Personvernerklæring - Sykehusapotekene i Midt-Norge

Sykehusapotekene i Midt-Norge behandler en rekke personopplysninger om pasienter, ansatte og andre. Behandlingsansvarlig for personopplysningene som behandles er administrerende direktør. I denne personvernerklæringen beskrives i korte trekk hvordan Sykehusapotekene i Midt-Norge behandler og beskytter personopplysningene.

Hva er personopplysninger og sensitive personopplysninger?

En personopplysning er enhver opplysning som kan knyttes til en fysisk person, for eksempel:

  • Navn
  • Adresse
  • Fødselsnummer
  • Sivilstand
  • Yrke
  • Sosiale forhold
  • Et fotografi
  • Et videoopptak
  • Et lydopptak

En rekke personopplysninger er definert som særlige kategorier personopplysninger, også kalt sensitive personopplysninger. Disse opplysningene er det i utgangspunktet forbudt å behandle:

  • Helseopplysninger
  • Genetiske opplysninger
  • Biometriske opplysninger med formål entydig å identifisere noen
  • Opplysninger om seksuelle forhold og seksuell legning
  • Opplysninger om rasemessig eller etnisk opprinnelse
  • Opplysninger om politisk eller religiøs oppfatning
  • Opplysninger om filosofisk overbevisning
  • Opplysninger om fagforeningsmedlemsskap
  • Opplysninger om straffedommer og lovovertredelser

Behandlingsgrunnlag (veileder på datatilsynet.no)

Helsepersonelloven (02.07.1999 nr. 64) kapittel 5

Spesialisthelsetjenesteloven (02.07.1999 nr. 61) § 6-1

Lov om apotek (Apotekloven) (01.07.2001)

Forvaltningsloven (10.02.1967) § 13-13 f

 

Behandling av personopplysninger er regulert i personvernlovgivningen og helselovgivningen

EUs personvernforordning (GDPR) (2016/679-27.4.2016)
Personopplysningsloven (15.6.2018 nr. 38)
Pasient- og brukerrettighetsloven (2.7.1999 nr. 63)
Helsepersonelloven (2.7.1999 nr. 64)
Lov om apotek (apotekloven) (02.06.2000 nr.39)
Lov om legemidler (legemiddelloven) 01.01.1994
Spesialisthelsetjenesteloven (2.7.1999 nr. 61)
Psykisk helsevernloven (2.7.1999 nr. 62)[JMS1] 
Pasientjournalloven (20.6.2014 nr. 42)
Helseregisterloven (20.6.2014 nr. 43)
Helseforskningsloven (20.6.2008 nr. 44)
Arkivloven (4.12.1992 nr. 126)
Forvaltningsloven (10.2.1967)
Offentleglova (19.5.2006 nr. 16)
Forskrift om krav til og organisering av kommunal legevaktordning, ambulansetjeneste, medisinsk nødmeldetjeneste mv. (akuttmedisinforskriften) (20.3.2015 nr. 231)
Forskrift om håndtering av medisinsk utstyr (29.11.2013 nr. 1373)


Hvorfor samler Sykehusapotekene Midt-Norge inn personopplysninger?

Sykehusapotekene Midt-Norge samler inn personopplysninger til en rekke forskjellige formål som ledd i pasientbehandling, daglig drift og oppgaveløsning for øvrig i sykehusapotekene.

Det samles inn personopplysninger til:

  • Helsehjelp, administrasjon, internkontroll eller kvalitetssikring av helsehjelpen. Dette er primærbruk av helseopplysninger og reguleres blant annet av pasientjournalloven og helsepersonelloven.
  • Sikre forsvarlig utlevering av legemidler til sluttbruker
  • Tilvirkning av legemidler i forbindelse med ovenstående aktiviteter
  • Nasjonale kvalitetsregistre, forskning, statistikk o.a. formål. Dette er sekundærbruk av helseopplysninger og reguleres av helseregisterloven.
  • Personaladministrasjon
  • Saksbehandling forøvrig

Hovedmengden av personopplysningene som behandles i Sykehusapotekene Midt-Norge, er helseopplysninger og andre personlige opplysninger som samles inn og brukes for å gi pasientene forsvarlig helsehjelp og sikre forsvarlig utlevering av legemidler..

 

Hvor får Sykehusapotekene Midt-Norge personopplysninger fra?

Sykehusapotekene Midt-Norge får personopplysninger fra pasienter i forbindelse med behandling på et av sykehusene i Helse Midt-Norge eller ved medisinutsalg ved sykehusapotekene.

Sykehusapotekene Midt-Norge får også personopplysninger om pasienter fra andre, som for eksempel offentlige registre som Folkeregisteret, andre helseforetak, fastleger, kommuner, private sykehus, avtalespesialister eller offentlige myndigheter. Sykehusapotekene Midt-Norge kan også få opplysninger om pasienter fra foresatte og pårørende.

På enkelte steder i bygningsmassen er det kameraovervåkning. Bildene som tas er også personopplysninger. Kameraovervåkning er skiltet.

Når du besøker nettstedet vårt, https://sykehusapoteket.no/, samler vi inn besøksstatistikk og søkeord.

Personvernerklæring for sykehusapotenene.no


Når kan Sykehusapotekene Midt-Norge behandle personopplysninger?

Personvernforordningen krever at all behandling av personopplysninger skal ha et behandlingsgrunnlag (et rettslig grunnlag). Behandling av helseopplysninger og andre sensitive personopplysninger er underlagt enda strengere krav. Sensitive personopplysninger kan bare behandles dersom det i tillegg til et behandlingsgrunnlag i personvernforordningen også foreligger et særskilt rettslig grunnlag.  Et slikt særskilt rettslig grunnlag kan være en lovbestemmelse som tydelig beskriver hva som er tillatt. Helselovgivningen inneholder flere slike lovbestemmelser. For eksempel bestemmelsene om dokumentasjonsplikt og opplysningsplikt i helsepersonelloven.

Personvernforordningen har også en oversikt over når sensitive personopplysninger likevel vil kunne behandles.

Sykehusapotekene Midt-Norge må i hvert enkelt tilfelle vurdere om det foreligger nødvendig behandlingsgrunnlag og særskilt rettsgrunnlag.
Dersom Sykehusapotekene Midt-Norge ikke har behandlingsgrunnlag og særskilt rettsgrunnlag, kan ikke Sykehusapotekene Midt-Norge behandle personopplysninger.

Behandlingsgrunnlag (veileder fra datatilsynet.no)

Alle som utfører arbeid eller tjeneste for Sykehusapotekene Midt-Norge har lovpålagt taushetsplikt. Det er taushetsplikt mellom personell i Sykehusapotekene Midt-Norge. Personopplysninger skal kun være tilgjengelig for dem som har et tjenstlig behov.

Helsepersonelloven (02.07.1999 nr. 64) kapittel 5
Lov om apotek (apotekloven) (02.06.2000 nr.39)
Spesialisthelsetjenesteloven (02.07.1999 nr. 61) § 6-1
Forvaltningsloven (10.02.1967) § 13-13 f

 

Hvordan behandler Sykehusapotekene Midt-Norge innsamlede personopplysninger?

Det stilles krav til Sykehusapotekene Midt-Norge om organisering og systemer som personopplysningene behandles i. Sykehusapotekene Midt-Norge behandler personopplysninger hovedsakelig i elektroniske systemer. Helseforetakene i Midt-Norge har inngått avtale om felles pasientjournalsystem og et regionalt system for faglig håndtering av resepter.
Helseforetakene i Midt-Norge bruker i hovedsak leverandører og underleverandører innenfor EU/EØS.
Det er pr. i dag få leverandører utenfor EU/EØS.

Helse Midt-Norge IT er Sykehusapotekene Midt-Norges  databehandler i de fleste sammenhenger.

Det forgår også manuell behandling av personopplysninger. Behandling av personopplysninger gjøres i følgende sammenhenger:

Registrering

Personopplysninger registreres for eksempel ved at helseopplysninger dokumenteres i pasientjournal.

Korrigering/endring

Personopplysninger kan korrigeres og/eller endres etter henvendelse fra den opplysningene gjelder (pasient, ansatt eller andre).

Lesing

I forbindelse med oppgaveløsning i Sykehusapotekene Midt-Norge blir personopplysninger lest. Eksempel: utlevering av legemidler til sluttbruker.  

Bearbeiding / sammenstilling

Utvalgte personopplysninger bearbeides og sammenstilles i virksomhetsinterne kvalitetsregistre for internkontroll og kvalitetssikring av helsehjelp til de enkelte pasienter. Dette er primærbruk av personopplysninger. Bearbeiding / sammenstilling av anonymiserte personopplysninger kan også skje i forsknings- og statistikkøyemed, og er da sekundærbruk av personopplysningene.

Oppbevaring / arkivering

Oppbevaring/arkivering av personopplysninger skjer i ulike typer systemer.

Ulevering  av personopplysninger - pasienter

Bestemmelser i helsepersonelloven regulerer utlevering av helseopplysninger til samarbeidende personell. Sykehusapotekene Midt-Norge har opplysningsplikt etter helsepersonelloven, for eksempel til å utlevere personopplysninger til tilsynsmyndighetene. Det er opplysningsplikt til barneverntjeneste, sosialtjeneste og nødetater. Til dem utleveres kun de personopplysninger som er nødvendig for å dekke deres formål. Sykehusapotekene Midt-Norge overfører personopplysninger til andre etter samtykke / anmodning fra pasient.

Utlevering av personopplysninger - ansatte

Personopplysninger om ansatte utleveres for eksempel til skattemyndighetene og NAV.

Offentliggjøring

Offentlighetsprinsippet gjelder for helseforetakenes virksomhet. Det innebærer at enhver har rett til innsyn i Sykehusapotekene Midt-Norge virksomhet, for eksempel i opplysninger i saksdokumenter. Det kan bes om innsyn i personopplysninger i saksdokumenter uavhengig av det opprinnelige formålet med å behandle opplysningene. Retten til å be om innsyn i personopplysninger gjelder ikke dersom personopplysningene er underlagt lovpålagt taushetsplikt. Da er Sykehusapotekene Midt-Norge forpliktet til å unnta personopplysningene fra innsyn etter offentlighetsloven.

Sletting

Arkivloven gjelder for helseforetakets virksomhet. Derfor skal opplysninger i din pasientjournal ikke slettes. Saker og saksdokumenter som er arkivverdige skal oppbevares etter at sakene er avsluttet og ikke lenger er nødvendig for helseforetakets løpende virksomhet. Dette innebærer at personopplysninger i saksdokumenter blir arkivert lenger enn hva som er nødvendig for det opprinnelige formålet.

Ekstern rapport om IT-sikkerhet (pressemelding 21.6.2018 på helse-midt.no)

 

Hvordan beskytter Sykehusapotekene Midt-Norge dine personopplysninger?

Det er etablert rutiner og systemer for informasjonssikkerhet som sikrer at personopplysningene behandles og beskyttes i henhold til de krav som stilles i personvernforordningen og i nasjonal lovgivning.

Lenke til Sykehusapotekene Midt-Norge informasjonssikkerhetspolicy (kommer)

 

Sikkerhetsbrudd

Sykehusapotekene Midt-Norge underretter deg ved brudd på informasjonssikkerheten som innebærer risiko for dine rettigheter ikke senere enn 72 timer etter at sikkerhetsbruddet er blitt oppdaget.

 

Dine rettigheter

På bestemte vilkår har du rett til å:

  • få informasjon om hvordan Sykehusapotekene Midt-Norge behandler personopplysninger.
  • få vite hvilke personopplysninger Sykehusapotekene Midt-Norge behandler om deg. Du har rett til innsyn i personopplysningene i form av en kopi.
  • få korrigert eller slettet dine personopplysninger.
  • Kreve begrensning av behandling av egne personopplysninger.

Dine rettigheter (datatilsynet.no)

For ytterligere informasjon, ta kontakt med informasjonssikkerhetsrådgiver John Marius Solli.
Post: Informasjonssikkerhetsrådgiver, Sykehusapotekene Midt-Norge HF, Abels gate 9, 7030 Trondheim 
Dersom din henvendelse ikke inneholder taushetsbelagte opplysninger kan du sende e-post til informasjonssikkerhetsrådgiver ved postmottak@sykehusapoteket.no
Besøksadresse: Abels gate 9, 7030 Trondheim.


Klagerett

Dersom du mener at Sykehusapotekene Midt-Norge behandler dine personopplysninger i strid med lovgivningen, bør du først ta kontakt med oss. 

Du har rett til å klage til Datatilsynet hvis du mener at Sykehusapotekene Midt-Norge ikke behandler dine personopplysninger i samsvar med lovgivningen.

Hvordan kan jeg klage til datatilsynet (datatilsynet.no)


Fant du det du lette etter?
Tilbakemeldingen vil ikke bli besvart. Ikke send personlig informasjon, for eksempel epost, telefonnummer eller personnummer.