Personvernerklæring – Hans og Olaf Fysioterapi – Pr 09.08.2018

Denne personvernerklæringen gir den informasjonen personvernregelverket krever at vi gir i forbindelse med vår behandling av personopplysninger. GDPR (General Data Protection Regulation) er EUs nye direktiv for å sikre personvern for innbyggere i EU og EØS. I korte trekk handler dette om at du skal ha rett til å vite hvilke personopplysninger vi kan lagre, hvordan vi kan forvalte disse, hva som er lagret av informasjon om deg, og at du har rett til å få informasjon slettet ved oppfordring, med mindre lov forhindrer oss i dette. Hans og Olaf Fysioterapis behandling av personopplysninger er i overenstemmelse med det til enhver tid gjeldende personvernregelverk.

Denne personvernerklæringen er ment for å gi deg informasjon om hvordan og hvorfor Hans og Olaf Fysioterapi AS samler inn og håndterer informasjonen om deg. Det er Hans og Olaf Fysioterapi AS v. Roar Robinson, som er behandlingsansvarlig for informasjonen som samles inn om deg i forbindelse med behandling hos oss. Terapeutene har også ansvar for korrekt brukt av personopplysninger- og at de forholder seg til taushetsplikten og øvrig regelverk som gjelder for offentlig autorisert helsepersonell i Norge. Informasjonen vi samler inn benyttes opp mot din personlige utredning og eventuell videre behandling ved Hans og Olaf Fysioterapi.

Rettslig grunnlag for behandling av personopplysninger

Behandling av personopplysninger er ikke tiltatt med mindre det foreligger et gyldig behandlingsgrunnlag. Et slikt behandlingsgrunnlag kan eksempelvis være samtykke fra den registrerte, som ved oppstart av behandling hos oss, ved lov eller at vi som ansvarlig har en “berettiget interesse” som overstiger den registrertes krav på personvern. Vårt behandlingsgrunnlag er i hovedsak gjennom pasientbehandling. For vår virksomhet er samtykke fra pasienten en utløsende faktor for behandling.

For behandling av pasientjournaler er det pasientjournalloven som i tillegg til personopplysningsloven som setter grenser. Alle rettighetene du som pasient har er regulert i pasient- og brukerrettighetsloven. I tillegg gir lovverk som blant annet markedsføringsloven og regnskapsloven også retningslinjer for hvordan informasjon som kan knyttes til en person, skal behandles.

Som offentlig autorisert helsepersonell forholder vi oss til norsk lov, helsedirektoratet og EUs direktiver i henhold til oppbevaring, ekstern lagring og beskyttelse av dine personlige opplysninger. For eksempel så er dine journaloppføringer kun forbeholdt deg og din terapeut – og det gjelder reglement for at andre personer ikke skal få innsyn her uten pasientens samtykke. Dine persondataopplysninger oppbevares digitalt og eksternt hos datasikkerhetsselskaper som jobber nærmest utelukkende med datalagring, kryptering og databeskyttelse.

Vår bruk av personopplysninger

Vi samler inn og behandler personopplysninger for at vi skal kunne utøve god og forsvarlig pasientbehandling, sette riktig diagnose og ha mulighet for formålstjenlig kommunikasjon med annet helsepersonell. Personopplysningene blir for øvrig brukt til administrering av pasientforhold, til fakturering, for å kunne oppfylle vår avtale med våre ansatte (administrering av ansettelsesforhold), for å kunne yte god service, til bokføringsformål, og i øvrige sammenhenger der Hans og Olaf Fysioterapi må vite hvem vi er i kontakt med. I tillegg gir lovverk som blant annet regnskapsloven også retningslinjer for hvordan informasjon som kan knyttes til en person, skal behandles. Som pasient hos oss lagrer vi essensiell informasjon i henhold til gjeldende retningslinjer ved Norsk lovgivning, EUs direktiver og etter Helsedirektoratets føringer. Dette innebærer navn, fødsels- og personnummer, telefonnummer, epostadresse, postadresse, kjønn, diagnose, behandlingshistorikk, pasientens fastlege, NAV-kontor og tilhørende bydel, og relevante opplysninger fra pasientens sykdomshistorikk som er nødvendig for å utøve god pasientbehandling. Vi henter opplysningene fra den registrerte selv gjennom en inngående anamnese/oppstartssamtale eller via henvisninger, epikriser, journaler eller øvrig dokumentasjon tilsendt fra annet helsepersonell, eller medbrakt fra pasienten selv.

Journaloppføringer på klinikken registreres fortløpende i pasientens journal, og pasienten kan be om utskrift av denne historikken til eget bruk, eller for videre rapportering. I journalen lagres informasjon fra anamnese/sykdomshistorie, kliniske undersøkelser, hvilken behandling som er gjort, hvilken kommunikasjon med annet helsepersonell som eventuelt er gjort, valgte tiltak og plan for videre behandling. Lagring av informasjon om behandlingshistorikk ligger til grunn for innrapportering til HELFO i sammenheng med å få tilstedt frikort (refusjon). På medisinsk trening lagres ditt besøk i timelisten hver gang du trekker kortet til den avtalte timen. Epost og tlf.nr brukes ikke til markedsføring, kun til eventuell nødvendig kommunikasjon relevant for behandlingen. Ved samtykke fra pasient, kan helseopplysninger bli utlevert til samarbeidende helsepersonell i andre deler av helsetjenesten om det tjener deg om pasient. Eksempler på dette er epikriser, sykemeldinger, omsorgstjenesten i kommunen, NAV, HELFO etc. Ved utlevering av informasjon til forsikringsselskaper kreves også skriftlig samtykke fra pasienten.

Vi understreker at vi ikke samler inn personlig informasjon til annet bruk enn at det lagres i våre timelister, når man bestiller time gjennom hjemmesiden. Bookingen skjer gjennom tjenesten «ProMed Online Booking», levert av Programvareforlaget AS, hvor dataene legger seg automatisk inn i våre timelister. Når du bruker nettsidene til Hans og Olaf Fysioterapi samtykker du til bruk av informasjonskapsler, eller såkalte “cookies”, som lagres på brukerens egen data når man åpner en nettside. Hensikten med bruk av informasjonskapsler er for at nettsiden skal oppleves mer brukervennlig og tilpasset den enkelte bruker. Disse informasjonskapslene kan til enhver tid slettes via brukerens egen nettleser.

Når du benytter online booking (timebestilling) på Hans og Olaf Fysioterapi samtykker du i at vi kan oppbevare den informasjonen du sender inn (navn, personnummer, telefonnummer, epost og tilleggsinformasjon), til administratsjon av timelister relevant for bruk i henhold til aktuell utredning og behandling. Dette gjelder også dersom du bestiller time via telefon eller i person.

Vi gjør deg oppmerksom på at vanlig e-post er ukryptert. Vi oppfordrer deg derfor ikke til å sende taushetsbelagte, sensitive eller andre fortrolige opplysninger via e-post. Hans og Olaf Fysioterapi benytter ditt telefonnummer for å kontakte deg vedrørende avtaler du har hos oss, fakturaer eller forsikringsinformasjon. Klinikkeier har det daglige ansvaret for behandlingen av personopplysninger i klinisk sammenheng, og har administratortilgang i journalsystemet, hvilket gir mulighet for innsyn i andre terapeuters journal ved tjenestlig behov. Alle våre medarbeidere som er autorisert helsepersonell har taushetsplikt. Våre medarbeidere som ikke er autorisert helsepersonell, f.eks resepsjonsmedarbeider som i det daglige tar i mot timebestillinger og klinikkrelevante henvendelser, har skrevet under på en taushetsplikterklæring, og har ikke tilgang til den medisinske journalen.

Utlevering av personopplysninger – bruk av tredjepart

Personopplysninger du oppgir i forbindelse med behandling på Hans og Olaf Fysioterapi blir kun brukt i den sammenheng de er ment å brukes, og vil kun sendes til en tredjepart, ved samtykke, dersom det er hensiktsmessig for behandlingen, ved nødvendig kommunikasjon med annet helsepersonell, ved betalingsinnkreving eller for regnskapsbehandling, eller der vi ved lov vil være forpliktet til å utlevere dine personopplysninger. Eksempel på der vi er forpliktet til å utlevere informasjon til tredjepart, er ved behandling av terapeut med kommunalt driftstilskudd/behandling på refusjon av HELFO, hvor vi må sende oppgjør til HELFO med informasjon om hvem som har mottatt behandling som grunnlag for refusjon.

Registrerte personopplysninger behandles konfidensielt hos oss og det er bare autorisert manuell- og fysioterapeuter ved Hans og Olaf Fysioterapi som vil ha tilgang til våre pasientjournaler gjennom sin egen personlige innlogging med passord. Det er kun terapeuter som er involvert i en aktiv pasientbehandling som skal bruke opplysningene i sin behandling. Vi sikrer at kun de som har et tjenstlig behov får tilgang til opplysningene. Videre sikrer vi at opplysninger ikke kan endres eller slettes av andre enn de som er autorisert til å gjøre dette. Hovedansvarlig har en utvidet administratortilgang og vil på denne måten til enhver tid kunne se hvem som har foretatt endring i journalene og hvem som har brukt hvilke journaler. Vi bruker sikre IT-systemer og har avtale med programvareleverandør i henhold til personvernregelverket. Vår databehandler er Programvareforlaget AS som leverer journalsystemet ProMed®. Dette er et EPJ-system (elektronisk pasient journal) som dekker pasientoppfølging, journalføring, administrasjon og dokumentasjon av behandling. ProMed® er et komplett verktøy for helsepersonell, som f.eks; fysioterapeuter, kiropraktorer, manuellterapeuter, psykologer, naprapater, akupunktører og beslektede behandlere i klinikker og institutter i privat og offentlig virksomhet.

Elektronisk kommunikasjon med andre helseaktører (fastleger, NAV, sykehus etc.) skjer via Norsk Helsenett, Norsk Helsenett (NHN) er et statlig foretak, eid av Helse- og omsorgsdepartementet (HOD). De leverer og videreutvikle en sikker, robust og hensiktsmessig nasjonal IKT-infrastruktur for effektiv samhandling mellom alle aktører i helse- og omsorgstjenesten. ProMed er tilkoblet Norsk Helsenett, og EPJ-leverandører som tilbyr denne funksjonen, er forpliktet til å følge Normen for informasjonssikkerhet og personvern i helse- og omsorgstjenesten (Normen, 5 utgave, versjon 5.3), som innarbeider gjeldende lov og forskriftskrav i sine retningslinjer for helsebransjen. Normen skal bidra til å understøtte gode helsetjenester, god pasientsikkerhet, de ansattes personvern, og en aktiv pasientrolle. Det er inngått en databehandleravtaleinngått mellom Hans og Olaf Fysioterapi og Norsk Helsenett, som sikrer riktig og trygg oppbevaring av kommunikasjon mellom nevnte parter.

Det er også inngått en databehandleravtale mellom Hans og Olaf Fysioterapi og Programvareforlaget, som regulerer vår databehandlers innsyn i opplysningene, hvordan de brukes og hvordan de behandler sikkerheten knyttet til det å behandle informasjonen. Øvrige tredjeparter som har tilgang til enkelte opplysninger om bruker/pasient er Exorlive. Exorlive er et nettbasert program hvor man lager tilpassede treningsprogram og relevante øvelser som utgangspunkt for pasientens behandling. Exorlive kan tilknyttes pasientens personalia (navn, fødselsdato og telefonnr.), men tjenesten vil ikke ha tilgang på medisinske opplysninger, eller sensitive opplysninger. Det er etablert en databehandleravtale mellom Hans og Olaf Fysioterapi og Exorlive.

Når det gjelder tilpasninger til nytt regelverk, som i dette tilfellet, ny personvernlovgivning, vil det være den enkelte systemleverandør som er ansvarlig for at deres system oppfyller lovens krav. Fysio- og manuellterapeuter som brukere har på sin side et selvstendig ansvar for at de oppfyller lovens krav. At det inngås avtale med en proff leverandør, fritar ikke fysioterapeuten fra eget ansvar for å sørge for at personvernreglene er ivaretatt i fysioterapivirksomheten.

Opplysninger om ansatte

Hans og Olaf Fysioterapi behandler personopplysninger om sine ansatte for å administrere lønn og personalansvar. Rettslig grunnlag følger av personopplysningsloven § 8, første ledd og § 8 a), b) eller f) samt § 9 a), b) og f). Det er regnskapsfører som har det daglige ansvaret for dette. Det registreres nødvendige opplysninger for utbetaling av lønn, for eksempel grunndata, lønnsnivå, tidsregistrering, skatteprosent og skattekommune. Andre opplysninger om ansatte er knyttet til vedkommendes arbeidsinstruks og tilrettelegging av vedkommendes arbeid. Opplysningene oppbevares i ringpermer på avlåst kontor, samt på lokal sikret server. Opplysningene utleveres bare i forbindelse med lønnsutbetalinger og andre lovpliktige utleveringer. Sletterutiner for personalopplysninger følger regnskapsloven og arkivloven. Opplysninger om navn, stilling og arbeidsområdet regnes å være offentlige opplysninger og kan publiseres på tilsynets nettsider.

Lagring av personopplysningene og sletting

Data som nevnt over som samles inn i vårt elektroniske pasientjournal-system ved oppstart av behandling og er lagret på en sikret, lokal hovedserver som er tilknyttet vår databehandler. Opplysningene lagres i vårt journalsystem da det er i vår interesse å oppbevare disse opplysningene ved fremtidig kontakt - dette for å kunne basere diagnostikk, behandling og tiltak på et mest mulig riktig grunnlag. Som helsepersonell har vi dokumentasjonsplikt. Dette betyr at vi er lovpålagt å oppbevare nødvendig informasjon for regnskapsføring og journal jf. Hpl. kap. 8 «Forskrift om pasientjournal». Historikken rundt din tidligere behandling eller mottakelse av tjenester og journalpliktig informasjon hos oss kan derfor ikke slettes. All annen informasjon knyttet til deg har du rett til innsyn i og krav på å få slettet dersom du ønsker det. Vi har innført rutiner for å sikre at dette skjer i tråd med gjeldende regelverk. Rett til retting av personopplysninger I utgangspunktet vil vi av eget tiltak rette mangelfulle eller feilaktige opplysninger. Men det er ikke alltid lett for den som behandler store mengder opplysninger å bli klar over at noe mangler eller er feil. Vi anbefaler derfor at alle bruker innsynsretten aktivt, og gir beskjed til avdelingen det gjelder om det er feil eller endringer i opplysningene som er oppgitt.

Dine rettigheter

Du har rett til å anmode oss om innsyn, sletting (med mindre vi er forpliktet til å oppbevare opplysningene) og utlevering av personopplysningene dine (dataportabilitet). I tillegg kan du anmode oss om å avslutte behandlingen av personopplysningene (eksempelvis trekke ditt samtykke tilbake). Dersom du anmoder oss om å benytte deg av en eller flere av disse rettighetene vil vi innrette oss etter anmodningen, med mindre vi er forpliktet til annet, så fort det lar seg gjøre. Anmodningene kan rettes til vår e-post- adresse resepsjon@hof.nhn.no om du har kommentarer eller ønsker mer informasjon om vår behandling av dine personopplysninger. Du kan henvende deg til oss og be om å få vite hva slags opplysninger Hans og Olaf Fysioterapi har om deg, hva opplysningene skal brukes til, og hvor de er innhentet fra. Dette gjelder så vel opplysninger i datasystemer og i papirarkiver.

Vi revurderer våre rutiner periodisk slik at sikkerheten til enhver tid skal være så god som mulig. Dersom vi oppdager at en rutine ikke er fulgt, følges dette grundig opp. Dersom du mener vi har brutt personvernregelverket har du mulighet til å klage til Datatilsynet.