Ditt personvern - ResMed Norge

Ditt personvern

Sist oppdatert: 25. mars 2022

  1. Om denne erklæringen

1.1 ResMed («ResMed», «vi», «vår», «oss») er forpliktet til å beskytte personvernet og sikkerheten til alle personopplysningene dine (som definert nedenfor). Vi ønsker å være åpen om hvilke typer personopplysninger vi innhenter om deg og hvordan de brukes. Denne personvernerklæringen (heretter “Erklæringen“) forklarer hvordan vi samler inn, bruker og deler informasjon innhentet om deg (“Personopplysninger“) gjennom din bruk av ResMed-enheten (“Enheten“) og har som mål å informere deg om rettighetene og frihetene du kan utøve med hensyn til vår bruk av dine personopplysninger. Denne erklæringen beskriver også tiltakene vi iverksetter for å beskytte dine personopplysninger.

1.2 Denne enheten administreres av ResMed SAS, med hovedkvarter 292 Allée Jacques Monod, 69791 Saint-Priest, Frankrike, som er behandlingsansvarlig for alle personopplysninger som samles inn via denne enheten. For mer informasjon om denne appen, se denne brukerveiledningen.

1.3 Hvis du ikke ønsker at ResMed skal behandle personopplysningene dine på denne enheten slik som beskrevet i personvernerklæringen, må du ikke slå på «connectivity»-funksjonen (bruk tilkoblet) på denne enheten (ta kontakt med helsetjenesten din hvis du ønsker at de skal bekrefte at denne «connectivity»-funksjonen er slått av på enheten din).

  1. Hvilke personopplysninger samler vi inn og hvorfor

2.1 Når du bruker appen, samler vi inn følgende typer personopplysninger om deg, som vi behandler for formålene beskrevet nedenfor

2.2 Søvndata

Enheten gjør det mulig for oss å samle inn informasjon om søvnmønsteret og lidelsene dine. Søvnrelaterte data regnes som helserelaterte (helsedata) når de brukes til å analysere helsetilstanden din og vurdere helserisikoen din. Dette er for eksempel tilfellet hvor analysen av dine søvnproblemer er basert på det høye antallet apneer per time målt over en viss periode.
ResMed vil behandle dine helsedata til følgende formål:

❶ Oppfyllelse av juridiske forpliktelse i forbindelse med markedsføring av medisinsk utstyr:

(i) for å forbedre brukervennligheten, ytelsen og sikkerheten til sitt medisinske utstyr.

(ii) for å gjennomføre klinisk ettermarkedsoppfølging av det medisinske utstyret sitt.

(iii) for å gjennomføre materiovigilance.

❷ Gjennomføre helsestudier, forskning og evalueringer.

Dine helsedata kan også gjenbrukes under ResMeds ansvar, forskere eller ResMeds partnere for retrospektive studier av offentlig interesse innen helseområdet og rettet mot forbedring av kunnskap. I henhold til Personvernforordningen krever denne behandlingen at vi innhenter eksplisitt samtykke fra deg på forhånd for dette formålet.
Personvernerklæringen vil bli oppdatert ved jevne mellom. Vi anbefaler at du regelmessig sjekker den for å sikre at du kjenner til alle studiene som utføres av ResMed, forskere eller ResMeds partnere i forbindelse med gjenbruk av dataene dine.

Disse helsestudiene som er implementert fra gjenbruk av dine personopplysninger:

(i) har som mål å forbedre vitenskapelig kunnskap,

(ii) må gi en offentlig interesse i samsvar med meningen av gjeldende juridiske og forskriftsmessige bestemmelser,

(iii) vil bli gjennomført av ResMed, forskere eller ResMeds partnere, som tidligere har fullført de nødvendige formalitetene overfor myndighetene, og spesielt CNIL,

(iv) vil bli godkjent av den vitenskapelige komiteen i ResMed.

  1. Hvordan vi får dine personopplysninger

3.1 Det meste av informasjonen vi behandler, hentes direkte gjennom ResMed-apparatet som overvåker søvnen din.

3.2 ResMed behandler kundens personopplysninger på kundens vegne som behandler relatert til dens levering av ResMed HI Services.

4. ResMed behandler personopplysningene dine som behandlingsansvarlig for formålene 1 og 2 definert over.

5. Hvem formidler vi personopplysninger til

5.1 Vi kan formidle dine personopplysninger til følgende mottakerkategorier:

(a) til våre EU-baserte tredjepartsleverandører, tjenesteleverandører og partnere som leverer databehandlingstjenester til oss, eller som ellers behandler personopplysninger for formål som er beskrevet i denne erklæringen eller varslet til deg når vi samler inn personopplysningene dine. Dette kan omfatte avsløringer til EU-baserte tredjepartsleverandører og andre tjenesteleverandører vi bruker i forbindelse med tjenestene de gir oss, inkludert for å støtte oss innen områder som IT-plattformadministrasjon eller støttetjenester, infrastruktur- og applikasjonstjenester, markedsføring og dataanalyse. Her er listen over tredjepartsleverandører og tjenesteleverandører som er involverte i behandlingene som beskrives:

(b) til eventuelle juridiske håndhevingsorganer, reguleringsorganer, myndighetsorganer, domstoler eller andre tredjeparter der vi mener at formidling er nødvendig (i) i henhold til gjeldende lover eller forskrifter, (ii) for å utarbeide, fremsette eller forsvare våre juridiske rettigheter, eller (iii) for å beskytte dine vitale interesser eller andre menneskers interesser;

(c)til våre revisorer, rådgivere, juridiske representanter og lignende agenter i forbindelse med rådgivningstjenestene de gir oss for legitime forretningsformål og under kontraktsforbud mot å bruke personopplysningene til andre formål.

(d) til en potensiell kjøper (og dens agenter og rådgivere) i forbindelse med ethvert foreslått kjøp, sammenslåing eller anskaffelse av noen del av virksomheten vår, forutsatt at vi informerer kjøperen om at de bare må bruke dine personlige data for de formål som er beskrevet i denne erklæringen;

 (e) til enhver annen person hvis du har gitt ditt samtykke på forhånd til avsløringen.

  1. Slik beskytter vi personvernet

6.1 Vi behandler personopplysninger i samsvar med følgende prinsipper:

(a) Rettferdighet: Vi utøver en rettferdig behandling av personopplysninger. Dette betyr at vi er åpne om hvordan vi behandler personopplysninger.

(b) Lovlighet: Vi vil kun behandle personopplysninger på lovlig grunnlag.

(c) Formålsbegrensning: Vi vil behandle personopplysninger for spesifiserte eksplisitte og legitime formål og vil ikke behandle dem på en måte som ikke er kompatibel med disse formålene, med mindre det er tillatt av gjeldende personvernlovgivning.

(d) Informasjonsminimering: Vi vil behandle personopplysninger som er tilstrekkelige og relevante, og begrense de til det som er nødvendig for å oppnå formålene som opplysningene behandles for.

(e) Korrekthet: Vi iverksetter passende handlinger for å sikre at personopplysningene vi har om deg er nøyaktige, fullstendige og, når det er nødvendig, oppdaterte. Det er imidlertid også ditt ansvar å sikre at dine personlige data holdes så nøyaktige, fullstendige og oppdaterte som mulig ved å informere oss umiddelbart om eventuelle endringer eller feil. Du bør varsle oss om endringer i personopplysningene vi har om deg (for eksempel adresseendring).

(f) Datasikkerhet: Vi bruker passende tekniske og organisatoriske tiltak for å beskytte personopplysningene vi samler inn og behandler om deg. Tiltakene vi iverksetter er utformet for å gi et sikkerhetsnivå som passer til risikoen for behandling av personopplysninger.  Helt konkret beskyttes alle opplysningene i henhold til ulike risikonivåer ved fysiske tiltak, for eksempel sikre områder, tekniske tiltak, som kryptering, og organisatoriske tiltak, som ansattes sikkerhet gjennom kontroll og tilsyn.

(g) Begrenset lagring: Vi beholder personopplysningene dine i en form som lar oss identifisere deg så lenge det er nødvendig for å oppnå formålene vi behandler opplysningene dine for, og lagrer ikke opplysningene dine lengre enn det, med mindre vi må overholde gjeldende lover.

  1. Datalagring, oppbevaring og sletting

7.1 Personopplysningene vi samler inn om deg, blir lagret på serverne våre i et land innenfor Det europeiske økonomiske samarbeidsområdet (for øyeblikket er dette Frankrike og/eller Tyskland).
Kundens personopplysninger skal lagres i arkiv av ResMed for varighetene nevnt nedenfor. ResMed har en juridisk forpliktelse til å overholde disse lagringsperiodene i henhold til gjeldende lover (inkludert, men ikke begrenset til, forordningen om medisinsk utstyr (EU) 2017/745 av 5. april 2017), i rollen som behandlingsansvarlig. Følgende tabell sammenfatter de ulike datalagringsperiodene i henhold til formålene med behandling.

  1. Tekniske og organisatoriske tiltak.

8.1 Vi bruker ulike datasikkerhets- og personverntiltak for å beskytte dine personopplysninger og overholde gjeldende lover om personvern.

8.2 Personopplysningene dine er lagret i et sikkert datasenter i Frankrike eller Tyskland av en HDS-sertifisert leverandør av netthotell for helseopplysninger. Underleverandøren vår opererer under våre strenge og presise instruksjoner. Underleverandøren blir regelmessig revidert av uavhengige tredjepartsrevisorer, inkludert penetrasjonstesting og sertifiseringsrevisjoner. Underbehandleren er ansvarlig for vedlikehold, fysisk maskinvare- og nettverkssikkerhet for de personopplysningene de er vert for.

8.3 Alle ResMed-ansatte har signert taushetsavtale, og er også opplært i sikkerhet og personvern på forskjellige måter (e-læring, personvernsspesialisering osv.). Ved å implementere disse opplæringene kan ResMed vise at våre personvern- og sikkerhetsprosesser er godt forstått og fulgt av alle våre ansatte som behandler europeiske personopplysninger.

8.4 Opplysningene dine er beskyttet hva gjelder konfidensialitet og integritet ved å bruke, dele (som betyr at test- og produksjonsmiljøene er atskilte), pseudonymisering, sterk autentisering, krypteringskontroller, sikre data i hvile, i transitt. Tilstrekkelige krypteringsretningslinjer er på plass for å sikre tilstrekkeligheten av de implementerte kontrollene.

8.5 Sikkerhetskopier er implementert for å sikre tilgjengeligheten og integriteten til opplysningene dine. Sikkerhetskopieringsoperasjonene overvåkes, sikres og dokumenteres. I tillegg implementeres og testes en gjenopprettingsplan ved katastrofe og en kontinuitetsplan for virksomhet.

8.6 Automatiske sikkerhetsoppdateringer anvendes jevnlig for å unngå risiko for sårbarhet i infrastrukturen Beskyttelse mot skadeprogram og ondsinnede angrep er på plass gjennom implementering av neste generasjons brannmurløsninger og antiskadeprogram/antivirusløsninger samt sårbarhetsskanning og systemreparasjon. Videre innføres en sikker avhendingsprosess for å sikre sikker sletting av dine opplysninger.

8.7 Tilgang til system- og applikasjonskomponenter er begrenset til autorisert vedlikeholdspersonell basert på prinsippene minste privilegium, behov for å vite og segregering av plikter. myAir bruker logiske kontroller på applikasjons-, database- og systemnivå for å sikre at opplysningene fra en organisasjon aldri kan vises eller endres av en annen organisasjon.

8.8 En revisjonsmekanisme er på plass for å gjennomgå historikk og oppdage ondsinnede aktiviteter ved hjelp av passende verktøy.

8.9 ResMed har en endringsadministreringsprosedyre på plass som har som mål å sikre at en sikkerhetssjekk gjennomføres før vesentlige endringer.

8.10 En responsplan for sikkerhetshendelser er implementert og testet. Dessuten har ResMed implementert et sikkerhetshendelses- og hendelsesadministreringsverktøy som har som mål å rapportere tilgang og varsle om forbudte handlinger skjer, noe som muliggjør rettdige og effektive responshandlinger.

8.11 Til tross for sikkerhetstiltakene vi bruker, bør du ha i tankene at det er umulig å garantere et absolutt sikkerhetsnivå for data som overføres over Internett. Hvis vi har bekreftelse på at det har vært overtredelser i henhold til personopplysningene dine, vil vi overholde alle relevante juridiske bestemmelser i henhold til varsling om overtredelser på datasikkerhet.

9. Overføring av personopplysninger utenfor EU/EØS

9.1 Personopplysningene dine vil til enhver tid være driftet på datasentre i EØS. Men under begrensede omstendigheter kan det være nødvendig å få ekstern tilgang til dine personopplysninger, eller midlertidig overført til, ResMed eller dets tjenesteleverandører i land utenfor EØS (for eksempel for å gi teknisk støtte eller av datasikkerhetsårsaker).

9.2 ResMed eller dets tjenesteleverandører kan dessuten motta ordre fra myndigheter utenfor EØS som krever fremlegging av dine personopplysninger. Disse landene har muligens ikke tilsvarende personvernlovgivning som i EØS.

9.3 Der vi tillater at dine personopplysninger overføres til tjenesteleverandørene eller ResMed-selskaper utenfor EØS, vil vi ha egnede beskyttelsestiltak (som EU-kommisjonens standard kontraktsklausuler basert på artikkel 46 GDPR) og gjennomføre andre nødvendige tiltak for å sikre at opplysningene dine er beskyttet i samsvar med personvernlovgivning. Du har rett til å be om en kopi av eventuelle sikkerhetstiltak som brukes til å overføre personopplysningene dine utenfor EØS (noe du kan gjøre ved å kontakte oss. Kontaktinformasjonen er beskrevet i denne erklæringen).
Der ordre mottas fra utenlandske myndigheter, vil ResMed og dets tjenesteleverandører sikre at slike ordre er gyldige og bindende før det tillates at opplysninger fremlegges.

9.4 Nedenfor finner du et sammendrag av de potensielle overføringene utenfor EØS som kan oppstå som del av behandlingen beskrevet over.

10. Dine personvernrettigheter

10.1 Du har følgende personvernrettigheter:

(a) Du har mulighet til å utøve din rett til innsyn som inkluderer rett til informasjon, for å gjøre deg kjent med hvordan ResMed behandler personopplysningene dine samt retten til å be ResMed om en kopi av personopplysningene vi har lagret om deg, inkludert en kopi av våre gjeldende standardkontraktsklausuler.

(b) Hvis du ønsker å korrigere eller oppdatere dine personopplysninger, kan du gjøre det når som helst ved å kontakte oss på kontaktdetaljene nedenfor.

(c) Du kan be om at vi sletter personopplysningene dine, men når ResMed bare behandler personopplysningene dine for å overholde sine kvalitets- og reguleringsforpliktelser etter gjeldende lover (som er tilfelle for formål 1 med behandlingen), kan ikke ResMed slette personopplysningene dine ved forespørsel.

(d) I tillegg, under visse omstendigheter, som angitt i gjeldende datavernlovgivning, kan du motsette deg behandlingen av dine personopplysninger (kun for formål 2), be oss om å begrense behandlingen av dine personopplysninger eller be om portabilitet av dine personopplysninger. Igjen kan du utøve disse rettighetene ved å kontakte oss ved hjelp av kontaktinformasjonen nedenfor.

(e) Hvis vi samlet inn og behandler personopplysningene dine med ditt samtykke, kan du når som helst trekke tilbake samtykket ditt. Å trekke tilbake samtykket ditt vil ikke påvirke lovligheten av behandlingen vi har utført før du trekker det tilbake, og det vil heller ikke påvirke behandlingen av dine personopplysninger som utføres i henhold til annet lovlig behandlingsgrunnlag enn samtykke.

(f) Hvis du har en klage eller bekymring for hvordan vi behandler personopplysningene dine, vil vi forsøke å løse slike bekymringer. Hvis du føler at vi ikke har adressert din klage eller bekymring i tilstrekkelig grad, har du rett til å klage til en datavernmyndighet om vår innsamling og bruk av dine personlige data. Ta kontakt med datatilsynet for mer informasjon. (Kontaktinformasjon for datavernmyndigheter i Det europeiske økonomiske samarbeidsområdet, Sveits og visse ikke-europeiske land (inkludert USA og Canada) er tilgjengelig her.

10.2 Du kan utøve de ovennevnte rettighetene når som helst ved å kontakte oss som beskrevet i delen Kontakt oss under. Vi besvarer forespørselen i samsvar med gjeldende lover om personvern.

10.3 Vi svarer på alle forespørsler vi mottar fra enkeltpersoner som ønsker å utøve sine datavernrettigheter, i samsvar med gjeldende lover om personvern.

11. Oppdateringer av denne erklæringen.

11. 1 Vi kan oppdatere denne personvernerklæringen fra tid til annen som svar på juridisk, teknisk eller forretningsmessig utvikling. Når vi oppdaterer personvernerklæringen vår, setter vi inn passende tiltak for å informere deg i samsvar med betydningen av endringene vi gjør.

11.2 Du kan se når denne personvernerklæringen sist ble oppdatert ved å se datoen for siste oppdatering. Den vises øverst i denne personvernerklæringen.

12. Kontaktinformasjon

12.1 Hvis du har spørsmål, bekymringer eller klager om erklæringen eller måten vi behandler dine personopplysninger, eller om du vil utøve rettighetene dine som beskrevet over, kontakt personvernkontoret vårt som følger: På e-post på: privacy@resmed.eu. Via brevpost: ResMed SAS, 292 Allée Jacques Monod, 69791 Saint-Priest, France.

Du kan også kontakte vår sikkerhetsansvarlige som følger : På e-post til: privacy@resmed.eu. Via brevpost: Data Protection officer, ResMed SAS, 292 Allée Jacques Monod, 69791 Saint-Priest, Frankrike.

RH-1111010/3 2022-03