OneSettle AS tilbyr betalingsløsninger tilpasset helsesektoren som sikrer effektivitet, brukervennlighet og sikkerhet. Gjennom våre løsninger, både i nettbaserte og fysiske miljøer, håndterer vi betalinger på vegne av legekontorer, klinikker og andre relevante helseaktører.
Vi tar ditt personvern på største alvor. Denne erklæringen forklarer hvordan vi samler inn, behandler, beskytter og deler personopplysninger, og hva dette betyr for deg som bruker av våre tjenester. Vår behandling av personopplysninger skjer alltid i samsvar med:
Bruk av våre tjenester kan forutsette innhenting av ditt eksplisitte og utvetydige samtykke til behandling av dine personopplysninger, som definert og beskrevet i denne personvernserklæringen. Slike samtykker skal være basert på en frivillig, spesifikk, informert og utvetydig viljeserklæring i samsvar med artikkel 6 nr. 1 bokstav a) i Europaparlamentets og Rådets forordning (EU) 2016/679 (GDPR). Før samtykke gis, vil vi sikre at du mottar all nødvendig informasjon i henhold til artikkel 12-14 i nevnte forordning, inkludert, men ikke begrenset til, informasjon om behandlingsformål, behandlingsgrunnlag, mottakerkategorier og eventuelle overføringer til tredjeland, for å sikre et reelt og informert grunnlag for beslutningen.
Det understrekes at samtykke til behandling av personopplysninger kan trekkes tilbake når som helst uten at dette påvirker lovligheten av behandling basert på samtykke før tilbaketrekkingen, jf. GDPR artikkel 7 nr. 3.
OneSettle AS, med organisasjonsnummer 916 910 436, er behandlingsansvarlig for personopplysninger som behandles i forbindelse med våre tjenester.
Som behandlingsansvarlig har vi ansvar for dataene vi samler inn direkte fra brukerne våre. Dette inkluderer å:
I noen tilfeller fungerer vi som databehandler. Dette skjer når vi behandler personopplysninger på vegne av helseaktører, som legekontorer eller klinikker, gjennom avtaler. Disse databehandleravtalene kan være inngått enten direkte med helseaktørene eller via vår partnere EG Healthcare og HelsePlattformen, som leverer elektroniske pasientjournalsystemer (EPJ).
Eksempel på databehandlerrolle: Når vi håndterer betalinger knyttet til pasienter som bruker våre løsninger, behandler vi data i henhold til instruksjoner fra helseaktørene.
Dersom vi opptrer som behandlingsansvarlig i henhold til gjeldende personvernlovgivning, eksempelvis i tilknytning til behandling av personopplysninger i vår brukerportal, kan du rette alle henvendelser direkte til oss. I tilfeller der vi fungerer som databehandler på vegne av en behandlingsansvarlig, eksempelvis ved behandling av opplysninger for en tredjepart som legekontor eller tilsvarende, må alle forespørsler, herunder spørsmål om rettigheter eller behandlingens rettsgrunnlag, rettes direkte til den aktuelle behandlingsansvarlige, som har det overordnede ansvaret for behandlingen.
Vi behandler ulike typer personopplysninger basert på tjenestene du bruker:
Vi behandler personopplysninger kun for klart definerte formål, i tråd med GDPRs krav om formålsbegrensning. Hovedformålet med vår behandling er å administrere og gjennomføre betalinger. Dette inkluderer:
For å sikre en god brukeropplevelse og effektiv drift av våre tjenester, behandler vi data for å:
Datasikkerhet er grunnleggende i alle våre tjenester. Vi analyserer transaksjonsmønstre og tekniske data for å identifisere mulige sikkerhetstrusler, som svindelforsøk eller uautorisert tilgang.
Vi behandler dine opplysninger for å overholde relevante lover og forskrifter. For eksempel:
Vi bruker anonymiserte eller pseudonymiserte data for å forbedre plattformen, optimalisere brukeropplevelsen og utvikle nye funksjoner som kan gi deg en enda bedre tjeneste.
Vi baserer behandlingen av dine opplysninger på følgende juridiske grunnlag, i tråd med GDPR:
Behandling er nødvendig for å oppfylle avtalen mellom deg og oss. For eksempel:
Vi er pålagt å behandle visse opplysninger for å oppfylle juridiske krav, som bokføringsregler og rapportering til myndigheter.
I enkelte tilfeller behandler vi data basert på vår berettigede interesse. Dette inkluderer:
For behandling som krever ditt samtykke, som til markedsføringsformål, vil vi alltid be om dette eksplisitt.
Vi deler dine data kun med tredjeparter dersom det er nødvendige for å kunne levere tjenesten. Dette vil kun være deling med våre samarbeidspartnere eller med myndigheter dersom OneSettle blir pålagt dette.
Vi kan i forbindelse med behandling av personopplysninger overføre data til land utenfor EU/EØS. I enkelte av disse landene kan personvernlovgivningen være mindre omfattende enn den som gjelder i Norge og øvrige EU/EØS-land. EU-kommisjonen har imidlertid vurdert og godkjent enkelte land som har et personvernnivå som tilsvarer det som kreves innen EU/EØS.
Ved overføring av personopplysninger til land som ikke er vurdert til å ha et tilsvarende beskyttelsesnivå, sørger vi for at overføringen skjer i samsvar med standardkontrakter godkjent av EU-kommisjonen eller andre tilsvarende juridiske mekanismer, som er utformet for å sikre et tilstrekkelig beskyttelsesnivå.
For mer informasjon om overføring av personopplysninger til land utenfor EU/EØS, kan du besøke EU-kommisjonens nettside. Du kan også når som helst kontakte oss for å få mer informasjon om, eller en kopi av, de relevante sikkerhetstiltakene vi benytter for slike overføringer. Kontaktinformasjon finner du nedenfor.
Kun OneSettle sine ansatte og eventuelle samarbeidspartnere som har spesifikke roller og ansvar, får tilgang til dataene dine. Tilgangen overvåkes kontinuerlig.
OneSettle AS, som et e-pengeforetak under tilsyn av Finanstilsynet, følger strenge regler for oppbevaring, sletting og anonymisering av personopplysninger. Vår behandling av opplysninger skjer i samsvar med EUs General Data Protection Regulation (GDPR), norsk personopplysningslov, bokføringsloven, hvitvaskingsloven og relevante forskrifter knyttet til finansielle tjenester og betalingsformidling.
OneSettle overholder også forskrifter om betalingstjenester (PSD2) om oppbevaring og behandling av personopplysninger, og alle prosesser for datalagring og sletting er underlagt regelmessig internrevisjon.
Når oppbevaringsperioden utløper, anonymiseres eller slettes personopplysningene. Anonymiseringen sikrer at opplysningene ikke kan spores tilbake til enkeltindivider, i tråd med GDPR art. 17 ("retten til å bli glemt"). Sletting gjennomføres med teknologiske løsninger som overholder Finanstilsynets standarder for datasikkerhet.
Data som kreves for å forhindre hvitvasking og terrorfinansiering, lagres i samsvar med hvitvaskingsloven (§ 22) i minst 5 år etter at kundeforholdet er avsluttet. Opplysningene kan beholdes lenger dersom dette er nødvendig for å etterkomme krav fra relevante myndigheter.
Tekniske logger, inkludert IP-adresser, systemautentiseringer og sikkerhetshendelser, lagres i opptil 24 måneder for å støtte etterlevelse av Finanstilsynets krav til sikkerhetslogging og revisjon.
Som registrert har du flere rettigheter i henhold til personvernforordningen (GDPR). Dersom du ønsker å benytte deg av disse rettighetene, ber vi deg om å kontakte oss. Du har rett til å trekke tilbake ethvert samtykke du har gitt oss, når som helst og uten begrunnelse. Dette kan gjøres ved å sende oss en e-post (se e-postadresse nedenfor).
Tilbaketrekning av samtykke vil ikke ha negative konsekvenser for deg, men det kan føre til at vi ikke lenger kan oppfylle spesifikke forespørsler eller tjenester du har bedt om. Det er viktig å merke seg at tilbaketrekning av samtykke ikke påvirker lovligheten av behandlingen som ble utført før samtykket ble trukket tilbake, og det vil heller ikke påvirke behandling som baserer seg på andre rettslige grunnlag.
I tillegg kan du når som helst, og uten begrunnelse, fremme innsigelser mot vår behandling av personopplysninger dersom denne behandlingen er basert på vår rettmessige interesse.
Dine rettigheter i henhold til GDPR inkluderer:
OneSettle har implementert en rekke tekniske og organisatoriske sikkerhetstiltak:
Data som sendes mellom deg og våre systemer, er kryptert for å forhindre uautorisert tilgang.
For å beskytte sensitive data mot uautorisert tilgang, har vi utviklet omfattende tilgangskontrolltiltak som dekker både tekniske og organisatoriske aspekter. Dette innebærer at tilgang til våre systemer og data styres gjennom en strukturert prosess som inkluderer identitetsstyring, autorisasjon og regelmessig vurdering av tilgangsrettigheter.
Tilgangskontroll er ikke bare begrenset til å tillate eller nekte tilgang, men er også designet for å sikre en best mulig balanse mellom brukervennlighet og sikkerhet. For eksempel:
Vi gjennomfører jevnlige sikkerhetskontroller og revisjoner for å sikre samsvar med juridiske krav.
Denne nettsiden brukar informasjonskapsler (cookies), som er teknologi for å bruke funksjoner og samle inn informasjon om brukere av nettsiden. De ulike kategoriene cookies kan være nødvendige for å få sidene til å fungere og samle inn informasjon til statistikk.
Cookies er små tekstfiler lagret på brukerens enhet som nettsteder kan bruke for å gjøre opplevelsen til brukeren mer effektiv. Loven sier at vi kan lagre informasjonskapsler på enheten om de er strengt nødvendige for driften av dette området. Andre typer informasjonskapsler må du samtykke til at vi lagrer.
OneSettle benytter kun nødvendige cookies og bruker ingen cookies for markedsføringsformål. Data som lagres i cookies blir aldri delt med tredjeparter.
| Cookie | Formål |
|---|---|
| BILL_PORTAL_SESSION | Holder på status for innlogging via BankID. |
| BILL_PORTAL_REMEMBER_ME | Holder på status for innlogging via personlig kode. |
| CsrfState | Hjelper mot Cross Site Request Forgery (CRSF) angrep. |
Vi oppdaterer denne erklæringen regelmessig for å reflektere endringer i våre tjenester eller juridiske krav. Vi oppfordrer deg til å lese den jevnlig. Enhver erklæring vil være markert med dato for siste endring.