Personvernerklæring for St. Olavs hospital

St. Olavs hospital behandler en rekke personopplysninger om pasienter, ansatte og andre.  I denne personvernerklæringen beskrives i korte trekk hvordan St. Olavs hospital behandler og beskytter personopplysningene.

Hvorfor samler St. Olavs hospital inn personopplysninger?

St. Olavs hospital samler inn personopplysninger til en rekke forskjellige formål som ledd i pasientbehandling, daglig drift og oppgaveløsning for øvrig i sykehusene.

Det samles inn personopplysninger til:

  • Helsehjelp, administrasjon, internkontroll eller kvalitetssikring av helsehjelpen 
  • Nasjonale kvalitetsregistre, forskning, statistikk og andre formål 
  • Personaladministrasjon
  • Saksbehandling forøvrig

Hovedmengden av personopplysningene som behandles av St. Olavs hospital, er helseopplysninger og andre personlige opplysninger som samles inn og brukes for å gi pasientene forsvarlig helsehjelp.

Behandlingsansvarlig for personopplysningene som behandles av St. Olavs hospital er administrerende direktør Rune Wiseth.

Hva er personopplysninger og sensitive personopplysninger?

En personopplysning er enhver opplysning som kan knyttes til en fysisk person, for eksempel:   

  • Navn
  • Adresse
  • Fødselsnummer
  • Sivilstand
  • Yrke
  • Sosiale forhold
  • Et fotografi
  • Et videoopptak
  • Et lydopptak

En rekke personopplysninger er definert som særlige kategorier personopplysninger (også kalt sensitive personopplysninger):

  • Helseopplysninger
  • Genetiske opplysninger
  • Biometriske opplysninger med formål å entydig identifisere noen
  • Opplysninger om rasemessig eller etnisk opprinnelse 
  • Opplysninger om politisk eller religiøs oppfatning
  • Opplysninger om filosofisk overbevisning
  • Opplysninger om fagforeningsmedlemskap
  • Opplysninger om seksuelle forhold og seksuell legning
  • Opplysninger om straffedommer og lovovertredelser

Behandling av personopplysninger er regulert i personvernlovgivningen og helselovgivningen

  • EUs personvernforordning (GDPR) (2016/679-27.4.2016); Innlemmet i norsk rett
  • Personopplysningsloven (15.6.2018 nr. 38 ) 
  • Pasient- og brukerrettighetsloven (2.7.1999 nr. 63)
  • Helsepersonelloven (2.7.1999 nr. 64)
  • Spesialisthelsetjenesteloven (2.7.1999 nr. 61)
  • Psykisk helsevernloven (2.7.1999 nr. 62)
  • Pasientjournalloven (20.6.2014 nr. 42) 
  • Helseregisterloven (20.6.2014 nr. 43) 
  • Helseforskningsloven (20.6.2008 nr. 44)
  • Arkivloven (4.12.1992 nr. 126)
  • Forvaltningsloven (10.2.1967) 
  • Offentleglova (19.5.2006 nr. 16) 
  • Forskrift om krav til og organisering av kommunal legevaktordning, ambulansetjeneste, medisinsk nødmeldetjeneste mv. (akuttmedisinforskriften) (20.3.2015 nr. 231)
  • Forskrift om håndtering av medisinsk utstyr (29.11.2013 nr. 1373)

Hvor får St. Olavs hospital personopplysninger fra?

St. Olavs hospital får personopplysninger fra pasienter i forbindelse med behandling på et av sykehusene.

St. Olavs hospital får også personopplysninger om pasienter fra andre, som for eksempel offentlige registre som Folkeregisteret, andre helseforetak, fastleger, kommuner, private sykehus, avtalespesialister eller offentlige myndigheter. St. Olavs hospital kan også få opplysninger om pasienter fra foresatte og pårørende.

Ansatte og studenter gir personopplysninger om seg selv til St. Olavs hospital for å kunne utføre arbeid og studier her.

På enkelte steder i bygningsmassen er det kameraovervåkning. Bildene som tas er også personopplysninger. Kameraovervåkning er skiltet.

Hvordan behandler St. Olavs hospital personopplysninger?

Personvernforordningen krever at all behandling av personopplysninger skal ha et behandlingsgrunnlag (et rettslig grunnlag).  Behandling av helseopplysninger og andre sensitive personopplysninger er underlagt enda strengere krav. Sensitive personopplysninger kan bare behandles dersom det i tillegg til et behandlingsgrunnlag i personvernforordningen også foreligger et særskilt rettslig grunnlag. Et slikt særskilt rettslig grunnlag kan for eksempel være en lovbestemmelse som tydelig beskriver hva som er tillatt. Helselovgivningen inneholder flere slike lovbestemmelser, for eksempel bestemmelsene om dokumentasjonsplikt og opplysningsplikt i helsepersonelloven og bestemmelser i pasientjournalloven.

Personvernforordningen har også en oversikt over når sensitive personopplysninger likevel vil kunne behandles.

St. Olavs hospital må i hvert enkelt tilfelle vurdere om det foreligger nødvendig behandlingsgrunnlag og særskilt rettsgrunnlag.

Dersom St. Olavs hospital ikke har behandlingsgrunnlag og særskilt rettsgrunnlag, kan ikke St. Olavs hospital behandle personopplysninger.

Alle som utfører arbeid eller tjeneste for St. Olavs hospital har lovpålagt taushetsplikt. Det er taushetsplikt mellom personell i St. Olavs hospital, og personopplysninger skal kun være tilgjengelig for dem som har et tjenstlig behov.

Slik behandler St. Olavs hospital personopplysninger etter innsamling

  • Registrering: Personopplysninger registreres for eksempel ved at helseopplysninger dokumenteres i pasientjournal.
  • Korrigering/endring: Personopplysninger kan korrigeres og/eller endres etter henvendelse fra den opplysningene gjelder (pasient, ansatt eller andre).
  • Lesing: I forbindelse med oppgaveløsning i St. Olavs hospital blir personopplysninger lest.  Ved pasientbehandling leser f.eks. helsepersonell i pasientens journal.
  • Bearbeiding/sammenstilling: Utvalgte personopplysninger bearbeides og sammenstilles i virksomhetsinterne kvalitetsregistre for internkontroll og kvalitetssikring av helsehjelp til de enkelte pasienter. Dette er primærbruk av personopplysningene. Bearbeiding/sammenstilling av anonymiserte personopplysninger kan også skje i forsknings- og statistikkøyemed og er da sekundærbruk av personopplysningene.
  • Oppbevaring/arkivering av personopplysninger skjer i ulike typer systemer.
  • Utlevering: Bestemmelser i helsepersonelloven regulerer utlevering av helseopplysninger til samarbeidende personell.  St. Olavs hospital har også opplysningsplikt etter helsepersonelloven, for eksempel til å utlevere personopplysninger til tilsynsmyndighetene. Det er opplysningsplikt til barneverntjeneste, sosialtjeneste og nødetater. Til dem utleveres kun de personopplysninger som er nødvendig for å dekke deres formål. St. Olavs hospital overfører personopplysninger til andre etter samtykke/anmodning fra pasient.
  • Personopplysninger om ansatte utleveres for eksempel til skattemyndighetene og NAV.
  • Offentliggjøring: Offentlighetsloven  gjelder for helseforetakenes virksomhet. Det innebærer at enhver har rett til innsyn i St. Olavs hospitals virksomhet, for eksempel i opplysninger i saksdokumenter. Det kan bes om innsyn i personopplysninger i saksdokumenter uavhengig av det opprinnelige formålet med å behandle opplysningene. Retten til å be om innsyn i personopplysninger gjelder ikke dersom personopplysningene er underlagt lovpålagt taushetsplikt. Da er St. Olavs hospital forpliktet til å unnta personopplysningene fra innsyn etter offentlighetsloven.
  • Sletting: Arkivloven gjelder for helseforetakets virksomhet. Derfor skal opplysninger i din pasientjournal ikke slettes. Saker og saksdokumenter som er arkivverdige skal oppbevares etter at sakene er avsluttet og ikke lenger er nødvendig for St. Olavs hospitals løpende virksomhet. Dette innebærer at personopplysninger i saksdokumenter blir arkivert lenger enn hva som er nødvendig for det opprinnelige formålet.

 

Det stilles også krav til St. Olavs hospital om organisering og systemer som personopplysningene behandles i.  St. Olavs hospital behandler personopplysninger hovedsakelig i elektroniske systemer. Helseforetakene i Midt-Norge har inngått avtale om felles pasientjournalsystem.

Helseforetakene i Midt-Norge bruker i hovedsak leverandører og underleverandører innenfor EU/EØS. Det er pr. i dag få leverandører utenfor EU/EØS.

Helse Midt-Norge IT, som er databehandler for St. Olavs hospital i de fleste sammenhenger, har fått gjennomført en ekstern vurdering av IT-sikkerheten i forbindelse med etablering og drift av nytt logistikk og økonomisystem i Helse Midt-Norge.  

Les Helse Midt-Norge RHFs pressemelding "Ekstern rapport om IT-sikkerhet"

Det forgår også manuell behandling av personopplysninger.

Hvordan beskytter St. Olavs hospital dine personopplysninger?

Det er etablert rutiner og systemer for informasjonssikkerhet som sikrer at personopplysningene behandles og beskyttes i henhold til de krav som stilles i personvernforordningen og i nasjonal lovgivning.

Sikkerhetsbrudd

St. Olavs hospital underretter deg ved brudd på informasjonssikkerheten som innebærer risiko for dine rettigheter.

Dine rettigheter

På bestemte vilkår har du rett til å:

  • Få informasjon om hvordan St. Olavs hospital behandler personopplysninger
  • Få vite hvilke personopplysninger St. Olavs hospital behandler om deg. Du har rett til innsyn i personopplysningene i form av en kopi
  • Få korrigert eller slettet dine personopplysninger
  • Kreve begrensning av behandling av egne personopplysninger

Klagerett

Dersom du mener at St. Olavs hospital behandler dine personopplysninger i strid med lovgivningen, bør du først ta kontakt med St. Olavs hospital.

Du har rett til å klage til Datatilsynet hvis du mener at St. Olavs hospital ikke behandler dine personopplysninger i samsvar med lovgivningen.

Besøk på hjemmesider

Når du besøker St. Olavs hospitals nettsider (stolav.no) samler vi ikke inn personopplysninger, men vi samler besøksstatistikk og søkeord. I tillegg brukes det informasjonskapsler (cookies). Disse opplysningene kan ikke identifisere deg som enkeltperson.

Du kan sende oss tilbakemeldinger på nettsidene. Du bestemmer selv hvilke opplysninger vi skal motta og lagre.

På stolav.no lenker vi til andre nettsteder. St. Olavs hospital er ikke ansvarlige for disse nettsidene.

Personvernombud

Personvernombudet skal ivareta personverninteressene til alle som får sine personopplysninger registrert av St. Olavs hospital. Personvernombudet har en uavhengig stilling i sitt arbeid som ombud.

For tida er NSD leid inn som personvernombud i forbindelse med forsknings- og studentprosjekter ved
St. Olavs hospital.

Kontaktinformasjon personvernombud:
NSD – Norsk senter for forskningsdata AS, Harald Hårfagres gate 29, N-5007 Bergen Norway
Dersom din henvendelse ikke inneholder taushetsbelagte opplysninger, kan du sende e-post til personvernombudet: nsd@nsd.no.

Dette er personvernombudets oppgaver

Personvernombudets hovedoppgave er å informere og gi råd om de forpliktelsene virksomheten har etter personvernlovgivningen til den dataansvarlige eller databehandleren, samt til de ansatte som utfører behandlingen av personopplysninger.

Personvernombudet skal dessuten blant annet

  • Kontrollere overholdelsen av personvernregelverket
  • Gi råd om vurdering av personvernkonsekvenser (DPIA)
  • Samarbeide med Datatilsynet og fungere som kontaktpunkt
  • Prioritere innsats der personvernrisikoen er høyest
  • Bidra til å få oversikt over behandlingene i virksomheten

Kontaktinformasjon: 

St. Olavs hospital HF,  Postboks 3250 Torgarden, 7006 Trondheim.
Dersom din henvendelse ikke inneholder taushetsbelagte opplysninger kan du sende e-post til St. Olavs hospital:
post@stolav.no

Fant du det du lette etter?
Vi kan ikke svare deg på tilbakemeldingen. Ikke send oss personlig informasjon, for eksempel navn, e-post, telefonnummer eller fødselsnummer.