Muritunet si Personvernerklæring

 

Denne personvernerklæringa gjeld både for pasientar og tilsette ved Muritunet AS, samt personopplysningar frå nettstadar på internett. Den beskriv korleis Muritunet samlar inn, lagrar, brukar og slettar personopplysningar. I tillegg beskriv erklæringa personar sine rettigheiter og Muritunet AS sine plikter. Ditt samtykke til å dele dine personopplysningar er heilt sentralt: https://www.datatilsynet.no/re...

1.  Behandlingsansvarleg

Muritunet AS (heretter MT) ved administrerande direktør, er behandlingsansvarlig for verksemda si behandling av personopplysningar. Nokre av oppgåvene, ikkje ansvaret, er delegert internt i MT til økonomisjef, rehabsjef og medisinsk fagleg ansvarleg(Overlege). MT har eige Personvernombod som varetek personverninteressene både til MT sine pasientar og tilsette i verksemda. Personvernombodet gir råd og vegleiing om behandling av personopplysningar slik at personopplysningar blir behandla på ein god måte og i tråd med regelverket.

2.  Formålet med behandling av dine personopplysningar

  • For å kunne levere og tilpasse tenestene til deg.
  • For å oppretthalde og vidareutvikle tenestene.
  • For å kunne levere, tilpasse og måle/dokumentere effekt

2.1 For pasient

Muritunet er avhengig av at alle tilsette, som måtte ha bruk for pasientopplysningar for å kunne gi ei tilfredsstillande helsehjelp i møte med pasient får tilgang til desse. Studentar i opplæring, kompetanseheving, kvalitetskontroll og forsking har også  ofte eit behov for tilgang til/bruk av journalopplysningar. Muritunet vil heile tida ha fokus på å  legge til rette for effektiv og trygg kommunikasjon av relevante og nødvendige helseopplysningar av omsyn til forsvarlig pasientbehandling, og for å ta vare på behov og krav til konfidensialitet. Samtidig ser ein at samarbeid mellom helsepersonell ved senteret og samhandling med personell i andre verksemder er viktig og aukande. Her blir det eksempelvis vurdert kor vanskelig eller enkelt det skal vere for vårt helsepersonell å få  opplysningar om  tidlegare lagra data om pasienten av omsyn til behandling av pasienten.  Verksemdene må få relevante og nødvendige opplysningar ved samhandling rundt tenester til pasienten og ved vegleiing frå spesialistar. Det er derimot ikkje openbart at kommunikasjonen mellom aktørane i desse tilfelle vert løyst best ved bruk av utvida tilgangsrettigheiter til elektronisk pasientjournal(EPJ) framfor aktiv kommunikasjon i form av utlevering av opplysningar, meldingar om problemstillingar, prøvesvar mv.  Ved vurdering om det bør opnast for tilgangsrettigheiter til EPJ på tvers av verksemder, er det også viktig å vere merksam på at opplysningane som er lagra i den enkelte verksemd sin EPJ ofte er gamle eller ikkje har relevans for den aktuelle situasjon. Ukritisk bruk av tidlegare lagra opplysningar kan også vere forbunde med risiko. Vår køyreregel søker å nytte muligheitsrommet i lovverket, samtidig som personvernet vert ivaretatt. Denne typen opplysningar vert sett på og behandla som sensitive personopplysningar. Tilgangar til andre fagsystem innan helseavdelingane administrerast av den enkelte systemansvarlig i.h.h.t. styrande dokument og gjeldane rutinar for det enkelte fagsystem.

2.2 For personell

Det vert registrert nødvendige opplysningar for utbetaling av lønn, for eksempel grunndata, lønnsnivå, tidsregistrering, skatteprosent, skattekommune og fagforeiningsmedlemskap mm. Stabs-/økonomisjef er delegert behandlingsansvarlig for HR-systemet i stab, Rehabsjef er delegert behandlingsansvarlig for HR-systemet i helse, og IT-ansvarleg er delegert systemansvar for server og lagring/backup. Vaktmeister er delegert systemansvar for trådlause nettverk. Alle opplysningane om tilsette vert innhenta frå dei tilsette sjølv og utleverast berre i samband med lønsutbetalingar og andre lovpliktige utleveringar. Sletterutinar for personalopplysningar følger regnskapslova og arkivlova. Opplysningar om namn, stilling og arbeidsområde reknast å være offentlige opplysningar og kan publiserast. Tilgang til andre fagsystem administrerast av den enkelte systemansvarlig etter styrande dokument og gjeldane rutinar for det enkelte fagsystem.

Vidare registrerer Muritunet personopplysningar i sitt adgangskontrollsystem, saman med logging av inn- og utpasseringar på enkelte dører. Logging brukast ikkje systematisk, og har kun som formål å spore trafikk i gitte tilfelle. Vaktmeister er delegert behandlingsansvar for adgangskontrollen, og personell ved resepsjonen er delegert systemansvaret. Systemet administrerast og driftast av nemnte  personell, med bistand frå leverandør som MT har databehandlaravtale med.  Tilsvarande opplysningar blir brukt for tilgangsstyring til IT-systema frå Active Directory.

3.  Rettslig grunnlag for behandling av  personopplysningar

3.1 For pasient

Eigenerklæring ved innkomst reguler MT si behandling av pasientar sine opplysningar i tråd med denne personvernerklæringa.  Pasientar har krav på konfidensialitet og beslutningsmynde når det gjeld kven som kan gjere oppslag i journal og kven som brukar opplysningane.  Det er elles frivillig å bli og å vere pasient hjå MT.

Frå lovverket: Personvernforeskriften, artikkel 9 nr. 2 bokstav h, opnar for behandling av sensitive personopplysningar når dette er nødvendig «i forbindelse med forebyggende medisin eller arbeidsmedisin for å vurdere en arbeidstakers arbeidskapasitet, i forbindelse med medisinsk diagnostikk, yting av helse- eller sosialtjenester, behandling eller forvaltning av helse- eller sosialtjenester og -systemer på grunnlag av unionsretten eller medlemsstatenes nasjonale rett eller i henhold til en avtale med helsepersonell og med forbehold for vilkårene og garantiene nevnt i nr. 3.» Bestemmelsen stiller i motsetning til de andre unntakene som krever nasjonalt rettsgrunnlag, ikke krav om «egnede og særlige tiltak» eller «garantier» utover det som følger av artikkel 9 nr. 3, som krever at opplysningene må behandles av personer med teieplikt. Personopplysningsloven (§13), Helseregisterlova (§21) gir rett til innsamling av nødvendige helseopplysninger når det er gitt nødvendig samtykke. (Pasientjournalloven §22 om tilgangsstyring og Personopplysningsforskriften kap 2)  Tenestemottakar avgir helse- og personopplysningane til  verksemda  under eit informert samtykke   (Jmf. Norm for informasjonssikkerhet 5.3.3 ). Innhenting av helseopplysningar frå eks sjukehus (Forvaltningsloven §17).

Helsepersonell blir i Helsepersonellova kap. 8, § 39 gitt plikt til å føre journal. Pasientjournalen blir sett på som det mest sentrale informasjons- og kommunikasjonsverktøy for helsepersonell i dagleg pasientbehandlingen (Sosial- og Helsedepartementet, 1997). Pasientjournalen vert definert som ”samlet dokumentasjon om en persons sykdom, behandling og pleie og relevante personlige forhold som er nedtegnet av lege eventuelt annet helsepersonell i henhold til dokumentasjonsplikt” (Volven.no, 2005)  Alle som yt sjølvstendig helsehjelp som følge av helsepersonellova som kom i kraft 2001, er pliktig til å dokumentere sitt arbeid (Lovdata.no, 2005). Dette må ein sjå i samanheng med at journalen også er eit juridisk dokument. Forskrift om ledelse-og kvalitetsforbedring i helse-og omsorgssektoren(1.1.2017) krev dokumentasjonsplikt. I Pasientjournallova §6 blir det gitt rett til å behandle nødvendige helseopplysninger og i § 14 plikt til å registrere. Dette gir samtidig føringar for teieplikt og trygg lagring. 

Krav til oppbevaring av journaler er regulert av forskrift om pasientjournal av 21. desember 2000. I § 14 første ledd heiter det: "Pasientjournalene skal oppbevares slik at de ikke kommer til skade eller blir ødelagt, og at uvedkommende ikke får adgang til dem". Det følgjer av § 14 andre ledd at: "Journalene skal oppbevares til det av helsehjelpens karakter ikke lenger antas å bli bruk for dem." Hvis ikkje journalopplysningene deretter skal bevares i henhold til arkivlov eller anna lovgiving, skal dei slettast, jf. personopplysningsloven § 28. Avlevering eller deponering som nemt i tredje og fjerde ledd bør ikkje skje før det er gått minst 10 år etter siste innføring i journalen. Muritunet behandlar personopplysningar om sine tilsette i HR-systemet Huldt & Lillevik for å administrere lønn og personalansvar i samsvar med  Personopplysningsloven § 8, første ledd og § 8 a), b) eller f) samt § 9 a), b) og f).

3.2 For personell

Godkjenning og signering av arbeidsavtalen regulerer MT si behandling av tilsette sine opplysningar i tråd med personvernerklæringa. Dette inkluderer erklæring om teieplikt og samtykke til medverknad i arbeidsmiljøforhold.

4.  Kva opplysningar vert handsama

4.1 For pasient

Helseopplysningane som Muritunet hentar inn frå pasientar vert brukt til å administrere forhold rundt opphaldet, samt dokumentere effekt og resultat i elektronisk pasientjournal(EPJ) i SOMA, for so å sende ut epikrise som dokumentasjon til fastlege eller innsøkande instans. For å gjere dette brukar vi ditt namn, adresse, telefonnummer, fødselsdato og personnummer samt helseopplysningar som mottatt ved kartlegging eller tilsendt med søknaden. Personopplysningane vil bli lagra så lenge det er nødvendig for å oppfylle dei formål nemnt over. Du vil ikkje motta direkte markadsføringar fra MT ved aksept/Eigenerklæring. Dersom du ynsker nyheitsbrev og meir informasjon frå MT må du gi særskilt samtykke til dette. 4.2 For personell Personopplysningane som Muritunet hentar inn for tilsette vert brukt til å administrere forhold rundt lønn, skatt, pensjon og forsikring, samt dokumentere kompetansehevande tiltak og medarbeidarsamtalar i personalsystemet.  For å gjere dette brukar vi ditt namn, adresse, telefonnummer, fødselsdato og personnummer, vandelsattest, vaksinasjonsattest, samt helseopplysningar som mottatt frå ev. kartleggingar gjort av bedriftshelseteneste eller tilsendt ved tilsetting. «Personalopplysningar skal vere saklege og relevante, og skal kun brukast til uttrykkelige og gitte føremål. Relevansen vil ofte avta dess lenger tid det har gått, men nokre dokument kan vere nødvendige å oppbevare i heile tilsettingsperioden. Arbeidsgivar skal ikkje lagre personopplysningar lenger enn det som er nødvendig for å gjennomføre formålet med bruken av opplysningane.  Alle arbeidsgivarar som er underlagt arkivlova må følge krava som vert stilt til arkivering og lagring. Arkiveringsplikta vil gå framom sletteplikta i personopplysningsloven. Arkivloven sine krav om langtidslagring bør kompenserast med endå strengare krav til tilgangskontroll. « (Datatilsynet)

4.3 For andre

Personopplysningane vil bli lagra så lenge det er nødvendig for å oppfylle eit gitt formål, eks. til framtidige nyheitsbrev. Etter dette vil opplysningane bli sletta. Du vil ikkje motta direkte marknadsføringar frå MT ved aksept/underskriven/ godkjent samtykke.  Dersom du ynsker nyheitsbrev og meir informasjon fra MT må du gi særskilt samtykke til dette.

4.4 For andre forhold

4.4.1  Religiøs overbevisning og etnisitet.

Slike opplysningar vert ikkje lagra utan samtykke og med bestemt formål gitt av pasient/tilsett

4.4.2  Opptak frå videoovervåkning.

Vert lagra for overvaking av fasadar ved Storfjord Helsesenter der Muritunet leiger ein del lokaler. Dette som proaktivt tiltak for å sikre mot innbrot/hærverk. Vert normalt ikkje avspelt utan i samråd med Politi ved konkrete hendingar.

4.4.3  Nettbasert behandling av personopplysningar

BILDEBRUK: Bilde vi brukar på nettsidene er som oftast illustrasjonsbilete. Personar er enten tilsette eller leigde modellar. Ved ev. bruk av bilde under rehabiliteringsprosessen innhentar vi samtykkeerklæring først.

SOSIALE MEDIER: Muritunet driv ikkje saksbehandling i sosiale medier, og samlar heller ikkje inn data i sosiale medier.

INFORMASJON LAGRA I ELEKTRONISKE SKJEMA: Vi brukar elektroniske skjema til påmelding av e-postadresse til nyheitsbrev, testskjema i Checkware og brukarundersøking gjennom Rambøl. Dette først etter å ha gitt samtykke og godkjenning etter denne Personvernerklæringa. I testskjema og brukarundersøking vert personopplysningane anonymisert. 

INFORMASJONSKAPSLAR (COOKIES) OG AUTOMATISK LAGRING AV INFORMASJON: Informasjonskapslar (cookies) er små tekstfiler som vert lasta ned og lagra på datamaskinen din når du opnar ei nettside. Dei aller fleste nettsider brukar slike informasjonskapslar. Enkelte brukar informasjonskapslar til å forbetre brukaropplevinga di og til å samle inn statistikk. Bruken av informasjonskapslar utgjer ingen sikkerheitsrisiko for deg. Du kan avstå frå å samtykke til lagring av informasjonskapslar, men det kan føre til at tenestene på nettsidene ikkje fungerer optimalt. Muritunet har ikkje tatt i bruk tenester der ein hentar informasjon på denne måten. Følgande blir heller ingen av opplysningane via informasjonskapslar brukt til å identifisere enkeltpersoner.

5. Innsamling av opplysningar

5.1 For pasient

Helseopplysningar går pt. pr. post mellom HF Møre og Romsdal eller Felles henvisningsmottak i Levanger(ReHr) og MT, og som epikrise tilbake til fastlege eller henvisande instans.  MT er tilknytt sikker/kryptert linje gjennom Norsk Helsenett ved eigen databehandlaravtale, og arbeider for at all kommunikasjon etter kvart skal gå elektronisk via dette nettet.

5.2 Personell

Tilbakemelding vedr. søknad på stilling/tilsetting går pr. post.  MT krev all dokumentasjon på formell kompetanse og utdanning sendt gjennom vitnemalsportalen.no. (Kunnskapsdepartementet)  Ev. utanlandsk utdanning/kompetanse skal vere godkjent gjennom Nokut på førehand.

6. Frivillig å utlevere opplysningar

Gjennom å samtykke skriftleg gir du frivillig MT høve til å bruke innsamla data til bruk i våre tenester. Du kan når som helst velje å trekke tilbake samtykket og dermed seie opp denne avtalen. MT vil då slette registrerte opplysningar om deg jf. kap. 8.  Det vert innhenta samtykke frå tenestemottakar om utlevering /overføring av helse- og personopplysningar  til spesialisthelsetenesta, kommunehelse-tenesta/fastlege og NAV .(Jmf. Norm for informasjonssikkerhet 5.2.4).

7.  Utlevering av opplysningar til tredjepart

MT utleverer normalt ikkje dine personopplysningar til andre verksemder. I enkelte tilfelle har MT likevel behov for å bruke tredjeparts leverandører for datasikring av dine opplysningar på server/backupsystem og for det elektroniske systemet/ dataprogrammet som handsamar dine personopplysningar. I dei tilfella MT har behov for å la ein ekstern databehandlar behandle dine personopplysningar blir det nytta ein Databehandlaravtale mellom MT og leverandøren. MT vil følge opp Databehandlaravtalane nøye. MT gjennomfører eigne sikkerhetsinspeksjonar og sikkerheitsrevisjonar overfor tredjepart leverandører for å forsikre oss om at dine personopplysningar blir lagra og behandla på ein sikker måte. MT stiller bl. a krav om at leverandøren ikkje kan behandle registrerte personopplysningar til andre formål enn det som er nedfelt i Databehandlaravtalen. MT vil ikkje utlevere personopplysningar til tredjepartar, med mindre slik utlevering er påkrevd i henhold til gjeldande lovgiving (t.d. Politiet), eller at ein har samtykt særskilt til dette.

8. Sletting og lagring av dine opplysningar

8.1 For pasient

MT lagrar dine personlege data/helsedata så lenge det er nødvendig for å oppfylle formålet med rehabiliteringa, for å yte god service og så lenge pasientforholdet er aktivt. Normalt er kravet lagring i 10 år etter avslutta behandling. Dersom du som pasient avsluttar ditt opphald/forløp gjeld eigne reglar for sletting. Lagring av sensitive data skjer på våre interne server, med backupsystem i Ålesund. Statistikk og analysesystem ligg på eigne soner i intern server. MT vurderer fortløpande behovet for lagring og sletting for dei behandlingane senteret har behov for å gjere, og har etablert eigne rutinar for sletting og lagring av desse systema. (Retting og sletting Ihht. personopplysningslovens §27 og 28)

8.2 For personell

MT lagrar dine personlege opplysningar så lenge det er nødvendig for å oppfylle plikter i tilsettingsforholdet, for å yte god service og så lenge tilsetjingsforholdet er aktivt. Lagring av sensitive data skjer på våre interne server, med backupsystem i Ålesund. MT vurderer fortløpande behovet for lagring og sletting for dei behandlingane senteret har behov for å gjere, og har etablert eigne rutinar for sletting og lagring av desse systema.

9. Dine rettigheiter

Du har rett til å be om innsyn i kva opplysningar som er registrert om deg som følge av personopplysningsloven sin §18. Dersom dei er urette, ufullstendige eller irrelevante, kan du når som helst få dei retta, supplert eller sletta. Dette kan du gjere ved å kontakte behandlingsansvarleg. Ønsker du å lese meir om personvern, sjå www.datatilsynet.no.

10. Sikring av dine opplysningar

MT arbeider systematisk med å oppretthalde eit svært høgt sikkerheitsnivå. IT-ansvarleg i MT har det operasjonelle ansvaret i samarbeid med Ålesund Data for å etablere sikring av elektroniske data, inkludert årlege sikkerheitsrapportar. Vårt Personvernombod er etablert for å sjå til at det vert drifta tilfredsstillande internkontroll og informasjonssikkerheitstiltak for å sikre dine personopplysningar. MT har etablert eit kvalitetssystem som sertifisert etter NS-ISO 9001:2015, inkludert risikostyring og internkontroll. Dette omfattar også behandling av person-opplysningar. MT stiller krav til leverandører som er databehandlarar på vegne av MT at dei skal ha same sikkerheitsnivå som MT.

Adm. dir Behandlingsansvarleg

Celsius