Bestil et møde
Juridisk · GDPR & EU AI Act

Privatlivspolitik
for People's Research

Senest opdateret: 24. maj 2026

Denne politik beskriver, hvilke personoplysninger People's Group behandler i forbindelse med People's Research, hvorfor vi behandler dem, hvordan vi beskytter dem, og hvilke rettigheder du har. Politikken dækker besøg på peoplesresearch.com samt henvendelser fra forskere, hospitaler, universiteter og medico-virksomheder via kontaktformularen.

1 Hvem er vi

People's Research er et samtykke-bårent forskningsmiljø for kliniske studier, leveret af People's Group, Teglværksvej 2, 5600 Faaborg, Danmark (CVR 40930809).

Henvendelser kan rettes til:

2 Roller og dataansvar

People's Group er dataansvarlig for de personoplysninger, der behandles via denne hjemmeside og i den indledende dialog med forskere, kliniske afdelinger, universiteter og medico-virksomheder. Det dækker kontaktformular-data, support-korrespondance og besøgs-analytics.

I selve forskningsstudier - hvor borger-samtykke gates adgang til klinisk data - er den forskningsinstitution, der kører studiet, dataansvarlig for studiets datasæt. People's Group stiller forskningsmiljøet til rådighed og varetager rollen som databehandler under databehandleraftale (GDPR Art. 28). Borgeren styrer det granulære samtykke pr. studie via People's Wallet.

Denne politik dækker den dataansvarlige rolle for besøgende på sitet og for indkomne henvendelser. For studie-datasæt henvises til den indgåede databehandleraftale med den enkelte forskningsinstitution.

3 Hvilke data vi behandler

Vi behandler følgende kategorier af data fra dig som besøgende eller henvendende part:

  • Kontaktformular: navn, arbejdsmail, organisation, rolle, sektor og din besked til os.
  • Tekniske metadata: referrer, sprogpræference, tidsstempel, eventuelle UTM-parametre.
  • Sessionsdata: anonymiseret session-id og formularens flow-tid (elapsed_ms) til bot-beskyttelse.
  • Analytics (kun ved samtykke): anonymiseret brugsdata via cookie-baseret tracking.

Vi behandler ikke særlige kategorier af personoplysninger (GDPR Art. 9) gennem hjemmesiden. Kliniske data fra borgere indgår i forskningsstudier under borgerens eksplicitte samtykke (GDPR Art. 9, stk. 2, litra a) og reguleres af studiets databehandleraftale - ikke af denne politik.

4 Formål og retsgrundlag

Hver kategori af oplysninger behandles til et bestemt formål med et bestemt retsgrundlag:

  • Kontaktformular, formål: besvare henvendelse og indlede dialog om et muligt studie eller samarbejde. Retsgrundlag: samtykke (GDPR Art. 6, stk. 1, litra a).
  • Tekniske metadata og sessionsdata, formål: driftssikkerhed, bot-beskyttelse og dokumentation af adgang. Retsgrundlag: legitim interesse (GDPR Art. 6, stk. 1, litra f). Interesseafvejning: behovet for at beskytte forskningsmiljøet og besøgende mod misbrug vejer tungere end den enkelte besøgendes interesse i fuldstændig fraværende logging.
  • Analytics, formål: forbedre hjemmesiden og dens indhold. Retsgrundlag: samtykke (GDPR Art. 6, stk. 1, litra a).

5 AI, automatisering og menneskeligt tilsyn

Forskningsmiljøet rummer AI-assistance til hypotese-, litteratur- og trend-arbejde. AI'en træffer ingen kliniske beslutninger og diagnosticerer ikke deltagere. Forskeren ser kilden, godkender forslaget og signerer det endelige output. Hver gang.

For besøgende på peoplesresearch.com foregår ingen automatiseret beslutningstagning efter GDPR Art. 22. Kontaktformularen besvares manuelt af forskningsteamet.

People's Research designes med EU AI Act high-risk-forpligtelser for øje - audit-spor, gennemsigtighed og menneskeligt tilsyn fra start. Vi siger "aligned" og ikke "compliant" hvor regimet endnu ikke er fuldt i kraft (high-risk-forpligtelser fra 2027).

6 Ingen træning på klinisk data

Klinisk data fra borgere - journalnotater, prøvesvar, wearable-aflæsninger, borger-rapporterede svar - anvendes udelukkende til det studie, borgeren har givet samtykke til. Data sendes aldrig til eksterne AI-API'er, heller ikke til OpenAI, Anthropic, Google eller andre tredjepartsudbydere, og anvendes ikke til træning, finetuning eller modeloptimering, hverken i identificerbar, anonymiseret eller aggregeret form.

Modelopdateringer kommer fra eksterne, dokumenterede kilder og gennemgår intern validering før de sættes i produktion.

7 Opbevaring og sletning

Vi opbevarer kun oplysninger så længe det er nødvendigt for det formål, de er indsamlet til:

DatakategoriOpbevaringsperiode
Kontaktformular (uden efterfølgende samarbejde)24 måneder fra modtagelse
Kontaktformular (samarbejde indgået)Samarbejdets varighed + 5 år (Bogføringsloven)
Tekniske driftslogs185 dage
Analytics-dataSlettes ved samtykke-tilbagetrækning eller senest efter 26 måneder
Krypterede backupsIndgår i ovenstående perioder; sletteanmodninger reapplikeres på restorerede backups

Borger-samtykke til studie-deltagelse styres separat via People's Wallet - der gælder studiets egne opbevaringsregler, og borgeren kan til enhver tid trække samtykket tilbage med ét tryk. Anmodninger om tidligere sletning af kontaktformular-data rettes til support@peoplesresearch.com.

8 Underdatabehandlere

Vi anvender underdatabehandlere i følgende kategorier:

  • Cloud-hosting af peoplesresearch.com i EU-region.
  • AI-compute for forskningsmiljøet på EU-baseret infrastruktur via People's Lab.
  • Form-håndtering på EU-hostet infrastruktur.

Opdateret liste over specifikke underdatabehandlere rekvireres fra support@peoplesresearch.com. Forskningsinstitutioner, der har indgået databehandleraftale, modtager besked ved ændringer med mindst 30 dages varsel, jf. databehandleraftalen.

9 Dataplacering

Forskningsmiljøets kerne - compute, lagring og AI-inferens for studie-datasæt - kører på EU-baseret infrastruktur i Frankfurt-regionen via People's Lab. Studie-datasæt forlader ikke EU.

Denne hjemmeside (peoplesresearch.com) hostes hos en leverandør i EU-region. Kontaktformular-data passerer gennem EU-hostet infrastruktur.

10 Overførsler uden for EU/EØS

For forskningsmiljøets kerne: ingen overførsler uden for EU/EØS. Studie-datasæt, AI-inferens og backups forbliver på EU-baseret infrastruktur.

For hjemmesidens hosting anvendes en leverandør med primær forretningsaktivitet uden for EU, i EU-region. Der kan teoretisk forekomme transfer af drifts-metadata (ikke formulardata) til USA gennem leverandørens globale infrastruktur. Sådan overførsel er dækket af EU Standard Contractual Clauses (SCC). Kontaktformular-data, der indeholder personoplysninger, behandles udelukkende i EU-hostet infrastruktur.

11 Tekniske og organisatoriske sikkerhedsforanstaltninger

Vi har truffet de foranstaltninger, der efter GDPR Art. 32 er passende i forhold til risikoen, herunder særligt skærpede krav for klinisk forskningsdata:

Kryptering:

  • I transit: TLS 1.2 eller nyere på al netværkstrafik.
  • At rest: fuldt-disk-kryptering på databaseservere.
  • Backups: AES-256-kryptering på separat EU-lagring.

Adgangskontrol:

  • Rollebaseret adgangskontrol (RBAC) med princip om mindste nødvendige rettigheder.
  • Adgang til studie-data er gated bag en data-adgangskomité.
  • MFA/TOTP påkrævet for al privilegeret adgang.
  • VPN påkrævet for administrativ adgang til produktion.
  • 4-øjne-princip ved produktionsændringer.

Overvågning og integritet:

  • File integrity monitoring på produktionsnoder.
  • Centralt indsamlede systemlogs.
  • SHA-256-hashing af kritiske transaktionslogs (immutable audit trail).
  • Spor over hvem der har set hvilke studie-datasæt - synligt for borgeren via Wallet.

Organisatorisk:

  • Personalet har som udgangspunkt ikke adgang til studie-data (no-access support-model). Adgang i konkrete supportsituationer kræver forskningsinstitutionens forudgående godkendelse og dokumenteres.
  • Tavshedserklæringer for alt personale med adgang til produktionsmiljøet.
  • Regelmæssig sikkerhedstræning.

12 Forsknings-uafhængighed

Pharma-sponsorerede studier på forskningsmiljøet kan ikke undertrykke ugunstige fund. Studie-protokoller registreres før data-adgang, og resultater rapporteres uanset sponsor-udfald. Universitets-samarbejder bevarer fuld publikations-frihed. Policy-dokument tilgængeligt på anmodning.

13 Dine rettigheder

Du har følgende rettigheder efter GDPR. Hvilken vej din anmodning skal gå afhænger af, om vi behandler dine oplysninger som dataansvarlig (besøg på sitet, kontaktformular, samarbejdsdialog) eller som databehandler (studie-datasæt i forskningsmiljøet):

  • Indsigt (Art. 15): få bekræftelse på, om vi behandler oplysninger om dig, samt kopi af oplysningerne.
  • Berigtigelse (Art. 16): få rettet ukorrekte oplysninger.
  • Sletning (Art. 17): få slettet oplysninger uden unødig forsinkelse, når betingelserne i Art. 17, stk. 1 er opfyldt.
  • Begrænsning (Art. 18): begrænse vores behandling i konkrete situationer.
  • Dataportabilitet (Art. 20): få oplysninger udleveret i et struktureret, almindeligt anvendt og maskinlæsbart format.
  • Indsigelse (Art. 21): gøre indsigelse mod behandling baseret på legitim interesse.
  • Tilbagetrækning af samtykke (Art. 7, stk. 3): hvor behandling sker på grundlag af samtykke, kan samtykket trækkes tilbage med virkning fremadrettet. For studie-deltagelse trækkes samtykket tilbage direkte i People's Wallet.

Sådan udøver du rettighederne:

  • For studie-data i forskningsmiljøet (vi er databehandler): kontakt den forskningsinstitution, der står bag studiet. Borgeren kan trække sit samtykke tilbage direkte i People's Wallet.
  • For besøg på sitet, kontaktformular og samarbejdsdialog (vi er dataansvarlig): kontakt support@peoplesresearch.com.

Vi svarer inden for 30 dage, jf. GDPR Art. 12, stk. 3. Komplekse anmodninger kan forlænges med op til to måneder med begrundet varsel inden for samme frist. Vi opkræver ikke gebyr, medmindre anmodningen er åbenbart grundløs eller overdreven (Art. 12, stk. 5).

14 Sikkerhedsbrud

Hvis et brud på persondatasikkerheden opstår:

  • Datatilsynet underrettes inden 72 timer efter konstatering, jf. GDPR Art. 33.
  • Berørte forskningsinstitutioner (dataansvarlige for studie-datasæt) underrettes så hurtigt som muligt, internt mål 48 timer fra brudkonstatering.
  • Berørte registrerede - herunder borgere hvis studie-data er involveret - underrettes af den dataansvarlige efter Art. 34, hvis bruddet sandsynligvis indebærer høj risiko for deres rettigheder og frihedsrettigheder.

Sikkerhedshændelser kan rapporteres til support@peoplesresearch.com.

15 Cookies og website-tracking

peoplesresearch.com bruger for nuværende udelukkende strengt nødvendige cookies (sessions-id og sprogpræference). Vi anvender ikke marketing-trackers, fingerprinting eller cross-site-tracking.

Analytics-cookies sættes kun ved aktivt samtykke via cookie-banneret. Samtykket kan til enhver tid tilbagetrækkes via "Cookie-indstillinger" nederst på siden.

16 Klage til Datatilsynet

Du kan klage til Datatilsynet, hvis du mener, at vores behandling af dine oplysninger er i strid med databeskyttelsesreglerne:

Datatilsynet
Carl Jacobsens Vej 35
2500 Valby
Telefon: 33 19 32 00
dt@datatilsynet.dk
www.datatilsynet.dk

Du behøver ikke have henvendt dig til os først, men vi opfordrer til at give os mulighed for at finde en løsning, før du klager.

17 Ændringer til denne politik

Væsentlige ændringer kommunikeres til registrerede samarbejdspartnere via e-mail mindst 30 dage før ikrafttræden. Mindre ændringer (præciseringer, opdaterede kontaktoplysninger) kan publiceres uden særskilt varsel.

Tidligere versioner kan rekvireres via support@peoplesresearch.com.