Personvernerklæring
I denne personvernerklæringen beskriver vi hvordan vi i Lovisenberg Rehabilitering AS (Org.nr. 924 212 446) behandler personopplysninger i forbindelse med vår virksomhet ved Cathinka Guldbergs Sykehus. Tilsvarende beskriver vi her hvordan personopplysninger blir behandlet i de to heleide virksomhetene Lovisenberg Eiendomstjenester AS (Org.nr. 915 647 014) og Lovisenberg Driftstjenester AS (Org.nr. 915 647 014).
Sykehusbygget som benyttes for drift er fremleiet til Lovisenberg Rehabilitering AS fra Lovisenberg Eiendomstjenester AS som besørger forvaltning av husleieavtalen (overfor gårdeier) samt også nødvendige tekniske tjenester i henhold til avtalt kvalitet, omfang og pris, herunder at tilsyn og kontroller er på et slikt nivå at de tilfredsstiller gjeldende forskriftskrav (herunder krav til egenkontroll). Lovisenberg Driftstjenester AS håndterer resepsjonen ved Cathinka Guldbergs Sykehus, drifter kjøkkenet og har ansvaret for alt renhold ved sykehuset.
De tre virksomhetene har ansvar for de personopplysningene de selv er behandlingsansvarlige for.
Erklæringen inneholder opplysninger du har krav på når det samles inn opplysninger om deg fra nettstedet vårt eller via andre kanaler som sosiale- og digitale medier, samt informasjon om hvordan vi behandler personopplysninger om våre brukere (pasienter), pårørende, ansatte og i forbindelse med gjennomføring av ulike former for arrangementer.
Vår personvernerklæring er utformet slik at det skal være enkelt for de personer som vi behandler personopplysninger om – å ivareta sine rettigheter etter personopplysningsloven.
Kontaktinformasjon
Dersom du har spørsmål til vår behandling av personopplysninger, kan du ta kontakt med oss. Våre kontaktdetaljer (for alle tre virksomhetene) er:
Lovisenberg Rehabilitering AS
Postboks 140
2051 Jessheim
post.rehabilitering@lovisenberg.no
Vi har også et personvernombud for våre tre virksomheter som kan kontaktes dersom du ikke opplever at du får tilfredsstillende svar ved å henvende deg til kontaktinformasjon oppgitt over, eller det av andre årsaker er ønskelig å kontakte vårt personvernombud.
Personvernombudet kan nås på e-postadressen gar.personvernombud@lovisenberg.no.
Hvem behandler vi personopplysninger om
Vi behandler i utgangspunktet personopplysninger om følgende kategorier personer:
Pasienter ved Cathinka Guldbergs Sykehus (Lovisenberg Rehabilitering AS).
Pårørende til pasienter jf. over.
Ansatte som arbeider ved Cathinka Guldbergs Sykehus som er ansatte i Lovisenberg Rehabilitering AS, Lovisenberg Eiendomstjenester AS og Lovisenberg Driftstjenester AS.
Potensielle ansatte til virksomhetene nevnt over ifm. rekrutteringsprosesser.
Pårørende til ansatte jf. over.
Andre besøkende til Cathinka Guldbergs Sykehus.
Ansatte hos Akershus Universitetssykehus (felles behandlingsansvar ifm. videoovervåkning og adgangskontrollsystem).
Ansatte hos leverandører og andre samarbeidspartnere.
Personer som besøker og/eller på annen måte tar i bruk våre digitale kanaler for kommunikasjon slik som Facebook o.l.
Kursdeltagere.
Ulike behandlingstyper, formål og rettslig grunnlag
Pasientopplysninger
Som sykehus behandler vi naturlig nok mye personopplysninger om våre pasienter. Vi behandler blant annet opplysninger som navn, fødselsnummer og kontaktinformasjon. Mye av informasjonen vi behandler er helseopplysninger og dermed å anse som «særlig kategori» personopplysninger, som f.eks. informasjon om diagnoser, resultat fra tester, undersøkelser mv.
Som sykehus er vi pålagt en rekke plikter som følge av denne behandlingen og som pasient har man en rekke rettigheter. Rettighetene som pasient er redegjort for i avsnittet Dine rettigheter når vi behandler personopplysninger om deg.
Formålet med å behandle personopplysningene er primært å gi pasienten nødvendig helsehjelp, men den kan også benyttes til intern kvalitetssikring og forskning. Informasjon skal ikke brukes til forskning uten at pasienten har samtykket til dette.
Rettslig grunnlag følger av personopplysningsloven, nærmere bestemt artikkel 6, nr. 1 bokstav a og c.
Når en pasient har samtykket til å motta helsehjelp, har helsepersonell (på vegne av oss som behandlingsansvarlig) plikt til å føre journal i tråd med reglene i helsepersonelloven § 39. Videre har blant annet både helseregisterloven, helsepersonelloven, pasientjournalloven og pasientjournalforskriften bestemmelser om hvordan vi behandler disse helseopplysningene.
Ansatte
Vi behandler personopplysninger om våre ansatte for å administrere lønn- og personaladministrasjon, for å ivareta vårt generelle personalansvar samt ifm. drift av IKT-løsninger og andre merkantile/administrative forhold som følger av arbeidsgiverrollen og vårt ansvar med å drifte Cathinka Guldbergs Sykehus.
Formålet med disse behandlingene er å ivareta våre plikter som arbeidsgiver, de ansattes rettigheter som arbeidstaker og for å sørge for at alle ansatte kan utføre det arbeidet de er satt til å gjøre på en hensiktsmessig måte.
Rettslig grunnlag følger av personopplysningsloven, nærmere bestemt artikkel 6, nr. 1 bokstav b og c.
Det registreres nødvendige opplysninger for utbetaling av lønn, for eksempel grunndata, lønnsnivå, tidsregistrering, skatteprosent, skattekommune og fagforeningstilhørighet. Andre opplysninger om ansatte er knyttet til vedkommende sin arbeidsinstruks og tilrettelegging av vedkommende sitt arbeid.
I forbindelse med IKT-drift behandler vi personopplysninger om våre ansatte, og i enkelte tilfeller også eksterne konsulenter/vikarer o.l. Formålet med slik behandling av personopplysninger er drift av våre IKT-systemer, herunder ivareta våre krav til informasjonssikkerhet. Vår behandling av personopplysninger ifm. IKT-drift, herunder våre ulike internkontrollprosedyrer er nærmere beskrevet blant annet gjennom obligatorisk opplæring og i våre IKT-prosedyrer som alle som har tilgang til å bruke våre IKT-systemer skal være gjort kjent med og bekrefte gjennom signering av vår informasjonssikkerhetsinstruks.
Rekruttering
I forbindelse med våre rekrutteringsprosesser vil vi behandle personopplysninger om søkere og eventuelle potensielle søkere. Vi vil da kunne behandle blant annet opplysninger som navn, fødselsdato, kontaktinformasjon, utdannelse, yrkeserfaring og andre personopplysninger som normalt finnes på en arbeidssøkers CV. Prestasjonsvurderinger, personlighetstester o.l. kan også bli behandlet, herunder informasjons om arbeidssøkeren fra ulike referanser.
Formålet med behandlingen av disse personopplysningene vil være å vurdere arbeidssøkere, fra og med søknadsprosess til arbeidssøkeren eventuelt er tilsatt ved sykehuset.
Rettslig grunnlag følger av personopplysningsloven, nærmere bestemt artikkel 6, nr. 1 bokstav b.
Digitale kanaler
Våre nettsider: Når du besøker våre nettsider (https://www.lovisenbergrehabilitering.no/ og tilhørende sider) samler vi og vår underleverandør av nettsiden (Simpleness AS) inn og lagrer informasjon om brukeratferd. Dette omfatter opplysninger om din IP-adresse, nettleser, lokasjon, nettleverandør, operativsystem, tid brukt på siden, hvilket nettsted du kommer fra og nettaktivitet på våre nettsider. Formål med behandlingsaktivitetene er å optimalisere våre nettsider ovenfor våre besøkende samt utføre analyser av trender og mønstre ved bruken av nettsidene.
Det rettslige grunnlaget er vår berettigede interesse (artikkel 6, nr. 1 bokstav f) i å tilpasse våre nettsider og tjenester til brukernes antatte behov.
Nærmere informasjon om vår bruk av informasjonskapsler (cookies) finner du her: https://www.lovisenbergrehabilitering.no/informasjonskapsler. Anonymiserte opplysninger som ikke kan knyttes til deg vil kunne bli brukt og beholdt for statistiske og analytiske formål.
Facebook: Cathinka Guldbergs Sykehus har en side på Facebook. Denne benyttes primært til å gi informasjon om vår virksomhet og aktivitet, og er en viktig digital kanal for vår virksomhet. Det følger av etablert praksis at vi således har et felles behandlingsansvar med Meta Platforms, Inc. (selskapet som eier Facebook) for de personopplysninger som samles inn ved bruk av vår Facebook-side. Siden vi på grunn av felles behandlingsansvar har noe begrenset kontroll over de personopplysningene som samles inn via vår Facebook-side, oppfordrer vi brukere av siden til å være varsomme med hvilke opplysninger som registreres.
Rettslig grunnlag følger av personopplysningsloven, nærmere bestemt artikkel 6, nr. 1 bokstav f (interesseavveiing).
Kameraovervåkning og adgangskontrollsystem
Det er etablert kameraovervåkning ved Cathinka Guldbergs Sykehus og det benyttes et kortbasert adgangskontrollsystem. Kameraovervåkning og adgangskontroll ved sykehuset er montert og tatt i bruk primært for å forebygge uønskede sikkerhetshendelser og dokumentere eventuelle uønskede hendelser. Kameraovervåkning er etablert i tråd aktuell lovgivning og i tråd med relevante retningslinjer. Informasjon om kameraovervåkning er godt synlig der dette forekommer.
De tre virksomhetene Lovisenberg Rehabilitering AS, Lovisenberg Eiendomstjenester AS og Lovisenberg Driftstjenester AS har alle delvis overlappende formål med behandling av personopplysningene og delvis ulikt formål. Disse tre er å anse som felles behandlingsansvarlige for kameraovervåkningen og adgangskontrollsystemet og det er inngått en avtale som regulerer dette felles behandlingsansvaret.
Rettslig grunnlag følger av personopplysningsloven, nærmere bestemt artikkel 6, nr. 1 bokstav f (interesseavveiing).
Parkering
Vårt parkeringsanlegg er driftet av Onepark AS som benytter løsningen Autopay. Dette er en løsning som automatisk leser bilens registreringsnummer ved ankomst og utkjøring. Mer informasjon om Onepark AS sin behandling av personopplysninger finner du her: https://onepark.no/personvernerklaering/.
Diverse øvrig behandling
I tillegg til de ulike behandlingstyper redegjort for over, vil vi behandle personopplysninger om våre leverandørers og samarbeidspartneres kontaktpersoner samt sporadisk informasjon om andre. Vi gjennomfører også enkelte kurs og vil da behandle personopplysninger om kursdeltagere. Dersom vi mener slik behandling vil kreve spesifikk informasjon til den berørte, ut over den informasjonen som fremgår her, vil vi gi konkret informasjon til de berørte i anledning av vår behandling.
Bruk av underdatabehandlere
Det benyttes flere ulike underdatabehandlere som et ledd i driften av virksomheten ved Cathinka Guldbergs Sykehus. Nedenfor lister vi opp et utvalg av våre viktigste underdatabehandlere og deres rolle som underdatabehandler. Flere leverandører av medisinsk teknisk utstyr er å anse som underdatabehandlere, men disse er ikke listet opp her. Dersom du ønsker helt spesifikk informasjon om underdatabehandlere ved en bestemt behandling som ikke er spesifisert under ber vi deg om å ta kontakt med oss.
DIPS AS (elektronisk pasientjournal)
Nordlo Sarpsborg AS (IT-driftsleverandør)
Advania Norge AS (IT-driftsleverandør)
CheckWare AS (pasientkartlegging)
Stiftelsen Diakonissehuset Lovisenberg (IT-drift)
Microsoft (merkantilt/administrativ bruk av 365)
Norsk Helsenett (kommunikasjon og tjenester via Norsk Helsenett)
Junglemap AB (e-læring)
Overføring og utlevering av personopplysninger
Vi overfører ikke personopplysninger ut av EU/EØS ut over den overføringen som skjer ved bruk av Microsoft 365. Vi overfører ikke helseopplysninger om pasienter ut av Norge.
Helseopplysninger kan bli utlevert til samarbeidende helsepersonell i andre deler av helsetjenesten om det tjener deg om pasient. Eksempler på dette er epikriser, sykemeldinger, omsorgstjenesten i kommunen, e-resept mv. Vi er også pålagt å utlevere informasjon til ulike offentlige helseregistre.
Vi kan også utlevere informasjon til nærmeste pårørende jf. pasientrettighetsloven og til NAV jf. folketrygdloven. Vi kan også utlevere informasjon til andre dersom dette følger eksplisitt av annen relevant lovgivning.
Informasjonssikkerhet
Som behandlingsansvarlig skal vi sørge for at behandlingen skjer i tråd med personvernprinsippene og at opplysningene holdes konfidensielle, er korrekte, er tilgjengelige når de trengs og at våre systemer som behandler personopplysningene er robuste.
Vi har etablert et styringssystem for informasjonssikkerhet. I dette inngår blant annet regelmessige risikovurderinger, obligatorisk opplæring av ansatte, signering av informasjonssikkerhetsinstruks for alle brukere som skal ha tilgang til våre informasjonssystemer, krav til sikring av kommunikasjon, bruk av to-faktor autentisering eller andre tilsvarende sikkerhetsmekanismer, inngåelse av databehandleravtaler når noen behandler personopplysninger på våre vegne, regelmessige sikkerhetsrevisjoner mv.
Pasientopplysninger lagres i fagsystemer og alle øvrige personopplysninger lagres på egnede og sikre lagringsområder eller andre fagapplikasjoner.
Dine rettigheter
I forbindelse med vår behandling av personopplysninger om deg har du en rekke rettigheter. Dersom du har spørsmål til oss om dine rettigheter og/eller ønsker å utøve noen av dine rettigheter må du ta kontakt med oss. Kontaktinformasjon er oppgitt i personvernerklæringen. Du har krav på svar så raskt som mulig, senest innen en måned. Nedenfor har vi kort oppsummert dine rettigheter. Hos Datatilsynet finner du en lenke til mer informasjon om dine rettigheter, se her: https://www.datatilsynet.no/rettigheter-og-plikter/den-registrertes-rettigheter/
Innsyn i egne opplysninger: Du har rett til å be om innsyn i hvilke personopplysninger om deg vi behandler i våre systemer. Du har rettigheter til slikt innsyn både etter reglene i personopplysningsloven, men også etter reglene som følger av pasient- og brukerrettighetsloven (https://lovdata.no/dokument/NL/lov/1999-07-02-63) og pasientjournalloven (https://lovdata.no/dokument/NL/lov/2014-06-20-42/) . Dette gjelder særlig regler om innsyn i journal, herunder innsyn i opplysninger om hvem som har lest din journal.
Korrigering av opplysninger, herunder sletting: Dersom du mener noen av opplysningene vi behandler om det er feil, kan du kreve at disse personopplysningene korrigeres og/eller slettes. I denne forbindelse gjør vi oppmerksom på særlige rettigheter i de tilfeller vi behandler personopplysninger om deg på bakgrunn av sektorspesifikk lovgivning (som sykehus). Her er særlig pasient- og brukerrettighetsloven relevant, men også helsepersonelloven, pasientjournalloven og pasientjournalforskriften.
Rett til begrensning: Du kan be oss om å begrense vår behandling av personopplysninger om deg.
Rett til å protestere mot en behandling: I enkelte tilfeller har du anledning til å protestere mot vår behandling av dine personopplysninger.
Dataportabilitet: Dine rettigheter om dataportabilitet er begrenset ifm. vår behandling av personopplysninger om deg siden de fleste personopplysninger vi behandler gjelder helseopplysninger i behandlingsrettede helseregistre, herunder behandling av personopplysninger i denne forbindelse. Det er vår vurdering at vår behandling av personopplysninger, i all hovedsak, faller helt utenfor anvendelsesområdet for reglene om dataportabilitet. Dersom du mener vi behandler personopplysninger om deg som faller innenfor anvendelsesområdet for reglene ber vi deg ta kontakt slik at vi på best mulig måte kan ivareta dine rettigheter etter personopplysningsloven.
Rett til å klage: Dersom du mener vi behandler personopplysninger om deg feil, på en annen måte enn det som fremgår her eller på annen måte i brudd med relevant personvernlovgivning ber vi deg ta kontakt med oss på post.rehabilitering@lovisenberg.no. Du har også rett til å klage til en tilsynsmyndighet. I Norge er dette Datatilsynet (https://www.datatilsynet.no/om-datatilsynet/kontakt-oss/klage-til-datatilsynet/).