All behandling av personopplysninger skal være lovlig, rettferdig og gjennomsiktig. Med personopplysning menes enhver opplysning om en identifisert eller identifiserbar fysisk person. Personopplysninger kan være navn, telefonnummer, adresse, epost, fødselsnummer etc. Helseopplysninger kategoriseres som sensitive opplysninger der det stilles spesielle krav til håndtering.
Medi3 er en privat helseaktør og må forholde seg til helselovenes regler for behandling av personopplysninger. De helselovene som er relevant og som omhandler behandling av personopplysninger er Spesialisthelsetjenesteloven, helsepersonelloven, pasientjournalloven (inkl. pasientjournalforskriften) pasient og brukerrettighetsloven, helsearkivloven etc. Samtlige lover og forskrifter kan leses på www.lovdata.no.
Personvernet i forhold til våre pasienter og kunder er viktig for Medi3 og vi jobber aktivt med å ivareta ditt personvern. Medi3 ansatte som kommer i kontakt med personopplysninger har taushetsplikt. Det samme gjelder andre som behandler personopplysninger på våre vegne.
Behandlingsansvarlig
Den som bestemmer formålet med behandlingen av personopplysningene kalles behandlingsansvarlig. Behandlingsansvarlig sørger for at personopplysninger blir behandlet i henhold til gjeldende regelverk.
Medi 3 AS er behandlingsansvarlig.
Kontaktopplysninger
Telefonnummer: 70 11 70 00
E-postadresse: firmapost@medi3.no
Kongens gate 11 – 6002 Ålesund
Slik benytter Medi3 personopplysninger
Vi samler inn personopplysninger kun når det er nødvendige for at vi skal kunne tilby våre tjenester til deg. Formålet med å behandle dine personopplysninger er å yte forsvarlig helsehjelp samt tilby våre medisinske tjenester. Utover dette behandler vi i enkelte tilfeller personopplysninger for markedsføringsformål. Dette gjøres selvfølgelig i hht gjeldende regler / lover.
Vi sletter personopplysninger når de ikke lenger er nødvendige for å oppfylle det formålet de opprinnelig ble samlet inn for. Når det gjelder personopplysninger lagret i pasientjournaler gjelder andre regler. Se mer under punktet for sletting av personopplysninger.
Pasientopplysninger knyttet til pasientjournal
Personopplysningene som vi samler inn er opplysninger som er nødvendig for å gi deg forsvarlig helsehjelp. De opplysningene vi behandler har vi fått av deg, andre sykehus, leger etc. hvor du har mottatt behandling, fra prøver vi tar etc.
Når du mottar helsehjelp eller medisinsk behandling av Medi3 så plikter vi å føre inn alle opplysningene som er nødvendige for å yte helsehjelp inn i vårt system for pasientjournaler. Det stilles lovkrav til føring av pasientjournal og hvilke opplysninger som skal nedskrives. Journalen kan eksempelvis inneholde kontaktinformasjon, nærmeste pårørende, sykdomshistorikk, tidligere behandlinger, hvilke medisiner du bruker, diagnoser, bilder fra røntgen etc.
Deling av personopplysninger
Andre helseforetak eller annet helsepersonell
Vi kan bli kontaktet av andre helseforetak, den legen som henviste deg til oss eller annet helsepersonell som også gir deg medisinsk behandling og som ber om å få utlevert dine pasientopplysninger.
Helsepersonell har anledning til å utlevere dine taushetsbelagte opplysninger til samarbeidende helsepersonell som er underlagt samme taushetsplikt som våre ansatte. Dette gjøres kun i den grad det anses som nødvendig for å gi deg forsvarlig helsehjelp og reglene følger av helsepersonelloven § 25. Som pasient har du rett til å motsette deg slik utlevering. Opplysningene som eventuelt deles er begrenset til det som er nødvendig. Vi deler kun slik informasjon til henvisende lege eller dersom det etterspørres av det samarbeidende personell.
Offentlige myndigheter
Dersom det pålagt ved lov eller det er mistanke om at det er begått lovbrudd i forbindelse med bruk av våre tjenester, vil informasjonen vi har lagret om deg kunne utleveres til offentlige myndigheter.
Databehandlere
En databehandler er et selvstendig selskap eller juridisk enhet som behandler personopplysninger på vegne av behandlingsansvarlig – for eksempel Medi3s systemleverandører.
Medi3 sørger for at alle databehandlere er underlagt samme taushetsplikt som ansatte hos Medi3, og at avtaler om bruk av databehandler oppfyller personopplysningsloven sine krav til bruk av databehandlere/ innhold av databehandleravtaler.
Medi3 benytter hovedsakelig databehandlere som behandler personopplysninger innenfor EU/ EØS. Det vil si at disse databehandlerne er underlagt det samme regelverket når det kommer til behandling av personopplysninger. Ved få unntak benyttes databehandlere som er lokalisert utenfor EU/EØS. I disse tilfellene har Medi3 sørget for at disse databehandlerne er underlagt tilstrekkelig beskyttelsesnivå for behandling av personopplysninger i henhold til GDPR art 45 flg.
Dine rettigheter
Innsyn
Du har rett til å vite hva som er lagret av opplysninger om deg i våre systemer. For å få en oversikt over disse så kan du sende en forespørsel til firmapost@medi3.no. Husk at du ikke må oppgi sensitive personopplysninger i henvendelsen.
Retting og sletting
Retting
Opplysningene vi har lagret om deg må være oppdaterte og korrekte. Dersom du oppdager en feil må du ta kontakt med oss slik at vi kan få rettet disse. Muligheten til å få opplysninger rettet er begrenset av regler i Helsepersonelloven når det gjelder innhold i pasientjournalen din.
Sletting
Kontakt oss om du ønsker at opplysninger skal slettes. Muligheten til å få opplysninger slettet er begrenset av regler i Helsepersonelloven når det gjelder innhold i pasientjournalen din
Lagringstid
Medi 3 lagrer ikke personopplysninger lenger enn det som er nødvendig for å oppfylle formålet med behandlingen og de lovpålagte pliktene vi har. Angående personopplysninger lagret i pasientjournal så gjelder andre regler.
Journaler skal, i henhold til regelverket, oppbevares til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for dem. Medi3 er etter helsearkivforskriften forpliktet til å avlevere journalmateriale til norsk helsearkiv etter dette.
Rett til å kreve begrenset behandling av personopplysninger
Du kan kreve at Medi3s behandling av personopplysninger om deg begrenses. Dette kan gjøres ved å flytte de til et annet behandlingssystem, gjøre utvalgte opplysninger utilgjengelige eller at offentlige opplysninger fjernes fra nettsted. Dette gjelder:
- Dersom du mener at personopplysningene vi har lagret om deg er unøyaktige, i denne forbindelse kan behandlingen begrenses i perioden det tar for å kontrollere om personopplysningene er riktige.
- Dersom du mener at vår behandling av personopplysninger om deg er ulovlig.
- Dersom Medi3 ikke lenger har behov for personopplysningene, men du behøver disse til å fastsette eller gjøre gjeldende rettskrav.
Rett til dataportabilitet
Du har rett til å ta med deg dine personopplysninger fra Medi3 til en annen tilsvarende tjenesteleverandør. Denne retten gjelder kun dersom behandlingen av dine personopplysninger skjer på bakgrunn av et samtykke fra deg eller i forbindelse med oppfyllelse av en avtale mellom deg og Medi3. Dette gjelder ikke opplysninger knyttet til pasientjournal.
Rett til å klage til Datatilsynet
Dersom du er uenig i hvordan vi behandler personopplysninger så kan du klage til Datatilsynet. Du kan lese mer på Datatilsynet sine nettsider:
https://www.datatilsynet.no/om-datatilsynet/kontakt-oss/hvordan-kan-jeg-klage-til-datatilsynet/
Personvernombud
E-postadresse: personvern@medi3.no
Ta kontakt med vårt personvernombud dersom du har spørsmål om behandling av dine personopplysninger, eller du vil be om retting, sletting eller innsyn eller du har andre spørsmål. Vi vil besvare din henvendelse så fort som mulig.
Kundetilfredshetsmålinger
For å måle pasientenes tilfredshet etter å ha vært hos Medi3 sender vi ut spørreundersøkelser. Medi3 benytter Netigate til å gjennomføre undersøkelser.
Vi vil alltid informere om formålet med spørreundersøkelsen, og kundetilfredshetsundersøkelsene som Medi3 sender ut er anonyme. Medi3 vil ikke dele opplysningene med andre eller bruke opplysningene til andre formål enn det som er angitt. Siden undersøkelsen er anonym, oppbevares det ikke noe informasjon som kan kobles til deg som respondent.
Bruk av telefonnummer / epost
Kontaktinformasjon som telefonnummer eller e-post brukes til å ta kontakt med deg som har registrert en timebestilling eller meldt interesse for å sette opp en konsultasjon med lege. Medi3 sender ikke sensitive opplysninger via SMS eller epost. Kommunikasjon via SMS og epost er ikke tilstrekkelig sikret for overføring av sensitive opplysninger.
Markedsføring og nyhetsbrev
Sosiale medier
Vi vil gjerne være tilgjengelig for våre kunder og potensielle kunder i sosiale medier og har profil på Facebook og LinkedIn. Formålet med disse sidene er å formidle informasjon om våre tjenester, vår kontaktinformasjon og åpningstider tilgjengelige for våre kunder/pasienter og potensielle pasienter. Dersom tar kontakt med oss ved hjelp av disse kanalene så bør du ikke dele personopplysninger. Dersom du har spørsmål som inneholder sensitive personopplysninger (eks opplysninger om din helse) så ta heller kontakter oss per telefon slik at vi kan hjelpe deg.
Nyhetsbrev
Medi3 sender nyhetsbrev per e-post til kontaktpersoner i bedrifter som er tilknyttet Medi3 Bedriftshelsetjeneste. I nyhetsbrevet ønsker vi å tilgang til god og kvalitetssikret informasjon om ulike tema relatert til HMS. Medi3 bruker e-posttjenesten Mailchimp for utsendelse av nyhetsbrev. E-postadresse IP-adresse, åpningsgrad og klikk vil derfor bli behandlet og lagret av Mailchimp i USA. E-post adresse og evt navn vil i tillegg være synlig for de som jobber i Medi3s informasjon/markedsavdeling.
Våre medlemmer kan når som helst melde seg av nyhetsbrevet. Dette gjøres ved å gå inn på vårt siste nyhetsbrev, og trykke på avmeldingslinken. De kan også velge å fortelle hvorfor du ikke ønsker å motta nyhetsbrevet fra oss. Dette er frivillig og man vil uansett bli tatt bort fra listen selv om de velger å ikke fortelle hvorfor. Om man velger å melde seg av nyhetsbrevet vil all informasjon bli slettet hos oss og fra vår konto hos Mailchimp.
Medi3 AS vil ikke bruke dine opplysninger til annen markedsføring eller andre tjenester enn til å sende ut dette nyhetsbrevet.
Spesielt for Medi3 Bedriftshelsetjeneste
Medi3 Bedriftshelsetjeneste er behandlingsansvarlig for personopplysninger fra ansatte hos våre bedriftskunder etter at det er inngått avtale. Dette gjelder både i forhold til leveranse av bedriftshelsetjenester og øvrige helsetjenester på individnivå. Medi3 behandler personopplysningene selvstendig som en del av tjenesteleveransene og ikke på vegne av eller etter instruks fra våre kunder.
Medi3 inngår derfor ikke databehandleravtaler med sine bedriftskunder. Dette er også i henhold til Datatilsynets vurdering av ansvar for levering av bedriftshelsetjenester. Det at Medi3 bedriftshelse mottar ansattlister med navn, fødselsnummer, mailadresse og avdelingstilhørighet fra kundene, fordrer i seg selv ingen databehandleravtale, fordi dette anses som en overføring av data mellom to selvstendige behandlingsansvarlige.