I Forebygg Skade AS tar vi personvern på alvor. Personell som kan komme i befatning med personopplysninger har taushetsplikt og vår håndtering av disse opplysningene skjer i samsvar med den til enhver tid gjeldende personvern-lovgivingen i tillegg til regelverket for bedriftshelsetjenester.
Vi i Forebygg Skade AS ønsker å ivareta både ansatte og kunder på den beste måte. Vi ønsker videre at våre kunder skal kjenne sine ansattes databeskyttelsesrettigheter og vårt juridiske grunnlag for å behandle personopplysninger i henhold til EUs nye personvernforordning.
GDPR (General Data Protection Regulation for EU/EØS) er et nytt personvernregelverk som trer i kraft i Norge, den 1. juli 2018. Lovverket setter rammer for innsamling og bruk av personopplysninger og styrker rettighetene til enkeltpersoner.
All behandling av personopplysninger skal være lovlig, rettferdig og gjennomsiktig.
Med personopplysning menes enhver opplysning om en identifisert eller identifiserbar fysisk person. Personhelsedata defineres som sensitive personopplysninger.
Rettslig grunnlag for innsamling av person­opplysninger
Dersom en person kan identifiseres på bakgrunn av registrerte opplysninger, enten digitalt eller i papirformat, må den ansvarlige for registreringen ha et rettslig grunnlag for dette. Omfanget av de registrerte personopplysningene skal ikke være større enn det behovet den ansvarlige har for å oppfylle sine bedriftshelsetjenesteoppgaver.
Forebygg Skade AS samler inn, bruker og lagrer både opplysninger om arbeidsgiveren og sensitive personopplysninger om deres ansatte. Det rettslige grunnlaget finnes i GDPR artikkel 6 og 9, Arbeidsmiljøloven, Helseregisterloven, Helsepersonelloven, Pasientjournalloven, Forskrift om utførelse av arbeid og Forskrift om pasientjournal.
Forebygg Skade AS må registrere noen personopplysninger for å kunne følge opp kundeforholdet og de ansattes helse, slik lovgivningen forutsetter. Dette innbefatter kontaktinformasjon for å opprette bedriftsjournal og ansattjournal (f.eks. navn, fødselsnummer, adresse og telefonnummer), betaling og øvrige forpliktelser under bedriftshelseavtalen. Disse opplysningene vil samles inn på forskjellige tidspunkt under bedriftshelseavtalen og kun være de personopplysninger som er nødvendige for å oppfylle oppgavene bedriftshelsetjenesten skal bistå med.
Våre datasystemer med tilhørende databaser forenkler gjenfinning, bidrar til en bedre internkontroll og sikrer personvernet for våre kunders ansatte.
Retting og sletting
Det er viktig at opplysningene vi har registrert er riktige. Våre kunders ansatte kan, på egne vegne, kreve at vi retter eller sletter personopplysninger hvis disse er mangelfulle eller unødvendige.
Retting og sletting av opplysninger i pasientjournal er hjemlet i regelverket. Det finnes noen begrensede unntak. Har du spørsmål om dette så kan du ta kontakt med oss.
Forebygg Skade AS sletter registrerte personopplysninger når de ikke lenger er nødvendige for å oppfylle formålet de ble innhentet for. For ansattjournaler (pasientjournaler) gjelder egne regler om oppbevaring.
Allmennhelseopplysninger skal, i utgangspunktet, slettes når det her gått mer enn 10 år etter siste journalpåføring, jfr Pasientjournalloven. Unntaksvis skal pasientjournaler for ansatte som har vært utsatt for risikofylte eksponeringer; som asbeststøv, bly, kreftfremkallende kjemikalier, bergarbeid, m.fl., oppbevares i opptil 60 år, jfr Forskrift om utførelse av arbeid.
Innsyn
Registrerte personer i våre systemer kan be om å få informasjon om hvilke personopplysninger om vedkommende vi behandler og hvordan vi håndterer disse. Dette inkluderer rett til innsyn i egen pasientjournal, hvem som har hatt tilgang til denne og hvem som har fått utlevert opplysninger herfra. Informasjon i pasientjournalen er taushetsbelagt, som krever den ansattes samtykke for å deles med andre.
Arbeidsgiver får oversendt lister over deltagere ved lovpålagte leveranser (f.eks. arbeidshelseundersøkelser) og deltagelse ved helsesertifiseringer med konklusjon på skikkethet av helsen (som f.eks. godkjent/ikke godkjent offshorearbeider, pilot, yrkesdykker, yrkessjåfør).
Databehandling
Forebygg Skade AS systematiserer innhentet bedriftshelseinformasjon i en database, der innsamlede data lagres sikkert enten i bedriftsjournal eller i pasientjournal. Forebygg Skade AS sine ansatte har tilgang til bedriftsjournal med opplysninger om bedriften.
Når våre kunders ansatte mottar bedriftshelsetjenester fra Forebygg Skade AS, har vårt helsepersonell plikt til å føre en pasientjournal. I pasientjournalen registrerer vi de opplysningene som er nødvendige for å gi ansatte riktig tjeneste, f.eks. sykdomshistorikk, tidligere behandlinger, medikamentbruk, resepter, diagnoser, prøveresultater, opplysninger fra andre behandlingssteder m.m.
Tilgang til pasientjournal er begrenset til personell og medhjelpere som kartlegger helsen til de ansatte. Helselovgivningen gir klar føring på begrensning av innsyn i pasientjournal.
I tråd med regelverket loggfører Forebygg Skade AS innsyn i pasientjournaler, og det gjennomføres regelmessig kontroll av loggen for å sikre korrekt innsyn i journalene. Vi arbeider kontinuerlig med å få gode og sikre personvernløsninger i alle våre systemer der det er aktuelt.
Databehandler­avtaler
Forebygg Skade AS skal ha en fri og uavhengig stilling i arbeidshelsespørsmål og er ansvarlig for å operere i tråd med de krav som følger av lov og forskrift.
Forebygg Skade AS er behandlingsansvarlig for personopplysninger fra ansatte hos våre kunder etter inngått avtale om bedriftshelsetjenester.
Forebygg Skade AS behandler personopplysningene selvstendig, som en del av tjenesten de leverer. Forebygg Skade AS har derfor vurdert det slik at vi i utgangspunktet ikke inngår databehandleravtaler med våre kunder.
Risikovurdering
Forebygg Skade AS tar ansvar for å vurdere sikkerhetsrisiko og konfidensialitet i forhold til personvernet. Det er viktig for oss at informasjonen vi sitter på blir behandlet i tråd med gjeldende lovverk og forskrifter. Ingen registrerte personopplysninger skal være tilgjengelig for uvedkommende. Ansatte i Forebygg Skade AS, som gis tilgang til beskyttelsesverdige personopplysninger, må underskrive en taushetserklæring og skal ha et tjenestebehov for å åpne en pasientjournal. Vi har flere rutiner som beskytter personsikkerheten.
For å ivareta sikkerheten i registrerte personhelseopplysninger er det viktig at også all kommunikasjon er trygg. Helseopplysninger og andre sensitive opplysninger skal ikke sendes via e-post eller på andre medier som ikke ivaretar konfidensialiteten. Våre kunder blir informert om sikre måter for å utveksle personopplysninger.
Et eventuelt sikkerhetsbrudd vil bli varslet innen kort tid. Innhold i varslet og hvem som skal varsles er gjort kjent i vår organisasjon.
Personvernombud
Forebygg Skade AS har, i henhold til Datatilsynets webbaserte rettleder, vurdert og konkludert med at vi ennå ikke har behov for et eget personvernombud. Begrunnelsen er at vi ikke håndterer personopplysninger i stor skala og at vi er en relativt liten bedrift. Dette spørsmålet vurderes imidlertid fortløpende.
Vi i Forebygg Skade AS arbeider kontinuerlig for å være i samsvar med personvernregelverket slik at alle våre kunder og brukere skal være trygge på at innsamlet, lagret og kommunisert personinformasjon blir behandlet på en forsvarlig måte.