Denne erklæringen beskriver hvilke personopplysninger Peoples Doctor ApS behandler, hvorfor vi behandler dem, hvordan vi beskytter dem, og hvilke rettigheter du har. Erklæringen dekker både bruk av Peoples Clinic-plattformen og besøk på peoplesdoctor.com.
1 Hvem er vi
Peoples Clinic leveres av Peoples Doctor ApS, Teglværksvej 2, 5600 Faaborg, Danmark (CVR 40930809).
Henvendelser kan rettes til:
- Generell kontakt: compliance@peoplesdoctor.com
- Personvernforhold og rettighetsanmodninger: privacy@peoplesdoctor.com
- Sikkerhetshendelser: security-incident@peoplesdoctor.com
- Personvernombud (eksternt): Søren Tang Hansen, sth@peoplesdoctor.com
- CEO: Michael Hein, mhe@peoplesdoctor.com
2 Roller — behandlingsansvarlig og databehandler
Når det gjelder pasientdata, transkripsjoner og AI-genererte sammendrag, er klinikken behandlingsansvarlig, og Peoples Doctor ApS er databehandler. Vi behandler utelukkende disse dataene etter klinikkens dokumenterte instruks i en databehandleravtale (GDPR art. 28).
Når det gjelder brukerkontoer, fakturering og tekniske sikkerhetslogger, er Peoples Doctor ApS selv behandlingsansvarlig.
3 Hvilke data vi behandler
- Konsultasjonsdata: live-lyd under konsultasjonen (slettes umiddelbart etter transkripsjon og lagres aldri permanent), transkripsjon og AI-generert sammendrag i PSOAP-format.
- Brukerdata: navn, autorisasjonsnummer, e-postadresse, telefonnummer og innloggingsopplysninger for klinikkpersonale.
- Tekniske logger: IP-adresse, tidsstempel, systemaktivitet og innloggingsforsøk.
- Faktureringsdata: kontaktperson, fakturaadresse, organisasjonsnummer og betalingshistorikk.
- Nettstedsdata: minimalt — se seksjon 16.
Vi lagrer ikke pasientidentifikatorer (fødselsnummer, navn, kontaktopplysninger) i konsultasjonsdatabasen. Konsultasjoner identifiseres ved en intern konsultasjons-ID og tidsstempel. Kobling til den enkelte pasienten skjer utelukkende i klinikkens eget journalsystem.
4 Formål og rettslig grunnlag
Hver kategori av opplysninger behandles til et bestemt formål med et bestemt rettslig grunnlag:
- Konsultasjonsdata — formål: levere AI-assistert journaldokumentasjon. Rettslig grunnlag: GDPR art. 9 nr. 2 bokstav h (behandling nødvendig for medisinsk diagnose og helsetjenester), via klinikkens behandling.
- Brukerdata — formål: opprette og administrere brukerkontoer og levere tjenesten. Rettslig grunnlag: GDPR art. 6 nr. 1 bokstav b (oppfyllelse av avtale).
- Tekniske logger — formål: opprettholde driftssikkerhet, oppdage misbruk og dokumentere tilgang. Rettslig grunnlag: GDPR art. 6 nr. 1 bokstav f (berettiget interesse). Interesseavveining: hensynet til å beskytte helsedata mot uautorisert tilgang veier tyngre enn klinikkbrukerens interesse i å ikke få aktivitet logget. Logger inneholder ikke pasientdata, oppbevares maks. 185 dager og brukes kun til sikkerhetsformål.
- Faktureringsdata — formål: oppfylle avtaleforpliktelse og bokføringsplikt. Rettslig grunnlag: GDPR art. 6 nr. 1 bokstav b og c, sammenholdt med Bokføringsloven (5 års oppbevaringsplikt).
5 Særlig om helsedata
Helsedata er en særlig kategori av personopplysninger med skjerpet beskyttelse etter GDPR art. 9. Behandlingen skjer innenfor rammene av Helsepersonelloven §§ 21-25 om taushetsplikt og utlevering, samt pasientjournalforskriften.
Klinikken har det fulle journalansvaret overfor pasienten. Peoples Doctor ApS leverer det tekniske verktøyet og er underlagt klinikkens instruks. Den endelige journalteksten og det redaksjonelle ansvaret ligger hos den behandlende legen.
6 AI, automatisering og menneskelig kontroll
Peoples Clinic er klassifisert som ikke-høyrisiko etter EU AI Act (forordning (EU) 2024/1689 art. 6 nr. 3) — formålet er administrativ støtte, ikke kliniske beslutninger.
Konkrete tiltak:
- Menneskelig kontroll (AI Act art. 14): Legen gjennomgår og godkjenner hvert AI-generert notat før lagring. Et utkast lagres aldri som ferdig journaltekst uten eksplisitt godkjenning.
- Ingen automatiserte avgjørelser (GDPR art. 22): AI-ens output er utkast til legens vurdering, ikke en avgjørelse i seg selv.
- Frossen modellbaseline: AI-modellen kjører på en validert, versjonslåst baseline. Modellutskiftning krever intern validering før produksjon.
- Modellvalg og risikovurdering dokumenteres etter AI Act art. 53 (downstream provider-forpliktelser).
7 Ingen trening på pasientdata
AI-modellene våre er hostet på egne servere hos vår hostingleverandør (se seksjon 9). Pasientdata sendes aldri til eksterne AI-API-er — heller ikke til OpenAI, Anthropic, Google eller andre tredjepartsleverandører.
Modellen kjører i inference-only-modus. Konsultasjonsdata brukes ikke til trening, fintuning eller modelloptimering — heller ikke i anonymisert eller aggregert form. Modelloppdateringer kommer fra eksterne, dokumenterte kilder og gjennomgår intern validering før de settes i produksjon.
8 Oppbevaring og sletting
Vi oppbevarer kun opplysninger så lenge det er nødvendig for formålet de er samlet inn til:
| Datakategori | Oppbevaringsperiode |
|---|---|
| Live-lyd | Slettes ved transkripsjon (sekunders levetid; ikke permanent lagret) |
| Transkripsjon | Maks. 90 dager, automatisk sletting |
| AI-generert sammendrag | Maks. 90 dager, automatisk sletting |
| Brukerkonto | Avtalens varighet + opptil 30 dager til offboarding |
| Faktureringsdata | 5 år (Bokføringsloven) |
| Tekniske logger (standard) | 185 dager |
| Tekniske logger (skjerpede revisjonskrav) | Opptil 730 dager — fastsettes i databehandleravtalen |
| Krypterte sikkerhetskopier | Inngår i ovennevnte perioder; sletteanmodninger reapplyes på gjenopprettede sikkerhetskopier via vårt sletteregister |
Sletting er teknisk uigenkallelig etter oppbevaringsperioden. Klinikken kan anmode om tidligere sletting via Peoples Clinic-plattformen eller skriftlig til privacy@peoplesdoctor.com.
9 Underdatabehandlere
Vi benytter følgende underdatabehandlere i leveringen av tjenesten:
| Part | Rolle | Plassering |
|---|---|---|
| netcup GmbH |
IaaS-hosting (servere, lagring, AI-inferens) for konsultasjonsdata, brukerdata, logger og sikkerhetskopier | Datasenter Nürnberg, Tyskland (EU). ISO/IEC 27001 og ISO/IEC 27701-sertifisert, verifisert årlig. |
| Google Ireland Ltd |
Bedrifts-e-post (Google Workspace) for kunde- og leverandørkorrespondanse — ikke pasientdata | EU/EØS. Eventuell teknisk overføring til USA er dekket av EUs Standard Contractual Clauses og EU-US Data Privacy Framework. |
Klinikkunder mottar oppdatert liste over underdatabehandlere via servicemeldinger ved endringer, med minst 30 dagers varsel ved tilføyelser, jf. databehandleravtalen.
10 Dataplassering
Konsultasjonsdata, transkripsjoner, AI-sammendrag, brukerdata, logger og sikkerhetskopier oppbevares utelukkende på servere plassert i EU (Tyskland).
Vi bruker ikke amerikansk-kontrollert skyinfrastruktur (AWS, Azure, Google Cloud) eller amerikansk-kontrollerte AI-API-er som en del av tjenesten. Peoples Clinic er derfor ikke eksponert for US CLOUD Act-forespørsler om kunde- eller pasientdata.
11 Overføringer utenfor EU/EØS
For kjernen av tjenesten skjer det ingen overføringer utenfor EU/EØS.
For bedriftskommunikasjon via Google Workspace kan det teoretisk forekomme dataoverføring til USA gjennom Googles globale infrastruktur. Slik overføring er dekket av EUs Standard Contractual Clauses (SCC) i Google Cloud Data Processing and Security Terms samt EU-US Data Privacy Framework, hvor Google LLC er sertifisert. Vi har gjennomført Transfer Impact Assessment for denne bruken.
12 Tekniske og organisatoriske sikkerhetstiltak
Vi har iverksatt tiltak som etter GDPR art. 32 er egnede i forhold til risikoen ved behandling av særlige kategorier av personopplysninger:
Kryptering:
- I transitt: TLS 1.2 eller nyere på all nettverkstrafikk.
- I hvile: LUKS-fullkrypterings-disk på databaseservere.
- Sikkerhetskopier: AES-256-kryptering på separat EU-lagring.
Tilgangskontroll:
- Rollebasert tilgangskontroll (RBAC) med prinsipp om minste nødvendige rettigheter.
- MFA/TOTP kreves for all privilegert tilgang.
- WireGuard-VPN kreves for administrativ tilgang til produksjon.
- Fire-øyne-prinsipp ved produksjonsendringer.
Overvåkning og integritet:
- Daglig file integrity monitoring (AIDE) på produksjonsnoder.
- Sentralt innsamlede systemlogger.
- SHA-256-hashing av kritiske transaksjonslogger (immutable audit trail).
- Antivirus på arbeidsstasjoner og servere.
Organisatorisk:
- Personalet har som utgangspunkt ikke tilgang til konsultasjonsdata (no-access support-modell). Tilgang i konkrete supportsituasjoner krever klinikkens forhåndsgodkjenning og dokumenteres.
- Taushetserklæringer for alt personale med tilgang til produksjonsmiljøet.
- Regelmessig sikkerhetstrening.
13 Revisjon og sertifisering
Kontrollene våre er revidert etter ISAE 3000 Type 1 av BDO. Rapporten er tilgjengelig for klinikkunder og potensielle kunder på forespørsel under fortrolighetsavtale.
Vår hostingleverandør netcup GmbH er sertifisert etter ISO/IEC 27001 og ISO/IEC 27701, verifisert årlig.
14 Dine rettigheter
Du har følgende rettigheter etter GDPR. Hvilken vei anmodningen din skal gå avhenger av om vi behandler opplysningene dine som behandlingsansvarlig (brukerkonto, fakturering, logger) eller som databehandler (konsultasjonsdata):
- Innsyn (art. 15): Få bekreftelse på om vi behandler opplysninger om deg, samt kopi av opplysningene.
- Retting (art. 16): Få rettet uriktige opplysninger. Merk: en transkripsjon er en objektiv opptak av det som ble sagt og kan ikke rettes innholdsmessig — kun slettes.
- Sletting (art. 17): Få slettet opplysninger uten ugrunnet opphold, når en av betingelsene i art. 17 nr. 1 er oppfylt.
- Begrensning (art. 18): Begrense behandlingen vår i konkrete situasjoner.
- Dataportabilitet (art. 20): Få opplysninger utlevert i et strukturert, alminnelig brukt og maskinlesbart format.
- Innsigelse (art. 21): Gjøre innsigelse mot behandling basert på berettiget interesse.
- Tilbaketrekking av samtykke (art. 7 nr. 3): Der behandling skjer på grunnlag av samtykke, kan samtykket trekkes tilbake med virkning fremover.
Slik utøver du rettighetene:
- For konsultasjonsdata (vi er databehandler): kontakt klinikken. Klinikken kan slette eller eksportere data via Peoples Clinic-plattformen ved hjelp av konsultasjons-ID.
- For brukerkonto, fakturering og logger (vi er behandlingsansvarlig): kontakt privacy@peoplesdoctor.com.
Vi svarer innen 30 dager, jf. GDPR art. 12 nr. 3. Komplekse anmodninger kan forlenges med opptil to måneder med begrunnet varsel innen samme frist. Vi krever ikke gebyr, med mindre anmodningen er åpenbart grunnløs eller overdreven (art. 12 nr. 5).
15 Sikkerhetsbrudd
Hvis et brudd på personopplysningssikkerheten oppstår:
- Datatilsynet underrettes innen 72 timer etter konstatering, jf. GDPR art. 33.
- Berørte klinikker (behandlingsansvarlige) underrettes så raskt som mulig — internt mål 48 timer fra bruddkonstatering.
- Berørte registrerte underrettes av klinikken etter art. 34, hvis bruddet sannsynligvis innebærer høy risiko for deres rettigheter og friheter.
- Vårt personvernombud har eneansvar for vurderingen av om en hendelse utgjør et brudd i art. 33s forstand.
Sikkerhetshendelser kan rapporteres til security-incident@peoplesdoctor.com.
16 Informasjonskapsler og nettstedssporing
peoplesdoctor.com bruker utelukkende strengt nødvendige informasjonskapsler (sesjons-ID og språkpreferanse). Vi bruker ikke markedsføringssporere, fingerprinting eller cross-site-tracking på vårt offentlige nettsted.
Selve Peoples Clinic-plattformen bruker sesjonsinformasjonskapsler for autentisering og funksjon — ingen sporingskapsler.
17 Klage til Datatilsynet
Du kan klage til Datatilsynet hvis du mener vår behandling av opplysningene dine strider mot personvernreglene:
Datatilsynet
Carl Jacobsens Vej 35
2500 Valby, Danmark
Telefon: +45 33 19 32 00
dt@datatilsynet.dk
www.datatilsynet.dk
Du trenger ikke ha henvendt deg til oss først, men vi oppfordrer til å gi oss mulighet til å finne en løsning før du klager.
18 Endringer i denne erklæringen
Vesentlige endringer kommuniseres til registrerte klinikkunder via e-post minst 30 dager før ikrafttredelse. Mindre endringer (presiseringer, oppdaterte kontaktopplysninger) kan publiseres uten særskilt varsel.
Tidligere versjoner kan rekvireres via privacy@peoplesdoctor.com. Versjonshistorikk vedlikeholdes i vårt ISAE 3000-dokumentasjonssystem.