. .

Personvern for medlemsbedrifter i BHT SØR SA og deres ansatte

Personvern for medlemsbedrifter i BHT SØR SA og deres ansatte (PDF)


GDPR (General Data Protection Regulation for EU/EØS) er et nytt personvernregelverk som trer i kraft, i Norge, den 1. juli 2018. Lovverket setter rammer for innsamling og bruk av person-opplysninger og styrker rettighetene til enkeltpersoner.

All behandling av personopplysninger skal være lovlig, rettferdig og gjennomsiktig. Med personopplysning menes enhver opplysning om en identifisert eller identifiserbar fysisk person (den registrerte). Personhelsedata defineres som sensitive personopplysninger.
BHT SØR tar personvern på alvor. Vårt personell som kan komme i befatning med personopplysninger har taushetsplikt. BHT SØR sin håndtering av disse opplysningene skjer i samsvar med den til enhver tid gjeldende personvern lovgivingen i tillegg til annet regelverk som omfatter bedriftshelsetjenester.

Vi ønsker at våre medlemsbedrifter skal kjenne sine ansattes databeskyttelsesrettigheter og vårt juridiske grunnlag for å behandle person-opplysninger i henhold til EUs nye personvernforordning. BHT SØR sitt mål i dette henseende er å ivareta alle våre medlemsbedrifter og deres ansatte på en best mulig måte.

Rettslig grunnlag for innsamling av personopplysninger
Det sentrale punkt er om en person kan identifiseres på bakgrunn av opplysningene. Omfanget av registrerte personopplysninger skal ikke være større enn nødvendig.

BHT SØR samler inn, bruker og lagrer både opplysninger om virksomheten og sensitive personopplysninger om deres ansatte. Det rettslige grunnlaget finnes i GDPR artikkel 6 og 9, Arbeidsmiljøloven, Helseregisterloven, Helsepersonelloven, Pasientjournalloven, forskrift om utførelse av arbeid og forskrift om pasientjournal.

Personvernerklæring for BHT SØR
BHT SØR må registrere personopplysninger for å kunne følge opp tjensteforholdet og de ansattes helse. Dette innbefatter blant annet kontaktinformasjon for å opprette bedriftsjournal og pasientjournal (f.eks. navn, fødselsnummer, adresse og telefonnummer), administrasjon av timeavtaler, stille diagnoser, skrive resepter, utføre henvisninger, betaling og øvrige forpliktelser som innbefattes i det at BHT SØR leverer bedriftshelsetjenester. Vi vil kun samle inn og bruke de personopplysninger som er nødvendige.

Databasert oversikt
Vårt journalsystem med tilhørende databaser, mappesystem og applikasjoner forenkler gjenfinning, bidrar til en bedre internkontroll og sikrer personvernet for våre kunders ansatte.

Retting og sletting
Det er viktig at opplysningene vi har registrert er riktige. Våre kunders ansatte kan, på egne vegne, kreve at vi retter eller sletter personopplysninger hvis disse er mangelfulle eller unødvendige.

Retting og sletting av opplysninger i pasientjournal er hjemlet i regelverket – som også gir noen begrensende unntak. Har du spørsmål om dette så kan du ta kontakt med oss.
BHT SØR tilstreber å slette registrerte personopplysninger når de ikke lenger er nødvendige for å oppfylle formålet de ble innhentet for. For pasientjournaler gjelder egne regler om oppbevaring.

Allmennhelseopplysninger skal, i utgangspunktet, slettes når det har gått mer enn 10 år etter siste journalpåføring. Imidlertid vil det i hvert enkelt tilfelle, med bakgrunn i en
faglig vurdering, avgjøres om når formålet med behandlingen av helse- og
personopplysningene er oppfylt. Unntaksvis skal pasientjournaler for ansatte som har vært utsatt for risikofylte eksponeringer; som asbeststøv, bly, kreftfremkallende kjemikalier, bergarbeid, m.fl., oppbevares i opptil 60 år.

Innsyn
Registrerte ansatte hos våre kunder kan, på egne vegne, be om å få informasjon om hvilke personopplysninger vi behandler og hvordan vi håndterer disse.

Dette inkluderer den ansattes rett til innsyn i egen pasientjournal, hvem som har hatt tilgang til denne og hvem som har fått utlevert opplysninger herfra. Pasientjournalen er en taushetsbelagt informasjon og vil ikke bli delt med andre, med mindre den ansatte/pasienten samtykker til dette. Samtykket kan innhentes skriftlig eller muntlig og dokumenteres i journalsystem.

Leder og HR-funksjoner kan få oversendt lister over deltagere ved lovpålagte leveranser (f.eks. arbeidshelseundersøkelser og yrkesvaksinering) og deltagelse ved helsesertifiseringer med konklusjon på skikkethet av helsen (som f.eks. godkjent/ikke godkjent offshorearbeider, røykdykker, pilot, yrkesdykker, yrkessjåfør og andre attestasjoner).

Varighet og opphør av medlemskap
Personvernerklæringen er gyldig i hele avtaleperiode mellom BHT SØR SA og medlemsbedrift/firma x.

Dersom en av partene sier opp avtale, vil virksomheten settes som inaktiv i vårt fagprogram. Dersom personalopplysninger skal overføres annen leverandør, skal dette utføres i henhold til gjeldende lovgivning. Medlemsbedrift/firma x er selv ansvarlig for kostnader ved overføring av opplysninger til annen leverandør.

Databehandling av personopplysninger i BHT SØR
BHT SØR systematiserer innhentet bedriftshelseinformasjon i en database, der innsamlede data lagres sikkert enten i bedriftsjournal eller i pasientjournal. BHT SØR sine kvalifiserte ansatte har autorisert tilgang til bedriftsjournal med opplysninger om bedriften.

Når våre medlemsbedrifters ansatte mottar bedriftshelsetjenester fra BHT SØR, har vårt helsepersonell plikt til å føre en pasient-journal. I pasientjournalen registrerer vi de opplysningene som er nødvendige for å gi riktig tjeneste eller behandling, f.eks.sykdomshistorikk, tidligere behandlinger, medikamentbruk, resepter, diagnoser, prøveresultater, opplysninger fra andre behandlingssteder m.m.

Tilgang til pasient-journal er begrenset til helsepersonell og medhjelpere som leverer helsetjenester til ansatte og pasienter. Helselovgivningen gir klar føring på begrensning av innsyn i pasientjournal til helse-personell med behandlerfunksjon.

BHT SØR loggfører innsyn i pasientjournaler. Sammen med våre systemleverandører arbeider vi med å få gode og sikre personvernløsninger i våre helsesystemer.

Databehandleravtale
BHT SØR er behandlingsansvarlig for personopplysninger fra ansatte hos våre medlemsbedrifter etter inngått avtale i forbindelse med leveranse av bedriftshelsetjenester.

BHT SØR behandler personopplysningene selvstendig som en del av tjenesteleveransene og ikke på vegne av eller etter instruks fra våre kunder.

BHT SØR inngår derfor ikke data-behandleravtaler med sine kunder. Dette er også i henhold til Datatilsynets vurdering av ansvar for levering av bedriftshelsetjenester. Det at BHT SØR mottar ansattlister med navn, fødselsnummer, mailadresse og avdelingstilhørighet fra medlemsbedriftene, fordrer i seg selv ingen data-behandleravtale, fordi dette anses som en overføring av data mellom to selvstendige behandlings-ansvarlige.

BHT SØR skal ha en fri og uavhengig stilling i arbeidshelsespørsmål og er ansvarlig for å operere i tråd med de krav som følger av lov og forskrift.

Sikkerhet og risikovurdering
BHT SØR tar ansvar for å vurdere sikkerhetsrisiko og konfidensialitet i forhold til personvernet. Det er viktig for oss at informasjonen vi sitter på blir behandlet i tråd med gjeldende lovverk og forskrifter. Ingen registrerte personopplysninger skal være tilgjengelig for uvedkommende. Ansatte i BHT SØR, som gis tilgang til beskyttelsesverdige personopplysninger, må underskrive en taushets-erklæring og skal ha et tjenestebehov for å åpne en pasientjournal. Vi har flere rutiner som beskytter personsikkerheten.

For å ivareta sikkerheten i registrerte personhelseopplysninger er det viktig at også all kommunikasjon er trygg. Helseopplysninger og andre sensitive opplysninger skal ikke sendes via e-post eller på andre (inklusive sosiale) medier som ikke ivaretar konfidensialiteten. Våre medlemsbedrifter blir ved behov informert om sikre måter for å utveksle personopplysninger.

Et eventuelt sikkerhetsbrudd vil bli varslet innen kort tid i henhold til GDPRs strenge krav til avvikshåndtering. Innhold i varslet og hvem som skal varsles er gjort kjent i vår organisasjon.

Personvernombud
BHT SØR har opprettet et eget personvernombud som er bindeleddet mellom våre medlemsbedrifter og deres registrerte ansatte, Datatilsynet, styret i BHT SØR og egne ansatte. Personvernombudet er ansatt i BHT SØR og er per tiden daglig leder. Dermed sikrer vi en bedre kontinuitet, oversikt og kontroll.

En sikrere hverdag
Vi i BHT SØR arbeider kontinuerlig for å være i samsvar med personvernregelverket slik at alle våre kunder og brukere skal være sikre på at innsamlet, lagret og kommunisert personinformasjon blir behandlet på en forsvarlig måte.

Med vennlig hilsen
John Kåre Gill
Daglig leder