Personvernerklæring

Diagnostica One QC · versjon 0.1 · sist oppdatert april 2026
Utkast

Denne personvernerklæringen beskriver hvordan Diagnostica AS behandler personopplysninger i tjenesten Diagnostica One QC — et system for retrospektiv kvalitetssikring av EKG-undersøkelser.

1. Behandlingsansvarlig og kontakt

  • Behandlingsansvarlig for anonymiserte data: Den enkelte klinikk som har inngått databehandleravtale med Diagnostica AS.
  • Behandlingsansvarlig for påtolket datasett: Diagnostica AS (gjelder kun EKG-er som har fått manuell eksperttolkning, se DBA §8a).
  • Databehandler: Diagnostica AS, org.nr. 994 265 954.
  • Kontakt for personvernspørsmål: support@spirare.com. Diagnostica AS har ikke utnevnt eget personvernombud (DPO) — personverrelaterte henvendelser håndteres via samme kanal som øvrig kundestøtte.

2. Hvilke personopplysninger behandles

Om pasienter (anonymiserte før de når Diagnostica):

  • Anonymisert pasient-pseudonym (P-XXXXXXXXXXXX) — ikke reversibelt uten klinikkens nøkkel.
  • Aldersbånd (10 år), kjønn.
  • År for EKG-opptak, med randomisert klokkeslett.
  • EKG-signal og Glasgow-tolkning.
  • Direkteidentifiserende felt — navn, fødselsnummer, eksakt dato — behandles aldri av Diagnostica.

Om brukere (klinikere, reviewere, administratorer):

  • HelseID-bekreftet personnummer (PID).
  • Navn og HPR-nummer (der oppgitt).
  • Rolle og tenant-tilhørighet.
  • Innloggingslogg (tidspunkt, rolle, tenant, HPR i hashet form) for sikkerhetsrevisjon.
  • Audit-logg av administrative handlinger (oppretting/fjerning av systembrukere, manuell backup, ECG-visning) — med hashet PID.

3. Formål med behandlingen

  • Kvalitetssikring av EKG-opptak på populasjonsnivå i klinikken.
  • Sammenligning av AI-tolkninger mot Glasgow-algoritmen.
  • Analyse av signalkvalitet som tilbakemelding til klinikken.
  • Valgfri manuell ekspertgjennomgang av avvikende EKG-er.
  • Opplæring og forbedring av AI-modeller (kun der klinikken har samtykket eksplisitt).
  • Deling av analyseresultater med Diagnostica AS og AI-partnere (kun der klinikken har samtykket eksplisitt — se databehandleravtalen §8b).

Resultatene fra Diagnostica One QC brukes ikke i pasientbehandling eller diagnostisering — tjenesten er ikke medisinsk utstyr. Se regulatorisk vurdering.

4. Rettslig grunnlag

  • Pasientjournalloven §6: Behandling av helseopplysninger for internkontroll og kvalitetssikring av helsehjelp.
  • GDPR art. 9 nr. 2 bokstav h/i: Forebyggende helsetjeneste og folkehelse, med hjemmel i nasjonal lov.
  • GDPR art. 6 nr. 1 bokstav a (samtykke): For de formålene som ikke dekkes av §6 — AI-opplæring, deling med AI-partnere.

5. Anonymisering

Data gjennomgår følgende transformasjoner før det forlater klinikkens miljø:

  • Navn og fødselsnummer fjernes.
  • Pasient-ID erstattes med pseudonym (HMAC-SHA256 med per-klinikk-nøkkel, ikke reversibel uten klinikkens nøkkel).
  • Fødselsdato reduseres til 10-års aldersbånd.
  • Opptaksdato settes til 1. januar det året, med randomisert klokkeslett.
  • Serienummer på apparat beholdes for teknisk sporing.
  • Nestede FHIR-felter som kan inneholde identifikatorer (note, narrative, identifier, encounter, m.fl.) strippes rekursivt.

6. Lagring og sletting

  • Data lagres i isolert bucket per klinikk hos ElastX AB (Stockholm, EU/EØS) eller godkjent underleverandør.
  • Kryptert i ro og kryptert i transitt (TLS 1.3).
  • Ved tilbaketrekking av samtykke slettes ikke-kardiologvurderte data innen 30 dager, med skriftlig slettebekreftelse.
  • Kardiologvurderte data beholdes av Diagnostica AS i henhold til databehandleravtalen §8a (fullt anonyme; ikke-personopplysninger etter GDPR).
  • Logger i den globale auditstien (qc-global/logs/) beholdes i inntil 5 år for sikkerhetsrevisjon.

7. Underleverandører (sub-processors)

Diagnostica AS benytter følgende underleverandører. Klinikken varsles minst 30 dager før nye tas i bruk.

  • ElastX AB (Stockholm, Sverige) — skydrift og datalagring. Omfatter alle kategorier inkludert pseudonymiserte data.
  • Godkjente AI-partnere under egen databehandleravtale — kun analyseresultater (ikke rå EKG) og kun der klinikken har samtykket. Ingen slike partnere er foreløpig i bruk.

8. Dine rettigheter

Som registrert (pasient eller bruker) har du følgende rettigheter etter personvernforordningen:

  • Innsyn i hvilke personopplysninger som er lagret om deg (art. 15).
  • Retting av uriktige opplysninger (art. 16).
  • Sletting (art. 17) — begrenset for fullt anonymiserte data, som ikke lenger er personopplysninger i GDPR-forstand.
  • Begrensning av behandling (art. 18).
  • Dataportabilitet (art. 20) der det er teknisk mulig.
  • Å trekke samtykket tilbake (art. 7).
  • Klage til Datatilsynet dersom du mener behandlingen strider mot personvernreglene (datatilsynet.no).

Forespørsler sendes til support@spirare.com. Vi besvarer innen 30 dager.

9. Sikkerhet

  • Pålogging via HelseID (sikkerhetsnivå 4) — sterk autentisering med helsepersonellsertifikat.
  • Rollebasert tilgangskontroll; minst privilegium; signerte session-cookies.
  • Rate-limiting på auth- og FHIR-endepunkter; CSP, HSTS og øvrige sikkerhetsheadere.
  • Årlig penetrasjonstest og kontinuerlig sårbarhetsskanning.
  • Se ROS-analyse og DPIA for detaljer.

10. Informasjonskapsler (cookies)

Tjenesten bruker kun strengt nødvendige cookies:

  • qc_session — kryptert sesjons-cookie (AES-256-GCM, 8 timers levetid, HttpOnly, Secure, SameSite=Lax).
  • qc_pkce, qc_pending_login — kortvarige tokens under HelseID-innlogging (10 min).

Ingen sporings- eller analysecookies brukes.

11. Endringer

Vesentlige endringer i personvernerklæringen varsles klinikkens kontaktperson via e-post og publiseres på denne siden. Versjonshistorikk vedlikeholdes i kildekoden.

Spørsmål kan rettes til support@spirare.com.