Personvern
GDPR (General Data Protection Regulation for EU/EØS) er et personvernregelverk som kom i Norge, den 1. juli 2018. Lovverket setter rammer for innsamling og bruk av person-opplysninger.
All behandling av personopplysninger skal være lovlig, rettferdig og gjennomsiktig. Med personopplysning menes enhver opplysning om en identifisert eller identifiserbar fysisk person (den registrerte). Personhelsedata defineres som sensitive personopplysninger.
Bedriftshelse Nord har alltid tatt personvern på alvor. Vårt personell som kan komme i befatning med personopplysninger har taushetsplikt. Bedriftshelse Nords håndtering av disse opplysningene skjer i samsvar med den til enhver tid gjeldende personvernlovgivning i tillegg til regelverket for bedriftshelsetjenester. (Herunder helsepersonelloven)
Vi ønsker at våre kunder skal kjenne sine ansattes databeskyttelsesrettigheter og vårt juridiske grunnlag for å behandle person-opplysninger i henhold til EUs nye personvernforordning. Bedriftshelse Nord har som mål er å ivareta alle våre kunder og deres ansatte på en best mulig måte. Og det er viktig at våre kunder har gode rutiner på behandling av sine ansattes personopplysninger.
Grunnlag for innsamling av personopplysninger:
Det sentrale punkt er om en person kan identifiseres på bakgrunn av opplysningene. Omfanget av registrerte personopplysninger skal ikke være større enn nødvendig for oppdraget.
Bedriftshelse Nord samler inn, bruker og lagrer både opplysninger om virksomheten og sensitive personopplysninger om deres ansatte. Det rettslige grunnlaget finnes i GDPR artikkel 6 og 9, Arbeidsmiljøloven, Helseregisterloven, Helsepersonelloven, Pasientjournalloven, Forskrift om utførelse av arbeid og Forskrift om pasientjournal.
Personvernerklæring for Bedriftshelse Nord:
Bedriftshelse Nord må registrere noen personopplysninger for å kunne følge opp kundeforholdet og de ansattes helse. Det kan innbefatte kontaktinformasjon for å opprette bedriftsjournal og pasientjournal (f.eks. navn, fødselsnummer, adresse og telefonnummer), administrasjon av timeavtaler. Vi vil kun samle inn og bruke de personopplysninger som er nødvendige ut fra formål eller regulering i lov eller forskrift.
Datakontroll
Våre helsesystemer med tilhørende databaser forenkler gjenfinning, bidrar til en bedre internkontroll og sikrer personvernet for våre kunder og ansatte.
Retting og sletting:
Det er viktig at opplysningene vi har registrert er riktige. Våre kunders ansatte kan, på egne vegne, kreve at vi retter eller sletter personopplysninger hvis disse er mangelfulle eller unødvendige.
Retting og sletting av opplysninger i pasientjournal er hjemlet i regelverket noe som gir noen begrensende unntak. Har du spørsmål om dette så kan du ta kontakt med oss.
Bedriftshelse Nord sletter registrerte personopplysninger når de ikke lenger er nødvendige for å oppfylle formålet de ble innhentet for. For pasientjournaler gjelder egne regler om oppbevaring.
Allmennhelseopplysninger skal, i utgangspunktet, slettes når det her gått mer enn 10 år etter siste journalpåføring. Unntaksvis skal pasientjournaler for ansatte som har vært utsatt for risikofylte eksponeringer; som asbeststøv, bly, kreftfremkallende kjemikalier, bergarbeid, m.fl., oppbevares i opptil 60 år.
Innsyn:
Registrerte ansatte hos våre kunder kan på egne vegne be om å få informasjon om hvilke personopplysninger vi behandler, og hvordan vi håndterer disse.
Dette inkluderer den ansattes rett til innsyn i egen pasientjournal, hvem som har hatt tilgang til denne og hvem som har fått utlevert opplysninger herfra. Pasientjournalen er en taushetsbelagt informasjon og vil ikke bli delt med andre, med mindre den ansatte/pasienten samtykker til dette.
Leder og HR-funksjoner kan få oversendt lister over deltagere ved lovpålagte leveranser (f.eks. Målretta helseundersøkelser og yrkesvaksinering) og deltagelse ved helsesertifiseringer med konklusjon på skikkethet av helsen (som f.eks. godkjent/ikke godkjent røyk og kjemikaliedykker).
Databehandling av personopplysninger i Bedriftshelse Nord_
Bedriftshelse Nord systematiserer innhentet informasjon i en database, der innsamlede data lagres sikkert enten i våre systemer eller i pasientjournal. Vi har databehandleravtale med de ulike aktørene som igjen garantere for sikkerheten og at opplysningen er trygt oppbevart og tatt hånd om (lagret og sikkerhetskopieres). Bedriftshelse Nords ansatte har autorisert tilgang til bedriftsjournal med opplysninger om bedriften.
Når våre kunders ansatte mottar bedriftshelsetjenester fra Bedriftshelse Nord har vårt helsepersonell plikt til å føre en pasient-journal. I pasientjournalen registrerer vi de opplysningene som er nødvendige for å gi riktig tjeneste f.eks.sykdomshistorikk, tidligere behandlinger, medikamentbruk, resepter, diagnoser, prøveresultater, og opplysninger fra andre behandlingssteder m.m.
Tilgang til pasient-journal er begrenset til helsepersonell og medhjelpere som leverer helsetjenester til ansatte og pasienter. Helselovgivningen gir klar føring på begrensning av innsyn i pasientjournal til helse-personell med behandlerfunksjon.
Bedriftshelse Nord loggfører innsyn i pasientjournaler. Sammen med våre systemleverandører arbeider vi med å få gode og sikre personvernløsninger i våre helsesystemer.
Databehandleravtale:
Bedriftshelse Nord er behandlingsansvarlig for personopplysninger fra ansatte hos våre kunder etter inngått avtale, både i forbindelse med leveranse av bedriftshelsetjenester og øvrige tjenester.
Bedriftshelse Nord behandler personopplysningene som en del av tjenesteleveransen.
Bedriftshelse Nord inngår derfor ikke databehandleravtaler med sine kunder. Dette er også i henhold til Datatilsynets vurdering av ansvar for levering av bedriftshelsetjenester. Det at Bedriftshelse Nord mottar ansattlister med navn, fødselsnummer, epost og avdelingstilhørighet fra kundene, fordrer i seg selv ingen data-behandleravtale, fordi dette anses som en overføring av data mellom to selvstendige behandlingsansvarlige.
Bedriftshelse Nord skal ha en fri og uavhengig stilling i arbeidsmiljøspørsmål og er ansvarlig for å operere i tråd med de krav som følger av lov og forskrift.
Sikkerhet og risikovurdering:
Bedriftshelse Nord tar ansvar for å vurdere sikkerhetsrisiko og konfidensialitet i forhold til personvernet. Det er viktig for oss at informasjonen vi sitter på blir behandlet i tråd med gjeldende lovverk og forskrifter. Ingen registrerte personopplysninger skal være tilgjengelig for uvedkommende. Ansatte i Bedriftshelse Nord, som gis tilgang til beskyttelsesverdige personopplysninger, må underskrive en taushets-erklæring og skal ha et tjenestebehov for å åpne en pasientjournal. Vi har flere rutiner som beskytter personsikkerheten.
For å ivareta sikkerheten i registrerte helseopplysninger er det viktig at også all kommunikasjon er trygg. Helseopplysninger og andre sensitive opplysninger skal ikke sendes via epost eller på andre (inklusive sosiale) medier som ikke ivaretar konfidensialiteten. Våre kunder blir informert om sikre måter for å utveksle personopplysninger.
Et eventuelt sikkerhetsbrudd vil bli varslet innen kort tid i henhold til GDPRs strenge krav til avvikshåndtering. Innhold i varslet og hvem som skal varsles er gjort kjent i vår organisasjon.
Vi i Bedriftshelse Nord arbeider kontinuerlig for å være i tråd med personvernregelverket slik at alle våre kunder og brukere skal være trygge på at innsamlet, lagret og kommunisert personinformasjon blir behandlet på en forsvarlig måte.
Bedriftshelse Nord AS
Postboks 255
9305 Finnsnes
Tlf.: 77 85 25 50
post@bedriftshelsenord.no