Personvern og sikkerhet

V01-2018

 

1. Behandlingsansvarliges identitet, personvernombud og kontakter

Dette nettstedet drives av Roche Diagnostics Norge AS, Diabetes Care, PB 6610 Etterstad, 0607 Oslo, Norge (heretter kalt “Roche” eller “vi”). Hvis du skulle ha spørsmål eller forslag, kan du kontakte oss via no.accuchek@roche.com, eller telefon 815 00 510.

Alternativt kan du kontakte vårt personvernombud på norway.personvernombud@roche.com.  

2. Vår bruk av dine personopplysninger

Det er svært viktig for oss å beskytte dine personopplysninger, og vi forstår at informasjon om helsen din er sensitivt. Vi ønsker å behandle dine personopplysninger i samsvar med gjeldende lover.

Denne personvernerklæringen beskriver hvordan vi bruker personopplysninger vi samler inn om deg når du

a) Søker på offentlige sider på nettstedene våre
b) Registrerer deg og bruker en konto
c) Bruker våre e-handelstilbud
d) Deltar i undersøkelser
e) Kommuniserer med oss per telefon, e-post eller webskjemaer
f) Samtykker til å motta informasjon om produkter, løsninger eller tjenester du bruker eller kommunikasjon som inneholder tilbud, kampanjer og markedsføring

a) Bruk av offentlige sider på nettstedene våre

Hvis du bruker offentlig tilgjengelige sider på nettsidene våre, det vil si innhold du får tilgang til uten å være logget på en konto du måtte ha hos oss, er det kun ikke-sensitiv informasjon om deg vi samler inn og behandler. Vi vil aldri samle inn helserelaterte opplysninger om deg når du bruker offentlig tilgjengelige sider på nettsidene våre. Vi vil imidlertid behandle dine personopplysninger i den grad det er nødvendig for å kunne levere det offentlige innholdet du ber om fra oss, for eksempel for å kunne formatere det for din nettleser. Vi vil også behandle dine personopplysninger for å sikre våre berettigede interesser i å verne om sikkerheten i våre nettstedsystemer, samt måle hvem som er publikum for de forskjellige innholdstypene som leveres. Dette gjør vi ved hjelp av:

IP-adresser. En IP-adresse er et nummer som er tilordnet til datamaskinen din for å gjøre kommunikasjon mulig, tilsvarende et telefonnummer. Roche samler inn IP-adresser for det berettigede formålet å styrke systemsikkerheten og rapportere aggregert informasjon for nettsideanalyse og resultatrapportering. Systemloggfiler vil bli analysert i løpet av 7 dager, og deretter slettes data som ikke er mistenkelige. Andre data bevares så lenge det er nødvendig for å bevise en sikkerhetshendelse.

Informasjonskapsler (cookies). En informasjonskapsel er en liten tekstfil som webserveren vår plasserer på systemet ditt. Som regel brukes informasjonskapslene våre kun så lenge du besøker det aktuelle nettstedet, for det formål å måle nettstedets målgruppe. Vi bruker også informasjonskapsler til å styrke brukervennligheten, f.eks. for å lagre språkpreferanser. Du kan når som helst se gjennom og slette eller deaktivere informasjonskapsler via innstillingene i nettleseren din, men da mister du innstillinger du har angitt for nettstedet.

Web beacons. Web beacons (eller “action tags”) er små grafiske elementer som bidrar til å analysere nettstedenes effekt ved for eksempel å måle antall besøkende eller hvor mange besøkende som klikket på innholdselementer på et nettsted. Statistikken som sendes via web beacons, blir kun analysert i anonymt og aggregert format.

Google Analytics. Google Analytics er en webanalysetjeneste som leveres av Google, Inc. (“Google”). Google Analytics bruker informasjonskapsler til å analysere hvordan brukere bruker det offentlige innholdet på nettstedet vårt. Informasjonen som informasjonskapselen genererer om din bruk av nettstedet (inkludert IP-adressen din) vil bli overført til og lagret av Google på servere i USA. Google Analytics-informasjonskapsler kan eksistere i opptil to år hvis du ikke sletter dem tidligere.

Google er sertifisert under US-EU Privacy Shield, og vi har inngått en avtale om databehandling med Google for å sikre at de drifter Google Analytics på vegne av oss. Vi bruker også IP-anonymiseringsfunksjonen til Google Analytics. Hvis du besøker nettstedet fra stater som er en del av det europeiske økonomiske samarbeidsområdet, vil IP-adressen din forkortes før den forlater det europeiske økonomiske samarbeidsområdet. Kun i helt spesielle tilfeller (f.eks. ved feil i EU-baserte systemer) vil hele IP-adressen bli overført til en Google-server i USA, og forkortet der.

Google vil bruke denne informasjonen på vegne av oss, for det berettigede, interessebaserte formål å evaluere din bruk av nettstedet, lage rapporter om aktiviteten på nettstedet for nettstedsoperatører samt levere andre tjenester knyttet til nettstedsaktivitet og Internett-bruk. Google kan også overføre denne informasjonen til tredjeparter når det er påkrevd ved lov eller når disse tredjepartene behandler informasjonen på vegne av Google. Google vil ikke knytte din IP-adresse til noen annen data Google innehar.

Du kan velge å la være å delta i Google Analytics for fremtiden ved å laste ned og installere nettlesertillegget for deaktivering av Google Analytics for din gjeldende nettleser, på https://tools.google.com/dlpage/gaoptout?hl=en (fungerer ikke for alle mobilenheter/nettlesere). Alternativt kan du deaktivere Google Analytics på mobilenheter og andre enheter ved å klikke følgende kobling: Klikk her for å deaktivere Google Analytics.

Merknad: Google Analytics er bare aktiv på de offentlige sidene på nettstedet vårt, dvs. ikke på sidene du bare ser når du har logget inn på kontoen din.

Sosiale plugin-moduler, Shariff. Vi bruker sosiale Plugin-moduler (“Plugins”) som leveres av de sosiale nettverkene Facebook og Google+, Pinterest, samt mikrobloggplattformen Twitter. De respektive tjenestene opereres av Facebook Inc., Google Inc. og Twitter Inc. (hver en “Operatør”).

- Facebooks (facebook.com) operatør er Facebook Inc., 1601 S. California Avenue, Palo Alto, CA 94304, USA. Deres plugin-modul identifiseres med en Facebook-logo (hvit f-bokstav på blå bakgrunn eller et tommel opp-ikon) eller merknaden “Facebook Social Plugin”. Hvis du vil se hele listen med plugin-moduler, kan du se https://developers.facebook.com/docs/plugins/.. Facebooks retningslinjer for personvern er tilgjengelig på https://www.facebook.com/policy.php.
- Operatøren for Google+ (plus.google.com) er Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Deres plugin-moduler er merket med Google-logoen, Googles +1-logo eller med tillegget “Google Social Plugin” som vist på http://plus.google.com. Googles relevante retningslinjer for personvern kan lastes inn på https://developers.google.com/+/web/buttons-policy.
- Twitters (twitter.com) operatør er Twitter Inc., 1355 Market St, Suite 900, San Francisco, CA 94103, USA. Deres plugin-moduler er identifisert av Twitter-logoene, og du finner en oversikt på https://dev.twitter.com/web/tweet-button. Twitters retningslinjer for personvern er tilgjengelig på https://twitter.com/privacy.
- Pinterest (pinterest.com) operatør er Cold Brew Labs, Inc, 564 Market Street, Suite 700, San Francisco, CA 94104, USA. Deres plugin-modul identifiseres med en Pinterest-logo (rød, med hvit P). Pinterest retningslinjer for personvern er tilgjengelig på https://policy.pinterest.com/en/terms-of-service.  

Vi har implementert “Shariff”-løsningen for å verne om personopplysningene dine når du besøker nettstedet vårt. Shariff sikrer at ingen av dataene overføres til operatøren når du laster inn en side fra nettstedet vårt. Kun etter at du har aktivert ønsket plugin-modul og dermed samtykket i dataoverføring, vil nettleseren din kobles direkte til operatørens servere. Shariff erstatter operatørens vanlige “Del”-knapper, og beskytter søkeatferden din mot sporing fra operatøren. Hvis du ønsker mer informasjon, kan du se popup-meldingen med informasjon ved siden av aktiveringsbryterne, eller gå til Shariff-utvikleren (https://github.com/heiseonline/shariff).

Når du aktiverer en plugin-modul, kan vi ikke påvirke hvilke data som samles inn av den. Hvis du ønsker informasjon om de respektive operatørenes formål med og omfang av datainnsamling og -behandling, samt dine rettigheter på området og innstillinger du kan bruke til å verne dine personlige data, kan du se operatørens personvernpolicyer i koblingene over.

Tjenester. Enkelte Roche-nettsteder kan bruke tredjepartsprogrammer og innholdsverktøy for å gi deg ekstra informasjon, f.eks. Google Maps. Når du samhandler med disse programmene og tjenestene kan disse tredjepartene få personlig informasjon om deg, inkludert IP-adressen din. Vi vil angi på en tydelig måte hvor vi bruker slike tredjepartstjenester slik at du selv kan bestemme om du vil bruke dem eller ikke.

b) Registrere og bruke en konto

Hvis du vil bruke innhold som ikke er offentlig på nettsidene våre, må du først registrere en konto og deretter logge inn på kontoen din. Vi bruker kontoer hver gang vi behandler sensitive data, spesielt i forbindelse med dine helserelaterte personopplysninger. Vi bruker også kontoer hver gang vi behandler dine personopplysninger med ditt samtykke. Dette fordi kontoer gjør det lettere å beskytte personopplysninger i tilgangskontrollerte systemer, i tillegg til at du angir din identitet slik at vi kan innhente og administrere samtykker fra deg.

Når du registrerer deg for å opprette en konto, vil vi samle inn dine personlige kontaktopplysninger (for eksempel navn, adresse, telefonnummer, e-postadresse og annen identifiserende informasjon som du vil se på registreringsskjemaet. Vi vil også behandle helseopplysninger du gir oss. Det er frivillig å oppgi informasjonen, med mindre noe annet er markert som obligatorisk på registreringsskjemaet.

Innenfor kontoen din vil Roche behandle dine personopplysninger som følger:

Med ditt samtykke. Når vi behandler dine helseopplysninger, vil vi innhente uttrykkelig samtykke fra deg før vi starter de respektive behandlingsaktivitetene. Av hensyn til lovpålagte krav og for å innhente gyldig samtykke fra deg, må vi kontrollere navnet og identiteten din når kontoen opprettes. Deretter vil du kunne administrere, endre eller trekke tilbake samtykker du har gitt, i kontoinnstillingene dine. Du kan også trekke tilbake samtykket ved å kontakte oss på adressen over. Du kan når som helst trekke tilbake ditt samtykke. Dette vil imidlertid ikke påvirke lovligheten av behandlingen som ble utført før samtykket ble trukket tilbake. Vi vil skille mellom påkrevde samtykker vi trenger for å kunne levere en tjeneste til deg, og andre samtykker som ikke er påkrevd for å levere tjenester. Hvis du trekker tilbake et samtykke som en tjeneste avhenger av, kan det hende vi ikke kan fortsette å levere tjenesten til deg. Vi vil i så fall informere deg om det.

Som påkrevd for å fastsette, gjøre gjeldende eller forsvare et rettskrav. Vi kan behandle dine personopplysninger når det er nødvendig for å forberede eller beskytte oss mot rettskrav, inkludert rettstvister.

For våre berettigede interesser. Vi behandler også dine personopplysninger for å gjennomføre tiltak mot svindelforsøk samt tekniske og organisatoriske tiltak for å beskytte nettverkene og teknologien vår mot angrep. Dette gjør vi fordi det er nødvendig av hensyn til våre berettigede interesser.

Underlagt ansvaret til en profesjonell leverandør av helsetjenester. Vi kan behandle dine personopplysninger i den grad det er nødvendig i forbindelse med forebyggende medisin, for medisinsk diagnostisering, levering av helsetjenester eller behandling eller for administrasjon av helseomsorgssystemer og -tjenester, i henhold til kontrakt med en helsearbeider som er underlagt taushetsplikt (for eksempel de som behandler deg på et sykehus).

For forskning. Vi kan behandle dine personopplysninger for vitenskapelige forskningsformål eller statistiske formål i samsvar med gjeldende lov, når det ønskede formålet rettferdiggjør slik bruk, respekterer kravet om personvern og inkluderer passende og spesifikke tiltak for å sikre dine grunnleggende rettigheter og interesser. Som hovedregel vil vi fremdeles spørre om samtykke når vi ønsker at du for eksempel skal delta i en studie.

c) Bruke våre e-handelstilbud

Når du benytter deg av våre e-handelstilbud, for eksempel for å kjøpe medisinske forbruksartikler, tjenester eller apparater, må du først registrere deg og logge inn på kontoen din. I tillegg til informasjonen som er gitt ovenfor om registrering og bruk av kontoer, vil vi foreta følgende behandling av dine personopplysninger for at vi kan inngå, overholde og fakturere e-handelskontrakter med deg – og vi trenger ditt eksplisitte samtykke før vi kan akseptere din bestilling:

Behandling av betalinger. Vi samarbeider med eksterne betalingsleverandører som er etablert innenfor ditt område og lisensiert til å levere betalingstjenester. De mottar dine personopplysninger og kan, basert på produktdetaljer i transaksjonen, forstå/se din helsestatus, men er underlagt bankers taushetsplikt og kan ikke bruke personopplysningene til annet enn det som er nødvendig for å behandle betalingen din. Våre databehandlere som utfører kredittkortbetalinger er også sertifisert for PCI DSS-overholdelse, og må lagre kredittkortopplysningene dine i kryptert format. De respektive betalingsleverandørene vises når du går til kassen og skal velge foretrukket betalingsalternativ. Dermed kan du endre foretrukken betalingsmetode dersom du ikke ønsker at vi skal oppgi dine transaksjonsdata til en bestemt betalingsleverandør. Dersom du benytter våre e-handelstilbud i et land som ikke tilbyr andre betalingsmetoder, kan vi dessverre ikke behandle bestillingen din. Avslutt utsjekkingen og ta kontakt med oss hvis du trenger hjelp med å bestemme deg.

Logistikk. Vi benytter oss av velkjente internasjonale logistikkleverandører som er etablert i ditt område, til å behandle bestillingene dine. Logistikkleverandørene vil ikke få detaljer om bestillingen din (dvs. innholdet i leveransen), men kan kanskje avlese helsestatusen din indirekte hvis du skulle returnere et defekt produkt. Roche har inngått databehandleravtaler med logistikkleverandørene for å sikre at de ikke bruker dine personopplysninger ut over det som er nødvendig for å kunne utføre logistikktjenesten, og at de gjennomfører passende tekniske og organisatoriske tiltak for å beskytte dine personopplysninger.

d) Deltakelse i undersøkelser

Hvis du samtykker i å delta i en av våre undersøkelser, vil vi behandle dine innsendte data for forsknings- og markedsføringsformål. Med mindre noe annet er angitt i de respektive undersøkelsene, kan du delta anonymt slik at ingen kan knytte dataene til deg personlig, men kun vurdere dem i aggregert format sammen med data fra andre deltakere.

Undersøkelser som avhenger av dine personopplysninger, vil bli merket som det. Du kan alltid velge selv om du vil delta eller ikke; hvis du sier nei til å delta, vil det ikke påvirke omfanget av tjenestene du får med mindre noe annet angis i invitasjonen til undersøkelsen.

e) Kommunisere med oss per telefon, e-post eller webskjemaer

Dersom du kommuniserer med oss per telefon, e-post, webskjemaer eller tilsvarende, vil vi behandle det du gir oss av kontaktopplysninger og personlig informasjon, selv om du ikke har en konto hos Roche. Vi vil kun behandle slik informasjon i den grad det er nødvendig for å svare på forespørsler, og vil slette opplysningene når de ikke lenger trengs (vanligvis etter tre år), med mindre du har samtykket til at vi kan bruke dine data til andre formål. Slike formål vil spesifiseres på det tidspunktet du avgir ditt samtykke.

f) Informasjon om produkter, løsninger eller tjenester du bruker eller kommunikasjon som inneholder tilbud, kampanjer og markedsføring

Dersom du har samtykket til det via våre nettsider, vil vi behandle dine personopplysninger for å kontakte deg med informasjon om produkter, løsninger og tjenester du bruker. Dette gjør vi for å sørge for at viktige produktmeldinger- og informasjon når frem til deg direkte. Det er frivillig å gi ditt samtykke og samtykket kan når som helst trekkes tilbake. For å tilby deg dette må du registrere følgende personopplysninger: navn, adresse, e-post, telefon og produkt/løsning/tjeneste du bruker.

Dersom du har samtykket til det via våre nettsider vil vi også behandle dine personopplysninger for å kommunisere med deg vedrørende tilbud, kampanjer og markedsføring av produkter/tjenester/løsninger som Roche fører. Det er frivillig å gi ditt samtykke og samtykket kan når som helst trekkes tilbake. For å tilby deg dette må du registrere følgende personopplysninger: navn og e-post. Roche tilbyr produkter/tjenester/løsninger som er målrettet mot spesifikke segmenter, som for eksempel er aldersbestemt, knyttet til behandlingsmåte eller type sykdom. Dersom du ønsker å motta kommunikasjon fra Roche som er målrettet, kan du frivillig gi oss denne type informasjon.

3. Sikkerhet
Roche treffer nødvendige tekniske og organisatoriske tiltak for å beskytte dine personopplysninger mot utilsiktet eller ulovlig ødeleggelse, tap eller endring, samt uautorisert utlevering av eller tilgang til, personopplysninger som overføres, lagres eller på annen måte behandles.

4. Hvem får dine opplysninger
Roche deler dine personopplysninger med ditt samtykke og ellers dersom det er nødvendig for å oppnå formålene angitt ovenfor, eller påkrevd i henhold til gjeldende lover, rettskjennelser eller offentlige reguleringer. Roche bruker gruppens interne og eksterne leverandører og agenter, f.eks. for drift og vedlikehold av IT-systemer samt for å gjennomføre forretningstransaksjoner som levering av kundeservice eller sending av kommunikasjon. I alle disse tilfellene er tilgang til ukrypterte data begrenset til de som har behov for tilgang (need to know). Roche har også inngått databehandleravtaler for å sikre at leverandørers og agenters behandling av personopplysninger, kun skjer på vegne av Roche og er underlagt passende tekniske og organisatoriske tiltak.

Med mindre du har avgitt et uttrykkelig samtykke, vil Roche ikke selge eller på annen måte overføre dine personopplysninger til noen tredjepart for deres eget bruk.

5. Overføringer til andre land
Vi kan overføre de personopplysningene vi samler inn om deg via nettstedet til land som kanskje ikke har samme personvernlovgivning som det landet der du først oppgav informasjonen til. Dersom vi overfører dine personopplysninger til andre land, vil vi beskytte personopplysningene som angitt i denne personvernerklæringen. Spesielt vil vi basere slike dataoverføringer på relevante garantier som for eksempel standardkontrakter som er godkjent av EU-kommisjonen eller US-EU Privacy Shield. Du kan få en kopi av standardkontraktene ved å kontakte oss som angitt over (se del 1 over).

6. Dine rettigheter og hvordan du gjør krav på dem
Du kan i henhold til gjeldende personvernlovgivning:

- be om informasjon om hvilke personopplysninger vi behandler om deg, få en kopi av disse personopplysningene og få rettet eller komplettert uriktige data;
- få slettet eller begrenset behandlingen av dine personopplysninger såfremt vilkårene i loven er oppfylt;
- motta de personopplysningene du har oppgitt til oss i henhold til kontrakt eller samtykke, i et strukturert, ofte brukt og maskinlesbart format, så fremt lovens vilkår er oppfylt;
- protestere, basert på årsaker knyttet til din spesielle situasjon og i samsvar med gjeldende lov, på all vår behandling av dine personopplysninger som er basert på våre berettigede interesser; og
- når som helst trekke tilbake ditt samtykke uten at det påvirker lovligheten ved behandlingen som ble utført før samtykket ble trukket tilbake.

Du har rett til å ikke utsettes for noen automatiserte, individuelle beslutningsprosesser. Vi vil ikke utføre noen slike prosesser uten ditt samtykke.

Dersom du har en konto, kan du utøve dine rettigheter ved å besøke din konto og justere dine personverninnstillinger, administrere dine samtykker samt laste ned og laste opp korrigerte data.

Hvis du ikke har noen konto, eller har problemer eller andre forespørsler, ber vi deg kontakte oss eller vårt personvernombud ved å benytte kontaktopplysningene angitt ovenfor (se avsnitt 1 over).

Hvis du ikke er fornøyd med måten Roche behandler personopplysningene dine på eller responderer på forespørsler, kan du også klage til en kompetent personvernmyndighet i landet du bor i. I Norge er dette Datatilsynet (www.datatilsynet.no).

7. Barns personvern
Våre nettsteder er rettet mot en voksen målgruppe. Vi vil ikke med hensikt samle inn personlig identifiserbar informasjon fra noen vi vet er et barn, uten på forhånd å ha innhentet verifiserbart samtykke fra barnets verge.

8. Oppdateringer i retningslinjer for personvern
Vi går jevnlig gjennom denne personvernerklæringen, og vil legge ut alle oppdateringer på dette nettstedet. Denne personvernerklæringen ble sist oppdatert 1. Juni 2018. Når vi endrer en behandling som er samtykkebasert, vil vi be deg om et nytt samtykke.

9. Tredjepartsressurser
Denne personvernerklæringen gjelder ikke for tredjepartsområder som vårt nettsted måtte koble til, der vi ikke kan kontrollere innholdet eller personvernpraksisen til slike tredjeparter. Vi vil informere deg om det når du følger en kobling til et slikt tredjepartsområde.