Personvern og sikkerhet hos C-Medical

Det er den som bestemmer formålet med behandlingen av personopplysninger som er behandlingsansvarlig, og som må sørge for at personopplysninger blir behandlet i henhold til gjeldende regelverk.

Innenfor C-Medical Group i Norge vil den behandlingsansvarlige for dine helseopplysninger være det av selskapene i gruppen som behandler personopplysninger om deg.

Den informasjonen vi samler inn mottar vi fra deg selv bl.a. gjennom dine samtaler med helsepersonell eller gjennom undersøkelser og behandling du gjennomgår hos oss.

Opplysninger kan også bli samlet inn fra annen helseinstans som har behandlet deg, som din fastlege, andre sykehus eller fra tilbydere av røntgen/MR/CT og laboratorietjenester. Dessuten mottar vi informasjon fra forsikringsselskap ved bruk av helseforsikring, og vi sjekker din adresse mot folkeregisteret dersom du er privatkunde.

Enkelte opplysninger blir samlet inn ved bruk av informasjonskapsler ved besøk på våre nettsider. Du kan lese mer om bruk av informasjonskapsler her [lenke]

Vi behandler bare personopplysninger om deg som er nødvendige for å oppfylle formålet med behandlingen. Vi behandler normalt følgende personopplysninger:

 Administrative opplysninger som navn, adresse, telefon, e-post og fødselsnummer. Opplysninger om avtaler. Betalingsinformasjon.

• Journalinformasjon som sykdomshistorikk, tidligere behandlinger, hvilke medisiner du bruker, allergier, diagnoser, vurderinger, prøveresultater, bilder fra røntgen/MR/CT, resepter, sykemeldinger, pårørende m.m.
  • NB: Når du blir diagnostisert, mottar helsehjelp eller medisinsk behandling hos oss, er vi forpliktet til å registrere alle opplysninger som er nødvendige for å yte helsehjelp. Det gjøres i vårt system for pasientjournaler. Det stilles lovkrav til hva en pasientjournal skal inneholde.
• Kommunikasjon som når du kontakter oss i forbindelse med behandling
• Teknisk informasjon som type pc/mobil, internettkobling, operativsystem, nettleser og IP-adresse. Disse opplysninger samler vi inn ved bruk av informasjonskapsler.

Det er frivillig å oppgi personopplysninger, men manglende opplysninger kan gjøre at vi ikke får levert de tjenestene du ønsker.

Vi behandler dine personopplysninger for;

1. å identifisere deg som kunde
2. å kunne levere forsvarlig helsehjelp og medisinske tjenester
3. oppfølging av potensielle og eksisterende kundeforhold
4. markedsføring av våre tjenester via nyhetsbrev
5. å ivareta informasjonssikkerhet som å teste, forbedre og videreutvikle systemene våre
6. å kontinuerlig kunne levere helsetjenester av høy kvalitet gjennom bruk av data
7. å forebygge og avdekke ulovlige handlinger rettet mot kunde eller C-Medical
8. bokføringsformål
9. dokumentasjonsformål

Det rettslige grunnlaget for å behandle personopplysninger for formål nr 1 og nr 3 er at behandlingen er nødvendig for å kunne administrere avtalen med deg om helsehjelp.

Det rettslige grunnlaget for å behandle personopplysninger for formål nr 2, 5 og nr 8 er at det følger av rettslig forpliktelse.

Det rettslige grunnlaget for å behandle personopplysninger for formål nr 4 og nr 6 er ditt samtykke.

Det rettslige grunnlaget for å behandle personopplysninger for formål nr 7 og nr 9 er at det følger av rettslig forpliktelse eller en berettiget interesse.

Helseforetak eller annet helsepersonell

Vi deler dine helseopplysninger med helseforetak, henvisende lege eller annet helsepersonell som også gir deg medisinsk behandling dersom vi blir kontaktet med spørsmål om å få utlevert dine pasientopplysninger. Dette gjelder dersom det er  nødvendig for å gi deg forsvarlig helsehjelp, og gjelder nødvendige opplysninger til samarbeidende helsepersonell som er underlagt samme taushetsplikt som ansatte hos C-Medical.  Du kan som pasient motsette deg slik utlevering. Dette følger av helsepersonelloven.

Offentlige myndigheter

Vi utleverer personopplysninger til offentlige myndigheter dersom det er pålagt ved lov eller ved en mistanke om at lovbrudd er begått i forbindelse med bruk av våre tjenester.

Offentlige helseregistre

Vi deler opplysninger som vi er pålagt å dele med offentlige helseregistre som kreftregisteret.

Databehandlere

Vi deler videre personopplysninger med våre underleverandører som utfører oppdrag og tjenester på vegne av oss. I så fall inngås en egen databehandleravtale der vi bl.a. forsikrer oss om at personopplysninger som overføres og behandles ikke blir brukt til andre formål enn å levere den tjenesten som er avtalt med oss. Vi bruker underleverandører i forbindelse med bl.a. drift og vedlikehold av IT-systemer og løsninger.

Våre underleverandører er i all hovedsak lokalisert og behandler personopplysninger innenfor EU/EØS. Det vil si at disse databehandlerne er underlagt det samme regelverket når det kommer til behandling av personopplysninger. I enkeltstående tilfeller kan databehandlere som behandler personopplysninger utenfor EU/EØS benyttes. Vi vil da forsikre oss om at behandlingen er underlagt et tilstrekkelig beskyttelsesnivå.

Deling av personopplysninger kan også skje ved eventuell virksomhetsoverdragelse som ved fusjon eller annen omorganisering av C-Medical.

For å beskytte dine personopplysninger implementerer vi nødvendige fysiske, tekniske og administrative tiltak som for eksempel sikring av lokaler og infrastruktur.

Våre ansatte har i samsvar med helsepersonelloven, taushetsplikt om opplysninger som vedrører din helse og dialog du har med oss som pasient. For medisinske journaler sperres uautoriserte personer fra å få tilgang til opplysningene dine gjennom ulike sikkerhetstiltak som tilgangsstyring.  

Underleverandører som behandler personopplysninger på våre vegne, må også ha implementert tilstrekkelige sikkerhetstiltak og er underlagt taushetsplikt.

For å ivareta sikkerhet og taushetsplikt om dine helseopplysninger, er det viktig at også kommunikasjonen med deg er sikker. Du skal derfor ikke sende helseopplysninger eller andre sensitive opplysninger til oss i e-post eller via sosiale medier. Du må derfor ta kontakt med oss på telefon, via brev eller fysisk oppmøte.

Utveksling av personopplysninger med forsikringsselskap skjer via dedikerte linjer og er kryptert iht krav og standarder.  

Vi behandler opplysningene om deg så lenge det er nødvendig for å oppnå formålet de ble samlet inn for. Opplysningene blir deretter anonymisert eller slettet, med mindre vi er pliktige til fortsatt å ta vare på opplysninger i henhold til gjeldende lovgivning, eller det finnes et annet grunnlag for videre behandling.

Vi sletter ikke opplysninger dersom det er utestående eller uavklarte forhold mellom deg som kunde og C-Medical.

Administrative opplysninger
Opplysninger knyttet til administrasjon av avtaleforholdet oppbevares så lenge vi har gyldig grunnlag for vår behandling og opplysningene anses nødvendig å bevare. Etter det vil de slettes eller anonymiseres slik at de ikke lenger kan kobles til deg som person. For eksempel vil betalingsinformasjon oppbevares i fem år etter utløp av siste regnskapsår etter forpliktelser i bokføringsloven med forskrift.

Pasientjournaler
Hovedregelen er at pasientjournaler skal oppbevares til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for dem. Vi oppbevarer i utgangspunktet journaler i 10 år. Så lenge pasientjournalen finnes, oppbevares også tilhørende pasient kontaktopplysninger.

Dokumentasjon
Noen personopplysninger vil oppbevares for dokumentasjonsformål. Det gjelder for eksempel hvilke samtykker som har vært gjeldende eller opplysninger som er nødvendige for å fastsette, gjøre gjeldende eller forsvare rettskrav.

Digital kommunikasjon
Hvordan du kan kommunisere med oss digitalt kan variere fra klinikk til klinikk.

Timebestilling
Vi har et skjema for timebestilling hvor du kan fylle inn dine opplysninger og sende oss en forespørsel om undersøkelse.  Tekstinformasjon slettes automatisk etter 21 dager mens kontaktdata automatisk slettes etter fem måneder.

SMS og e-post
Korrespondanse på e-post og sms slettes ved hver månedsavslutning. Helseopplysninger som skal tas vare på overføres til journalystemet.

Du har lovfestede rettigheter etter personopplysningsloven. Dersom du ønsker å benytte dine rettigheter henvender du deg til den klinikken du har hatt kontakt med.

Innsyn
Du har rett til å få informasjon om hvilke personopplysninger vi behandler om deg, og hva vi bruker dem til.

Du har rett til å få innsyn i pasientjournalen din, men også hvem som har hatt tilgang til pasientjournalen din og hvem som har fått utlevert opplysninger fra den.

Retting
Du har rett til å få dine personopplysninger korrigert dersom de er feil eller unøyaktige. Det er viktig at den informasjonen vi har om deg er korrekt slik at vi for eksempel ikke sender faktura og annen informasjon til feil e-postadresse. Oppdager du selv en feil, ber vi deg ta kontakt med oss slik at vi kan rette opplysningene.

For opplysninger i pasientjournalen, er adgangen til å få opplysninger rettet begrenset av regler i helsepersonelloven. Hvis vi ikke blir enige om rettelser, kan du be om en merknad i journalen om at du som pasient mener at det er feil eller villedende informasjon i journalen din.

Sletting
Du har rett til å få personopplysninger slettet når de ikke lenger er nødvendige å behandle for å oppnå formålet de ble samlet inn for, eller du trekker ditt samtykke til behandlingen tilbake. Dette gjelder med mindre det finnes et annet lovlig behandlingsgrunnlag. Tilsvarende har du krav på at eventuelle opplysninger som behandles på et ulovlig grunnlag slettes.

Du har ikke krav på sletting av opplysninger som behandles på grunnlag av en lovpålagt plikt. Det samme gjelder for opplysninger som er nødvendige for å fastsette, gjøre gjeldene eller forsvare rettskrav.

For opplysninger i pasientjournaler er adgangen til å få opplysninger slettet svært begrenset på grunn av regler i helsepersonelloven.  

Dataportabilitet
Du skal i utgangspunktet kunne ta med deg dine personopplysninger fra oss til en annen tilsvarende aktør. Retten til portering gjelder kun opplysninger som du selv har gitt til oss, og som brukes for å oppfylle en avtale, eller opplysninger som er basert på et samtykke. Slike opplysninger kan du få utlevert eller be om at blir sendt direkte til din nye medisinske behandler/leverandør.

Hoveddelen av den behandlingen C-Medical gjør med personopplysninger er begrunnet i en rettslig forpliktelse til å yte helsehjelp, og er ikke underlagt retten til dataportabilitet. At du kan be om utlevering/overføring har derfor ingen innvirkning på vår plikt til å oppbevare din pasientjournal.

Innsigelse
Du har i visse tilfeller rett til å protestere på behandling av egne personopplysninger. Det gjelder ikke behandlinger relatert til det å levere de tjenester som avtaleforholdet ditt gjelder eller formål som er nødvendig for å drifte og administrere din avtale.

Rett til begrenset behandling
Du har rett til å kreve at vår behandling av personopplysninger om deg begrenses. Dette kan du be om dersom:

• du mener at personopplysningene vi har lagret om deg er unøyaktige
• du mener at vår behandling av personopplysninger om deg er ulovlig.
• Vi ikke lenger har behov for personopplysningene, men du behøver disse til å fastsette eller gjøre gjeldende rettskrav.

Helseforsikring
For oppfølging av forsikringssaker trenger vi ditt samtykke til å utveksle helseopplysninger med ditt forsikringsselskap.

Innhente relevant informasjon fra offentlige eller private helseaktører
Du kan gi ditt samtykke til at C-Medical innhenter relevant pasientinformasjon fra andre offentlige eller private helseaktører der det er nødvendig for din behandling.

Kvalitetsregister –Forskning
Du kan også gi ditt samtykke til å benytte dine helseopplysninger og medisinske data i kvalitetssikringsøyemed slik at vi kan følge ditt forløp for å utvikle og forbedre oss. Dine data vil bli anonymisert ved uttrekk fra journal og lagring i kvalitetsregisteret.

Nyhetsbrev
Du kan velge å gi ditt samtykke til å motta nyhetsbrev knyttet til våre tjenester via e-post. Som pasient kan du gi ditt samtykke direkte til klinikken. Du kan også abonnere på vårt nyhetsbrev via nettsidene våre. Det gjelder uavhengig av hvem du er. Vi registrerer navn og e-postadresse for utsendelse av nyhetsbrev. Du samtykker også til at vi måler åpningsgrad og klikk på lenker i nyhetsbrevet. Nyhetsbrevet inneholder informasjon om våre helsetilbud og sendes ut 4-12 ganger per år. Du kan når som helst melde deg av nyhetsbrevet. Det gjør du ved å gå inn på det siste nyhetsbrevet, og trykke på avmeldingslinken.

***

Du kan når som helst trekke et samtykke tilbake dersom du ønsker det. At du trekker et samtykke tilbake vil ikke påvirke lovligheten av behandling basert på tidligere samtykke.

Dersom du har spørsmål angående vår behandling av personopplysninger kan du kontakte klinikkleder ved klinikken du har vært i kontakt med. Du har i utgangspunktet krav på svar uten ugrunnet opphold, og senest innen én måned, dersom spørsmålet gjelder dine rettigheter etter personopplysningsloven.

C-Medicals personvernombud, Gisle Kjøsen, når du på: personvernombud@cmedical.no

Dersom du har fått endelig avslag på en klage vedrørende C-Medicals behandling av dine personopplysninger, og mener vi ikke respekterer dine rettigheter etter personopplysningsloven, har du mulighet til å klage til Datatilsynet

Vi vil med jevne mellomrom oppdatere denne personvernerklæringen for å holde deg løpende informert om hvordan vi behandler dine personopplysninger.

Oktober 2021