Personvernerklæring

Informasjon om hvordan Helsedirektoratet samler inn og bruker helse- og personopplysninger

Personvernerklæring for Helsedirektoratet

Denne personvernerklæringen beskriver hvordan Helsedirektoratet behandler personopplysninger. Målet er å gi overordnet informasjon om vår behandling av personopplysninger.

Personvernregelverket skal verne fysiske personer og sikre at behandlingen har lovlig behandlingsgrunnlag ved behandling av personopplysninger. Med personopplysninger menes enhver opplysning som kan identifisere deg som person. Anonyme data er ikke underlagt denne reguleringen.

Erklæringen inneholder opplysninger om når vi samler inn personopplysninger og generell informasjon om hvordan vi behandler helse- og personopplysninger. Informasjonen skal oppfylle kravene som personvernforordningen stiller i artikkel 12, 13 og 14 om informasjon til den registrerte.

Ansvar for personopplysninger

Behandlingsansvarlig

Helsedirektøren er behandlingsansvarlig for all behandling av helse- og personopplysninger som skjer i Helsedirektoratet. Dette ansvaret innebærer blant annet å sørge for at personopplysninger brukes og behandles i henhold til regelverket.

Databehandleravtaler

Helsedirektoratet inngår databehandleravtaler med alle virksomheter som behandler personopplysninger på våre vegne. De kan ikke behandle personopplysningene på andre måter enn det som er avtalt med oss, og har samme taushetsplikt som ansatte i Helsedirektoratet.

Personvernombud

Helsedirektoratet har eget personvernombud. Personvernombudet bistår med å ivareta rettigheter for den som har opplysninger registrert hos Helsedirektoratet. Prinsippene for håndtering av helse- og personopplysninger på e-post og telefon gjelder også for kommunikasjon med ombudene. Kontakt personvernombudet på personvernombud@helsedirektoratet.no.

Hvorfor behandler vi personopplysninger?

Helsedirektoratet behandler personopplysninger på grunn av henvendelser og oppgaver som vi er pålagt av Helse- og omsorgsdepartementet eller i lov og forskrift. Vi har ansvaret for enkelte nasjonale medisinske kvalitetsregistre, og en rekke oppgaver i regelverket som gjør oss behandlingsansvarlig for saksbehandlingssystemer der det inngår personopplysninger.

Helsedirektoratet må følge personopplysningsloven, forvaltningsloven, arkivloven og offentlighetsloven, slik at alle personopplysninger blir behandlet på en lovlig måte. Vi skal ikke innhente flere opplysninger om deg enn det som er nødvendig, og opplysningene som hentes inn skal bare brukes til det formålet de er innhentet for, med mindre vi har lovlig grunnlag til å bruke dem til andre formål.

Under punkt 3 finner du en oversikt over hvilke systemer Helsedirektoratet behandler personopplysninger i.

Den registrertes rettigheter

Her er en kort oversikt over den registrertes rettigheter etter personvernlovgivningen. Finn informasjon om den registrertes rettigheter på datatilsynet.no.

Rett til informasjon

Du har rett på forståelig informasjon om hvilke personopplysninger vi behandler, formålet med behandlingen, behandlingsgrunnlag og hvilke rettigheter den registrerte har. Overordnet informasjon om dette er gitt i denne personvernerklæringen.

Den behandlingsansvarlige har plikt til å behandle opplysninger på en åpen måte. Dette innebærer at Helsedirektoratet må gi kort og forståelig informasjon om hvordan man behandler personopplysningene. Det stilles også krav til hvordan kommunikasjonen med enkeltpersoner skal være. Personvernforordningen stiller krav om at den behandlingsansvarlige skal kommunisere på en kortfattet, åpen, forståelig og lett tilgjengelig måte. Språket skal være klart og enkelt, særlig når informasjonen er spesifikt rettet mot barn (jf. personvernforordningen artikkel 5, 12, 13 og 14).

Rett til innsyn i egne opplysninger

Du har rett til innsyn i egne personopplysninger.

For at Helsedirektoratet skal være sikker på din identitet må henvendelse om innsyn sendes inn via Altinn og skjemaet innsyn etter personopplysingsloven. For å kunne sende inn skjemaet må du samtykke til at ansatte i Helsedirektoratet med tjenstlig behov har innsyn og tilgang til å samle inn dine personopplysninger for å kunne saksbehandle ditt innsyn.

Svar på innsyn vil bli sendt ut via digital postkasse, har du ikke digital postkasse eller har reservert deg vil utsending skje via brevpost.

Kode 6-personer

Kode-6-personer som ønsker innsyn i egne personopplysninger bes ta kontakt med Kripos om hvordan dette kan gjøres på en trygg måte.

Barn under 16 år som ønsker innsyn

Også barn under 16 år kan be om innsyn i egne personopplysninger. Det er mange lover som gjelder barn og unges rettigheter, og det kan være vanskelig å skjønne hvilke rettigheter som gjelder. For hjelp, send e-post til personvernombud@helsedirektoratet.no

Ikke send fødselsnummer eller sensitive opplysninger på e-post. E-post er ikke en sikker kanal for den typen informasjon.

Retting av personopplysninger

Den registrerte kan be om at vi retter eller supplerer uriktige opplysninger. Den registrerte må kunne sannsynliggjøre at opplysningene er uriktige og hva som er korrekt.

Helsedirektoratet skal rette feilaktige opplysninger snarest, og normalt senest innen én måned.

Rett til sletting

I enkelte tilfeller kan den registrerte kreve at personopplysninger slettes. Forutsetningen er at Helsedirektoratet ikke har en lovpålagt plikt til å lagre opplysningene som dokumentasjon. Vi skal besvare krav om sletting innen én måned.

Rett til begrensning

I noen tilfeller kan den registrerte be om at behandlingen av personopplysningene begrenses. I så fall kan personopplysningene lagres, men ikke brukes til noe.

Rett til å protestere mot behandling av personopplysninger

Dersom Helsedirektoratet behandler personopplysninger med grunnlag i våre oppgaver eller på bakgrunn av en interesseavveining, uten ditt samtykke, har den registrerte rett til å protestere på vår behandling av opplysninger. Dette vil kunne medføre at vi ikke lenger kan bruke personopplysningene. Med mindre opplysningene også behandles til formål den registrerte ikke kan motsette seg, skal de slettes.

Rett til å motsette seg direkte markedsføring

Dersom formålet med personopplysningene er direkte eller tilpasset markedsføring, har den registrerte alltid rett til å protestere. Det finnes ingen unntak fra denne regelen, og virksomheten må respektere denne protesten.

Rettigheter ved automatiserte avgjørelser

Personvernforordningen forbyr i utgangspunktet automatiserte individuelle avgjørelser. Med dette menes at et dataprogram tar avgjørelser uten at et menneske har reell innvirkning på dem, eller at avgjørelsen har rettsvirkning for deg eller i tilsvarende grad har innvirkning på deg. Det er flere unntak fra forbudet, men i så fall gjelder særskilte rettigheter. Den registrerte skal få informasjon dersom vi foretar automatisert saksbehandling av personopplysninger.

Rett til dataportabilitet

Retten til dataportabilitet skal styrke den registrertes kontroll over egne personopplysninger. Dette innebærer at dersom dataansvarlig behandler opplysninger med grunnlag i samtykke eller en kontrakt, kan den registrerte be om å få overført opplysninger til seg eller til annen behandlingsansvarlig og gjenbruke disse på tvers av ulike systemer og tjenester. Dataportabilitet skal gjøre det lettere å bytte tjenesteleverandør.

Lagring

Helsedirektoratet skal som et utgangspunkt ikke lagre opplysningene lengre enn det som er nødvendig ut fra formålet de er blitt innsamlet til. Samtidig har Helsedirektoratet arkivplikt, som gjør at vi må oppbevare arkivverdige opplysninger etter at saksbehandlingen er avsluttet. I utgangspunktet blir arkivverdige personopplysninger lagret mellom 25-30 år, før de blir overført til Riksarkivet.

Klage

Dersom du registrerte mener at Helsedirektoratet ikke overholder reglene i personopplysningsloven, ta først kontakt med vårt personvernombud.

Du kan også klage til Datatilsynet om vår behandling av personopplysninger.

Når behandler Helsedirektoratet personopplysninger?

Helsedirektoratet behandler personopplysninger og anonyme data på følgende måter:

Opplysninger på helsedirektoratet.no

Helsedirektoratet er ansvarlig for innhenting og bruk av personopplysninger og anonyme opplysninger som gjøres i forbindelse med drift og vedlikehold av helsedirektoratet.no. Det er frivillig for de som besøker nettstedet å oppgi personopplysninger i forbindelse med tjenestene, for eksempel å oppgi en e-post adresse for å motta nyhetsbrev. Behandlingen av personopplysningene er basert på den enkeltes samtykke.

Opplysningene som samles inn, lagres på servere som driftes av Norsk Helsenett (NHN). NHN er Helsedirektoratets databehandler, og er leverandør av drift og vedlikehold av nettstedet. Det er kun Helsedirektoratet og NHN som har tilgang til opplysningene som samles inn. En databehandleravtale mellom Helsedirektoratet og NHN regulerer hvilken informasjon leverandøren har tilgang til og hvordan den skal behandles.

Nyhetsbrev

På helsedirektoratet.no kan man abonnere på oppdateringer. For å motta nyhetsbrev må man registrere e-postadresse. Vi mottar og lagrer din e-postadresse på bakgrunn av ditt samtykke. Opplysningene som registreres benyttes kun til e-postvarsling av endringer i innholdet. Det er kun administratorer som får tilgang til opplysningene. Du kan når som helst melde deg av tjenesten, og din e-post adresse slettes da fra vårt register.

Søk

Helsedirektoratet lagrer informasjon om hvilke søkeord brukerne benytter ved søk på nettstedet. Dette gjør vi for å øke brukervennligheten på nettstedet. Bruksmønsteret for søk lagres anonymt. Søkeordene lagres og kan ikke kobles til andre opplysninger om brukerne, slik som IP-adressene.

Fant du det du lette etter?

På de fleste sider på nettstedet vårt har vi en funksjon som heter "Fant du det du lette etter?". Vi bruker tilbakemeldingen til å forbedre innholdet på nettstedet. Ved bruk av denne funksjonen, lagres tilbakemeldinger og tidspunktet disse er sendt inn. Opplysningene som lagres kan ikke knyttes til noen enkeltperson.

Se også besøkstatistikk og informasjonskapsler på helsedirektoratet.no.

Sosiale medier

Helsedirektoratet har etablert egne sider/profiler på sosiale media som Facebook, Instagram, Twitter, Linkedin og Youtube. Opplysninger som legges ut vil bli offentliggjort.

Helsedirektoratet har kun tilgang til informasjon du selv legger ut og som du selv registrerer som offentlig i sosiale medier. Det rettslige grunnlaget for behandlingen er den enkeltes samtykke.

Informasjonen brukes i noen tilfeller for å treffe riktig målgruppe med våre kampanjer. Opplysningene kan slettes av den enkelte selv, og Helsedirektoratet lagrer ingen kopi når opplysningene slettes.

Henvendelser fra media

Helsedirektoratet har et eget arbeidsverktøy for administrasjon av mediehenvendelser. Vi registrerer henvendelser fra journalister for å kunne finne tilbake til svar vi har gitt tidligere, ha oversikt over hvilke journalister som har laget ulike saker og som kan tenkes å være interessert i lignende saker. Vi logger dato, medium, fornavn og etternavn på journalist, telefonnummer, mobilnummer og e-postadresse, samt hva saken gjelder og eventuell e-postutveksling.

Opplysningene brukes kun internt i Kommunikasjonsavdelingen og det skjer ingen utlevering av opplysninger. Vi sletter opplysningene etter tre år. Det rettslige grunnlaget for behandlingen ligger i Helsedirektoratets lovpålagte oppgaver. Helsedirektoratet er behandlingsansvarlig for opplysningene, og avdelingsdirektør for kommunikasjonsavdelingen har det daglige ansvaret for behandlingen av opplysningene.

Spørreundersøkelser

Helsedirektoratet sender ut ulike spørreundersøkelser til aktuelle mottakere. Dette kan være virksomheter innen helsetjenesten eller personer som vi har etablert kontakt med (har samtykket til dette?). Formålene med undersøkelsene vil være ulike, og det er frivillig å svare. Helsedirektoratet vil lagre e-postadressene og svarene vi mottar så lenge det er behov for det i forbindelse med undersøkelsen.

Helsedirektoratet kan lage undersøkelser hvor det er nødvendig å lagre deltakerens identitet, for eksempel for å administrere kurspåmeldinger og -evalueringer. Dersom undersøkelsen ikke er anonym, kan Helsedirektoratet identifisere de som har besvart undersøkelsen. Dersom undersøkelsen skal sendes til deg, blir din e-postadresse delt med spørreskjema-leverandør, slik at de kan sende spørreskjemaet til deg.

Helsedirektoratet er behandlingsansvarlig for opplysningene som samles inn, og de ulike leverandørene av spørreskjemaer er databehandlere. Opplysningene tilgangsstyres, og det er eiere og administratorer for hvert enkelt skjema som har tilgang til de innsamlede opplysningene.

Dersom undersøkelsen er anonym, vil ikke Helsedirektoratet eller spørreskjema-leverandør samle inn noe informasjon som kan kobles til deg.

Liste over besøkende til Helsedirektoratet

Dersom du besøker Helsedirektoratet, blir du bedt om å registrere deg på et nettbrett som besøkende. Du blir bedt om å oppgi ditt for- og etternavn, telefonnummer, og hvilket firma du representerer. Vi ber om opplysningene av sikkerhetsgrunner, da vi trenger å vite hvem som er i bygget til enhver tid og hvem de skal til. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er av sikkerhetsmessige hensyn og ivareta registrering ved brann og rømning.

Det er resepsjonsansatte som har tilgang til å lese listen. I noen tilfeller vil kundeservice IT få tilgang til listen i forbindelse med support samt sikkerhetsleder og objektsikkerhetsleder i Helsedirektoratet.

Personopplysninger blir ikke utlevert til andre, og alt blir slettet etter 2 måneder.

Kamera utenfor lokalene

Gårdeier i lokalene der Helsedirektoratet er leietager har videoovervåkning av inngangspartiene. Opptaket slettes etter 7 dager. Videoovervåkingen er etablert etter Datatilsynets veileder. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er av sikkerhetsmessige hensyn.

Henvendelser på e-post og telefon

Helsedirektoratets medarbeidere benytter e-post og telefon som en del av det daglige arbeidet. Relevante opplysninger som fremkommer av telefonsamtaler og e-postutveksling som skjer som en del av saksbehandling journalføres. Disse opplysningene behandles som beskrevet under «Helsedirektoratets arkiv».

Sensitive helse- og personopplysninger skal ikke sendes med e-post. Vi gjør oppmerksom på at vanlig e-post er ukryptert, og taushetsbelagte, sensitive eller andre fortrolige opplysninger bør derfor ikke sendes til oss via e-post. Avdelingsdirektøren der e-posten eller telefonsamtalen mottas, har det daglige ansvaret for behandlingen av helse- og personopplysninger for sin avdeling.

Den enkelte medarbeider er ansvarlig for å slette meldinger som er besvart, og for å overføre arkivverdig korrespondanse til vårt arkiv. Dersom medarbeideren slutter, slettes e-postkontoene, men enkelte relevante e-poster vil normalt bli overført til kollegaer.

Telefonsamtaler som gjøres i tilknytning til en sak, vil journalføres i Helsedirektoratets arkiv. I tillegg lagrer vi en logg over telefonnummeret det ringes fra, dato og tidspunkt for start og slutt på samtalen, hvem det eventuelt settes over til internt og navn på vår operatør som besvarer. Loggen over telefonsamtaler er nødvendig for å tilby gode resepsjonstjenester, samt at den benyttes som grunnlag for anonymisert statistikk. Loggen blir lagret i 30 dager, og slettes da automatisk.

Personopplysninger i saksbehandling

Helsedirektoratet har en rekke oppgaver og oppdrag i spesifisert i oppdragsbrev fra Helse- og omsorgsdepartementet. Som følge av dette behandler vi personopplysninger i ulike saksbehandlingsløsninger og registre. Behandling, lagring og sletting av opplysninger følger forvaltningsloven, arkivloven og offentlighetsloven. Helsedirektoratet gir ikke innsyn i informasjon som er underlagt lovbestemt taushetsplikt.

Helsedirektoratets arkiv

Henvendelser til Helsedirektoratet vil bli registrert med de opplysningene avsender oppgir. Andre opplysninger som innhentes av Helsedirektoratet for å kunne saksbehandle henvendelsen lagres også. Opplysningene som behandles er som regel avsenders navn og kontaktopplysninger. Registrering, lagring og oppbevaring skjer i henhold til forvaltningsloven og arkivloven.

Helsedirektoratet bruker et arkiv- og saksbehandlersystem som følger offentlige standarder (NOARK) med elektronisk journalføring og elektronisk lagring av dokumenter. Helsedirektoratet er behandlingsansvarlig for opplysningene i saksbehandlingsløsningene, og Norsk helsenett (NHN) er databehandler. Det er etablert særlige sikkerhetstiltak og rutiner for svært beskyttelsesverdig informasjon i arkivet, som for eksempel sensitive helse- og personopplysninger.

Logging i Helsedirektoratets fagsystemer

Helsedirektoratet har alminnelige sikkerhetslogger i sine saksbehandlingssystem innenfor områder som tilskuddsforvaltning, helserefusjoner, godkjenning av helsepersonell. Sikkerhetsansvarlig har fått delegert ansvaret for dette. Det er de ansattes bruk av fagsystemet som blir registrert her. Det gis ikke ytterligere informasjon her av hensyn til sikkerheten i våre systemer.

System for saksbehandling av tilskuddsordninger

På oppdrag fra Helse- og omsorgsdepartementet forvalter Helsedirektoratet ulike tilskuddsordninger. Den som søker om tilskudd blir bedt om å søke via Altinn, og registrere informasjon om navn, adresse, telefonnummer og fødselsår i søknadsskjemaet. Søknaden legges inn i Helsedirektoratets saksbehandlingssystem, og registrering, lagring og oppbevaring skjer i henhold til arkivlovgivningen. Norsk helsenett (NHN) er leverandør av drift og vedlikehold av nettstedet. Opplysningene som samles inn, lagres på servere som driftes av NHN.

Det er kun saksbehandlere i Helsedirektoratet som har tilgang til opplysningene som lagres i arkivet.

Personopplysninger om helsepersonell

Helsepersonellregeisteret

Helsepersonellregisteret (HPR) inneholder en oppdatert oversikt over helsepersonell i Norge som innehar autorisasjon, lisens, spesialistgodkjenning og rekvireringsrett, og eventuell tap av slike godkjenninger. Registeret har opplysninger om navn, fødselsnummer, adresse, statsborgerskap, utdanning, formell kompetanse, forskrivningsrett og eventuell begrensning i retten til å utøve yrket. Hovedformålet med registeret er å ivareta pasienters sikkerhet og bidra til å regulere helsepersonellets yrkesutøvelse ved å sikre at helsepersonell har en bestemt type kompetanse. Registeret inneholder også en oppdatert oversikt over dyrehelsepersonell (veterinær og fiskehelsebiolog) med autorisasjon og lisens, og eventuell tap av disse. Disse opplysningene skal sikre at dyrehelsepersonell utøver forsvarlig virksomhet og dermed bidrar til god dyrehelse, forsvarlig dyrevern, trygg mat og ivaretakelse av miljøhensyn.

Helsepersonellregisteret er etablert for å oppfylle direktoratets lovpålagte oppgaver etter Helsepersonelloven og oppdrag fra Helse- og omsorgsdepartementet. Helsedirektoratet er felles dataansvarlig for registeret sammen med Statens helsetilsyn. Henvendelser om informasjon, innsyn og andre krav etter kapittel 2, kan sendes til Helsedirektoratet. Ansvarlig for registeret er avdelingsdirektør i Avdeling autorisasjon. Helsedirektoratet er databehandler for Mattilsynet for opplysninger om dyrehelsepersonell.

Personopplysningene lagres og slettes i samsvar med reglene i arkivloven.

Fastlegeordningen

Fastlegeordningen inneholder opplysninger om alle fastleger og pasienter på fastlegers lister i Norge. Fastlegeordningen skal bidra til at pasienter skal få oppfylt sin rett til å stå på en fastlegeliste og til å bytte fastlege, og at andre aktører i helsesektoren skal få vite om den enkeltes fastlege ved faglig behov. Opplysninger som behandles om fastlegen er faglig kompetanse som spesialitet, kontaktinformasjon, administrative opplysninger om arbeidsforholdet. Opplysninger som behandles om pasienten er kontaktopplysninger og familierelasjoner.

Fastlegeordningen er etablert for å oppfylle oppdrag fra Helse- og omsorgsdepartementet. Fordi registeret til enhver tid er oppdatert, vil opplysninger som ikke lenger er korrekte slettes fortløpende.

Legestillingsregisteret

Legestillingsregisteret inneholder oppdatert informasjon om alle leger som til enhver tid er ansatt i spesialisthelsetjenesten i Norge. Det fremgår navn, HPR-ID, type spesialistutdanning, arbeidssted, stillingstype, stillingsbrøk og ansattperiode. Opplysningene sendes inn fra landets regionale helseforetak, og hentes inn fra Helsepersonellregisteret og Register for enheter i spesialisthelsetjenesten (RESH).

Legestillingsregisteret skal være et system for å følge med på, planlegge for og analyse av utviklingen i legestillingene i kommunen og sykehusene for å få riktig utdanningskapasitet og bruk av legeressursene. De regionale helseforetakene (RHF) er i oppdragsdokument fra Helse- og omsorgsdepartementet pliktige til å melde inn til registeret.

Helsedirektoratet ved Avdeling personell og godkjenning er behandlingsansvarlig, og Direktoratet for e-helse er databehandler. NHN er leverandør av drift og vedlikehold av nettstedet, og opplysningene som samles inn, lagres på servere som driftes av Norsk Helsenett (NHN). Personopplysningene endres og slettes i samsvar med at legene skifter jobb og slutter i jobb.

Helsedirektoratets stillingsportal for leger i spesialisering del 1

Personer som har søkt på stilling som lege i spesialisering del 1 (LIS1) registrerer selv opplysninger via Helsedirektoratets stillingsportal. Legen legger inn egne opplysninger i stillingsportalen som navn, fødselsnummer, nasjonalitet, adresse, kontaktopplysninger, CV-er, søknadstekst, vedlegg (attester og vitnemål) og andre relevante søknadsdata. Formålet med behandlingen er å kunne gjennomføre rekruttering til den stillingen man søker på. Opplysningene gjøres derfor tilgjengelig for rekrutteringsansvarlige.

Ansatte i helseforetakene og kommunene har tilgang til egne stillingsannonser og tilhørende søkere. Helseforetaket og kommunene kan i tillegg registrere opplysninger om intervjuer og vurderinger som er gjort av kandidaten. Saksbehandlere i Helsedirektoratet har tilgang til registeret for å hjelpe helseforetak og kommuner med bruk av portalen og ta ut statistikk til halvårlige rapporter. I noen rekrutteringsprosesser kan Helsedirektoratet gi eksterne rådgivere/rekrutteringsselskaper tilgang til personopplysninger for å kunne bistå i rekrutteringen.

Personopplysninger vil ikke lagres lenger enn nødvendig for formålet.

Den enkelte lege kan se opplysninger de selv har lagt inn ved å logge inn på mine sider på Webcruiter, som er databehandler for Helsedirektoratet.

Helsedirektoratet eier ikke opplysningene som helseforetakene og kommunene registrerer, og forespørsel rundt disse må rettes til helseforetaket eller kommunen som er ansvarlig for stillingen.

Sentrale helseregistre

Helsedirektoratet er behandlingsansvarlig for flere sentrale helseregistre. Disse registrene har hjemmel i Lov om helseregistre og behandling av helseopplysninger (helseregisterloven), og hvert enkelt register er nærmere regulert i egen forskrift. Forskriften har regler om innsamling, bruk, lagring, utlevering og sletting av opplysninger i registeret.

For mer informasjon om blant annet hvilke opplysninger som behandles, formålet med behandlingen og lagringstid, se:

System for registrering av uønskede hendelser

Helsedirektoratet forvalter fire registre for registrering av uønskede hendelser. Meldeordningene inneholder ikke direkte identifiserbare personopplysninger om de som er blitt utsatt for en uønsket hendelse, altså pasientene. Det vil si at navn, fødselsdato og andre identifiserbare personopplysninger ikke blir registrert. Helsedirektoratet har derfor ikke tilgang til å reidentifisere pasienten.

Helsepersonell som har meldt om en uønsket hendelse blir registrert med navn, e-post adresse og arbeidsplass dersom dette oppgis. Kontaktopplysninger for helsepersonell blir registrert for å sende ut læringsnotat og informasjon om kurs. Helsedirektoratet har ansvaret for fire meldeordninger:

System for registrering av uønsket hendelse for spesialisthelsetjenesten

Spesialisthelsetjenesten har en meldeplikt om hendelser med betydelig personskade på pasient som følge av ytelse av helsetjeneste eller ved at en pasient skader en annen, se § 3-3 i Spesialisthelsetjenesteloven. Formålet med registeret er å bedre pasientsikkerheten. Meldingene skal brukes for å avklare årsaker til hendelser og forebygge at tilsvarende skjer igjen.

System for registrering av uønskede hendelser for blodgivning og blodtransfusjon

Blodbanker og transfusjonsenheter skal melde til Helsedirektoratet om alvorlige bivirkninger og alvorlige uønskede hendelser hos blodmottaker og blodgivere, se Blodforskriften §§ 3-3 til 3-5. Formålet med ordningen er å gi grunnlag for overvåking av transfusjonstjenesten, gi grunnlag for kvalitetssikring, utvikling og overordnet styring for tjenesten og understøtte sporbarhetssystemet.

System for registrering av uønsket hendelse for celler og vev

Virksomheter som håndterer celler og vev skal melde om alvorlige uønskede hendelser som skjer ved anskaffelse, donasjon, uttak, testing, konservering, oppbevaring, koding, merking, prosessering og distribusjon av humane celler og vev til anvendelse på mennesker og som kan påvirke kvaliteten og sikkerheten til celler og vev, jf. Forskrift om håndtering av humane celler og vev § 52 til § 54. Registerets formål er å samle inn og behandle data fra virksomheter som håndterer celler og vev som skal anvendes på mennesker for å fremme sporbarhet og kvalitets- og sikkerhetskontroller, jf. § 52.

System for registrering av uønsket hendelse for humane organer

Virksomhetene skal i henhold til etablerte rutiner registrere og straks gi melding til Helsedirektoratet om alvorlige uønskede hendelser som kan påvirke kvaliteten og sikkerheten til organet, jf. forskrift om humane organer til transplantasjon § 18. Virksomheten skal også gi melding til Helsedirektoratet om alvorlige bivirkninger observert i løpet av eller etter en transplantasjon, jf. § 19. Registerets formål er å samle inn og behandle data fra virksomheter som håndterer humane organer beregnet for transplantasjon for å bidra til sporbarhet, kvalitet og sikkerhet ved transplantasjonen, og opplysningene skal lagres i minimum 30 år, jf. § 17.

Pasient- og brukerombudene

Dersom du har kontaktet et Pasient- og brukerombud, vil personopplysninger behandles bare etter ditt eget skriftlige samtykke. En klagesak vil som regel inneholde opplysninger om den helsetjenesten / avdelingen klagen gjelder, hva klagen går ut på, ditt navn og identitet og alle dokumenter i forbindelse med saksbehandlingen av saken. Henvendelsene legges inn i et saksbehandlings- og arkivsystem, og registrering, lagring og oppbevaring skjer i henhold til arkivlovgivningen. Det er kun ansatte som saksbehandler den enkelte sak som skal ha tilgang til opplysningene i saken i saksbehandlingssystemet. Norsk helsenett (NHN) er leverandør av drift og vedlikehold av nettstedet. Opplysningene som samles inn, lagres på servere som driftes av NHN.

Pasient- og brukerombudene skal arbeide for å ivareta pasienters og brukeres behov, interesser og rettssikkerhet overfor helse- og omsorgstjenesten, og for å bedre kvaliteten i disse tjenestene. Behandlingsgrunnlaget for personopplysningene er personvernforordningen artikkel 6 nr. 1 bokstav a), b) og c), jf. artikkel 9 nr. 2 a) og j), jf. pasient- og brukerrettighetsloven kap. 8.

Pasient- og brukerombudene er en ytre etat for Helsedirektoratet. Se mer informasjon om ombudsordningen på helsenorge.no/pasient-og-brukerombudet.

Fyll ut og send inn følgende skjema: Innsyn i egne personopplysninger i henvendelser til Pasient- og brukerombudet (PDF) for å få tilgang til opplysningene listet opp over. De vil bli sendt rekommandert til din folkeregistrerte adresse.

Ta kontakt med Pasient- og brukerombudet i ditt fylke om du trenger hjelp.

Helfo for Helsedirektoratet

Helfo er Helsedirektoratets ytre etat. Helfo arbeider for at pasienter skal få oppfylt sine helserettigheter, og at behandlere, leverandører og tjenesteytere får økonomisk oppgjør i henhold til folketrygdlovens kapittel 5.

Helsedirektoratet er behandlingsansvarlig for behandling av opplysninger som gjøres i forbindelse med stønad for nødvendige utgifter til helsetjenester etter folketrygdlovens kapittel 5. Behandlingsansvaret fremgår av folketrygdloven § 21-11a, syvende ledd. Helsedirektoratet har delegert oppgaven til Helfo ved fullmakt og tildelingsbrev. Det er avdelingsdirektør i avdeling Helserefusjoner som har det daglige behandlingsansvaret.

De enkelte personopplysningene som behandles i de ulike løsningene som knytter seg til økonomisk oppgjør av helsetjenester er begrenset til formålet de er innhentet for.

Helfo forvalter følgende ordninger:

Fristbruddportalen

Fristbruddportalen brukes blant annet til å holde oversikt over om spesialisthelsetjenesten er i stand til å overholde fristen for når helsehjelp senest skal gis.

Du som har fått en frist for helsehjelp og ikke har mottatt helsehjelpen innen denne fristen blir registrert her med blant annet personopplysninger (navn, adresse, navn på henviser, behandlings- og helseopplysninger, kode for diagnose mm). Opplysningene er nødvendige for å sjekke om fristen kan overholdes, og for å kontakte pasienten om alternativt behandlingssted dersom det første behandlingsstedet ikke kan tilby helsehjelp innen fastsatt frist.

Helfo er behandlingsansvarlig for helse- og personopplysningene i Fristbruddportalen, og Norsk Helsenett (NHN) er databehandler. Det er kun ansatte i Helfo som trenger opplysningene for å finne et alternativt behandlingstilbud til deg har tilgang til opplysningene.

Fyll ut og send inn følgende skjema: Innsyn i personopplysninger i fristbrudd (PDF) for å få tilgang til alle opplysningene nevnt under Fristbrudd. De vil bli sendt rekommandert til din folkeregistrerte adresse. Du kan også ringe Helfo på telefon 800 43 573 for å få tilsendt ovennevnte skjema som brev.

Dersom du har spørsmål kan du ta kontakt med Helfo på pasientformidling@helfo.no.

Stønad til helsetjenester etter folketrygdloven kapittel 5

Den som mottar helsetjenesten sender selv personopplysninger om seg selv som er nødvendige for saksbehandling om økonomisk oppgjør etter helsetjenester. Innenfor enkelte av stønadsområdene på helserefusjonsområdet sender behandlere inn opplysningene på vegne av pasienten.

Søknad om refusjon sendes i hovedsak inn elektronisk. Helfo registrerer og oppbevarer innsendte opplysninger som er nødvendige for å avgjøre om vilkårene for rettigheten er oppfylt. Dette oppbevares elektronisk som nødvendig dokumentasjon for senere revisjon og oppfølging.

Når et refusjonskrav er behandlet i Helfo vil det bli sendt ut et utbetalingsvedtak.

Vedtaket gir opplysninger om hva for eksempel apoteket eller bandasjisten har fått utbetalt i refusjon fra Helfo, og hvilken konto pengene har gått inn på.

For mer informasjon om stønad til helsetjenester etter folketrygdloven kapittel 5, innsending av refusjonskrav og utbetaling av oppgjør se helfo.no

Helsedirektoratet er behandlingsansvarlig for behandlingen av opplysningene, Helfo forvalter ordningen. NAV og Norsk Helsenett (NHN) er databehandlere.

Frikortordningen/egenandelsregisteret

Frikortordningen er en automatisert behandling av opplysninger om alle innbyggere over 16 år som har betalt en eller flere egenandeler. Ordningen mottar informasjon om oppgjør fra behandlende helsepersonell, apotek/bandasjist og Pasientreiser, og behandlingen fører frem til vedtak om frikort og eventuell refusjon av egenandeler over egenandelstaket.

Personopplysninger som behandles i løsningen er pasientens navn, fødselsnummer/sikker identifikasjon, adresse, bostedskommune, tjenesteyters navn og praksistype, tjenestetidspunkt, vedtaksdato, egenandelsbeløp, ID-nummer, kontaktinformasjon, kontonummer, egenandelsbeløp og eventuell status som minstepensjonist. Det behandles også opplysninger om det enkelte helsepersonellet og virksomheten der de jobber. Ut fra de samlede opplysningene vil det fremgå indirekte informasjon om hvilken type helsehjelp pasienten har mottatt.

Ordningen er hjemlet i egenandelsregisterforskriften § 1, og behandlingen av opplysningene følger denne forskriften. Helsedirektoratet er behandlingsansvarlig for behandlingen av opplysningene, Helfo forvalter ordningen, og NAV er databehandler for løsningen.

Logger over telefonsamtaler med Veiledning helsenorge.no

De som ringer Helfo på Veiledning helsenorge.no blir registrert her med følgende opplysninger:

  • telefonnummer (ikke navn eller annen ID)
  • overordnet klassifisering av henvendelsen, som f.eks. "Bytte fastlege", "Bestille helsetrygdekort"
  • Selve forespørselen blir ikke logget.

Lovgivning

Helsedirektoratet, Helfo og Pasient- og brukerombudet er pliktige å følge relevant regelverk i vår behandling av personopplysninger.

EUs personvernforordning gjelder som norsk lov. Forordningen og personopplysningsloven gir regler om vern av fysiske personer i forbindelse med behandling av personopplysninger og skal sikre ensartede regler i EU/EØS og fri utveksling av personopplysninger mellom EU/EØS-landene.

Helseregisterloven inneholder regler om hvordan helseopplysninger som samles inn vil bli behandlet, herunder hvordan de sikres, hvem som har tilgang og om de kan utleveres til andre.

Pasientjournalloven inneholder regler om hvordan helseopplysninger som samles inn vil bli behandlet, herunder hvordan de sikres, hvem som har tilgang og om de kan utleveres til andre.

Offentlighetsloven med forskrifter inneholder reglene for når et dokument er offentlig tilgjengelig for allmenheten, og når et dokument kan unntas offentlighet. Helsedirektoratet praktiserer åpenhet, det vil si at Helsedirektoratet så langt det er mulig etterstreber at dokumenter skal være offentlige. Forvaltningsloven inneholder saksbehandlingsregler for hvordan saken din vil bli behandlet i Helsedirektoratet. Som part i saken har du særskilte rettigheter, bl.a. om innsyn i sakens dokumenter.

Forvaltningsloven regulerer saksbehandling og vedtak fattet av statlige og kommunale forvaltningsorganer.

Arkivloven inneholder regler om hvordan sakens dokumenter skal oppbevares, herunder lagring.

Først publisert: 20.02.2019