Personvernerklæring

Sist oppdatert: 07.05.2026

1. Innledning

Alexir One AS ("Alexir", "vi") er forpliktet til å beskytte ditt personvern. Denne personvernerklæringen forklarer hvordan vi samler inn, bruker og beskytter dine personopplysninger i henhold til GDPR og norsk personvernlov.

2. Behandlingsansvarlig

Behandlingsansvarlig: Alexir One AS
Organisasjonsnummer: 935 102 960
Kontakt: hei@alexir.no
Dataproteksjonsoffiser: dpo@alexir.no

3. Hvilke opplysninger samler vi inn?

3.1 Pasienter

  • Navn, fødselsnummer, kontaktinformasjon
  • Helseopplysninger (relevant for behandling)
  • Medisinsk historikk og journalnotater
  • Konsultasjons- og behandlingshistorikk
  • Betalingsinformasjon

3.2 Helsepersonell (leger/behandlere)

  • Navn, kontaktinformasjon, organisasjonsnummer
  • Autorisasjon og lisens (HPR-nummer)
  • Utdanning, sertifiseringer og kompetanse
  • Forsikringsinformasjon
  • Bankinformasjon for utbetaling

4. Lovgrunnlag for behandling

Vi behandler dine personopplysninger basert på følgende rettslige grunnlag (GDPR art. 6):

  • Samtykke: Når du eksplisitt samtykker til behandling
  • Kontraktsoppfyllelse: For å levere tjenester du har bedt om
  • Rettslig forpliktelse: Helsepersonelloven, journalloven, bokføringsloven
  • Viktig interesse: For å sikre pasientsikkerhet og kvalitetssikring

5. Sensitive personopplysninger

Helseopplysninger er sensitive personopplysninger (GDPR art. 9). Vi behandler disse kun når:

  • Du har gitt eksplisitt samtykke
  • Det er nødvendig for helsebehandling
  • Det følger av lov (helsepersonelloven, journalloven)

6. Datasikkerhet

Vi implementerer omfattende sikkerhetstiltak i henhold til Helsedirektoratets krav:

6.1 Kryptering

  • TLS 1.3: All trafikk krypteres under overføring
  • AES-256: Sensitive data krypteres ved lagring
  • SSL-sertifikat: Gyldig sertifikat for alle domener

6.2 Tilgangskontroll

  • Prinsipp om minste tilgang: Helsepersonell har kun tilgang til pasientdata de trenger
  • Rollebasert tilgang: Tilgang styres av brukerrolle (lege/behandler/pasient)
  • BankID/Vipps autentisering: To-faktor autentisering for tilgang
  • Sesjonshåndtering: Automatisk utlogging etter inaktivitet

6.3 Loggføring og revisjon

  • Full loggføring: All tilgang til sensitive data loggføres
  • Audit trail: Hvem, hva, når – for alle sensitive operasjoner
  • Retensjon: Logger lagres i 2 år for revisjon
  • Innsynsrett: Du kan be om innsyn i dine logger

6.4 Lagring og hosting

  • Lokalisering: Data lagres på servere hos Hetzner i Helsinki, Finland (EU/EØS)
  • Databehandleravtaler: Alle underleverandører har godkjente avtaler
  • Backup: Sikkerhetskopier krypteres og lagres geografisk atskilt
  • Disaster recovery: Planer for katastrofegjenoppretting

7. Deling av opplysninger

Vi deler dine opplysninger med følgende tredjeparter for å levere tjenesten:

  • Helsepersonell: Kun leger/behandlere du har konsultasjon/booking hos
  • Hetzner: Serverhosting i Helsinki, Finland (EU/EØS) for lagring av data
  • Jitsi: Selvhostet videoplattform for digitale konsultasjoner (åpen kildekode)
  • Sinch: SMS-tjeneste for varsler og påminnelser
  • Vipps: Autentisering og betalingsformidling
  • BankID via IDura: Sikker identitetsverifisering
  • Myndigheter: Når pålagt ved lov

Alle underleverandører har databehandleravtaler i henhold til GDPR. Vi selger ikke dine personopplysninger til tredjeparter.

8. Dine rettigheter

I henhold til GDPR har du følgende rettigheter:

  • Innsyn: Kreve kopi av alle dine personopplysninger
  • Retting: Kreve retting av uriktige opplysninger
  • Sletting: Kreve sletting ("rett til å bli glemt")
  • Begrensning: Kreve begrensning av behandling
  • Dataportabilitet: Få dine data overført til annen tjeneste
  • Innsigelse: Protestere mot behandling
  • Klage: Klage til Datatilsynet

9. Lagringstid

  • Journal: 10 år etter siste kontakt (journalloven)
  • Bokføring: 5 år (bokføringsloven)
  • Logger: 2 år
  • Konto: Slettes på forespørsel, opprettholdt så lenge nødvendig for tjenesten

10. Cookies og sporing

Vi bruker cookies for:

  • Nødvendige: Innlogging, sesjonshåndtering
  • Analyse: Google Analytics for å forbedre tjenesten (valgfri)
  • Funksjonelle: Huske dine preferanser

Du kan styre cookies via vårt cookie-banner eller nettleserinnstillinger.

11. Internasjonale overføringer

Vi overfører ikke dine personopplysninger utenfor EØS. All databehandling skjer i Norge hos godkjente leverandører.

12. Kontakt

For spørsmål om personvern, innsynskrav eller klager:
E-post: dpo@alexir.no
Adresse: Bergerveien 24, 1396 Billingstad
Datatilsynet: www.datatilsynet.no