1. ExorLive Hjelpesenter
  2. Juridisk
  3. Juridisk

Personvernerklæring

Avatar
Print Friendly and PDF

1. Viktig informasjon

Denne personvernerklæringen forklarer hvordan ExorLive-gruppen (“ExorLive”, “vi”, “oss”) behandler personopplysninger når du bruker våre digitale løsninger, herunder ExorLive-plattformen, ExorLive GO-appen og tilknyttede tjenester (samlet “Tjenestene”).

ExorLive er en digital løsning innen trening, rehabilitering og helseteknologi. Løsningen brukes av helsepersonell, utdanningsinstitusjoner og organisasjoner, og som gir sluttbrukere (pasienter, borgere, klienter eller studenter) digital tilgang til trenings- og rehabiliteringsinnhold. 

Avhengig av hvordan Tjenestene brukes, kan ExorLive enten være behandlingsansvarlig eller databehandler for personopplysninger.

1.1 Hvem erklæringen gjelder for

Denne erklæringen gjelder for:

  • Helsepersonell og instruktører som bruker ExorLive i sitt arbeid

  • Representanter og ansatte hos kunder og samarbeidspartnere

  • Sluttbrukere (pasienter, borgere, klienter, studenter) som bruker ExorLive GO

  • Brukere som har opprettet en Personlig konto hos ExorLive

1.2. Informasjon for sluttbrukere (pasienter, borgere og klienter)

Hvis du bruker ExorLive GO som del av et trenings- eller behandlingsforløp gjennom en klinikk, kommune, utdanningsinstitusjon eller annen organisasjon, er det denne organisasjonen som er behandlingsansvarlig for personopplysningene som behandles i forbindelse med tjenesten.

ExorLive behandler i slike tilfeller personopplysninger på vegne av organisasjonen, i rollen som databehandler, og i samsvar med inngått databehandleravtale.

Dersom du i tillegg oppretter en Personlig konto hos ExorLive (EPIC Account), er ExorLive behandlingsansvarlig for personopplysninger knyttet til denne kontoen.

EPIC Account er en personlig identitetskonto som gjør det mulig å:

  • identifisere deg sikkert via nasjonal eID (f.eks. BankID/MitID)

  • sammenkoble dine ExorLive Go Account på tvers av organisasjoner

  • gi deg en samlet oversikt over dine tilknytninger til ulike organisasjoner.

EPIC Account gir ikke i seg selv tilgang til trenings- eller behandlingsdata, men fungerer som en identitets- og tilgangsmekanisme til slike tjenester.

Bruk av EPIC Account er frivillig.

For spørsmål om behandling, innsyn eller sletting av trenings- eller behandlingsdata, må du derfor kontakte den organisasjonen du mottar tjenesten fra. For spørsmål om din Personlige konto hos ExorLive kan du kontakte ExorLive direkte.

2. Data vi behandler som behandlingsansvarlig (controller)

Kategorier og eksempler

  • Identitet og kontakt: navn, stilling, virksomhet, e-post, telefon, faktura-/leveringsadresse.

  • Kunde- og kundeforholdsdata: kontoeier, rolle/tilganger, lisens-/avtalestatus, kommunikasjon med oss.

  • Transaksjons- og finansdata: kjøp, betalinger, kredittnotater, fakturadetaljer (egen persondata kun hvis relevant).

  • Tekniske data: IP-adresse, innloggings-/enhetsinfo, nettleser/OS, tidssone, apptilstands-/feillogger.

  • Profilerings-/brukerdata: kontoinnstillinger, preferanser, interessevalg, tilbakemeldinger/undersøkelser.

  • Bruksdata: hvordan Tjenestene brukes (funksjoner, frekvens, interaksjoner).

  • Markedsføring/kommunikasjon: samtykker, avmeldingsstatus, nyhetsbrevinteraksjoner.

  • Rekruttering: CV, søknad, attester, notater fra prosess.

  • Arrangementer/webinarer: navn, e-post, telefon, virksomhet/rolle, bransje, deltakelse.

For Personlig konto (EPIC Account) behandler vi i tillegg følgende data:

  • Identitetsopplysninger: navn, e-post, telefon, land, språk og personnummer (fødselsnummer)

  • Tekniske og sikkerhetsdata: IP-adresse, enhetsinformasjon og innloggingshistorikk

  • Kontoadministrasjonsdata: interne bruker-IDer

  • Relasjonsdata: koblinger mellom dine kontoer hos ulike organisasjoner

  • Samtykkedata: historikk over samtykker til deling av data

Disse opplysningene brukes til identitetsforvaltning, sikker autentisering og korrekt sammenkobling av kontoer.

3. Data vi behandler som databehandler (processor)

Når våre kunder bruker Tjenestene til pasientbehandling, behandler vi pasientpersonopplysninger på deres vegne og etter instruks. Det kan omfatte: identitet, tilganger/koder, øvelsesprogrammer, utfallsmål, meldinger/tilbakemeldinger, etterlevelse/adherence, diagnoser/klassifikatorer, samt eventuelle pasientopplastede medier.

Behandlingen skjer utelukkende i tråd med vår Databehandleravtale. Vi kan ikke bruke data til egne formål, og vi varsler kunden dersom en instruks fremstår som i strid med lovgivning.

Ved lisensopphør sletter eller returnerer vi alle personopplysninger innen 90 dager, og dokumenterer slettingen på forespørsel.

4.  Hvordan vi samler inn personopplysninger

  • Direkte fra deg: registrering, kontoopprettelse, kjøp/fornyelser, henvendelser (salg, support), samtykker, rekruttering, deltakelse på webinarer/arrangementer.

  • Automatisk: informasjonskapsler (cookies), logger og lignende teknologier på nettsted/app for drift, sikkerhet og forbedring.

5. Formål og rettslig grunnlag (Exorlive som behandlingsansvarlig)
 

Formål Typiske data Rettslig grunnlag Lagring
Kontoopprettelse og administrasjon Identitet, kontakt, kundeforhold Avtale (art. 6(1)(b)) Så lenge kontoen er aktiv
Leveranse og drift av Tjenestene  Identitet, kontakt, teknisk, bruksdata Avtale (art. 6(1)(b)) Så lenge kontoen er aktiv
Kundeservice og support Identitet, kontakt, saksdetaljer, logger Avtale (art. 6(1)(b)) Inntil 12 måneder
Forbedring, kvalitet og statistikk  Bruksdata, teknisk, tilbakemeldinger Berettiget interesse (art. 6(1)(f)) Anonymiseres eller slettes
Markedsføring, arrangementer og webinarer Identitet, kontakt, preferanser Samtykke (art. 6(1)(a)) Inntil avmelding eller sletting
Identitetsforvaltning og konto- sammenkobling (EPIC)  Identitet, personnummer, tekniske data, koblingsdata, samtykkehistorikk  Avtale (art. 6(1)(b)) Så lenge kontoen er aktiv.

Endret formål: Vi bruker ikke data til nye, uforenlige formål uten å sikre lovlig behandlingsgrunnlag.

6. Lagring og sletting

Vi lagrer personopplysninger så lenge det er nødvendig for de relevante behandlingsformålene, og kun lenger dersom lov krever eller tillater det. Når data ikke lenger er nødvendig, blir den slettet eller anonymisert på en sikker måte. 

Slik ber du om sletting: Send forespørselen til support@exorlive.com. Vi vil be om nødvendig bekreftelse for å verifisere identiteten din eller autorisasjonen din (ved forespørsel på vegne av andre). Når kontoen slettes, vil tilganger fjernes, og vi sletter eller anonymiserer data som ikke må bevares etter lov eller avtale. Du mottar bekreftelse når sletting er gjennomført.

Sletting av en Personlig konto hos ExorLive medfører ikke automatisk sletting av personopplysninger som behandles av organisasjoner du er tilknyttet gjennom ExorLive GO. For slike opplysninger må forespørsel om sletting rettes til den aktuelle organisasjonen som behandlingsansvarlig.

7. Deling av data mellom organisasjoner (EPIC)

Dersom du bruker EPIC account, kan du velge å dele data mellom organisasjoner du er tilknyttet (for eksempel ved bytte av behandler eller oppfølging hos en ny organisasjon).

Slik deling skjer kun når:

  • du har gitt et uttrykkelig og informert samtykke,

  • du aktivt har valgt hvilke data som skal deles, og

  • mottakende organisasjon er aktivert for å motta slike data i systemet.

Delingen omfatter kun de opplysningene du har valgt å gjøre tilgjengelige, og gir ikke automatisk tilgang til øvrige data eller andre organisasjoner du er tilknyttet.

Du kan når som helst be om å trekke tilbake samtykket til videre deling. Dette vil stoppe fremtidig deling, men påvirker ikke behandling av data som allerede er mottatt av en organisasjon.

ExorLive er ikke behandlingsansvarlig for den mottakende organisasjonens videre behandling av data etter deling. Dette reguleres av den aktuelle organisasjonens eget behandlingsansvar.

8. Overførsel til tredjeland

ExorLive-gruppen behandler og lagrer personopplysninger innenfor EU/EØS. Våre kjerneleverandører benytter datasentre i Irland.

Enkelte organisasjoner kan ha tilkjøpt særskilte lagringsløsninger for data som behandles innenfor organisasjonens egen løsning, herunder geografisk lagring innenfor Norden. Dette omfatter ikke data knyttet til identifikasjonsløsningen i EPIC Account. 

Dersom data i særskilte tilfeller overføres eller gjøres tilgjengelig for konsernselskaper eller underleverandører utenfor EØS, sikrer vi et tilsvarende beskyttelsesnivå ved:

  • å gjennomføre overføringsvurderinger (TIA) og nødvendige tilleggstiltak (tekniske og organisatoriske),

  • å støtte oss på en gjeldende tilstrekkelighetsbeslutning (f.eks. EU–US Data Privacy Framework) eller ved å sikre implementering af SCC’er.

Vi overfører aldri mer data enn nødvendig, og du kan kontakte oss på support@exorlive.com for nærmere informasjon om aktuelle mekanismer og gjeldende underdatabehandlere.

9. Sikkerhet

Vi har etablerte tekniske og organisatoriske tiltak for å beskytte personopplysninger mot uautorisert adgang, endring, tap og misbruk. ExorLive er sertifisert etter ISO/IEC 27001. Tilgang gis etter minste-rettighetsprinsipp og underlagt konfidensialitet. 

Informasjon lagres og overføres kryptert. I enkelte tilfeller kan personopplysninger også være pseudonymisert gjennom særskilte sikkerhetsløsninger der organisasjonen har valgt eller tilkjøpt slik lagring. 

Vi har rutiner for håndtering av potensielle brudd og vil varsle der lov krever det.

10. Dine rettigheter

Innenfor vilkår og unntak i GDPR har du rett til å:

  • Få innsyn i hvilke personopplysninger vi behandler om deg,

  • Kreve retting av uriktige eller ufullstendige opplysninger,

  • Kreve sletting (“retten til å bli glemt”) der vilkårene er oppfylt,

  • Protestere mot behandling basert på berettiget interesse og reservere deg mot direkte markedsføring,

  • Begrense behandling,

  • Dataportabilitet (for data du har gitt oss, behandlet automatisk og basert på samtykke eller avtale),

  • Trekke samtykke når behandling bygger på samtykke (uten at det påvirker lovlig behandling før tilbaketrekking).

Vi svarer så raskt som mulig og normalt innen 30 dager. Ved komplekse forespørsler kan fristen forlenges etter varsel. Du kan kontakte oss på dpo@exorlive.com for å utøve rettigheter.

11. Barn

Tjenestene er ikke rettet mot barn. Vi samler ikke bevisst inn personopplysninger om barn under 13 år uten foresattes samtykke som behandlingsansvarlig. Hvis du mener at et barn har gitt oss opplysninger uten samtykke fra foresatte, kontakt support@exorlive.com.

12. Kontakt og klager

Behandlingsansvarlig/DPO: Thomas Vesth Bjerregaard
Epost: dpo@exorlive.com 
Adresse: ExorLive AS, Hovfaret 4, 0275 Oslo, Norge
Org.nr. 985 542 597

Du kan alltid klage til Datatilsynet. Vi setter pris på muligheten til å løse saken først, ta gjerne kontakt.


 

Artikler i denne seksjonen

Se mer