Personvernerklæring for St. Olavs hospital

St. Olavs hospital samler inn personopplysninger til en rekke forskjellige formål som ledd i pasientbehandling, daglig drift og oppgaveløsning for øvrig i sykehusene.

Hovedmengden av personopplysningene som behandles av St. Olavs hospital, er helseopplysninger og andre personlige opplysninger som samles inn og brukes for å gi pasientene forsvarlig helsehjelp

Utover dette samles det inn personopplysninger til blant annet:

• Administrasjon, internkontroll og kvalitetssikring av helsehjelpen
• Nasjonale kvalitetsregistre, forskning og statistikk

Behandlingsansvarlig for personopplysningene som behandles av St. Olavs hospital er administrerende direktør.

En personopplysning er enhver opplysning som kan knyttes til en fysisk person, for eksempel:

• Navn
• Adresse
• Fødselsnummer
• Sivilstand
• Yrke
• Sosiale forhold
• Et fotografi
• Et videoopptak
• Et lydopptak

En rekke personopplysninger defineres som særlige kategorier personopplysninger (også kalt sensitive personopplysninger):

• Helseopplysninger
• Genetiske opplysninger
• Biometriske opplysninger med formål å entydig identifisere noen
• Opplysninger om rasemessig eller etnisk opprinnelse
• Opplysninger om politisk eller religiøs oppfatning
• Opplysninger om filosofisk overbevisning
• Opplysninger om fagforeningsmedlemskap
• Opplysninger om seksuelle forhold og seksuell legning

For at St. Olavs hospital skal kunne behandle personopplysninger, kreves det et lovlig grunnlag. I personvernforordningen kalles dette et behandlingsgrunnlag.

Personvernforordningen (art. 6) viser til seks ulike behandlingsgrunnlag for behandling av personopplysninger:

• Den registrerte har samtykket til behandlingen.
• Behandling er nødvendig for å oppfylle en avtale med den registrerte.
• Behandlingen er nødvendig for å oppfylle en rettslig forpliktelse (med hjemmel i lov).
• Behandling er nødvendig for å verne den registrertes eller en annen persons vitale interesser.
• Behandling er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som dataansvarlige er pålagt.
• Behandling er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern.

Du kan lese mer om behandling av helse- og personopplysni​nger her (eHelse.no​)

Sensitive personopplysninger krever at man har et særskilt rettsgrunnlag, i tillegg til behandlingsgrunnlag, for å behandle denne typen opplysninger. Du finner mer informasjon om dette på Datatilsynets nettside.

St. Olavs hospital må i hvert enkelt tilfelle vurdere om det foreligger nødvendig behandlingsgrunnlag og særskilt rettsgrunnlag. Dersom det ikke gjør det, kan ikke St. Olavs hospital behandle personopplysningene.

• St. Olavs hospital får hovedsakelig personopplysninger fra pasienter i forbindelse med behandling på et av sykehusene.
• St. Olavs hospital får også personopplysninger om pasienter fra andre, som for eksempel offentlige registre som Folkeregisteret, andre helseforetak, fastleger, kommuner, private sykehus, avtalespesialister eller offentlige myndigheter. St. Olavs hospital kan også få opplysninger om pasienter fra foresatte og pårørende.
• Ansatte, jobbsøkere og studenter gir personopplysninger om seg selv til St. Olavs hospital for å kunne utføre arbeid og studier her.
• All aktivitet på Helse-Midt-nett blir loggført. Hvis du bruker Helse-Midt-nett kan du lese mer om hvordan loggføringen behandles her: Personvernerklæring for ansatte på intranett (PDF)​​ .
  
• På enkelte steder i bygningsmassen er det kameraovervåkning. Bildene som tas er også personopplysninger. Kameraovervåkning er skiltet.
• Når du besøker St. Olavs hospitals nettsider (stolav.no) samles det besøksstatistikk og søkeord, i tillegg til at det brukes informasjonskapsler. Disse opplysningene kan ikke identifisere deg som enkeltperson, og det samles heller ikke inn personopplysninger. Du kan lese mer om hvordan St. Olavs hospitals nettside ivaretar personvern her.
• Når du ringer oss lagrer vi informasjon som er nødvendig for administrasjon og drift av telefonsentralen
  

På stolav.no lenker vi til andre nettsteder. St. Olavs hospital er ikke ansvarlige for hvordan disse nettsidene ivaretar personvern. Oversikten er ikke uttømmende, og St. Olavs hospital kan behandle personopplysninger fra andre kilder enn de som nevnes over.

• Registrering/innsamling: Personopplysninger registreres for eksempel ved at helseopplysninger dokumenteres i pasientjournal.
• Korrigering/endring: Personopplysninger kan korrigeres og/eller endres etter henvendelse fra den opplysningene gjelder (pasient, ansatt eller andre).
• Lesing: I forbindelse med administrativ oppgaveløsning, eller pasientbehandling blir personopplysninger lest av de som har tjenstlig behov for det.
• Bearbeiding/sammenstilling: Utvalgte personopplysninger bearbeides og sammenstilles primært i virksomhetsinterne kvalitetsregistre, for internkontroll og kvalitetssikring av helsehjelp til de enkelte pasienter. Bearbeiding/sammenstilling av anonymiserte personopplysninger kan også skje i forsknings- og statistikkøyemed og er da sekundærbruk av personopplysningene. Les mer om dine personvernrettigheter i forskning her (Helsenorge).
• Oppbevaring/arkivering/lagring av personopplysninger skjer i ulike typer systemer.
• Utlevering: Som hovedregel kan ikke St. Olavs hospital utlevere opplysninger om deg som pasient, ansatt eller andre, uten ditt samtykke. I noen tilfeller blir allikevel opplysninger utlevert uten samtykke. Dette gjelder blant annet opplysninger til: din arbeidsgiver, forskning, kvalitetssikring, NAV, nærmeste pårørende, foresatte eller verge, nasjonale helseregistre og skattemyndighetene. Les mer om vilkårene for disse unntakene her (Datatilsynet).
  
• Offentliggjøring: Offentlighetsloven gjelder for helseforetakenes virksomhet. Det innebærer at enhver (slik som journalister) har rett til innsyn i St. Olavs hospitals virksomhet, for eksempel i opplysninger i saksdokumenter. Retten til å be om innsyn i personopplysninger gjelder ikke dersom personopplysningene er underlagt lovpålagt taushetsplikt. Da er St. Olavs hospital forpliktet til å unnta personopplysningene fra innsyn etter offentlighetsloven.
• Sletting: St. Olavs hospital er underlagt arkivloven, som innebærer at saker og saksdokumenter som er arkivverdige skal oppbevares etter at de er avsluttet. Dette innebærer at personopplysninger i saksdokumenter, og opplysninger i din pasientjournal, blir arkivert lenger enn hva som er nødvendig for det opprinnelige formålet.

Personvernet ditt skal ivaretas i all behandling av personopplysningene dine (se over). St. Olavs hospital har etablert tekniske og organisatoriske tiltak for sikre at behandling av personopplysninger følger lovverket. Innsyn i pasientjournal logges, og all behandling av personopplysninger skal registreres i protokoll jf. GDPR art. 30​ (Lovdata).

• EUs personvernforordning (GDPR) (2016/679-27.4.2016); Innlemmet i norsk rett
• Personopplysningsloven (15.6.2018 nr. 38)
• Pasient- og brukerrettighetsloven (2.7.1999 nr. 63)
• Helsepersonelloven (2.7.1999 nr. 64)
• Spesialisthelsetjenesteloven (2.7.1999 nr. 61)
• Psykisk helsevernloven (2.7.1999 nr. 62)
• Pasientjournalloven (20.6.2014 nr. 42)
• Helseregisterloven (20.6.2014 nr. 43)
• Helseforskningsloven (20.6.2008 nr. 44)
• Arkivloven (4.12.1992 nr. 126)
• Forvaltningsloven (10.2.1967)
• Offentleglova (19.5.2006 nr. 16)
• Forskrift om krav til og organisering av kommunal legevaktordning, ambulansetjeneste, medisinsk nødmeldetjeneste mv. (akuttmedisinforskriften) (20.3.2015 nr. 231)
• Forskrift om håndtering av medisinsk utstyr (29.11.2013 nr. 1373)

Alle som utfører arbeid eller tjeneste for St. Olavs hospital har lovpålagt taushetsplikt. Det er taushetsplikt mellom personell i St. Olavs hospital, og personopplysninger skal kun være tilgjengelig for dem som har et tjenstlig behov.

St. Olavs hospital gir deg beskjed ved brudd på informasjonssikkerheten som innebærer risiko for dine rettigheter.

Du har rett til å etterspørre:

• Informasjon om hvordan St. Olavs hospital behandler dine personopplysninger.
• Innsyn i hvilke personopplysninger St. Olavs hospital behandler om deg, hvordan de behandles, og innsyn i logg av oppslag i dine opplysninger.
• Sletting av dine personopplysninger, og rett til korrigering av opplysningene dersom du mener de er uriktige eller mangelfulle.
• Begrensning i behandlingen av dine personopplysninger.
• Dataportabilitet; at St. Olavs overfører opplysninger om deg til en annen behandlingsansvarlig.

Du har også:

• Rett til å protestere på St. Olavs behandling av dine personopplysninger.
• Rett ved automatiserte avgjørelser, slik at et dataprogram ikke uten videre kan ta store og viktige avgjørelser om deg.

Du har krav på svar uten ugrunnet opphold, senest innen én måned.

Du kan lese mer om dine rettigheter på Datatilsynets nettside.

Dersom du mener at St. Olavs hospital behandler dine personopplysninger i strid med lovgivningen, bør du først ta kontakt med St. Olavs hospital. Dette gjøres ved å kontakte personvernombudet ved St. Olavs hospital. Kontaktinformasjonen finner du lenger ned på siden.

Du har rett til å klage til Datatilsynet hvis du mener at St. Olavs hospital ikke behandler dine personopplysninger i samsvar med lovgivningen.

Personvernombudets hovedoppgave er å informere ansatte, databehandlere og dataansvarlig ved St. Olavs hospital om de forpliktelsene virksomheten har etter personvernlovgivningen. Personvernombudet også skal ivareta personverninteressene til alle som får sine personopplysninger behandlet av St. Olavs hospital. Personvernombudet har en uavhengig stilling i sitt arbeid som ombud. Du kan lese mer om oppgavene til et personvernombud her (Datatilsynet).

Kontaktinformasjon personvernombud:​

St. Olavs hospital
Personvernombudet
Postboks 3250 Torgarden
7006 Trondheim

Dersom din henvendelse ikke inneholder taushetsbelagte opplysninger/sensitive personopplysninger, kan du sende e-post til personvernombudet: personvernombudet@stolav.no