Ringvoll Bedriftshelsetjeneste tilpasning til de nye personvernreglene (GDPR)

GDPR

(General Data Protection Regulation for EU/EØS) er et nytt personvernregelverk som trådte i kraft, i Norge, den 1. juli 2018. Lovverket setter rammer for innsamling og bruk av person-opplysninger og styrker rettighetene til enkeltpersoner.

All behandling av personopplysninger skal være lovlig, rettferdig og gjennomsiktig. Med personopplysning menes enhver opplysning om en identifisert eller identifiserbar fysisk person (den registrerte). Personhelsedata defineres som sensitive personopplysninger.

Ringvoll Bedriftshelsetjeneste tar personvern på alvor. Vårt personell som kan komme i befatning med personopplysninger har taushetsplikt. Ringvoll Bedriftshelsetjenestes håndtering av disse opplysningene skjer i samsvar med den til enhver tid gjeldende personvern-lovgivingen i tillegg til regelverket for helse- og Bedriftshelsetjenester.

Vi ønsker at våre kunder skal kjenne sine ansattes databeskyttelsesrettigheter og vårt juridiske grunnlag for å behandle person-opplysninger i henhold til EUs nye personvernforordning. Ringvoll Bedriftshelsetjeneste har som mål er å ivareta alle våre kunder og deres ansatte på en best mulig måte.

Rettslig grunnlag for innsamling av personopplysninger

Det sentrale punkt er om en person kan identifiseres på bakgrunn av opplysningene. Omfanget av registrerte personopplysninger skal ikke være større enn nødvendig.

Ringvoll Bedriftshelsetjeneste samler inn, bruker og lagrer både opplysninger om våre kunder og sensitive personopplysninger om deres ansatte. Det rettslige grunnlaget finnes i GDPR artikkel 6 og 9, Arbeidsmiljøloven, Helseregisterloven, Helsepersonelloven, Pasientjournalloven, Forskrift om utførelse av arbeid og Forskrift om pasientjournal.

Personvernerklæring for Ringvoll Bedriftshelsetjeneste

Ringvoll Bedriftshelsetjeneste må registrere noen personopplysninger for å kunne følge opp kundeforholdet og de ansattes helse. Dette innbefatter kontaktinformasjon for å opprette bedriftsjournal og pasientjournal (f.eks. navn, fødselsnummer, adresse og telefonnummer), administrasjon av timeavtaler, stille diagnoser, skrive resepter, betaling og øvrige forpliktelser under bedriftshelse-avtalen. Vi vil kun samle inn og bruke de personopplysninger som er nødvendige.

Datakontroll

Våre helsesystemer med tilhørende databaser forenkler gjenfinning, bidrar til en bedre internkontroll og sikrer personvernet for våre kunders ansatte.

Retting og sletting

Det er viktig at opplysningene vi har registrert er riktige. Våre kunders ansatte kan, på egne vegne, kreve at vi retter eller sletter personopplysninger hvis disse er mangelfulle eller unødvendige.

Retting og sletting av opplysninger i pasientjournal er hjemlet i regelverket – som også gir noen begrensende unntak. Har du spørsmål om dette så kan du ta kontakt med oss.

Ringvoll Bedriftshelsetjeneste sletter registrerte personopplysninger når de ikke lenger er nødvendige for å oppfylle formålet de ble innhentet for. For pasientjournaler gjelder
egne regler om oppbevaring.

Allmennhelseopplysninger skal, i utgangspunktet, slettes når det her gått mer enn 10 år etter siste journalpåføring. Unntaksvis skal pasientjournaler for ansatte som har vært utsatt for risikofylte eksponeringer; som asbeststøv, bly, kreftfremkallende kjemikalier, bergarbeid, m.fl., oppbevares i opptil 60 år.

Innsyn

Registrerte ansatte hos våre kunder kan, på egne vegne, be om å få informasjon om hvilke personopplysninger vi behandler og hvordan vi håndterer disse.

Dette inkluderer den ansattes rett til innsyn i egen pasientjournal, hvem som har hatt tilgang til denne og hvem som har fått utlevert opplysninger herfra. Pasientjournalen er en taushetsbelagt informasjon og vil ikke bli delt med andre, med mindre den ansatte/pasienten samtykker til dette.

Leder og HR-funksjoner kan få oversendt lister over deltagere ved lovpålagte leveranser (f.eks. arbeidshelseundersøkelser og yrkesvaksinering) og deltagelse ved helsesertifiseringer med konklusjon på skikkethet av helsen (som f.eks. godkjent/ikke godkjent offshorearbeider, pilot, yrkesdykker, yrkessjåfør).

Databehandling av personopplysninger i Ringvoll Bedriftshelsetjeneste

Ringvoll Bedriftshelsetjeneste systematiserer innhentet bedriftshelseinformasjon i en database, der innsamlede data lagres sikkert enten i bedriftsjournal eller i pasientjournal. Ringvoll Bedriftshelsetjenestes kvalifiserte ansatte har autorisert tilgang til bedriftsjournal med opplysninger om bedriften.

Når våre kunders ansatte mottar bedriftshelsetjenester fra Ringvoll Bedriftshelsetjeneste, har vårt helsepersonell plikt til å føre en pasient-journal. I pasientjournalen registrerer vi de opplysningene som er nødvendige for å gi riktig tjeneste eller behandling, f.eks. sykdomshistorikk, tidligere behandlinger, medikamentbruk, resepter, diagnoser, prøveresultater, opplysninger fra andre behandlingssteder m.m.

Tilgang til pasient-journal er begrenset til helsepersonell og medhjelpere som leverer helsetjenester til ansatte og pasienter. Helselovgivningen gir klar føring på begrensning av innsyn i pasientjournal til helse-personell med behandlerfunksjon. Ringvoll Bedriftshelsetjeneste loggfører innsyn i pasientjournaler, og det gjennomføres regelmessig kontroll av loggen for å sikre korrekt innsyn i journalene. Sammen med våre systemleverandører arbeider vi med å få gode og sikre personvernløsninger i våre helsesystemer.

Databehandleravtale

Ringvoll Bedriftshelsetjeneste er behandlingsansvarlig for personopplysninger fra ansatte hos våre kunder etter inngått avtale, både i forbindelse med leveranse av bedriftshelsetjenester og øvrige helsetjenester.

Ringvoll Bedriftshelsetjeneste behandler personopplysningene selvstendig som en del av tjenesteleveransene og ikke på vegne av eller etter instruks fra våre kunder.

Ringvoll Bedriftshelsetjeneste inngår derfor ikke data-behandleravtaler med sine kunder. Dette er også i henhold til Datatilsynets vurdering av ansvar for levering av bedriftshelsetjenester. Det at Ringvoll Bedriftshelsetjeneste mottar ansattlister med navn, fødselsnummer, mailadresse og avdelingstilhørighet fra kundene, fordrer i seg selv ingen data-behandleravtale, fordi dette anses som en overføring av data mellom to selvstendige behandlings-ansvarlige.

Ringvoll Bedriftshelsetjeneste skal ha en fri og uavhengig stilling i arbeidshelsespørsmål og er ansvarlig for å operere i tråd med de krav som følger av lov og forskrift.

Sikkerhet og risikovurdering

Ringvoll Bedriftshelsetjeneste tar ansvar for å vurdere sikkerhetsrisiko og konfidensialitet i forhold til personvernet. Det er viktig for oss at informasjonen vi sitter på blir behandlet i tråd med gjeldende lovverk og forskrifter. Ingen registrerte personopplysninger skal være tilgjengelig for uvedkommende. Ansatte i Ringvoll Bedriftshelsetjeneste, som gis tilgang til beskyttelsesverdige personopplysninger, må underskrive en taushets-erklæring og skal ha et tjenestebehov for å åpne en pasientjournal. Vi har flere rutiner som beskytter personsikkerheten.

For å ivareta sikkerheten i registrerte personhelseopplysninger er det viktig at også all kommunikasjon er trygg. Helseopplysninger og andre sensitive opplysninger skal ikke sendes via e-post eller på andre (inklusive sosiale) medier som ikke ivaretar konfidensialiteten. Våre kunder blir informert om sikre måter for å utveksle personopplysninger.

Et eventuelt sikkerhetsbrudd vil bli varslet innen kort tid i henhold til GDPRs strenge krav til avvikshåndtering.

En tryggere hverdag

Vi i Ringvoll Bedriftshelsetjeneste arbeider kontinuerlig for å være i samsvar med personvernregelverket slik at alle våre kunder og brukere skal være trygge på at innsamlet, lagret og kommunisert personinformasjon blir behandlet på en forsvarlig måte.

Skulle det være behov for ytterligere avklaringer om personvern ta gjerne kontakt med

Fredrik Rene Hæren
Organisasjonsrådgiver
Sentralbord: 69253106
Mobil: 48270177

GDPR på nettsiden

Den type personlige opplysninger som vi behandler

Personlige data er alle data som kan være direkte eller indirekte relatert til deg. Vi kan samle inn og behandle følgende kategorier av personlig informasjon:

Navn og annen identifiserbar informasjon

For eksempel kan vi registrere ditt navn, tittel, kjønn og fødselsdato.

Dine kontaktdetaljer og detaljer om din personlige konto eller registrering

Dine kontaktopplysninger kan inneholde adresse, adresse, telefonnummer og e-postadresse. Hvis du registrerer deg for en bestemt tjeneste eller oppretter en personlig konto, kan vi også registrere innloggingsdetaljer og annen informasjon du angir i kontoen eller registreringsskjemaet.

Vår kommunikasjon med deg

Hvis du sender oss en e-post eller melding via sosiale medier, har du registrert kommunikasjonen med oss.

Informasjon som vi samler inn når du bruker nettstedet vårt

Når du besøker nettstedet vårt, med din tillatelse, kan vi registrere din IP-adresse, nettlesertype, operativsystem, refererende nettsted, surfingadferd og klikkadferd. Med din tillatelse kan vi også motta posisjonsdataene dine.

I tillegg kan vi motta et automatisk varsel hvis du åpner et nyhetsbrev eller klikker på en lenke i et nyhetsbrev.

Informasjon du deler med oss

Du kan velge å dele informasjon med oss, for eksempel hvis du svarer på sosiale medier eller fyller ut en kundeundersøkelse.

Cookies og lignende teknologier

Hvis du bruker vår nettside, samler vi informasjon via informasjonskapsler og lignende teknologier. For mer informasjon, les vår «cookie policy» på nettstedet.

Hvordan samler vi dataene dine

Ringvoll Bedriftshelsetjeneste kan få dine personlige data på en rekke måter, for eksempel når du fyller ut et skjema, kommuniserer med oss ​​via sosiale medier eller registrerer deg for vårt nyhetsbrev. Avhengig av innstillingene for sosiale nettverk, kan vi også motta informasjon fra leverandøren av ditt sosiale nettverk.

Formålet vi bruker dataene til

De viktigste formålene vi bruker din personlige informasjon til er:

Å yte tjenester til deg

For å forenkle bruken av våre elektroniske tjenester for deg, kan vi analysere dataene du samler inn fra din bruk av våre digitale medier, og kombinere dem med informasjon samlet gjennom informasjonskapsler og lignende teknologier. For eksempel, å vite hvilken digital kanal (e-post, sosiale medier) eller enhet (skrivebord, nettbrett eller mobil) du foretrekker slik at vi kan fokusere vår kommunikasjon på den kanalen eller enheten.

Å kommunisere med deg

Vi bruker din kontaktinformasjon til å kommunisere med deg, svare på dine spørsmål eller håndtere dine klager.

For statistisk forskning

Vi bruker automatiske verktøy til å utføre statistisk forskning om generelle trender for bruk av våre tjenester, nettsider og sosiale medier og adferd til våre kunders og brukeres preferanser. Gjennom statistisk forskning kan vi utvikle bedre tjenester. I tillegg kan vi forbedre design og innhold på nettstedet vårt.

Ved å utføre vår forskning kan vi kombinere og analysere ulike typer data. Vi bruker kun aggregerte data og bruker ikke navn, e-postadresser eller annen direkte identifiserbar informasjon. Vi kan også kombinere slike aggregerte data med informasjon fra offentlige kilder. Vi vil ikke bruke sensitive data for denne statistiske undersøkelsen uten ditt samtykke.

Til direkte markedsføring

Vi kan bruke dine personlige opplysninger til å sende deg nyhetsbrev eller andre markedsføringsmeldinger. For å vite hva som er relevant for deg, kan vi bruke automatiske verktøy til å analysere dine personlige opplysninger. For dette formål kan vi bruke og kombinere informasjonen beskrevet ovenfor. Vi kan også kombinere slik samlet informasjon med informasjon som vi mottar fra offentlige kilder. Vi vil ikke bruke dine sensitive data for statistisk forskning uten ditt samtykke.

Vi bruker resultatene av vår analyse for å skreddersy våre markedsføringsmeldinger til dine spesifikke interesser og preferanser. For eksempel, hvis vår analyse viser at du kan være interessert i bestemte typer tjenester, kan vi endre vårt nyhetsbrev og nettstedet med innhold som vi mener er relevante for deg.

Vi kan bruke forskjellige kanaler for våre markedsføringsmeldinger, for eksempel e-post og sosiale medier. Du kan tilbakekalle din tillatelse til å sende markedsføringsmeldinger eller gjøre en innsigelse når som helst. For dette følg instruksjonene i den relevante markedsføringsmeldingen eller kontakt oss.

Opplysning og deling av data med tredjepart

Vi kan avsløre eller dele dine personlige opplysninger med tredjepart for følgende formål:

For støttetjenestene som vi tilbyr

Vi bruker tredjeparter, for eksempel leverandører av sosiale nettverk og markedsføringsbyråer, til å tilby våre tjenester. Alle disse tredjepartene er pålagt å beskytte dine personlige opplysninger tilstrekkelig og bare behandle det i henhold til våre instruksjoner.

For statistisk forskning og direkte markedsføring

Vi kan bruke dine personlige opplysninger til statistisk forskning og direkte markedsføring (se ovenfor).

Tredjeparts nettsteder

Vår nettside inneholder lenker til tredjeparts nettsteder. Hvis du følger disse linkene, vil du forlate nettstedet vårt. Disse personvernreglene gjelder ikke for tredjeparts nettsteder. Ringvoll Bedriftshelsetjeneste påtar seg intet ansvar for bruken av dine personopplysninger av disse tredjepartene. Din bruk av disse nettstedene er på egen risiko. Se personvernreglene til disse tredjepartene (hvis tilgjengelig) om hvordan de håndterer din personlige informasjon.

Med partnere

Dine data kan deles med partnere, for å gi deg best mulig service.

Sikkerhet og bevaring

Ringvoll Bedriftshelsetjeneste tar nødvendige tekniske og organisatoriske tiltak for å beskytte dine personlige data mot tap eller ulovlig bruk.

Dine personopplysninger vil bli holdt så lenge som nødvendig for de formål som er beskrevet i disse personvernreglene eller i den grad det er nødvendig for å overholde lover og forskrifter og for å løse tvister.

Vern av barn

Ringvoll Bedriftshelsetjeneste forsøker ikke å samle inn informasjon om barn i alderen 16 eller yngre, eller å opprette interessesegmenter som er spesielt utviklet for å målrette barn. Hvis du er bekymret for ditt barns personvern i forbindelse med våre tjenester, eller hvis du tror at barnet ditt har skrevet inn personlig identifiserbar informasjon på vår nettside, kan du kontakte oss.

Dine rettigheter

Du har en rekke rettigheter når vi registrerer personlige data om deg. Disse rettighetene er nedfelt i Generell databeskyttelsesforordning (GDPR). Du kan vise, rette, blokkere eller slette dine personlige opplysninger når som helst.

For å gjøre bruk av dine rettigheter kan du sende inn en skriftlig forespørsel. Ringvoll Bedriftshelsetjeneste har fire uker fra mottak av forespørselen for å vurdere om forespørselen er berettiget. Ringvoll Bedriftshelsetjeneste vil kunngjøre hva som vil skje med forespørselen innen fire uker. Dersom forespørselen ikke følges, er det mulighet for å protestere mot Ringvoll Bedriftshelsetjeneste, eller å sende inn en klage til Datatilsynet. På grunnlag av en slik forespørsel kan Ringvoll Bedriftshelsetjeneste be om ytterligere opplysninger for å sikre identiteten til den berørte personen.