Personvernerklæring - Helse Nord-Trøndelag HF

En personopplysning er enhver opplysning som kan knyttes til en fysisk person, for eksempel:

• Navn
• Adresse
• Fødselsnummer
• Sivilstand
• Yrke
• Sosiale forhold
• Et fotografi
• Et videoopptak
• Et lydopptak

En rekke personopplysninger er definert som særlige kategorier personopplysninger, også kalt sensitive personopplysninger. Disse opplysningene er det i utgangspunktet forbudt å behandle:

• Helseopplysninger
• Genetiske opplysninger
• Biometriske opplysninger med formål entydig å identifisere noen
• Opplysninger om seksuelle forhold og seksuell legning
• Opplysninger om rasemessig eller etnisk opprinnelse
• Opplysninger om politisk eller religiøs oppfatning
• Opplysninger om filosofisk overbevisning
• Opplysninger om fagforeningsmedlemsskap
• Opplysninger om straffedommer og lovovertredelser

Behandlingsgrunnlag (veileder på datatilsynet.no)

Helsepersonelloven (02.07.1999 nr. 64) kapittel 5

Spesialisthelsetjenesteloven (02.07.1999 nr. 61) § 6-1

Forvaltningsloven (10.02.1967) § 13-13 f

EUs personvernforordning (GDPR) (2016/679-27.4.2016)

Personopplysningsloven (15.6.2018 nr. 38)

Pasient- og brukerrettighetsloven (2.7.1999 nr. 63)

Helsepersonelloven (2.7.1999 nr. 64)

Spesialisthelsetjenesteloven (2.7.1999 nr. 61)

Psykisk helsevernloven (2.7.1999 nr. 62)

Pasientjournalloven (20.6.2014 nr. 42)

Helseregisterloven (20.6.2014 nr. 43)

Helseforskningsloven (20.6.2008 nr. 44)

Arkivloven (4.12.1992 nr. 126)

Forvaltningsloven (10.2.1967)

Offentleglova (19.5.2006 nr. 16)

Forskrift om krav til og organisering av kommunal legevaktordning, ambulansetjeneste, medisinsk nødmeldetjeneste mv. (akuttmedisinforskriften) (20.3.2015 nr. 231)

Forskrift om håndtering av medisinsk utstyr (29.11.2013 nr. 1373)

Helse Nord-Trøndelag samler inn personopplysninger til en rekke forskjellige formål som ledd i pasientbehandling, daglig drift og oppgaveløsning for øvrig i sykehusene.

Det samles inn personopplysninger til:

• Helsehjelp, administrasjon, internkontroll eller kvalitetssikring av helsehjelpen. Dette er primærbruk av helseopplysninger og reguleres blant annet av pasientjournalloven og helsepersonelloven.
• Nasjonale kvalitetsregistre, forskning, statistikk o.a. formål. Dette er sekundærbruk av helseopplysninger og reguleres av helseregisterloven.
• Personaladministrasjon
• Saksbehandling forøvrig

Hovedmengden av personopplysningene som behandles i Helse Nord-Trøndelag, er helseopplysninger og andre personlige opplysninger som samles inn og brukes for å gi pasientene forsvarlig helsehjelp.

Helse Nord-Trøndelag får personopplysninger fra pasienter i forbindelse med behandling på et av sykehusene.

Helse Nord-Trøndelag får også personopplysninger om pasienter fra andre, som for eksempel offentlige registre som Folkeregisteret, andre helseforetak, fastleger, kommuner, private sykehus, avtalespesialister eller offentlige myndigheter. Helse Nord-Trøndelag kan også få opplysninger om pasienter fra foresatte og pårørende.

Ansatte og studenter gir også personopplysninger om seg selv til Helse Nord-Trøndelag for å kunne utføre arbeid og studier her.

På enkelte steder i bygningsmassen er det kameraovervåkning. Bildene som tas er også personopplysninger. Kameraovervåkning er skiltet.

Når du besøker nettstedet vårt, hnt.no, samler vi inn besøksstatistikk og søkeord. I tillegg bruker vi informasjonskapsler, og på sider med innebygget video blir det samlet inn data om hvem som bruker videoene og hvor lenge de blir avspilt.

Personvernerklæring for hnt.no

Personvernforordningen krever at all behandling av personopplysninger skal ha et behandlingsgrunnlag (et rettslig grunnlag). Behandling av helseopplysninger og andre sensitive personopplysninger er underlagt enda strengere krav. Sensitive personopplysninger kan bare behandles dersom det i tillegg til et behandlingsgrunnlag i personvernforordningen også foreligger et særskilt rettslig grunnlag.  Et slikt særskilt rettslig grunnlag kan være en lovbestemmelse som tydelig beskriver hva som er tillatt. Helselovgivningen inneholder flere slike lovbestemmelser. For eksempel bestemmelsene om dokumentasjonsplikt og opplysningsplikt i helsepersonelloven.

Personvernforordningen har også en oversikt over når sensitive personopplysninger likevel vil kunne behandles.

Helse Nord-Trøndelag må i hvert enkelt tilfelle vurdere om det foreligger nødvendig behandlingsgrunnlag og særskilt rettsgrunnlag.
Dersom Helse Nord-Trøndelag ikke har behandlingsgrunnlag og særskilt rettsgrunnlag, kan ikke Helse Nord-Trøndelag behandle personopplysninger.

Behandlingsgrunnlag (veileder fra datatilsynet.no)

Alle som utfører arbeid eller tjeneste for Helse Nord-Trøndelag har lovpålagt taushetsplikt. Det er taushetsplikt mellom personell i Helse Nord-Trøndelag. Personopplysninger skal kun være tilgjengelig for dem som har et tjenstlig behov.

Helsepersonelloven (02.07.1999 nr. 64) kapittel 5

Spesialisthelsetjenesteloven (02.07.1999 nr. 61) § 6-1

Forvaltningsloven (10.02.1967) § 13-13 f

Det stilles krav til Helse Nord-Trøndelag om organisering og systemer som personopplysningene behandles i. Helse Nord-Trøndelag behandler personopplysninger hovedsakelig i elektroniske systemer. Helseforetakene i Midt-Norge har inngått avtale om felles pasientjournalsystem.
Helseforetakene i Midt-Norge bruker i hovedsak leverandører og underleverandører innenfor EU/EØS.
Det er pr. i dag få leverandører utenfor EU/EØS.

Helse Midt-Norge IT, som er HNTs databehandler i de fleste sammenhenger, har fått gjennomført en ekstern vurdering av IT-sikkerheten i forbindelse med etablering og drift av nytt logistikk og økonomisystem i Helse Midt-Norge. Det vises til Helse Midt-Norge RHFs pressemelding av 21.6.2018.

Det forgår også manuell behandling av personopplysninger. Behandling av personopplysninger gjøres i følgende sammenhenger:

Registrering

Personopplysninger registreres for eksempel ved at helseopplysninger dokumenteres i pasientjournal.

Korrigering/endring

Personopplysninger kan korrigeres og/eller endres etter henvendelse fra den opplysningene gjelder (pasient, ansatt eller andre).

Lesing

I forbindelse med oppgaveløsning i Helse Nord-Trøndelag blir personopplysninger lest. Eksempel: Før pasientbehandling leser helsepersonell i pasientens journal.

Bearbeiding / sammenstilling

Utvalgte personopplysninger bearbeides og sammenstilles i virksomhetsinterne kvalitetsregistre for internkontroll og kvalitetssikring av helsehjelp til de enkelte pasienter. Dette er primærbruk av personopplysningerene. Bearbeiding / sammenstilling av anonymiserte personopplysninger kan også skje i forsknings- og statistikkøyemed, og er da sekundærbruk av personopplysningene.

Oppbevaring / arkivering

Oppbevaring/arkivering av personopplysninger skjer i ulike typer systemer.

Ulevering  av personopplysninger - pasienter

Bestemmelser i helsepersonelloven regulerer utlevering av helseopplysninger til samarbeidende personell. Helse Nord-Trøndelag har opplysningsplikt etter helsepersonelloven, for eksempel til å utlevere personopplysninger til tilsynsmyndighetene. Det er opplysningsplikt til barneverntjeneste, sosialtjeneste og nødetater. Til dem utleveres kun de personopplysninger som er nødvendig for å dekke deres formål. Helse Nord-Trøndelag overfører personopplysninger til andre etter samtykke / anmodning fra pasient.

Utlevering av personopplysninger - ansatte

Personopplysninger om ansatte utleveres for eksempel til skattemyndighetene og NAV.

Offentliggjøring

Offentlighetsprinsippet gjelder for helseforetakenes virksomhet. Det innebærer at enhver har rett til innsyn i Helse Nord-Trøndelags virksomhet, for eksempel i opplysninger i saksdokumenter. Det kan bes om innsyn i personopplysninger i saksdokumenter uavhengig av det opprinnelige formålet med å behandle opplysningene. Retten til å be om innsyn i personopplysninger gjelder ikke dersom personopplysningene er underlagt lovpålagt taushetsplikt. Da er Helse Nord-Trøndelag forpliktet til å unnta personopplysningene fra innsyn etter offentlighetsloven.

Sletting

Arkivloven gjelder for helseforetakets virksomhet. Derfor skal opplysninger i din pasientjournal ikke slettes. Saker og saksdokumenter som er arkivverdige skal oppbevares etter at sakene er avsluttet og ikke lenger er nødvendig for helseforetakets løpende virksomhet. Dette innebærer at personopplysninger i saksdokumenter blir arkivert lenger enn hva som er nødvendig for det opprinnelige formålet.

Ekstern rapport om IT-sikkerhet (pressemelding 21.6.2018 på helse-midt.no)

Det er etablert rutiner og systemer for informasjonssikkerhet som sikrer at personopplysningene behandles og beskyttes i henhold til de krav som stilles i personvernforordningen og i nasjonal lovgivning.

Lenke til Helse Nord-Trøndelags informasjonssikkerhetspolicy (kommer)

Helse Nord-Trøndelag underretter deg ved brudd på informasjonssikkerheten som innebærer risiko for dine rettigheter.

På bestemte vilkår har du rett til å:

• få informasjon om hvordan Helse Nord-Trøndelag behandler personopplysninger.
• få vite hvilke personopplysninger Helse Nord-Trøndelag behandler om deg. Du har rett til innsyn i personopplysningene i form av en kopi.
• få korrigert eller slettet dine personopplysninger.
• kreve begrensning av behandling av egne personopplysninger.

Dine rettigheter (datatilsynet.no)

For ytterligere informasjon, ta kontakt med informasjonssikkerhetsrådgiver Heidi Værdal.
Post: Informasjonssikkerhetsrådgiver, Helse Nord-Trøndelag HF (HNT), Postboks 333, 7601 Levanger
Dersom din henvendelse ikke inneholder taushetsbelagte opplysninger kan du sende e-post til informasjonssikkerhetsrådgiver ved postmottak@hnt.no
Besøksadresse: Kirkegata 2, 7600 Levanger

Dersom du mener at Helse Nord-Trøndelag behandler dine personopplysninger i strid med lovgivningen, bør du først ta kontakt med oss. 

Helse Nord-Trøndelags personvernombud

Du har rett til å klage til Datatilsynet hvis du mener at Helse Nord-Trøndelag ikke behandler dine personopplysninger i samsvar med lovgivningen.

Hvordan kan jeg klage til datatilsynet (datatilsynet.no)