Privatlivspolitik

Denne politik beskriver, hvilke personoplysninger Peoples Doctor ApS behandler, hvorfor vi behandler dem, hvordan vi beskytter dem, og hvilke rettigheder du har. Politikken dækker både brugen af Peoples Clinic-platformen og besøg på peoplesdoctor.com.

1 Hvem er vi

Peoples Clinic leveres af Peoples Doctor ApS, Teglværksvej 2, 5600 Faaborg, Danmark (CVR 40930809).

Henvendelser kan rettes til:

Generel kontakt: compliance@peoplesdoctor.com
Privatlivsforhold og rettighedsanmodninger: privacy@peoplesdoctor.com
Sikkerhedshændelser: security-incident@peoplesdoctor.com
DPO (ekstern): Søren Tang Hansen, sth@peoplesdoctor.com
CEO: Michael Hein, mhe@peoplesdoctor.com

2 Roller — dataansvarlig og databehandler

I forhold til patientdata, transskriptioner og AI-genererede resuméer er klinikken dataansvarlig, og Peoples Doctor ApS er databehandler. Vi behandler udelukkende disse data efter klinikkens dokumenterede instruks i en databehandleraftale (GDPR Art. 28).

I forhold til brugerkonti, fakturering og tekniske sikkerhedslogs er Peoples Doctor ApS selv dataansvarlig.

3 Hvilke data vi behandler

Konsultationsdata: live audio under konsultationen (slettes umiddelbart efter transskription og lagres aldrig vedvarende), transskription og AI-genereret resumé i PSOAP-format.
Brugerdata: navn, autorisationsnummer, e-mailadresse, telefonnummer og loginoplysninger på klinikpersonale.
Tekniske logs: IP-adresse, tidsstempel, systemaktivitet og login-forsøg.
Faktureringsdata: kontaktperson, fakturaadresse, CVR og betalingshistorik.
Website-data: minimal — se sektion 16.

Vi lagrer ikke patientidentifikatorer (CPR, navn, kontaktoplysninger) i konsultationsdatabasen. Konsultationer identificeres ved et internt konsultations-ID og tidsstempel. Sammenkædning til den enkelte patient sker udelukkende i klinikkens eget journalsystem.

4 Formål og retsgrundlag

Hver kategori af oplysninger behandles til et bestemt formål med et bestemt retsgrundlag:

Konsultationsdata — formål: levere AI-assisteret journaldokumentation. Retsgrundlag: GDPR Art. 9, stk. 2, litra h (behandling nødvendig for medicinsk diagnose og sundhedspleje), via klinikkens behandling.
Brugerdata — formål: oprette og administrere brugerkonti og levere tjenesten. Retsgrundlag: GDPR Art. 6, stk. 1, litra b (kontraktopfyldelse).
Tekniske logs — formål: opretholde driftssikkerhed, opdage misbrug og dokumentere adgang. Retsgrundlag: GDPR Art. 6, stk. 1, litra f (legitim interesse). Interesseafvejning: hensynet til at beskytte sundhedsdata mod uautoriseret adgang vejer tungere end klinikbrugerens interesse i ikke at få aktivitet logget. Logs indeholder ikke patientdata, opbevares maks. 185 dage og bruges kun til sikkerhedsformål.
Faktureringsdata — formål: opfylde aftaleforpligtelse og bogføringspligt. Retsgrundlag: GDPR Art. 6, stk. 1, litra b og litra c, sammenholdt med Bogføringsloven (5 års opbevaringspligt).

5 Særligt om helbredsdata

Sundhedsdata er en særlig kategori af personoplysninger med skærpet beskyttelse efter GDPR Art. 9. Behandlingen sker inden for rammerne af Sundhedslovens §§ 40-46a om tavshedspligt og videregivelse, samt journalføringsbekendtgørelsen.

Klinikken har det fulde journalansvar over for patienten. Peoples Doctor ApS leverer det tekniske værktøj og er underlagt klinikkens instruks. Den endelige journaltekst og det redaktionelle ansvar ligger hos den behandlende læge.

6 AI, automatisering og menneskelig kontrol

Peoples Clinic er klassificeret som ikke-højrisiko efter EU AI Act (Forordning (EU) 2024/1689 Art. 6, stk. 3) — formålet er administrativ understøttelse, ikke kliniske beslutninger.

Konkrete tiltag:

Menneskelig kontrol (AI Act Art. 14): Lægen gennemgår og godkender hvert AI-genereret notat inden lagring. Et udkast lagres aldrig som færdig journaltekst uden eksplicit godkendelse.
Ingen automatiseret afgørelse (GDPR Art. 22): AI'ens output er udkast til lægens vurdering, ikke en afgørelse i sig selv.
Frossen modelbaseline: AI-modellen kører på en valideret, version-fastlåst baseline. Modeludskiftning kræver intern validering før produktion.
Modelvalg og risikovurdering dokumenteres efter AI Act Art. 53 (downstream provider-forpligtelser).

7 Ingen træning på patientdata

Vores AI-modeller er hostet på egne servere hos vores hostingleverandør (se sektion 9). Patientdata sendes aldrig til eksterne AI-API'er — heller ikke til OpenAI, Anthropic, Google eller andre tredjepartsudbydere.

Modellen kører i inference-only-tilstand. Konsultationsdata anvendes ikke til træning, finetuning eller modeloptimering — heller ikke i anonymiseret eller aggregeret form. Modelopdateringer kommer fra eksterne, dokumenterede kilder og gennemgår intern validering før de sættes i produktion.

8 Opbevaring og sletning

Vi opbevarer kun oplysninger så længe det er nødvendigt for det formål, de er indsamlet til:

Datakategori	Opbevaringsperiode
Live audio	Slettes ved transskription (sekunders levetid; ikke vedvarende lagret)
Transskription	Maks. 90 dage, automatisk sletning
AI-genereret resumé	Maks. 90 dage, automatisk sletning
Brugerkonto	Aftalens varighed + op til 30 dage til offboarding
Faktureringsdata	5 år (Bogføringsloven)
Tekniske logs (standard)	185 dage
Tekniske logs (skærpede revisionskrav)	Op til 730 dage — fastlægges i databehandleraftalen
Krypterede backups	Indgår i ovenstående perioder; sletteanmodninger reapplikeres på restorerede backups via vores sletteregister

Sletning er teknisk uigenkaldelig efter retentionperioden. Klinikken kan anmode om tidligere sletning via Peoples Clinic-platformen eller skriftligt til privacy@peoplesdoctor.com.

9 Underdatabehandlere

Vi anvender følgende underdatabehandlere i levering af tjenesten:

Part	Rolle	Placering
netcup GmbH Daimlerstraße 25, 76185 Karlsruhe, Tyskland	IaaS-hosting (servere, lagring, AI-inferens) for konsultationsdata, brugerdata, logs og backups	Datacenter Nürnberg, Tyskland (EU). ISO/IEC 27001 og ISO/IEC 27701-certificeret, verificeret årligt.
Google Ireland Ltd Gordon House, Barrow Street, Dublin 4, Irland	Corporate e-mail (Google Workspace) til kunde- og leverandørkorrespondance — ikke patientdata	EU/EØS. Eventuel teknisk transfer til USA er dækket af EU Standard Contractual Clauses og EU-US Data Privacy Framework.

Klinikkunder modtager opdateret liste over underdatabehandlere via servicemeddelelser ved ændringer, med mindst 30 dages varsel ved tilføjelser, jf. databehandleraftalen.

10 Dataplacering

Konsultationsdata, transskriptioner, AI-resuméer, brugerdata, logs og backups opbevares udelukkende på servere placeret i EU (Tyskland).

Vi bruger ikke amerikansk-kontrolleret cloudinfrastruktur (AWS, Azure, Google Cloud) eller amerikansk-kontrollerede AI-API'er som led i tjenesten. Peoples Clinic er derfor ikke eksponeret over for US CLOUD Act-forespørgsler om kunde- eller patientdata.

11 Overførsler uden for EU/EØS

For tjenestens kerne sker der ingen overførsler uden for EU/EØS.

For corporate kommunikation via Google Workspace kan der teoretisk forekomme dataoverførsel til USA gennem Google's globale infrastruktur. Sådan overførsel er dækket af EU Standard Contractual Clauses (SCC) i Google Cloud Data Processing and Security Terms samt EU-US Data Privacy Framework, hvor Google LLC er certificeret. Vi har gennemført Transfer Impact Assessment for denne anvendelse.

12 Tekniske og organisatoriske sikkerhedsforanstaltninger

Vi har truffet de foranstaltninger, der efter GDPR Art. 32 er passende i forhold til risikoen ved behandling af særlige kategorier af personoplysninger:

Kryptering:

I transit: TLS 1.2 eller nyere på al netværkstrafik.
At rest: LUKS-fuldt-disk-kryptering på databaseservere.
Backups: AES-256-kryptering på separat EU-lagring.

Adgangskontrol:

Rollebaseret adgangskontrol (RBAC) med princip om mindste nødvendige rettigheder.
MFA/TOTP påkrævet for al privilegeret adgang.
WireGuard-VPN påkrævet for administrativ adgang til produktion.
4-øjne-princip ved produktionsændringer.

Overvågning og integritet:

Daglig file integrity monitoring (AIDE) på produktionsnoder.
Centralt indsamlede systemlogs.
SHA-256-hashing af kritiske transaktionslogs (immutable audit trail).
Antivirus på workstations og servere.

Organisatorisk:

Personalet har som udgangspunkt ikke adgang til konsultationsdata (no-access support model). Adgang i konkrete supportsituationer kræver klinikkens forudgående godkendelse og dokumenteres.
Tavshedserklæringer for alt personale med adgang til produktionsmiljøet.
Regelmæssig sikkerhedstræning.

13 Revision og certificering

Vores kontroller er revideret efter ISAE 3000 Type 1 af BDO. Rapporten er tilgængelig for klinikkunder og potentielle kunder på anmodning under fortrolighedsaftale.

Vores hostingleverandør netcup GmbH er certificeret efter ISO/IEC 27001 og ISO/IEC 27701, verificeret årligt.

14 Dine rettigheder

Du har følgende rettigheder efter GDPR. Hvilken vej din anmodning skal gå afhænger af, om vi behandler dine oplysninger som dataansvarlig (brugerkonto, fakturering, logs) eller som databehandler (konsultationsdata):

Indsigt (Art. 15): Få bekræftelse på, om vi behandler oplysninger om dig, samt kopi af oplysningerne.
Berigtigelse (Art. 16): Få rettet ukorrekte oplysninger. Bemærk: en transskription er en objektiv optagelse af det sagte og kan ikke berigtiges indholdsmæssigt — kun slettes.
Sletning (Art. 17): Få slettet oplysninger uden unødig forsinkelse, når et af betingelserne i Art. 17, stk. 1 er opfyldt.
Begrænsning (Art. 18): Begrænse vores behandling i konkrete situationer.
Dataportabilitet (Art. 20): Få oplysninger udleveret i et struktureret, almindeligt anvendt og maskinlæsbart format.
Indsigelse (Art. 21): Gøre indsigelse mod behandling baseret på legitim interesse.
Tilbagetrækning af samtykke (Art. 7, stk. 3): Hvor behandling sker på grundlag af samtykke, kan samtykket trækkes tilbage med virkning fremadrettet.

Sådan udøver du rettighederne:

For konsultationsdata (vi er databehandler): kontakt klinikken. Klinikken kan slette eller eksportere data via Peoples Clinic-platformen ved hjælp af konsultations-ID.
For brugerkonto, fakturering og logs (vi er dataansvarlig): kontakt privacy@peoplesdoctor.com.

Vi svarer inden for 30 dage, jf. GDPR Art. 12, stk. 3. Komplekse anmodninger kan forlænges med op til to måneder med begrundet varsel inden for samme frist. Vi opkræver ikke gebyr, medmindre anmodningen er åbenbart grundløs eller overdreven (Art. 12, stk. 5).

15 Sikkerhedsbrud

Hvis et brud på persondatasikkerheden opstår:

Datatilsynet underrettes inden 72 timer efter konstatering, jf. GDPR Art. 33.
Berørte klinikker (dataansvarlige) underrettes så hurtigt som muligt — internt mål 48 timer fra brudkonstatering.
Berørte registrerede underrettes af klinikken efter Art. 34, hvis bruddet sandsynligvis indebærer høj risiko for deres rettigheder og frihedsrettigheder.
Vores DPO har eneansvaret for vurdering af, om en hændelse udgør et brud i Art. 33's forstand.

Sikkerhedshændelser kan rapporteres til security-incident@peoplesdoctor.com.

16 Cookies og website-tracking

peoplesdoctor.com bruger udelukkende strengt nødvendige cookies (sessions-id og sprogpræference). Vi anvender ikke marketing-trackers, fingerprinting eller cross-site-tracking på vores public website.

Selve Peoples Clinic-platformen bruger session-cookies til autentificering og funktion — ingen tracking-cookies.

17 Klage til Datatilsynet

Du kan klage til Datatilsynet, hvis du mener, at vores behandling af dine oplysninger er i strid med databeskyttelsesreglerne:

Datatilsynet
Carl Jacobsens Vej 35
2500 Valby
Telefon: 33 19 32 00
dt@datatilsynet.dk
www.datatilsynet.dk

Du behøver ikke have henvendt dig til os først, men vi opfordrer til at give os mulighed for at finde en løsning, før du klager.

18 Ændringer til denne politik

Væsentlige ændringer kommunikeres til registrerede klinikkunder via e-mail mindst 30 dage før ikrafttræden. Mindre ændringer (præciseringer, opdaterede kontaktoplysninger) kan publiceres uden særskilt varsel.

Tidligere versioner kan rekvireres via privacy@peoplesdoctor.com. Versionshistorik vedligeholdes i vores ISAE 3000-dokumentationssystem.

Privatlivspolitikfor Peoples Clinic