Hvem
Behandlingsansvarlig
Dr. Dropin AS er behandlingsansvarlig for personopplysninger i sykefraværsverktøyet. Arbeidsgiveren din er behandlingsansvarlig for opplysninger om sine ansatte og bruker plattformen som databehandler.
Hva
Hvilke opplysninger vi behandler
Ansatte
Navn, e-post, telefon, fødselsnummer (KMS-kryptert), arbeidssted og nærmeste leder.
Sykefravær
Sykmeldinger og egenmeldinger fra NAV, perioder og grad, fritekst fra ansatt om tilrettelegging, oppfølgingsplaner og notater fra leder/BHT.
Tekniske data
Innloggingstidspunkt, IP-adresse (lagres som saltet hash), nettleser-User-Agent, og hendelseslogg ved tilgang til helseopplysninger.
Diagnose lagres aldri
Diagnose og behandlende leges HPR-nummer videreformidles aldri til arbeidsgiver, og lagres ikke i plattformen.
Hvorfor
Rettslig grunnlag
Behandlingen skjer for å oppfylle arbeidsgivers plikter etter arbeidsmiljøloven kap. 4 og folketrygdloven kap. 8 (sykepenger og oppfølging), samt nødvendighet for å yte bedriftshelsetjeneste, jf. personvernforordningen art. 6 (1)(c)/(f) og art. 9 (2)(b)/(h).
Når
Lagringstid
- Sykmeldinger og oppfølgingsplaner: 5 år etter avsluttet sak.
- Audit log: 5 år (lovpålagt sporbarhet for helsedata).
- Egenmeldinger uten lønnskonsekvens: 2 år.
Du
Dine rettigheter
Du har rett til innsyn, retting, sletting, begrensning og dataportabilitet. Anmodninger registreres og besvares innen 30 dager.
Sikkerhet
Tekniske og organisatoriske tiltak
- Fødselsnummer krypteres med envelope-kryptering (AES-256-GCM, KMS-administrert nøkkel).
- Tilgang til hver sak logges (hvem, når, fra hvilken IP-hash).
- Dekryptering av fødselsnummer logges som SENSITIVE-hendelse.
- Rollebasert tilgangskontroll på plattform- og organisasjonsnivå.
Kontakt
Personvernombud
Send spørsmål eller klager til personvern@drdropin.no. Du kan også klage til Datatilsynet.