GDPR (General Data Protection Regulation)

GDPR (General Data Protection Regulation for EU/EØS) er et nytt personvernregelverk som trer i kraft, i Norge, den 1. juli 2018. Dette betyr at vi får nye regler for personvern i Norge som gir virksomheter nye plikter og enkeltpersoner nye rettigheter. GDPR erstatter tidligere bestemmelser i Personopplysningloven av 2001. Som leverandør av bedriftshelsetjeneste vil ansatte i Jæren bedriftshelsetjeneste (JBHT) komme i befatning av bedriftsinformasjon og personopplysninger vedrørende bedriften og deres ansatte. JBHT sin håndtering av disse opplysningene skal være i samsvar med enhver tids gjeldende regelverk, personvernlovgivning og etiske retningslinjer for helse og bedriftshelsetjenester.

Bedriftshelsetjenesten er både en helsetjeneste og et arbeidsmiljøtiltak. Når helsepersonell (fysioterapeut, ergonom, bedriftslege og bedriftssykepleier) i JBHT kommer i befatning med personopplysninger er de bundet av taushetsplikt etter helsepersonellovens bestemmelser.

JBHT skal primært jobbe forbyggende på gruppenivå. Rapportering tilbake til arbeidsgiver vil da være i anonymisert form. Ansatte i bedriftshelsetjenesten opptrer ofte som sakkyndig. Det vil si at faglige vurderinger blir gitt tilbake til virksomheten. Ansatte i JBHT plikter å opplyse ansatte i bedriftene hva dette innebærer for dem. Et eksempel kan være at JBHT bistår i en konfliktsak. I slike saker skal ansatte i JBHT alltid avklare på forhånd om leder ønsker en tilbakemelding. Dersom leder ønsker tilbakemelding, vil ansatte i JBHT informere ansatt i bedrift at man opptrer som sakkyndig. Informasjonen som kommer fram vil da bli gitt tilbake til leder. Andre eksempler på sakkyndig rolle er utsteding av offshore helseattester, rustesting og utførelse av faktaundersøkelse. Bedriftshelsetjenesten skal ha en fri og uavhengig rolle og ansatte i bedrifter skal kunne kontakte oss uten å spørre leder om lov. Informasjon tilbake til arbeidsgiver vil da forutsette samtykke fra den ansatte.

Formål

JBHT må registrere personopplysninger for å kunne følge opp tjensteforholdet og de ansattes helse. Dette innbefatter blant annet kontaktinformasjon for å opprette bedriftsjournal og pasientjournal (f.eks. navn, fødselsnummer, adresse og telefonnummer), opplysninger relatert til helse og eksponering, betaling og øvrige forpliktelser. Vi vil kun samle inn og bruke de personopplysninger som er nødvendige.

Rettslig grunnlag for innsamling av personopplysninger

Omfanget av registrerte personopplysninger skal ikke være større enn nødvendig. Det betyr at JBHT kun samler inn, bruker og lagrer både opplysninger om virksomheten og sensitive personopplysninger om deres ansatte som har relevans for å kartlegge og følge opp risikoer og arbeidshelsen til de ansatte. Det rettslige grunnlaget finnes i GDPR artikkel 6 og 9, Arbeidsmiljøloven, Helseregisterloven, Helsepersonelloven, Pasientjournalloven, forskrift om utførelse av arbeid og forskrift om pasientjournal.

Sikkerhet

JBHT bruker et helhetelig elektronisk pasient/bedrift journalsystem. JBHT har risikovurdert alle behandlinger av personopplysninger og jobber kontinuerlig for å sikre personvernet. Alle som gis tilgang til beskyttelsesverdige personopplysninger, må underskrive en taushets-erklæring og skal ha et tjenestebehov for å åpne en pasientjournal. For å ivareta sikkerheten i registrerte personhelseopplysninger er det viktig at også all kommunikasjon er trygg. Helseopplysninger og andre sensitive opplysninger skal ikke sendes via e-post eller på andre medier som ikke ivaretar konfidensialiteten. Våre medlemsbedrifter blir ved behov informert om sikre måter for å utveksle personopplysninger. Et eventuelt sikkerhetsbrudd vil bli varslet til Datatilsynet innen 72 timer i henhold til GDPRs krav til avvikshåndtering. Unntak er dersom det er usannsynlig at avviket medfører en risiko for enkeltpersons rettigheter eller personvern.

Retting og sletting

Kunder har rett til å kreve at vi retter eller sletter personopplysninger under visse forutsetninger, f.eks. dersom opplysninger er mangelfulle eller feilaktige. JBHT sletter registrerte personopplysninger når de ikke lenger er nødvendige for å oppfylle formålet de ble innhentet for. Helseopplysninger skal, i utgangspunktet, slettes når det har gått mer enn 10 år etter siste journalpåføring. Et unntak er dersom arbeidstaker har vært utsatt for risikofylte eksponeringer som arbeid med asbest, bly, kreftfremkallende kjemikalier m.m.

Rett til innsyn

De ansatte har rett til innsyn i sin egen journal og kan på egne vegne be om å få informasjon om hvilke personopplysninger vi behandler, hvilket formål som ligger til grunn, hvordan vi håndterer dem og hvem som har innsyn. Pasientjournal er taushetsbelagt og skal ikke deles med andre uten av det foreligger samtykke fra ansatt. Ved spørsmål om oveføring av pasientjournal til annen bedriftshelsetjeneste må det foreligge samtykkeerklæring fra samtlige registrerte ansatte.

Behandlingsansvarlig

JBHT er behandlingsansvarlig for personopplysninger som behandles av oss. JBHT behandler personopplysninger selvstendig og ikke på vegne av, eller etter instruks fra, kunder. Det vil i juridisk sammenheng si at kunden og bedriftshelsetjenesten er to selvstendig databehandlere. Unntak fra dette er utførelse av for eksempel faktaundersøkelse da en slik oppgave vil utføres på vegne av arbeidsgiver.

Personvernombud

JBHT har valgt personvernombud i virksomheten. En av oppgavene til personvernombudet er å være kontaktpunkt mellom de registrerte og datatilsynet. Kunder og ansatte som har spørsmål knyttet til behandling av deres personopplysninger kan ta direkte kontakt med personvernombudet:

Margaret Aarsland Naglestad – tlf: 919 05 018 – epost: margaret@jbht.no

Lukk meny