registrert være tilgjengelig.

Feilregistrering under bruk av Tjenesten vil som oftest ha begrenset praktisk betydning. Dersom du som Sluttbrukere eller Privatpersoner likevel ønsker å rette feilregistrering er det viktig at du benytter tilbakemeldingsskjema etter innlogging med tilgangskoden, og beskriver hva som skal rettes kort og presist. Ved innsending kan Assistert Selvhjelp automatisk se hvilken tilgangskode som har sendt meldingen. Det er ikke teknisk mulig for Assistert Selvhjelp å gi deg tilbakemelding om at rettingen er utført. Retting vil utføres så snart som mulig, normalt innen 7 virkedager.

Dersom du som Sluttbrukere eller Privatpersoner likevel velger å henvende deg til Assistert Selvhjelp, på bakgrunn av ønske om retting eller innsyn i lagrede opplysninger, vil kommunikasjon som identifiserer deg slettes forløpende, så snart anmodningen kan anses som oppfylt.

Virksomheter og deres ansatte

Virksomheter og deres ansatte kan på anmodning få se alle personopplysningene som er registrert (om dem). Dersom opplysningene ikke er korrekte eller relevante, kan den registrerte be om at de korrigeres eller slettes og fjernes fra våre register, såfremt Assistert Selvhjelp ikke er underlagt noen lovmessige forhold som er til hinder for dette. Det vises i denne forbindelse til kontaktskjema på nettsiden.

KONFIDENSIALITET OG SIKKERHET

Vi benytter en kombinasjon av fysisk, elektronisk og prosedyremessig sikring for å beskytte personopplysninger.

Opplysninger tilgjengelig ved «Logg inn» for ansatte i Virksomheter er passordbeskyttet. Videre blir kontoens passord lagret med en tilfeldig saltet hash-algoritme.

All dataoverføring som skjer over internett, er kryptert. Alle transaksjoner blir behandlet over en SSL/TLS-tilkobling av bransjestandard, med minimum 128-biters kryptering. Det foreligger imidlertid ingen garanti for at noen ikke kan få tilgang til slike opplysninger, eller at de ikke blir avslørt, endret eller ødelagt ved brudd på en brannmur eller sikker serverprogramvare.

Ingen dataoverføringer over Internett er 100 % sikre, og vi kan i så måte ikke garantere for sikkerheten tilknyttet personopplysninger. Vi understreker samtidig at vi kontinuerlig har fokus på at Tjenestene ikke medfører lagring av personopplysninger som følge av bruk, da særlig med tanke på Sluttbrukere og Privatpersoner. Identifikasjon som følge av at Tjenestene benyttes vil for de fleste være mindre sannsynlig.

Dersom Assistert Selvhjelp blir oppmerksom på et brudd i ett av sikkerhetssystemene som omhandler personopplysninger, vil vi så raskt som mulig og uten unødig opphold, underrette de berørte parter, slik at de kan foreta nødvendige beskyttende tiltak. Assistert Selvhjelp plikter dessuten å varsle sikkerhetsbrudd til datatilsynet senest i løpet av 72 timer etter at vi har fått kjennskap til bruddet.

TREDJEPARTS FUNKSJONALITET OG NETTSIDER

Tjenestene våre inkluderer i noen tilfeller tredjeparts funksjoner fra andre leverandører og nettsteder der personvernpraksisen kan avvike fra vår. Disse tredjepartsfunksjonene kan samle inn IP-adressen din, hvilken side du besøker på nettstedet, og de kan lagre en informasjonskapsel slik at tredjepartsfunksjoner fungerer som de skal. Tredjepartsfunksjoner kan også samle inn sensitive opplysninger, for eksempel finansielle opplysninger (kredittkort) for å ekspedere kjøp av produkter eller tjenester.

Hvis du sender personopplysninger til noen av disse nettstedene, er disse opplysningene underlagt deres retningslinjer for personvern. Vi oppfordrer deg til å lese nøye gjennom retningslinjene for personvern for alle nettsider du besøker før du gir ut personopplysninger.

DINE RETTIGHETER

Du har følgende rettigheter, som du kan påberope ved å kontakte oss i samsvar med informasjonen over.

Innsyn i informasjon mv.

Rettigheten følger av personvernforordningen artikkel 15. Unntak fra retten finnes i personopplysningsloven §§ 16 og 17.

Den registrerte skal ha rett til å få Assistert Selvhjelps bekreftelse på om personopplysninger om vedkommende behandles, og, dersom dette er tilfellet, innsyn i personopplysningene og følgende informasjon:

a. formålene med behandlingen,

b. de berørte kategoriene av personopplysninger (f.eks. regnskapsdata, kundeinformasjon, elevinformasjon for å oppfylle rettigheter),

c. mottakerne eller kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, særlig mottakere utenfor EU/EØS,

d. dersom det er mulig, hvor lenge det forventes at personopplysningene vil bli lagret, eller, dersom dette ikke er mulig, kriteriene som brukes for å fastsette denne perioden,

e. retten til å anmode Assistert Selvhjelp om retting eller sletting av personopplysninger eller begrensning av behandlingen av personopplysninger som gjelder den registrerte, eller til å protestere mot nevnte behandling, samt dataportabilitet

f. retten til å klage til Datatilsynet,

g. dersom personopplysningene ikke er samlet inn fra den registrerte, all tilgjengelig informasjon om hvor personopplysningene stammer fra,

h. forekomsten av automatiserte avgjørelser, dvs. om det blir truffet beslutninger som gjelder enkeltpersoner uten at noe menneske deltar i saksbehandlingen. Det skal også gis relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte. Den registrerte kan også kreve at en fysisk person i Assistert Selvhjelp overprøver den automatiserte avgjørelsen.

i. Dersom personopplysningene overføres til utenfor EU/EØS, skal den registrerte ha rett til å bli underrettet om de nødvendige garantiene for å sikre en tilfredsstillende behandling.

Assistert Selvhjelp skal gjøre tilgjengelig en kopi av personopplysningene som behandles. Dersom den registrerte inngir anmodningen elektronisk, og med mindre den registrerte anmoder om noe annet, skal informasjonen gis i en vanlig elektronisk form.

Rett til korrigering

De registrerte har rett til å få korrigert personopplysninger som er feil eller unøyaktige. Korrigering skal gjøres så snart som mulig.

Rett til sletting

Rett til sletting foreligger når:

  • opplysningene ikke lenger er nødvendig for å oppnå formålet med behandlingen
  • samtykket til behandlingen er trukket tilbake og det ikke finnes et annet rettslig grunnlag for behandlingen
  • den registrerte har fremsatt en berettiget innsigelse
  • personopplysninger er blitt behandlet på en måte som ikke er lovlig
  • det er nødvendig for å overholde en rettslig forpliktelse

Rett til å kreve begrenset behandling av personopplysninger

Den registrerte kan ha rett til å kreve begrensning av behandling av egne personopplysninger. Dette innebærer at personopplysningene ikke kan brukes til noe utover lagring, f.eks. hvis det kommer påstander om at det brukes feil opplysninger og Assistert Selvhjelp må undersøke om det stemmer. Rettighetens rekkevidde og begrensninger er inntatt i artikkel 18.

Rett til dataportabilitet

Den registrerte skal ha rett til å motta personopplysninger om seg selv som vedkommende har gitt til en behandlingsansvarlig. Opplysningene skal mottas i et strukturert, alminnelig anvendt og maskinleselig format og skal ha rett til å overføre nevnte opplysninger til en annen behandlingsansvarlig uten at den behandlingsansvarlige som personopplysningene er gitt til.

Rettigheten forutsetter at behandlingen er basert på samtykke eller en avtale, og at behandlingen utføres automatisk.

Rett til å protestere mot behandling av personopplysninger

Den registrerte har rett til å protestere på behandling som skjer med grunnlag i:

  • å ivareta en oppgave i samfunnets interesse
  • å utøve offentlig myndighet
  • å ivareta berettigede interesser som ikke overstyres av den registrertes interesser og grunnleggende rettigheter og friheter

Den registrertes protest medfører normalt at Assistert Selvhjelp ikke lenger kan bruke personopplysningene, men det er en rekke unntak, se under. Med mindre opplysningene også behandles til andre formål som den registrerte ikke kan eller vil motsette seg, skal de også slettes.

Nærmere rammer for utøvelse av retten følger av personvernforordningen artikkel 21.

Retting av mangelfulle personopplysninger

Assistert Selvhjelp skal, av eget tiltak og/eller på begjæring fra den registrerte, rette opplysninger som er uriktige, ufullstendige eller slette opplysninger som det ikke er adgang til å behandle.

ENDRINGER I PERSONVERNERKLÆRINGEN

Sluttbrukere, Privatpersoner, samt Virksomheter og deres ansatt som benytter Tjenestene aksepterer at Assistert Selvhjelp forbeholder seg retten til å gjøre endringer i Personvernerklæringen fortløpende. Vesentlige endringer i Personvernerklæringen varsles på lik linje med vesentlige endringer i Tjenesteavtalen som gjelder for Virksomheter:

Assistert Selvhjelp plikter å varsle Sluttbrukere, Privatpersoner, samt Virksomheter og deres ansatte om vesentlige endringer som berører dem. Vesentlige endringer inkluderer ethvert forhold som innskrenker rettigheter, eller som endrer partenes forpliktelser eller rettigheter for øvrig.

Klagemulighet

Dersom du har innsigelser med hensyn til personvern eller bruk av data som ikke har blitt behandlet på en tilfredsstillende måte kan du kontakte oss eller klage til Datatilsynet. Vi setter imidlertid pris på om du kontakter Assistert Selvhjelp først, slik at vi kan imøtekomme eventuelle ønsker.