Personvernerklæring for Helse Bergen
Personvernerklæringa fortel korleis Haukeland universitetssjukehus behandlar personopplysningane dine. Du finn også informasjon om kva rettar du har, og korleis du kan gå fram dersom du ønsker å gjere bruk av rettane dine.
Sjukehuset behandlar personopplysningar om ulike persongrupper. Dette kan vera pasientar, pårørande, tilsette, studentar, jobbsøkjarar, tidlegare tilsette, deltakarar i forsking, personar som deltek på kurs, personar som besøkjer sjukehuset eller andre som tek kontakt med sjukehuset. Lista her er ikkje uttømmande.
Kva opplysningar som blir behandla vil variera ut frå det underliggjande formålet som databehandlinga skal vareta. Det skal aldri behandlast personopplysningar utover det som er strengt nødvendig, og berre i den grad det er nødvendig for å vareta eit lovleg formål.
Personopplysningar som sjukehuset kan behandla når det er nødvendig omfattar mellom anna informasjon om namn, telefonnummer, adresser, e-post og Ip-adresser. Dersom det er nødvendig for å oppnå sikker identifikasjon, kan sjukehuset også behandla fødsels- og personnummer.
Sjukehuset behandlar også personopplysningar av ein sensitiv karakter. Desse blir ofte refererte til som «særskilde kategoriar» av personopplysningar. Dette kan til dømes vera helseopplysningar, opplysningar om rasemessig eller etnisk opphav, religion, seksuelle forhold eller seksuell orientering. I nokre tilfelle behandlar også sjukehuset opplysningar om at personar har vore mistenkte eller dømde for ei straffbar handling.
Me lagrar personopplysningar så lenge dei er relevante og nødvendige for å oppfylla formålet eller formåla som opplysningane vart innhenta for.
Personopplysningar som ikkje lenger er relevante eller nødvendige for å vareta formål skal slettast eller anonymiserast slik at dei ikkje lengre kan knytast til nokon identifiserbare personar.
Du har rett til informasjon om tidsrommet for lagring av personopplysningane, eller kriteria for å fastsetja dette tidsrommet.
Dersom du meiner at personopplysningar blir lagra utover det som er lovleg, kan du setja fram klage, og krav om at opplysningar blir sletta, at databehandlinga blir avgrensa, eller protestera mot databehandlinga ved å kontakta oss.
Personopplysningar kan komma til å bli behandla når du samhandlar med nettsidene våre. For informasjon om personvern på helse-bergen.no.
Du har rettar etter personvernregelverket når me behandlar opplysningar om deg. Her finn du informasjon om rettane dine og korleis du kan gå fram dersom du ønskjer å nytta deg av desse. Du kan også finna informasjon om personvernrettar på Datatilsynets nettsider
Dersom du ønskjer å gjera bruk av éin eller fleire rettar som omtalt her, kan du kontakta sjukehuset.
Dersom du er pasient og ønskjer å gjera bruk av rettar knytt til pasientjournalen din, finn du informasjon om framgangsmåten her.
Me gjer merksame på at rettane i nokre tilfelle kan vera avgrensa. Til dømes vil føresegner i pasientjournallova og arkivlova kunne avgrensa rett til sletting av personopplysningar.
Dersom sjukehuset ikkje kan eller vil oppfylla eit krav som gjeld bruk av rettane dine, har du krav på informasjon om årsaka til dette og informasjon om at avslag kan klagast på.
Dersom du opplever at éin eller fleire rettar som er omtalte her blir brotne, kan du klaga til sjukehuset. Du kan også klaga til Datatilsynet.
Din rett til informasjon
Når sjukehuset behandlar personopplysningar om deg har du rett til informasjon om dette. Du har mellom anna rett til informasjon om kva slags opplysningar me behandlar, der opplysningane kjem frå, kva opplysningane blir brukte til, kor lenge opplysningane blir lagra og kva(t) rettsleg(e) grunnlag sjukehuset har for å behandla personopplysningane dine. Du har også rett til informasjon viss det oppstår eit brot på personopplysningstryggleiken føresett at dette kan medføra ein høg risiko for deg.
Informasjon skal bli gjeve på ein presis, forståeleg måte, og bli tilpassa ulike personar og grupper sine behov sine. Dette gjeld også barn, personar med nedsett funksjon, framandspråklege eller andre grupper med særskilde behov. Tidspunkt for når informasjonen blir gjeve kan variera ettersom personopplysningar blir samla inn direkte frå deg, eller frå andre kjelder.
Retten til informasjon er avgrensa i nokre tilfelle, til dømes dersom behandlinga av personopplysningar har heimel i lov eller forskrift. Du vil derfor ikkje alltid få individuell informasjon om korleis opplysningane blir behandla før dei blir samla inn. Me vil likevel gi ut informasjon på førespurnad frå deg.
Det finst tiltak som skal vareta personvernet ditt, til dømes gjennom strenge krav til korleis personopplysningane blir behandla, kven som har tilgang, og rettar til innsyn i opplysningar og tilgangsloggar til informasjon.
Dersom du ønskjer informasjon om korleis personopplysningar blir behandla for bestemde formål, eller i bestemde system/tenester, kan du kontakta oss.
Innsyn
Du har rett til innsyn i personopplysningane dine. Dersom du ønskjer å gjera bruk av din rett til innsyn kan du gjera dette ved å kontakta sjukehuset på følgjande måte:
- Pasientjournal og opplysningar i journallogg, sjå informasjon om framgangsmåte her.
- For personopplysningar som ikkje er knytt til pasientjournal, kan du kontakta oss. Bruk gjerne Datatilsynets skjema for innsyn når du ønskjer innsyn i opplysningar som ikkje er knytt til pasientjournal.
Retting
Dersom du meiner at me behandlar opplysningar om deg som er feilaktig eller misvisande, kan du krevja at me rettar opplysningane, eller supplerer dei med tilleggsinformasjon.
Dersom du meiner at opplysningar i pasientjournal er feilaktige, og skal rettast, kan du kontakta sjukehuset om dette, sjå informasjon om framgangsmåte her.
Dersom du meiner at andre opplysningar om deg er feilaktige og skal rettast, kan du kontakta sjukehuset.
Sletting
I nokre tilfelle kan du krevja at personopplysningane dine blir sletta. Du kan finna informasjon om retten til sletting på Datatilsynets nettsider.
Dersom du meiner at opplysningar i pasientjournal skal slettast, kan du kontakta sjukehuset om dette, sjå informasjon om framgangsmåte her.
Dersom du meiner at andre opplysningar om deg er feilaktige skal slettast, kan du kontakta sjukehuset.
Dersom krav om sletting ikkje blir teke til følgje, har du krav på grunngiving for dette, og du har rett til å klaga over avgjerda.
Protest
Du har rett til å protestera mot at personopplysningane dine blir behandla. Retten gjeld dersom databehandlinga er lovleg, og sjukehuset behandlar opplysningane for å vareta ei oppgåve til beste for allmenta, utøver offentleg styresmakt, eller behandlar personopplysningar for å vareta ei rettmessig interesse. Individuelle omsyn kan då medføra at databehandlinga må stansa.
Retten til å protestera er avgrensa dersom personopplysningane blir behandla for vitskaplege eller historiske forskingsformål, eller for statistikkformål i interessa til allmentene.
Dersom du ønskjer å bruka din rett til å protestera, kan du kontakta sjukehuset.
Avgrensing
Dersom du meiner at opplysningane om deg er feilaktige, eller at behandlinga av personopplysningar er ulovleg, at sjukehuset ikkje lenger treng opplysningane, eller at du har gjort bruk av retten til å protestera, kan du be om at behandlinga av personopplysningar blir avgrensa.
Dersom databehandlinga blir avgrensa, kan sjukehuset likevel bruka opplysningane når det er nødvendig for nærare bestemde formål.
Dersom du ønskjer å bruka din rett til avgrensing, kan du kontakta sjukehuset.
Dersom du ikkje når fram med krav om avgrensing kan du klaga. Dersom du når fram med krav om avgrensing, men avgrensing blir oppheva, har du krav på informasjon om dette frå sjukehuset.
For meir informasjon om rett til avgrensing, sjå Datatilsynets nettsider.
*Dataportabilitet
Dersom du har gitt opplysningar til sjukehuset, og sjukehuset behandlar personopplysningane dine på grunnlag av ditt samtykke, eller ein avtale, og databehandlinga skjer automatisk, har du rett til å få utlevert opplysningane dine i eit strukturert, og maskinlesbart format.
Sjukehuset behandlar i liten grad personopplysningar baserte på samtykke eller avtale, og der samtykke eller avtale er rettsleg grunnlag, blir brukt automatisert behandling i liten grad.
Dersom du ønskjer å bruka din rett til *dataportabilitet, kan du kontakta sjukehuset.
Retten til *dataportabilitet er ikkje det same som retten pasienten har til kopi av eigne journalopplysningar. For informasjon om rett til innsyn i og kopi av eigne journalopplysningar.
Vern mot automatiske avgjerder
Du har rett til vern mot avgjerder som berre er baserte på automatisk behandling, under dette profilering. Retten gjeld dersom avgjerda har rettsverknad, eller på annan måte påverkar deg i stor grad.
Denne retten gjeld ikkje dersom databehandlinga er nødvendig for å inngå eller oppfylla ein avtale som er inngått med deg, dersom den automatiske behandlinga er tillaten i nasjonal rett, eller dersom databehandlinga skjer på grunnlag av eit uttrykkjeleg samtykke frå deg.
Sjukehuset har system som bruker maskinlæring, kunstig intelligens og andre former for algoritmar til å gjera berekningar og støtta opp under avgjerder i administrasjon og yting av helsehjelpa.
Dersom sjukehuset bruker system eller kunstig intelligens for automatiske avgjerder har du krav på informasjon om dette, og om den underliggjande logikken og dessutan om betydninga og dei forventa konsekvensane av ei slik behandling for deg, og du kan protestera mot databehandlinga.
Dersom du ønskjer å protestera mot automatiske avgjerder kan du kontakta sjukehuset.
I samband med utføringa av dei oppgåvene som ligg til sjukehuset blir store mengder behandla personopplysningar. I dette avsnittet finn du informasjon om nokon av dei. Lista er ikkje uttømmande. Dersom du har spørsmål om behandling av personopplysningar som ikkje er omtalte her, kan du kontakta sjukehuset for meir informasjon.
I samband med helsehjelp
Som ledd i arbeid med å yte, administrera eller dokumentera helsehjelp behandlar sjukehuset personopplysningar om deg. Sjukehuset bruker også personopplysningane dine til å kvalitetssikra helsehjelpa du har fått, til dømes ved å kontrollera at du har fått rett behandling.
Sjukehuset har ei lovfesta plikt til å yte, administrera og dokumentera helsehjelp. I samband med dette blir personopplysningar brukte som er nødvendig å identifisera enkeltpersonar, under dette namn og fødselsnummer når det er nødvendig.
Opplysningane som me behandlar om deg, er helseopplysningar som du har gitt oss sjølve, som me har fått frå fastlegen din eller andre som har tilvist deg til sjukehuset, og opplysningar som kjem fram gjennom undersøkingar og behandling som du går gjennom på sjukehuset. Opplysningane kan også samlast inn frå andre, til dømes frå fastlegen din eller andre sjukehus.
Opplysningane blir brukte til å gjera rettsvurderingar, planleggja behandling, formidla relevante opplysningar til deg som pasient og til pårørande, og dessutan å tilgjengeleggjera informasjon til helsepersonell for planlegging og gjennomføring av helsehjelp og dokumentasjon av helsehjelp som har vorte gitt.
Sjukehuset har ei plikt til å føra pasientjournal. Kva opplysningar journalen skal innehalda, korleis denne skal sikrast og kva rettar enkeltpersonar har til opplysningar i eigen pasientjournal kjem fram av pasientjournallova og helsepersonellova med tilhøyrande forskrifter, og i pasient- og brukarrettslova.
Pasientjournal er elektronisk, og det blir oppretta éin journal per pasient. Her blir det mellom anna lagra informasjon om kven du er (namn og fødselsnummer), kontaktopplysningar (til dømes adresse og telefonnummer). Pasientjournal består av informasjon som er lagra i fleire ulike informasjonssystem. Sjukehuset bruker systemet DIPS som hovudjournalsystem. I tillegg er det etablert eigne system for handtering av legemiddelinformasjon (kurve), røntgenbilete og laboratorieprøver.
I samband med pasienttransport
Me har avtale med transportselskap om transport av pasientar til og frå sjukehus. Dersom du treng transport i samband med pasientbehandling, deler me nødvendige personopplysningar om deg med transportselskapet.
Sjå nettsida om pasientreiser.
I samband med oppfølging av uønskte hendingar
Sjukehuset har eit digitalt system for registrering og saksbehandling av uønskte hendingar. Som ledd i oppfølginga av uønskte hendingar kan det vera nødvendig å registrera personopplysningar for den interne saksbehandlinga.
I samband med saksbehandling av klagar eller andre førespurnader
Me behandlar personopplysningane dine når det er nødvendig som ledd i saksbehandling, til dømes ved behandling av klager på helsehjelpa du har fått.
I samband med saksbehandling blir behandla normalt identifikasjonsopplysningar som er nødvendig for å knyta sak til rett person, under dette namn og fødselsnummer, og kontaktopplysningar som er nødvendig for å kunna formidla informasjon til deg, under dette adresseinformasjon.
Saksbehandling skjer i eigne system og sjukehuset følgjer prinsippa for saksbehandling i forvaltningslova, og varetek dokumentasjon i samsvar med krav i arkivlova.
I samband med behandling av post og arkiv
Me behandlar personopplysningane dine når det er nødvendig for å handtera inn- og utgåande post til deg, eller som gjeld deg, og når det er nødvendig for å vareta arkivplikt.
Sjukehuset er eit offentleg organ og er dermed pålagt å ha eit arkiv. Formålet er å sikra arkivmateriale med kulturell eller forskingsmessig verdi, og dessutan rettsleg og viktig forvaltingsmessig dokumentasjon, slik at dei kan bli tekne vare på og gjort tilgjengeleg for ettertida. Retten til å krevja sletting gjeld ikkje i den grad det ville gjera det umogleg å vareta lovfesta krav til offentleg arkiv.
I samband med internkontroll og kvalitetssikring av helsehjelp
Overordna om internkontroll og kvalitetssikring av helsehjelp
Me behandlar personopplysningane dine, under dette også helseopplysningar og andre særskilde kategoriar av personopplysningar når dette er nødvendig for å gjennomføra internkontroll og kvalitetssikring av helsehjelpa.
Bruk av personopplysningane dine til internkontroll og kvalitetssikring skjer normalt utan samtykke frå deg, og utan at det blir gitt individuelt retta informasjon om dette. Der personopplysningar blir utleverte (ved utskrift) frå pasientjournalen din, skal det komma fram av journallogg.
Bruk av personopplysningar til internkontroll og kvalitetssikring er nødvendig for å vareta kvalitet i helsetenesta, og skal skje med heimel i lov og med respekt for personvern og teieplikt. Når det er mogleg skal internkontroll og kvalitetssikring gjerast utan bruk av direkte identifiserande opplysningar som t.d. namn eller fødselsnummer. I nokre tilfelle kan slike opplysningar likevel vera nødvendig å behandla, til dømes når det er nødvendig å samanlikna opplysningar frå ulike informasjonssystem til bruk for analyse.
Sjukehuset gjennomfører til kvar tid ulike kvalitetssikringsprosjekt som er tidsavgrensa. Personopplysningar blir utleverte frå pasientjournal og andre informasjonssystem til ei prosjektgruppe, og blir lagra på eit sikkert lagringsområde kor berre medlemmene i prosjektgruppa har tilgang. Når prosjektgruppa har utarbeidd ein rapport, blir personopplysningane sletta.
I tillegg har sjukehuset etablert lokale medisinske kvalitetsregister utan fastsett sluttdato. I slike register samlast personopplysningar frå pasientar fortløpande, slik at det er mogleg å laga rapportar som viser utvikling over ein lengre tidsperiode. Opplysningane blir henta frå pasientjournal og andre informasjonssystem, og er tilgjengeleg for ei prosjektgruppe. Prosjektgruppa og leiinga skal regelmessig vurdera om data kan slettast eller anonymiserast.
Internkontroll og kvalitetssikring på tvers av helsetenesta
Når det er nødvendig for å gjennomføra internkontroll og kvalitetssikring av helsetenesta, kan sjukehuset dela personopplysningar med andre verksemder.
Sjukehuset kan i nokre tilfelle samarbeida om internkontroll og kvalitetssikring med andre verksemder som inngår i samarbeid om felles pasientjournal. I dei fleste tilfelle vil identifiserbare kjenneteikn fjernast før nokon opplysningar blir utleverte til prosjektet.
Der det ikkje er etablert samarbeid om felles pasientjournal, kan tilgangen til å utlevera og samanlikna personopplysningar frå fleire sjukehus i nokre tilfelle føresetja at Helsedirektoratet innvilgar dispensasjon frå teieplikta for dei dataa som blir ønskte delt.
Måling av pasienttilfredsheit
Når me måler pasienttilfredsheit vil me ikkje etterspørja opplysningar som kan knytast til deg direkte eller indirekte. Personopplysningar (namn, telefonnummer, dato og stad for behandling) kan likevel bli behandla når det er nødvendig for å kunna distribuera undersøkinga til deg. Du kan reservera deg mot å få slike undersøkingar.
For meir informasjon om måling av pasienttilfredsheit.
I medisinske kvalitetsregister og andre helseregister
Me behandlar opplysningar om deg, under dette også helseopplysningar, i lokale, regionale og nasjonale medisinske kvalitetsregister. Dette er register som ikkje blir brukte for pasientbehandling, men som skal fremja helse, førebyggja sjukdom og skade og gi betre helse- og omsorgstenester.
Når personopplysningar blir utleverte til lokale medisinske kvalitetsregister, skal det normalt innhentast samtykke frå deg til dette før opplysningane blir utleverte.
Nasjonale medisinske kvalitetsregister kan i nokre tilfelle innhenta personopplysningar utan samtykke frå pasientane. Før personopplysningar blir utlevert til slike register skal du ha fått informasjon om registeret, og høve til å reservera deg mot at opplysningane blir utleverte. Informasjon om medisinske kvalitetsregister.
Nokre helseregister er lovfesta, og sjukehuset er pålagt å utlevera personopplysningar til desse registera utan hinder av teieplikta, og utan at du som pasient kan reservera deg mot dette. Når me er pålagde å gjera det utleverer me informasjon til følgjande lovfesta helseregister;
- Dødsårsaksregisteret
- Kreftregisteret
- Medisinsk fødselsregister
- Meldingssystemet for smittsame sjukdommar (MSIS)
- System for vaksinasjonskontroll (SYSVAK)
- Forsvarets helseregister
- Norsk pasientregister
- Nasjonalt register over hjarte- og karlidingar
- System for biverknadsrapportering
- Kommunalt pasient- og brukarregister
- Legemiddelregisteret
I samband med forsking
Me behandlar personopplysningane dine når det er nødvendig for å gjennomføra forsking.
Når personopplysningar blir brukte til forsking, skal det normalt innhentast samtykke frå deg til dette før opplysningane kan samlast inn og gjerast tilgjengeleg for forsking.
Unntaksvis kan personopplysningar bli gjorde tilgjengeleg for forsking utan at ditt samtykke blir innhenta. Dette kan berre skje dersom det ligg eit vedtak om fritak føre frå teieplikta frå høvesvis Regional komité for medisinsk og helsefagleg forskingsetikk (REK) eller Helsedataservice.
I forsking blir personopplysningar behandla normalt for fleire formål, under dette mellom anna:
- For å identifisera pasientar som oppfyller inklusjonskriteria
- For å rekruttera deltakarar
- For å kunna gjennomføra vitskaplege analysar
- For å rapportera uønskte hendingar i samband med forskinga
- For å utarbeida vitskaplege artiklar til bruk for publisering
- For å vareta dokumentasjon som er nødvendig for å validera forskingsresultat
Når personopplysningar blir behandla i forsking, kan personvernrettane vera avgrensa av krav i særlovgiving. Til dømes kan det gjelda avgrensingar til rett til innsyn for å motverka at deltakarar i blinda studiar får kjennskap til kva behandling dei får. Tilgangen til å sletta personopplysningar kan også vera avgrensa som følgje av krav til validering av forskingsresultat.
Når sjukehuset er ansvarleg for eit forskingsprosjekt, behandlar me forskingsdata i eigne system med streng tilgangsstyring. Informasjon om namn og fødselsnummer blir erstatta normalt med eit pseudonym eller løpenummer som er unikt for kvart enkelt forskingsprosjekt.
Kameraovervaking av sjukehusområdet og bygga våre
Sjukehuset nyttar kameraovervaking for fleire ulike formål:
- For å verna materielle eller økonomiske verdiar og pasientar
- For å halda oversikt som er nødvendig for å sikra framkomme
- For å halda oversikt over pasientar på venterom, eller på behandlingsrom der helsepersonell ikkje kan opphalda seg samtidig som pasient
- På oppkallapparat ved inngangsparti for å sjå kven som ringjer på
- Overvaking som er nødvendig for å vareta drift, under dette m.a. visuell kontroll av serverrom, særskilde brannobjekt osb.
Område der det blir nytta kameraovervaking skal vera tydeleg merka. Alle opptak blir sletta innan 7 dagar, med mindre opptak er relevant i samband med oppfølging av straffbare forhold.
Kameraopptak kan bli utlevert etter krav frå Politiet.
For meir informasjon om bruk av kameraovervaking på sjukehuset, kan du kontakta Hospitaldrift Sikkerhet.
I parkeringsanlegga våre
Sjukehuset nyttar system for automatisk registrering av registreringsnummeret til bilen ved inn- og utkøyring. I samband med dette kan informasjon bli delt med dei leverandørane som til kvar tid leverer slike tenester.
For meir informasjon om parkering.
For å vareta tryggleik i informasjonssystem og tenester
Sjukehuset er pålagt å vareta tryggleik i tenestene sine, under dette mellom anna krav til integritet, tilgjengelegheit, konfidensialitet og robustheit. For å kunna vareta informasjonstryggleik, er det i mange tilfelle nødvendig å behandla personopplysningar, under dette også særskilde kategoriar av personopplysningar.
Mellom anna behandlar me personopplysningar når dette er nødvendig for å:
- autorisera og autentisera brukarar av digitale tenester, under dette også digitale helsetenester
- sikre oppetid/tilgjengelegheit for tenester og system
- kunne avdekkja og hindra forsøk på tenestenektangrep
- vareta nødvendige tryggleikskopiar, og ved behov gjenoppretta data
- gjennomføra tryggingsrevisjonar og penetrasjonstestar
- gjennomføra loggkontrollar
- følgja opp risiko eller feil knytt til informasjonssystema våre
Lista er ikkje uttømmande.
Som ledd i test og utvikling av informasjonssystem og tenester
Me behandlar personopplysningane dine når det er nødvendig for å sikra kvalitet og tryggleik i informasjonssystema våre. Når me bruker personopplysningar for dette formålet følgjer me Norm for informasjonstryggleik og personvern i helsetenesta.
Personopplysningar blir også behandla som ledd i test og utvikling av informasjonssystem når behovet for test og utprøving ikkje kan varetakast gjennom bruk av anonymiserte data eller syntetiske data. Dette kan til dømes vera i avsluttande fasar av innføring av nye system.
Sjukehusa i Helse Vest har etablert samarbeid om pasientjournal. Samarbeidet inneber at opplysningane dine kan gjerast digitalt tilgjengeleg for samarbeidande helsepersonell når det er nødvendig for å gi deg helsehjelp. Til dømes vil helsepersonell ved Haraldsplass diakonale sjukehus kunna få tilgang til opplysningar frå pasientjournalen din ved Haukeland universitetssjukehus dersom du får helsehjelp på det aktuelle sjukehuset.
Verksemdene som samarbeider om felles pasientjournal, er:
- Betanien sykehus
- Haraldsplass diakonale sjukehus AS
- Haugesund Sanitetsforenings revmatismesjukehus AS,
- Helse Bergen HF, Haukeland universitetssjukehus
- Helse Fonna HF
- Helse Førde HF
- Helse Stavanger HF, Stavanger universitetssjukehus
- NKS Jæren distriktspsykiatriske senter AS
- NKS Olaviken alderspsykiatriske sjukehus AS
- Solli DPS
- Voss DPS NKS Bjørkeli
Blant opplysningane som blir delte er informasjon frå følgjande system:
- DIPS (hovudjournal)
- MEONA (kurvesystem)
- *Sectra (røntgensystem)
- *Unilab (laboratoriesystem)
Rett til sperring om du ikkje ønskjer at personopplysningar skal bli delte mellom sjukehus
Dersom du ikkje ønskjer at opplysningane dine skal vera tilgjengelege for andre verksemder i Helse Vest, kan du velja å sperra heile eller delar av pasientjournalen din ved det aktuelle sjukehuset. Du kan då be om at sperre skal setjast på for enkelte personar, eller for grupper av helsepersonell ved det aktuelle sjukehuset.
Samarbeid med andre
Me har eit avgrensa samarbeid med kommunar og nokre andre institusjonar i spesialisthelsetenesta som omfattar den delen av pasientjournalen som inneheld opplysningar om:
- pasientpersonalia
- kven som er pasienten sine pårørande
- kven som er fastlegen til pasienten
- kva legemiddel pasienten bruker
- kritisk informasjon om pasienten
- kontaktpersonar i ulike delar av helsetenesta
- enkelte diagnosar som er stilte utanfor sjukehus
Det inneber at pasientar som blir behandla ved ein av desse helseinstitusjonane, deler dei nemnde opplysningane med dei andre helseinstitusjonane i samarbeidet. Desse personopplysningane blir tilgjengelege for helsepersonell som har behov for opplysningane i samband med at dei yter eller administrerer helsehjelp, eller kvalitetssikrar helsehjelpa.
Sjukehuset deler informasjon gjennom tenester på Helsenoreg.no når du har samtykt til å bruka desse tenestene.
Sjukehuset skal behandla personopplysningar på ein sikker måte, for å vareta tilliten frå pasientar, pårørande, tilsette og resten av samfunnet.
Alle tilsette ved sjukehuset er underlagd teieplikt, og skal bidra til å sikra at personopplysningar ikkje kjem på avvegar, eller på nokon måte blir misbrukt. Sjukehuset har ei plikt til å bidra til at teieplikt blir vareteken, mellom anna gjennom tiltak som skal sikra at opplysningane dine ikkje er tilgjengelege for personell utan tjenstleg behov.
Mistanke om brot på teieplikt blir følgd opp av sjukehuset gjennom mellom anna loggkontrollar, og dersom brot på teieplikta blir avdekt kan det resultera i oppseiing, varsel til relevante styresmakter og politimelding av forholdet.
Sjukehuset skal behandla personopplysningar på ein måte som varetek lovfesta krav til konfidensialitet, tilgjengelegheit og robustheit.
Me samarbeider med dei andre sjukehusa i Helse Vest om å utarbeida rutinar og prosessar som skal sørgja for at personopplysningar ikkje er tilgjengeleg for andre enn dei som skal ha tilgang til dei.
Helse Vest har utarbeidd eit styringssystem for informasjonstryggleik og personvern basert på operasjonaliserte krav i Norm for informasjonstryggleik og personvern i helsesektoren. Relevante IsO-standardar under dette er ISO27001 og 27002.
Sjukehusa i Helse Vest har mellom anna krav til risikovurdering av informasjonstryggleik og personvern for system og tenester som skal takast i bruk, tilgangsstyring til personopplysningar og logging av kven som har hatt tilgang til opplysningane.
Du kan ha rett til å motsetja deg at personopplysningar eller biologisk materiale (blodprøver, spyttprøver, vevsprøver eller liknande) som er innsamla frå deg blir tilgjengelege for andre.
Sperring av pasientjournal
Du har rett til å sperra heile eller delar av pasientjournalen din mot at enkelte helsepersonell eller grupper av helsepersonell får tilgang.
Dersom du ønskjer å gjera bruk av retten til å sperra pasientjournalen din, kan du gjera dette på eige skjema.
Du kan også finna informasjon om rettar til eigen pasientjournal på Helsenorge.no.
Reservasjon mot nasjonal kjernejournal
Sjukehuset er pålagt å gjera tilgjengeleg informasjon i nasjonal kjernejournal. Dersom du ønskjer å avgrensa kva som er tilgjengeleg i kjernejournalen din, kan du gjera dette på Helsenorge.no.
Reservasjon mot medisinske kvalitetsregister
Sjukehuset er dataansvarleg for fleire medisinske kvalitetsregister som samlar inn personopplysningar til bruk for kvalitetssikring og forsking.
Ei rekkje register samlar inn personopplysningar utan samtykke frå pasientane. Dersom du har vorte inkludert i eit slik register, skal du ha fått informasjon frå sjukehuset om dette, og rettleiing om korleis du eventuelt kan reservera deg.
Det er også mogleg å reservera seg mot registrering i helseregister på Helsenoreg.no. Dette kan gjerast under «personverninnstillingar» - «Forsking, screening og helseregister» - «endra innstillingar». Du vil då få opp ei liste med register som du kan reservera deg mot.
Reservasjon mot bruk av biologisk materiale
Biologisk materiale som er innsamla rutinemessig i samband med helsehjelpa kan å bli brukt til forsking utan at du har samtykt til dette.
Dersom du ikkje ønskjer at biologisk materiale skal kunna brukast til dette formålet, kan du reservera deg mot dette (fhi.no).
Ein reservasjon mot bruk av biologisk materiale får ikkje innverknad på prosjekt som har starta før reservasjon vart registrert. Det får heller ikkje innverknad på prosjekt der du har samtykt til at biologisk materiale kan brukast.
Kor lang tid tek det å få svar?
Sjukehuset skal informera om tiltak som blir gjennomført på bakgrunn av førespurnader om bruk av rettane nemnt her seinast innan éin månad etter at førespurnaden vart motteken.
I komplekse saker kan saksbehandlingstida forlengjast med inntil to månader, og du har krav på informasjon om forseinkinga og grunngivinga for denne.
Dersom sjukehuset ikkje gjennomfører tiltak på bakgrunn av ein førespurnad, har du krav på informasjon om dette seinast innan éin månad, og du har krav på informasjon om høve til å klaga på saka til Datatilsynet.
Sjukehuset bruker ulike leverandørar som behandlar personopplysningar for oss. Når leverandørar behandlar personopplysningar for oss, har dei rolla som databehandlar. Dette betyr at dei ikkje kan behandlar personopplysningar på ein annan måte enn det me har bestemt.
Sjølv om leverandørar behandlar personopplysningar på vegner av oss, er det me som sjukehus som er ansvarleg for at personvernet ditt er vareteke. Før me tek i bruk ein databehandlar skal me gjennomføra ei risikovurdering av informasjonstryggleik og personvern. Me skal også inngå avtale som forpliktar leverandør til å ikkje bruka personopplysningar til eigne formål, og til å etablera og følgja opp tiltak som skal vareta personvern og informasjonstryggleik for personopplysningar.
Helse Vest IKT AS
Helse Vest IKT AS er eit selskap som er eigd av Helse Vest RHF. Helse Vest IKT AS er databehandlar for sjukehuset og drifter og forvaltar dei fleste informasjonssystema i sjukehuset. Kva opplysningar Helse Vest IKT har tilgang til, og kva opplysningane kan brukast til, er regulert i avtale mellom sjukehuset og Helse Vest IKT.
Helse Vest IKT inngår også avtalar med andre leverandørar, inkludert leverandørar av pasientjournalsystem, som DIPS AS.
Andre leverandørar
Sjukehuset har i tillegg til avtalar med Helse Vest IKT inngått avtalar direkte med andre leverandørar. For informasjon om kva leverandørar Helse Bergen HF har inngått avtale med kan du kontakta sjukehuset.
Særskilt om leverandørar utanfor Noreg og EØS-området
Når personopplysningar blir behandla i ulike informasjonssystem og tenester kan leverandør eller underleverandør sine tilsette utanfor Noreg eller EØS-området i nokre tilfelle få tilgang til opplysningane. Dette kan også vera personell i land som ikkje har dei same krava til personvern og informasjonstryggleik som me har i Noreg. Slik tilgang skal berre finna stad når det er nødvendig for å vareta tryggleik og funksjonalitet i systema våre, til dømes for å kunna gjennomføra oppgraderingar eller feilretting, brukarstøtte eller andre formål knytt til varetakinga av pliktene til sjukehuset.
Det blir gjort risikovurdering før tilgang kan givast, og det blir sett i verk tekniske, organisatoriske og juridiske tiltak når det er nødvendig for å vareta krav til overføring av data i utland. Slike tiltak kan innebera, men er ikkje avgrensa til:
- Velja datasenter i Noreg eller innanfor EØS-området der det er mogleg
- Kartlegging av kva data som blir tilgjengeleg for leverandør, og for kva formål.
- Tidsavgrensa tilgang til personell lokalisert i utland
- Skjerming av direkte identifiserbare opplysningar gjennom *pseudonymisering og/eller kryptering
- Forvaltning av krypteringsnøkkel utanfor leverandørs eigne system der det er mogleg
- Avgrensa overføring til land som er omfatta av avgjerd frå EU-kommisjonen om adekvat vernenivå der det er mogleg.
- Bruk av EUs standardavtalar for overføring av data til mottakarar i land utanfor EØS.
Sjukehuset
Dersom du meiner at sjukehuset ikkje varetek rettane dine, kan du klaga. Klager bør bli retta til sjukehuset først.
Du kan også velja å senda klage direkte til relevant offentleg styresmakt, sjå nedanfor.
Personvernombodet i sjukehuset
Personvernombodet i sjukehuset er ikkje eit klageorgan, men kan gi råd og rettleiing om pliktene til sjukehuset og rettane dine knytt til varetaking av personopplysningsvern og informasjonstryggleik.
Datatilsynet
Datatilsynet kan behandla klager som gjeld brot på personvern og informasjonstryggleik. Du finn kontaktinformasjon på Datatilsynets nettsider.
Statsforvaltaren
Statsforvaltaren kan behandla klager som gjeld brot på plikter som gjeld mellom anna brot på helsepersonell teieplikta si.
I nokre tilfelle kan brot på teieplikta også vera knytt til brot på personvern og informasjonstryggleik, til dømes dersom sjukehuset ikkje har sett i verk tilstrekkelege tryggingstiltak. I slike saker kan klaga til Datatilsynet også vera aktuelt.
Pasient- og brukarombodet
Pasient- og brukarombodet er ikkje eit klageorgan, men kan gi råd og rettleiing om rettane dine knytt til helsetenesta. For meir informasjon om pasient- og brukarombodet.
Sjukehuset har eit personvernombod. Personvernombodet er ein uavhengig rådgivar som mellom anna skal gi råd til leiinga ved sjukehuset og tilsette om kva forpliktingar dei har etter personvernregelverket, og kva rettar som gjeld for dei som får opplysningane sine behandla av sjukehuset.
Personvernombodet kan ikkje ta avgjerder på vegner av sjukehuset. Personvernombodet kan heller ikkje instruerast av leiinga eller andre når det gjeld utføringa av oppgåvene sine, og rapporterer til administrerande direktør og Styret.
Det er alltid sjukehuset som er ansvarleg for å sikra at personopplysningar som sjukehuset har ansvaret for, blir behandla i samsvar med gjeldande regelverk.
Oppgåver og organisering
I tillegg til å gi råd og informasjon, skal personvernombodet mellom anna:
- Kontrollera sjukehuset si etterleving av personvernregelverket
- Gi råd om vurdering av personvernkonsekvens (DPIA)
- Prioritera oppfølging av aktivitetar i sjukehuset der personvernrisikoen er størst
- Bidra til å sikra at sjukehuset har oversikt over korleis personopplysningar blir behandla
Personvernombodet skal samarbeida med Datatilsynet, og skal vera eit kontaktpunkt for Datatilsynet i saker som gjeld sjukehuset.
Personvernombodet skal også vera eit kontaktpunkt for dei registrerte, og kan gi informasjon om behandling av personopplysningar, og rettar dei registrerte har i samsvar med personvernlovgivinga.
Personvernombodet er organisatorisk tilknytt Forskings- og utviklingsavdelinga.
Det er ikkje personvernombodet som behandlar førespurnader som gjeld innsyn, informasjon, retting, sletting, avgrensing eller andre rettar. Slike saker blir retta til ansvarleg person/rolle i den eininga som førespurnaden er retta til.
Kontaktinformasjon
E-post: personvernombudet@helse-bergen.no
Tlf: +47 55 97 55 58
Ikkje send sensitive eller fortrulege opplysningar per e-post. Du kan også kontakta personvernombodet ved å bruka tenesta eDialog.
Informasjon om korleis du kan kontakta sjukehuset.
E-post og eDialog
Vi bruker TLS-kryptering for å sikre e-postkommunikasjonen vår. Dei fleste webmailtenester støtter dette, og e-postkommunikasjonen med oss vil da være sikret. Vi ber likevel om at du ikke sender sensitive personopplysninger eller svært viktig informasjon per e-post, fordi vi kan ikke garantere at e-postleverandøren din støtter TLS. Benytt i stedet eDialog.
Meir informasjon om korleis du kan kontakta sjukehuset.
Sjukehuset behandlar i nokre tilfelle opplysningar på vegner av andre verksemder. Når me behandlar personopplysningar på vegner av ei anna verksemd, skjer dette etter eigne avtalar.
Verksemda som er juridisk ansvarleg for opplysningane handterer spørsmål som gjeld bruk av rett til informasjon, innsyn, retting, sletting, eller andre personvernrettar.
Sjukehuset er underlagt ei rekkje lover som kan innebera krav til sjukehuset si behandling av personopplysningar. Lista her er ikkje uttømmande, men gir døme på lover og forskrifter som stiller krav til behandling av personopplysningar.
- Personopplysningslova
- Spesialisthelsetenestelova
- Pasientjournallova
- Pasient- og brukarrettslova
- Helsepersonellova
- Helseregisterlova
- Helseforskingslova
- Offentleglova
- Arkivlova
- Forvaltningslova
- Arbeidsmiljølova
- Smittevernlova
- Rekneskapslova
- Bokføringslova
Denne versjonen personvernerklæring for Haukeland universitetssjukehus erstattar tidlegare versjon i sin heilskap. Me har endra innhald og struktur osb. for å sikra at relevante opplysningar er tilgjengeleg for pasientar og publikum.
Informasjon om personvern for tilsette, jobbsøkjarar, tidlegare tilsette og studentar osb. vil bli teke inn seinare, når teksten er kvalitetssikra av dataansvarleg (Personal- og organisasjonsavdelinga).