Personvernerklæring Helseplattformen

Denne informasjonen retter seg mot deg som har en pasientjournal i Helseplattformen eller som opptrer som stedfortreder (foreldre eller verge) for en person som har en pasientjournal i Helseplattformen. Erklæringen gjelder ikke for helsepersonell eller andre som bruker Helseplattformen som ledd i det å yte helsetjenester til pasienter.

Her finner du svar på hvilke personopplysninger som finnes om deg i Helseplattformen, hvor opplysningene er hentet fra, hva de brukes til, det rettslige grunnlaget for bruken av opplysningene, hvem som har tilgang til opplysningene og hvor lenge opplysninger blir tatt vare på. Du finner også informasjon om dine rettigheter.

Hvis du har spørsmål til denne personvernerklæringen, kan du kontakte personvernombudet i Helseplattformen AS.

1. Om Helseplattformen

Helseplattformen er en regional journalløsning som benyttes av sykehus, kommuner, fastleger og andre godkjente tilbydere av helsetjenester i Midt-Norge. Pr. i dag er Helseplattformen obligatorisk journalløsning for spesialisthelsetjenesten (de offentlige sykehusene i regionen) og Trondheim kommune, mens det er frivillig for andre aktører å gå over til Helseplattformen. Alle innbyggere i Helse Midt-Norge (Trøndelag og Møre- og Romsdal) med en registrert pasientjournal hos en virksomhet som bruker Helseplattformen skal få en journal her.

Helseplattformen som journalløsning innebærer at alle virksomheter som yter helsetjenester til deg vil kunne gjøre oppslag og registrere opplysninger om deg i én og samme journal. Hensikten med en felles journal er å lette kommunikasjonen mellom de aktørene som er involvert ved oppfølgingen og behandlingen av deg, og at helsepersonellet lettere kan få tilgang til informasjon som de behøver for å yte forsvarlige helsetjenester.

Du kan se journalen din ved å logge på HelsaMi. I HelsaMi kan du også legge til og endre opplysninger i journalen, og du kan kommunisere med helsetjenesten. Du finner mer informasjon om HelsaMi, herunder informasjon om behandlingen av personopplysninger i HelsaMi her.

2. Dataansvar i Helseplattformen og rettslig grunnlag

Helseplattformen er som nevnt over et samarbeid mellom mange ulike tilbydere av helsetjenester i Midt-Norge. Samarbeidet har hjemmel i enkeltvedtak om Helseplattformen og dataansvar som er fattet i medhold av pasientjournalloven § 9 andre ledd («enkeltvedtaket»).

Dataansvarlig er betegnelsen på den/de virksomhetene som primært har ansvar og plikter etter personopplysningsloven og spesiallovgivningen som gjelder for helsetjenesten. Begrepet dataansvarlig er synonymt med behandlingsansvarlig i den generelle personvernlovgivningen. Helseplattformen AS og de helsevirksomhetene som bruker Helseplattformen er dataansvarlige for oppfyllelsen av de plikter som påhviler partene i medhold av personvernlovgivningen. Helseplattformen AS og helsevirksomhetene er selvstendige dataansvarlige som samarbeider for å oppfylle dataansvaret i Helseplattformen. Enkeltvedtaket fordeler plikter for oppfyllelse av dataansvar mellom Helseplattformen AS og helsevirksomhetene.

Virksomheten som yter helsehjelp, for eksempel fastlege, sykehus eller sykehjem er ansvarlig for sin egen bruk av din journal. Det betyr at en virksomhet eller personellet der bare kan gjøre oppslag i, registrere opplysninger eller på annen måte benytte din journal når det er begrunnet i pasientbehandling eller et annet lovlig formål, se punktet under.

Den enkelte virksomheten har et selvstendig ansvar for å sikre at opplysningene som føres inn i din journal er korrekte og oppdaterte. De har også et ansvar for å behandle opplysningene konfidensielt. Disse pliktene er både et virksomhetsansvar og et personlig ansvar som påhviler helsepersonellet som er ansatt i den aktuelle virksomheten.

Helseplattformen AS sitt ansvar etter enkeltvedtaket er å tilrettelegge for virksomhetenes bruk av Helseplattformen og å forvalte den tekniske løsningen som pasientjournalen driftes på. Dette innebærer særlig å sørge for at opplysningene som lagres i journalen er beskyttet av tilstrekkelige sikkerhetstiltak av både organisatorisk, teknisk og formell (avtaler og dokumentasjon) art.

Helsevirksomhetenes behandling av dine personopplysninger i Helseplattformen har rettslig grunnlag i personvernforordningen artikkel 6 nr. 1 c) og artikkel 9 nr. 2 bokstav h) og i) med supplerende rettsgrunnlag i helselovgivningen, herunder blant annet pasientjournalloven §§ 6 og 8, pasientjournalforskriften §§ 4-8, helsepersonelloven §§ 26 og 39 og enkeltvedtaket. Helseplattformen AS' behandlingsgrunnlag er personvernforordningen artikkel 6 nr. 1 c) og artikkel 9 nr. 2 bokstav h) og i) med supplerende rettsgrunnlag i enkeltvedtaket.

3. Om behandlingen av personopplysninger i Helseplattformen

Innbyggeres personopplysninger i Helseplattformen behandles for tilretteleggelse og gjennomføring av pasientbehandling, rapportering til helseregistre, og forskning. Hvert av disse formålene er nærmere omtalt nedenfor. Der det er relevant fremgår også blant annet hvilke opplysningstyper som behandles for de ulike formålene, hvor lenge opplysningene lagres og hvem som har tilgang.

3.1. Pasientbehandling

Virksomheter som yter helsehjelp har rett og plikt til å ha et journalsystem for å yte, administrere og kvalitetssikre helsehjelp til pasienter. Helseplattformen skal understøtte disse aktivitetene.

Din pasientjournal vil typisk inneholde følgende opplysninger:

Personalia (navn, fødselsnummer, adresse, telefonnummer)
Økonomiopplysninger (frikort, andre refusjonsordninger)
Helseopplysninger (diagnoser, medikamentbruk, prøvesvar, epikriser, notater etc.)
Logg (viser hvem som har sett, lest og endret opplysninger i din journal)

Personalia er hentet fra Folkeregistret. Journalen synkroniseres jevnlig mot dette registret for å sikre at opplysningene til enhver tid er oppdaterte. Økonomiopplysninger hentes fra ulike aktører innenfor Folketrygden.

Helseplattformen innebærer et samarbeid mellom mange forskjellige aktører i helsetjenesten. Det betyr at mange forskjellige virksomheter og helsepersonell vil kunne registrere helseopplysninger i din journal. Hvem som har gjort de ulike inntegningene vil fremgå av loggen. Opplysninger som pasienten selv oppgir i HelsaMi vil også kunne bli en del av journalen.

Kun helsepersonell og annet personell med tjenstlig behov skal gis tilgang til din journal. Samarbeidende helsepersonell i andre deler av landet vil også kunne få tilgang dersom de er involvert i pasientbehandlingen.

I Helseplattformen blir alle oppslag i din journal registrert. Det gjøres stikkprøver og analyser av loggene for å avdekke forsøk på snoking. Uforklarlige oppslag følges opp i henhold til vedtatt prosedyre. Dersom det viser seg at noen har gjort oppslag i din journal uten at det har vært begrunnet i et tjenstlig behov, vil du bli informert om dette. Dette vil naturligvis også kunne få konsekvenser for det helsepersonellet det gjelder.

I HelsaMi kan du se hvem som har vært inne på journalen din. Dersom du mistenker at noen har vært inne på din journal uten at vedkommende har vært involvert i behandling eller oppfølging av deg, kan du melde fra om dette her.

Opplysninger i journalen slettes ikke med mindre det er en konkret grunn til å slette, for eksempel at opplysningene er feilaktige eller overflødige. Journalen vil bli oppbevart i sin helhet til den ikke lenger er nødvendig som et verktøy for å yte helsehjelp til deg. Journalen blir deretter overført til arkiv for langtidsbevaring.

3.2. Rapportering til helseregistre

Enkelte av opplysningene i din journal vil bli rapportert til sentrale helseregistre som er etablert for å ivareta landsomfattende oppgaver knyttet til forskning- og kvalitetsforbedring i helsetjenesten, styring og beredskap. Slik rapportering vil skje uten ditt samtykke, men i henhold til tydelige lovkrav. Pr. 2020 er det 17 slike sentrale helseregistre. Du finner mer informasjon om disse registrene her.

Du vil også kunne bli spurt om å samtykke til at opplysninger fra din journal deles med et medisinsk kvalitetsregister. Et slikt register dokumenterer løpende informasjon om behandlingen for en konkret pasientgruppe, eksempelvis pasienter som har hatt hjerneslag. Hva slags informasjon som rapporteres til slike registre avhenger av formålet med det aktuelle registeret. Dette vil du få nærmere informasjon om dersom du blir bedt om å samtykke til registrering av dine opplysninger.

Du finner en oversikt over og informasjon om de nasjonale medisinske kvalitetsregistrene her.

3.3. Forskning

Biologisk materiale (eksempelvis blodprøver) og opplysninger fra din pasientjournal, vil kunne bli brukt til medisinsk- og helsefaglig forskning. Som en klar hovedregel vil du bli spurt på forhånd om du ønsker å bidra med biologisk materiale eller opplysninger i et aktuelt forskningsprosjekt, og du står helt fritt til å takke nei.

De fleste forskningsprosjekter må søke godkjenning hos en komité (regionale forskningsetiske komitéer, ofte forkortet REK). Komitéen har som sitt mandat å vurdere hvorvidt forskningsprosjektet oppfyller juridiske og etiske krav som stilles til forskningen. Komitéen kan i unntakstilfeller bestemme at biologisk materiale eller journalopplysninger kan benyttes i et forskningsprosjekt uten ditt samtykke. Unntak fra samtykke blir bare innvilget dersom komitéen kommer til at forskningen er av vesentlig interesse for samfunnet og at deltakernes velferd og integritet samtidig kan ivaretas.

Du har rett til å reservere deg på generelt grunnlag mot at biologisk materiale fra deg benyttes i forskningsprosjekter. Skjema for slik reservasjon er tilgjengelig herfra.

4. Sikkerhet

Helseplattformen følger gjeldende bransjestandard for informasjonssikkerhet i helse- og omsorgstjenesten («Normen»). Normen stiller blant annet strenge krav til tilgangsstyring og sikker pålogging. Det er etablert rutiner og tiltak på ulike nivåer for å sikre at uvedkommende ikke får tilgang til personopplysninger i Helseplattformen. Alle dine opplysninger vil bli lagret på sikrede lagringsenheter.

Kun personell med et saklig behov gis tilgang til opplysninger i Helseplattformen. Foruten helsepersonell vil administrativt personale, og driftspersonell også kunne få tilgang dersom det foreligger et saklig behov.

Driftspersonell vil kunne få tilgang til helse- og personopplysninger i forbindelse med support. Tilgangen reguleres av en databehandleravtale med den aktuelle driftspartneren, og alt personell må undertegne en taushetserklæring før vedkommende gis tilgang.

I enkelte tilfeller er det nødvendig å gi driftspersonell som befinner seg i USA tilgang til løsningen. Slik tilgang er, i tillegg til de tiltakene som er nevnt over, også regulert av en overføringsavtale (EUs standardavtale), som skal sikre opplysningene samme vern som om de ble håndtert av personell i Norge.

5. Dine rettigheter

Personvernregelverket og helselovgivningen gir deg flere rettigheter som du kan utøve på ulike måter, herunder:

Å be om at personopplysninger om deg rettes eller slettes
Å be om innsyn i personopplysninger som er registrert om deg
Å be om at tilgangen til din pasientjournal begrenses til bestemte helsevirksomheter eller personell

Dersom du har en konto på HelsaMi kan du utøve disse rettighetene ved å benytte chattefunksjonen der. Du har også funksjonalitet i HelsaMi som tillater deg å rette eller slette enkelte opplysninger selv. Du kan også kontakte Helseplattformen AS eller ta direkte kontakt med den helsevirksomheten som yter tjenester til deg.

Dersom du fortsatt ikke får svar på spørsmålene dine eller har bekymringer eller innvendinger mot personvernet i Helseplattformen kan du ta kontakt med Datatilsynet.