Personvernerklæring

Helse Møre og Romsdal

Dataansvarleg/behandlingsansvarleg for personopplysningar som blir behandla i Helse Møre og Romsdal HF (HMR) er administrerande direktør Espen Remme. HMR behandlar personopplysningar om pasientar, tilsette og andre.  I denne personvernerklæringa skildrar vi i korte trekk korleis HMR behandlar og ivaretek personopplysningar.

Kva er personopplysningar og sensitive personopplysningar?

Ei personopplysning er opplysning som kan knytast til ein fysisk person,  for eksempel:  

  • Namn
  • Adresse
  • Fødselsnummer
  • Sivilstand
  • Yrke
  • Sosiale forhold
  • Eit fotografi
  • Eit videoopptak
  • Eit lydopptak

Nokre personopplysningar er definerte som særlege kategoriar personopplysningar (også kalla sensitive personopplysningar). Desse opplysningane er det i utgangspunktet forbode å behandle:

  • Helseopplysningar
  • Genetiske opplysningar
  • Biometriske opplysningar der føremålet er eintydig identifisering av nokon
  • Opplysningar om seksuelle forhold og seksuell legning
  • Opplysningar om rase eller etnisitet 
  • Opplysningar om politisk eller religiøs oppfatning
  • Opplysningar om filosofisk oppfatning
  • Opplysningar om fagforeiningsmedlemskap
  • Opplysningar om straffedommar og lovbrot

Behandlingsgrunnlag (veileder på datatilsynet.no) Helsepersonelloven (02.07.1999 nr. 64) kapittel 5 Spesialisthelsetjenesteloven (02.07.1999 nr. 61) § 6-1 Forvaltningsloven (10.02.1967) § 13-13 f

Behandling av personopplysninger er regulert i personvernlovgivningen og helselovgivningen

EUs personvernforordning (GDPR) (2016/679-27.4.2016) Personopplysningsloven (15.6.2018 nr. 38) Pasient- og brukerrettighetsloven (2.7.1999 nr. 63) Helsepersonelloven (2.7.1999 nr. 64) Spesialisthelsetjenesteloven (2.7.1999 nr. 61) Psykisk helsevernloven (2.7.1999 nr. 62) Pasientjournalloven (20.6.2014 nr. 42) Helseregisterloven (20.6.2014 nr. 43) Helseforskningsloven (20.6.2008 nr. 44) Arkivloven (4.12.1992 nr. 126) Forvaltningsloven (10.2.1967) Offentleglova (19.5.2006 nr. 16) Forskrift om krav til og organisering av kommunal legevaktordning, ambulansetjeneste, medisinsk nødmeldetjeneste mv. (akuttmedisinforskriften) (20.3.2015 nr. 231) Forskrift om håndtering av medisinsk utstyr (29.11.2013 nr. 1373)


Kvifor samlar HMR inn personopplysningar?

HMR samlar inn personopplysningar til fleire ulike føremål i samband med pasientbehandling, dagleg drift og arbeidet elles i sjukehusa.

Personopplysningar blir samla inn til bruk for:

  • Helsehjelp, administrasjon, internkontroll eller kvalitetssikring av helsehjelpa. Dette er primærbruk av helseopplysninger og blir hovudsakleg regulert av pasientjournallova, og helsepersonellova.
  • Nasjonale kvalitetsregister, forsking, statistikk og andre føremål. Dette er sekundærbruk av helseopplysningar og blir regulert av helseregisterlova, helseforskingslova og personopplysningslova.
  • Personaladministrasjon.
  • Anna saksbehandling.

Hovudmengda av personopplysningar som blir behandla i HMR, er helseopplysningar og andre personlege opplysningar som blir samla inn og brukt til å gi pasientane forsvarleg helsehjelp.

Kvar får HMR personopplysningar frå?

  • HMR får personopplysningar fra pasientar i samband med behandling i sjukehusa.
  • HMR får også personopplysningar om pasientar frå andre, som for eksempel offentlige register som Folkeregisteret, andre helseføretak, fastlegar, kommunar, private sjukehus, avtalespesialistar eller offentlege styresmakter. HMR kan også få opplysningar om pasientar frå føresette og pårørande.
  • Tilsette og studentar gir også personopplysningar om seg sjølv til HMR for å kunne arbeide og studere her.
  • Nokre stadar i bygningsmassen er det kameraovervaking.  Bilda som blir tekne,  er også personopplysningar. Kameraovervaking er skilta.
  • Tilsette har nøkkelkort for å kome seg inn i sjukehuset, og for å kunne ha tilgang til særleg skjerma område som t.d. medisinrom.  Opplysningar frå bruk av korta blir registrerte og lagra i ei viss tid.
  • Når du besøker nettstaden vår, helse-mr.no, samlar vi inn besøksstatistikk og søkeord. I tillegg bruker vi informasjonskapslar, og på sider med innebygd video blir det samla inn data om kven som bruker videoane og kor lenge dei blir avspelt. Sjå også personvernerklæring for helse-mr.no

Når kan Helse Møre og Romsdal behandle personopplysningar?

Personvernforordninga krev at all behandling av personopplysningar skal ha behandlingsgrunnlag (eit rettsleg grunnlag).  Ved behandling av helseopplysningar og andre sensitive personopplysningar,  blir det stilt endå strengare krav. Sensitive personopplysningar kan berre behandlast dersom det i tillegg til behandlingsgrunnlag i personvernforordninga også ligg føre særskilt rettsleg grunnlag.  Slikt særskilt rettsleg grunnlag kan vere ein lovbestemmelse som tydeleg seier kva som er tillate. Helselovene har fleire slike lovbestemmelsar. For eksempel reglane om dokumentasjonsplikt og opplysningsplikt i helsepersonellova.

Personvernforordninga har også ei oversikt over når sensitive personopplysninger likevel vil kunne behandles.

Helse Møre og Romsdal må i kvart enkelt tilfelle vurdere om det ligg føre nødvendig behandlingsgrunnlag og/eller  særskilt rettsgrunnlag. Dersom vi ikkje har behandlingsgrunnlag og særskilt rettsgrunnlag, kan vi ikkje behandle personopplysningar.

Les meir om behandlingsgrunnlag (datatilsynet.no)

Alle som arbeider i,  er praksisstudentar i, eller utfører tenester for HMR har lovpålagt teieplikt. Det er teieplikt mellom personell i HMR. Personopplysningar skal berre vere tilgjengeleg for dei som treng dei for å utføre arbeidet sitt.

Helsepersonelloven (02.07.1999 nr.64) kapittel 5Spesialisthelsetjenesteloven (02.07.1999 nr. 61) § 6-1Forvaltningsloven (10.02.1967) § 13-13 f

Korleis behandlar Helse Møre og Romsdal innsamla personopplysingar?

Det blir stilt krav til HMR om organisering og system som personopplysningane  blir behandla i.  Hovudsakleg brukar HMR elektroniske systemer i behandling av personopplysningar. Helseføretakene i Midt-Noreg har avtale om felles pasientjournalsystem. Personopplysningar blir også behandla manuelt, dvs ved hjelp av utskrifter i papir, som oftast er samla i permar.
Helseføretaka i Midt-Noreg brukar hovudsaklet leverandørar og underleverandørar som held til i Norge, eller elles i EU/EØS.  Pr i dag, har ein få leverandørar som held til utanfor EØS.

Helse Midt-Norge IT som er HMR sin databehandlar i dei fleste sammenhengar har fått gjennomført ekstern vurdering av IT-sikkerheita i samband med etablering og drift av nytt logistikk og økonomisystem i Helse Midt-Norge.  Vi viser til pressemelding frå Helse Midt-Norge RHF frå 21.06.2018.

Behandling av personopplysingar skjer i følgjande samanhengar:

Registrering

Personopplysningar og helseopplysningar blir for eksempel dokumentert i pasientjournal.

Korrigering/endring

Personopplysningar kan korrigerast og/eller endrast etter at den opplysningane gjeld (pasient, tilsett eller andre) har tatt kontakt med Helse Møre og Romsdal og bedt om endring.

Lesing

I samband med arbeid i HMR blir personopplysningar lesne.  For eksempel at helsepersonell les i journalen før og under pasientbehandling, eller sekretærar finn fram adresse for å sende innkalling.

Bearbeiding/samanstilling

Utvalde personopplysningar  blir bearbeidde og samanstilte i interne kvalitetsregister til bruk for internkontroll og kvalitetssikring av helsehjelp til pasientar. Dette er primærbruk av personopplysningene. Bearbeiding/samanstilling av anonymiserte personopplysningar kan også gjerast i samband med forsking- og statistikk,  og er då sekundærbruk av personopplysningane.

Oppbevaring/arkivering

Oppbevaring/arkivering av personopplysningar blir gjort i ulike typar system.

Utlevering av personopplysingar - pasientar

Bestemmelsar i helsepersonellova regulerer utlevering av helseopplysningar til samarbeidande personell.  Det kan vere utlevering til andre avdelingar i sjukehuset i samband med prøvetaking og undersøkelsar, til kommunehelsetenesta og til andre sjukehus som skal behandle pasienten. HMR har også opplysningsplikt etter helsepersonellova, for eksempel plikt til å utlevere personopplysningar til tilsynsstyresmakter,  barnevernsteneste, sosialteneste og naudetatar.  Berre opplysningar som trengs til det aktuelle føremålet blir utleverte. HMR overfører personopplysningar til andre etter samtykke/oppmoding frå pasient.

Utlevering av personopplysingar - tilsette

Personopplysningar om tilsette blir for eksempel utlevert til skatteetaten og NAV.

Offentliggjering

Prinsippet om offentlegheit gjeld for helseføretaka. Det inneber at alle har rett til innsyn i Helse Møre og Romsdal sitt arbeid, for eksempel gjennom opplysningar i saksdokument. Ein kan be om innsyn i personopplysningar i saksdokument uavhengig av det opphavlege føremålet med å behandle opplysningane. Retten til å be om innsyn i personopplysningar gjeld ikkje dersom personopplysningane er underlagt lovpålagt teieplikt. Då er Helse Møre og Romsdal forplikta til å unnta personopplysningane fra innsyn etter offentliglova.

Sletting

Arkivlova gjeld for helseføretaket. Derfor skal ikkje opplysningar i pasientjournal slettast. Saker og saksdokument som er arkivverdige skal oppbevarast etter at sakene er avslutta,  og ikkje lenger er nødvendig for helseføretaket si løpende verksemd. Det gjer at personopplysningar i saksdokument blir arkivert lenger enn det som er nødvendig for det opphavlege føremålet.

Korleis beskyttar HMR personopplysningane?

Det er etablert rutinar og system for informasjonssikkerheit som sikrar at personopplysningane blir behandla og beskytta i samsvar med krava som er stilt i personvernforordninga og i nasjonal lovgjeving.


Sikkerheitsbrot

Helse Møre og Romsdal vil informere deg ved brot på informasjonssikkerheit som fører til risiko for dine rettar.

Dine rettar

På visse vilkår har du rett til å:

  • Få informasjon om korleis Helse Møre og Romsdal behandlar personopplysningar.
  • Få vite kva personopplysningar HMR behandlar om deg. Du har rett til innsyn i personopplysningane i form av kopi.
  • Få korrigert eller sletta personopplysningane dine.
  • Kreve avgrensing i behandling av eigne personopplysningar.

Les meir om innsyn og avgrensing i innsyn av opplysingar i pasientjornalen.

Les meir om dine rettar (datatilsynet.no)

For ytterlegare informasjon, ta kontakt med informasjonssikkerheitsrådgivar Laila Eikset.

Adresse: Informasjonssikkerheitsrådgivar, Helse Møre og Romsdal HF, Pb 1600, 6026 Ålesund

Dersom meldinga di ikkje inneheld opplysingar som er underlagt teieplikta kan du sende e-post til informasjonssikkerheitsrådgivar ved postmottak@helse-mr.no  


Klagerett

Dersom du meiner at HMR behandlar dine personopplysningar i strid med lovgivinga, bør du ta kontakt med oss.

Postadresse

 Informasjonssikkerheitsrådgivar, Helse Møre og Romsdal, Postboks 1600, 6026 Ålesund

Viss du ikkje skal sende opplysningar som er omfatta av teieplikta,  kan du sende e-post til oss: postmottak@helse-mr.no

Informasjonssikkerheitsrådgivar er Laila Eikeset.

Fann du det du leita etter?
Tilbakemeldinga vil ikkje bli svart på. Ikkje send personleg informasjon, for eksempel epost, telefonnummer eller personnummer.