Privatlivspolitik
Version: privacy-v1
Sidst opdateret: 2026-06-18
Gældende lov: Dansk ret
Hvem vi er
NPG Pulse er en patient-feedback platform leveret af Nordic Patient Group ApS (CVR 40713352, Fuglebækvej 2C, 1., 2770 Kastrup, Danmark) i samarbejde med vores tekniske platform-leverandør VEKST Solutions LLC (EIN 98-1931362, 14707 S Dixie Hwy, Suite 402C #186, Miami FL 33176, USA).
For henvendelser om dine personoplysninger: privacy@nordicpatientgroup.dk.
Resumé / Overblik (ikke-bindende)
- Når din tandklinik bruger NPG Pulse til at sende dig en patient-tilfredsheds-undersøgelse, er klinikken dataansvarlig og vi (NPG) er databehandler. Du skal kontakte din klinik for indsigt eller sletning af dine data.
- Når du selv besøger
nordicpatientgroup.dkeller logger ind påapp.nordicpatientgroup.dksom klinik-personale, er NPG dataansvarlig for de tekniske data og kontodata. - Når NPG indsamler offentlige anmeldelser fra Google og Facebook for at lave synlighedsanalyse for klinikken, er NPG dataansvarlig under retsgrundlaget legitim interesse.
- Vi sælger ikke dine data og bruger dem ikke til markedsføring uden samtykke.
- Vi bruger underdatabehandlere — den fulde liste findes på
/subprocessors.
1. Patient-data behandlet på vegne af klinikken
Hvis du har modtaget en NPS- eller patient-tilfredsheds-undersøgelse fra din tandklinik via NPG Pulse-platformen:
- Dataansvarlig: klinikken (din tandlæge / dit klinik-firma).
- Databehandler: Nordic Patient Group ApS (NPG).
- Underdatabehandler: VEKST Solutions LLC (driften af platformen).
Klinikken har det primære ansvar for at oplyse dig om hvilke data de har om dig og hvordan de bruges. Forholdet mellem klinikken og NPG er reguleret af en databehandleraftale (DPA), som klinikken accepterer ved tilmelding.
For dataindsigt, rettelse, sletning eller indsigelse mod patient-data: kontakt din klinik direkte. Klinikken har 30 dage til at svare. NPG bistår klinikken bag kulisserne med eksport- og slette-værktøjer.
Hvis du ikke kan komme igennem til klinikken, kan du som backup skrive til privacy@nordicpatientgroup.dk, og vi vil hjælpe med at videreformidle din anmodning.
2. Operatør-konti (klinik-personale)
Hvis du som klinik-personale eller agentur-administrator logger ind på app.nordicpatientgroup.dk:
| Datapunkt | Formål | Retsgrundlag |
|---|---|---|
| E-mailadresse | Identifikator + login | Art. 6(1)(b) — kontraktopfyldelse (Vilkår for brug) |
| Navn | Personalisering af dashboard | Art. 6(1)(b) |
| Adgangskode (hashet) | Autentifikation | Art. 6(1)(b) |
| Sessionsdata | Holde dig logget ind | Art. 6(1)(b) |
| Aktivitets-logs | Fejlfinding + sikkerhed | Art. 6(1)(f) — legitim interesse |
Opbevaring: så længe din konto er aktiv. Ved kontolukning slettes data inden 90 dage; aktivitets-logs anonymiseres efter 12 måneder.
Dine rettigheder: se afsnit 7 nedenfor.
3. Offentlige anmeldelses-data (synlighedsanalyse)
NPG indsamler offentligt tilgængelige anmeldelser fra Google Maps og Facebook om de klinikker der er tilmeldt NPG Pulse-platformen. Formålet er at lave omdømme- og synlighedsanalyser for den enkelte klinik.
| Datapunkt | Kilde | Retsgrundlag |
|---|---|---|
| Anmelderens navn | Offentligt på Google/Facebook | Art. 6(1)(f) — legitim interesse (synlighedsanalyse for klinikken) |
| Anmeldelsens tekst | Offentligt | Art. 6(1)(f) |
| Stjerne-vurdering | Offentligt | Art. 6(1)(f) |
| Anmeldelses-tidspunkt | Offentligt | Art. 6(1)(f) |
Vi behandler kun anmeldelses-information, som anmelderen allerede selv har gjort offentlig på den pågældende platform. Vi bruger den til at lave omdømme- og synlighedsindsigter for den klinik, anmeldelsen handler om, og vi sammenstiller den ikke med data fra andre kilder for at danne en profil af anmelderen.
For klinikker der officielt forbinder deres Google Business Profile til NPG Pulse, hentes anmeldelserne via Googles officielle API i stedet for ved indsamling. Se afsnit 11.
Indsigelsesret: hvis du ønsker at dine offentlige anmeldelser ikke længere indgår i NPG's synlighedsanalyse for klinikken, kan du skrive til privacy@nordicpatientgroup.dk. Vi vil fjerne din anmeldelse fra vores systemer inden 30 dage. Bemærk: dette fjerner ikke anmeldelsen fra Google eller Facebook — det skal du gøre direkte hos dem.
4. Besøgende på nordicpatientgroup.dk og app.nordicpatientgroup.dk
Når du besøger vores hjemmesider behandler vi følgende data:
- Tekniske logs (IP-adresse, brugeragent, tid på besøg, side besøgt) — opbevares ~30 dage hos vores hosting-leverandør Vercel. Retsgrundlag: legitim interesse (drift, fejlfinding, misbrugsforebyggelse).
- Strengt nødvendige cookies — sessions-cookies for at holde dig logget ind og CSRF-beskyttelse. Ved denne politiks ikrafttræden bruger vi ingen marketing-cookies, ingen tracking-pixels og ingen analyse-cookies, der kræver samtykke.
Vi viser ikke cookie-banner fordi vi ikke bruger cookies der kræver samtykke. Hvis dette ændrer sig (f.eks. ved tilføjelse af analytics), opdaterer vi politikken og introducerer cookie-banner samtidig.
5. Modtagere af dine personoplysninger
Vi videregiver kun dine personoplysninger til:
- Tekniske underdatabehandlere der hjælper os med at drive platformen (database, hosting, e-mail, AI-inferens). Den fulde liste — med formål, dataplacering og overførselsgrundlag — findes på
/subprocessors. - Myndigheder hvis vi er retligt forpligtet til det (politi, SKAT, Datatilsynet ved tilsyns-anmodning).
- Klinikken for så vidt angår patient-data behandlet på dens vegne (afsnit 1).
Vi sælger ikke dine data. Vi deler dem ikke med markedsførings-tredjeparter.
6. Overførsler til tredjelande
Visse af vores underdatabehandlere er etableret i USA (bl.a. VEKST Solutions LLC, Vercel, Postmark, OpenRouter). Overførslen er dækket af EU-Kommissionens Standardkontraktbestemmelser (SCCs) — for Postmark suppleret af EU-US Data Privacy Framework — samt en konkret risikovurdering (Transfer Impact Assessment / TIA) for hver enkelt vendor.
Detaljer om overførsels-grundlaget for hver vendor findes på /subprocessors. For patient-data behandlet på klinikkens vegne gælder klinik-DPA'ens bilag D (TIA) — kontakt din klinik for detaljer.
7. Dine rettigheder
Under GDPR har du følgende rettigheder ved siden af de almindelige danske databeskyttelseslovens regler:
- Indsigt (Art. 15) — få en kopi af de personoplysninger vi har om dig.
- Berigtigelse (Art. 16) — få rettet urigtige oplysninger.
- Sletning ("retten til at blive glemt", Art. 17) — i de tilfælde lovgivningen tillader.
- Begrænsning af behandling (Art. 18).
- Dataportabilitet (Art. 20) — modtage dine data i et struktureret, almindeligt anvendt og maskinlæsbart format.
- Indsigelse (Art. 21) — særligt mod behandling baseret på legitim interesse.
- Tilbagekaldelse af samtykke — hvis behandlingen er baseret på samtykke.
Sådan udøver du rettighederne:
- For patient-data (afsnit 1) — kontakt din tandklinik direkte. Du kan også skrive til
privacy@nordicpatientgroup.dkfor hjælp. - For kontodata, anmeldelses-data og webside-data (afsnit 2, 3, 4) — skriv til
privacy@nordicpatientgroup.dk. Vi svarer som udgangspunkt inden 30 dage; ved særligt komplekse anmodninger kan svarfristen forlænges med op til 2 måneder, jf. GDPR Art. 12(3). Du underrettes i givet fald om forlængelsen og årsagen.
8. Klage til Datatilsynet
Du har ret til at klage til Datatilsynet hvis du er utilfreds med hvordan vi behandler dine personoplysninger:
Datatilsynet Carl Jacobsens Vej 35 2500 Valby
www.datatilsynet.dkTelefon: +45 33 19 32 00
9. Ændringer i privatlivspolitikken
Vi opdaterer denne politik når vores behandling ændrer sig (f.eks. ved tilføjelse af nye underdatabehandlere eller ny funktionalitet). Væsentlige ændringer varsles til registrerede brugere via e-mail eller dashboard-notifikation. Den til enhver tid gældende version findes her med versionsnummer + dato øverst.
10. Kontakt
| Hvad | Kontakt |
|---|---|
| Generelle privatlivs-spørgsmål | privacy@nordicpatientgroup.dk (delt indbakke, monitoreres dagligt) |
| NPG (databeskyttelse) | privacy@nordicpatientgroup.dk |
| VS-LLC (databeskyttelse) | privacy@nordicpatientgroup.dk (fælles platforms-indbakke) |
| Klinik-relaterede spørgsmål | Kontakt din klinik direkte |
11. Officiel Google Business Profile-forbindelse
Hvis din klinik vælger at forbinde sin Google Business Profile til NPG Pulse, giver du (som klinik-personale) NPG adgang til bestemte data fra klinikkens Google-konto via Googles officielle Business Profile-API'er. Forbindelsen er frivillig: intet sker, før en bruger fra klinikken klikker "Forbind med Google" og godkender adgangen på Googles eget samtykke-skærmbillede.
Hvad vi får adgang til. Kun den eller de Google Business Profile(r), din klinik administrerer: konto- og lokationsoplysninger, anmeldelser med stjerne-vurderinger og jeres egne svar på anmeldelser. Vi får IKKE adgang til Gmail, kontakter, kalender, Drive-filer eller andre Google-tjenester.
Hvorfor. For at vise klinikkens anmeldelser i dashboardet og for at svare på anmeldelser på klinikkens vegne, efter at klinikken selv har gennemset og godkendt det enkelte svar. En AI-funktion kan foreslå et udkast til svaret ud fra anmeldelsens tekst; intet svar slås op automatisk.
Roller og retsgrundlag.
- Forbindelses- og adgangsdata (krypterede tokens, konto-/lokations-id, matchet Place ID) behandles af NPG som led i operatør-forholdet til klinikken, jf. Art. 6(1)(b), kontraktopfyldelse (samme grundlag som afsnit 2).
- Anmeldelses-indholdet (anmelderens viste navn, vurdering, tekst, tidspunkt) behandles af NPG som dataansvarlig under Art. 6(1)(f), legitim interesse (omdømme- og synlighedsanalyse for klinikken), på nøjagtig samme grundlag som de offentlige anmeldelser i afsnit 3. For officielt forbundne klinikker erstatter API-adgangen indsamlingen.
- At slå et svar op sker som databehandling på klinikkens dokumenterede instruks, jf. Art. 28. Selve svaret offentliggøres på klinikkens egen Google-profil, som klinikken selv kontrollerer.
Anvendt tilladelse (scope). Google tilbyder kun ét samlet adgangsniveau (business.manage), hvis etiket ("se, redigér, opret og slet dine virksomhedsprofiler") er bredere end vores faktiske brug. Vi anmoder om det mindst mulige, Google stiller til rådighed, og bruger det udelukkende til at læse anmeldelser og slå godkendte svar op. Vi redigerer, opretter eller sletter ikke virksomhedsprofiler.
Sådan opbevarer vi det. Adgangs- og opdaterings-tokens krypteres at-rest med AES-256-GCM og logges eller deles aldrig. Anmeldelses-indhold gemmes som anmeldelses-historik i dashboardet på samme måde som øvrige anmeldelses-data.
Det gør vi aldrig. Vi sælger ikke data modtaget fra Googles API'er, bruger dem ikke til annoncering og deler dem ikke, ud over hvad der kræves for at levere funktionen (f.eks. sender vi anmeldelsens tekst til vores AI-leverandør for at lave et svar-udkast; teksten gemmes ikke dér og bruges ikke til at træne modeller). Vi bruger ikke data modtaget fra Googles API'er til at udvikle, forbedre eller træne generaliserede AI- eller ML-modeller. NPG Pulses brug af data modtaget fra Google API'er overholder Google API Services User Data Policy, herunder kravene om begrænset anvendelse (Limited Use).
Din kontrol. Klinikken kan til enhver tid afbryde forbindelsen inde i NPG Pulse (Indstillinger → Forbindelser), eller tilbagekalde adgangen direkte hos Google på myaccount.google.com/permissions. Når forbindelsen afbrydes, slettes de gemte tokens hos os.