Personvernerklæring
Personvernerklæring for Medbric AS
Sist oppdatert: 23.04.2026
1. Innledning
Medbric AS utvikler og leverer KI-baserte dokumentasjonsløsninger for helse- og omsorgssektoren, herunder AILA, AILO og AISA.
Denne personvernerklæringen forklarer hvordan Medbric behandler personopplysninger både i egen virksomhet og når våre løsninger tas i bruk av kunder i helsetjenesten.
Behandlingen skjer i samsvar med personopplysningsloven og personvernforordningen (GDPR). Når løsningene brukes av en kommune, et helseforetak eller annen virksomhet, er det kunden som er behandlingsansvarlig for personopplysningene. Medbric opptrer i disse tilfellene som databehandler og behandler opplysninger kun etter dokumentert instruks fra behandlingsansvarlig.
2. Hvem vi er
Firmanavn: Medbric AS
Organisasjonsnummer: 934053540
Adresse: Professor Brochs gate 8 A, 7030 Trondheim
3. Kontakt
Dersom du har spørsmål om hvordan vi behandler personopplysninger, kan du kontakte oss på:
E-post: kontakt@medbric.com
Medbric har en intern personvernkontakt som følger opp spørsmål knyttet til personvern og informasjonssikkerhet.
4. Når Medbric er behandlingsansvarlig
Medbric er behandlingsansvarlig for personopplysninger vi behandler som en del av egen virksomhet. Dette gjelder blant annet i forbindelse med kontakt med kunder, partnere og leverandører, gjennomføring av møter og demonstrasjoner, administrasjon av brukere og tilgang, samt support, feilsøking og oppfølging.
Vi behandler også personopplysninger for å ivareta sikker drift av våre tjenester, herunder logging, overvåking og etterlevelse av gjeldende krav til informasjonssikkerhet.
5. Når Medbric er databehandler
Når løsningene brukes i helse- og omsorgssektoren, er kunden behandlingsansvarlig for personopplysningene som behandles i tjenesten, mens Medbric opptrer som databehandler. Behandlingen skjer utelukkende på grunnlag av kundens instruks og i tråd med inngått avtaleverk.
Dette omfatter blant annet behandling av pasientopplysninger, journalrelatert informasjon, lydopptak og tilhørende transkripsjoner. Medbric bruker ikke slike data til egne formål, og kundedata benyttes heller ikke til trening av modeller. Vår rolle er å legge til rette for sikker, effektiv og etterprøvbar behandling på vegne av kunden, samt å bistå med nødvendig dokumentasjon og etterlevelse.
6. Hvilke opplysninger som behandles
Avhengig av hvordan løsningen brukes, kan Medbric behandle ulike typer personopplysninger. Dette inkluderer blant annet navn og kontaktopplysninger, rolle, arbeidssted og organisasjonstilknytning, samt innloggings- og tilgangsinformasjon.
I selve løsningen kan det behandles lydopptak, transkribert tekst og genererte notater, samt dokumenter som brukeren velger å laste opp som en del av arbeidsprosessen. I tillegg behandles tekniske logger og hendelsesdata knyttet til bruk av systemet.
Behandlingen kan omfatte helseopplysninger når løsningen brukes i klinisk sammenheng.
7. Kategorier av registrerte
Personopplysninger som behandles kan gjelde flere grupper, herunder helsepersonell og andre brukere av løsningen, pasienter og brukere av helsetjenester, pårørende, samt administrative ansatte hos kunden.
8. Formål med behandlingen
Når Medbric er behandlingsansvarlig, behandles personopplysninger for å administrere kundeforhold og samarbeid, gjennomføre møter og oppfølging, samt for å sikre stabil drift, logging og nødvendig support.
Når Medbric er databehandler, behandles personopplysninger for å levere løsningens funksjonalitet. Dette inkluderer transkribering av tale til tekst, strukturering og generering av dokumentasjon, støtte til journalføring og dokumentasjonsarbeid, samt sikker og stabil drift av tjenesten.
Løsningene er utviklet som støtteverktøy og gir ikke medisinsk beslutningsstøtte. De fatter heller ikke automatiserte avgjørelser som har rettslig eller tilsvarende vesentlig virkning for den registrerte.
9. Behandlingsgrunnlag
Når Medbric er behandlingsansvarlig, behandles personopplysninger på grunnlag av avtale, rettslige forpliktelser eller berettigede interesser, i samsvar med GDPR artikkel 6.
Når Medbric er databehandler, er det kunden som fastsetter behandlingsgrunnlaget. I helse- og omsorgssektoren vil dette normalt følge av GDPR artikkel 6 og 9, supplert av relevant helselovgivning.
10. Innebygd personvern og dataminimering
Løsningen er utviklet med innebygd personvern og dataminimering som grunnleggende prinsipper. Det er etablert et tydelig skille mellom midlertidig og vedvarende lagring, og behandlingen begrenses til det som er nødvendig for å levere tjenesten.
Lydopptak slettes automatisk så snart de er transkribert. Transkribert tekst og genererte notater lagres kun midlertidig og slettes innen 24 timer. Det lagres ikke mer informasjon enn det som er nødvendig for å gi brukeren tilgang til funksjonaliteten i løsningen, og kundedata holdes logisk adskilt mellom ulike virksomheter.
Dataene benyttes ikke til trening av generelle modeller.
11. Lagring og sletting
Medbric lagrer personopplysninger ikke lenger enn det som er nødvendig for formålet. Lydopptak slettes umiddelbart etter transkripsjon, og tekst og genererte notater slettes innen 24 timer.
Opplysninger knyttet til brukerkontoer lagres så lenge kontoen er aktiv, mens logger og sikkerhetsdata lagres i en begrenset periode for å sikre drift, etterlevelse og sporbarhet.
Når Medbric opptrer som databehandler, skjer lagring og sletting i henhold til kundens instruks og avtale.
12. Mottakere av opplysninger
Personopplysninger kan deles med underleverandører som leverer drift, infrastruktur og tekniske tjenester, samt med kundens egne systemer, for eksempel journalsystemer.
Opplysninger kan også utleveres til offentlige myndigheter dersom dette følger av lov eller rettslig pålegg. Alle underleverandører er regulert gjennom databehandleravtaler og krav til informasjonssikkerhet.
13. Behandlingssted
Personopplysninger behandles innen EU/EØS. Overføring til land utenfor EU/EØS skjer ikke uten kundens instruks og gyldig rettslig grunnlag.
14. Informasjonssikkerhet
Medbric benytter både tekniske og organisatoriske tiltak for å beskytte personopplysninger. Dette inkluderer blant annet kryptering av data i transitt og ved lagring, tilgangsstyring basert på minste privilegium, sterk autentisering, samt logging og sporbarhet.
I tillegg gjennomføres det jevnlig sårbarhetsskanning, sikkerhetstester og overvåking av systemene, kombinert med etablerte beredskapsrutiner.
15. Logging og sporbarhet
For å sikre drift og etterlevelse logges blant annet pålogginger, systemhendelser og sikkerhetshendelser. Disse loggene benyttes til å ivareta informasjonssikkerhet, feilsøking og revisjon.
16. Sikkerhetshendelser
Medbric har etablerte rutiner for overvåking, klassifisering og håndtering av sikkerhetshendelser. Ved alvorlige hendelser varsles kunden uten ugrunnet opphold, slik at kunden kan vurdere videre oppfølging, herunder eventuell melding til Datatilsynet.
17. Rettigheter
Når Medbric er behandlingsansvarlig, har registrerte rettigheter etter gjeldende regelverk, herunder rett til innsyn, retting, sletting, begrensning av behandling, dataportabilitet og rett til å protestere.
For å utøve rettighetene kan du kontakte oss på kontakt@medbric.com. Vi kan be om nødvendig bekreftelse av identitet før forespørselen behandles.
Når Medbric opptrer som databehandler, skal slike henvendelser rettes til behandlingsansvarlig virksomhet. Medbric bistår ved behov.
18. Klage
Dersom du mener at behandlingen av personopplysninger er i strid med gjeldende regelverk, har du rett til å klage til Datatilsynet.
19. ROS og DPIA
Medbric bistår kunder med gjennomføring av risiko- og sårbarhetsvurderinger, vurdering av personvernkonsekvenser (DPIA) og dokumentasjon av dataflyt og sikkerhetstiltak.
20. Endringer
Personvernerklæringen kan oppdateres ved behov. Oppdatert versjon publiseres med ny dato.
21. Lovvalg og verneting
Personvernerklæringen er underlagt norsk rett. Eventuelle tvister behandles av Oslo tingrett.