Helsepersonell er pålagt å utlevere utdrag av identifiserbare helseopplysninger til sentrale helseregistre, for eksempel til Norsk pasientregister.
Formålet med å behandle personopplysningene er at de er tilgjengelige når det er nødvendig å gi deg helsehjelp. Sykehuset skal sikre at behandlingen av personopplysningene skjer konfidensielt.
Les mer om hvordan Akershus universitetssykehus (Ahus) bruker dine personopplysninger på siden under.
Dine rettigheter
Hvordan kan du bruke rettighetene dine?
Dersom du ønsker å benytte deg av rettighetene dine kan du sende en e-post til personvernombudet på Ahus. Du finner kontaktinformasjon og mer informasjon på siden under.
Personvernombudet på Ahus
Dersom du har samtykket til bruk av personopplysninger kan du når som helst endre dette.
Trekke tilbake ditt samtykke
Rett på informasjon
Når Ahus behandler personopplysninger dine har du rett på en del informasjon uten å måtte be om det. På tidspunktet når innsamlingen av persondata skjer har du krav på informasjon om blant annet hvorfor personopplysningene dine behandles og hvor lenge de skal behandles.
Du har også krav på informasjon underveis når vi behandler personopplysningene:
- Vi skal gi informasjon når virksomheten viderebehandler personopplysninger for nye formål.
- Vi skal gi informasjon når den registrerte ber om innsyn.
- Vi skal gi informasjon i visse tilfeller av brudd på personopplysningssikkerheten.
- I slike tilfeller har Ahus rutiner for å varsle både deg og datatilsynet når det er nødvendig.
Ahus plikter at all informasjon og kommunikasjon skjer på en kortfattet, åpen, forståelig og lett tilgjengelig måte. Språket skal være klart og enkelt.
Unntak
Det finnes likevel noen unntak fra retten til å få informasjon:
Innsyn
Som pasient har du innsynsrett. Innsynsretten går ut på at du kan kontakte sykehusets personvernombud og få svar på om Ahus behandler personopplysniger om deg, og eventuelt hvilke opplysninger dette er. I tillegg skal du vite hvordan opplysningene om deg behandles og du har rett il å få kopi av disse opplysningene.
Når du ber om innsyn skal du få svar innen 30 dager og informasjonen du får, skal omhandle følgende:
- Formålene med behandlingen.
- Hva slags personopplysninger som behandles mottakerne eller kategorier av mottakere som personopplysningene er blitt eller vil utleveres til, særlig mottakere i tredjeland eller internasjonale organisasjoner.
- Hvor lenge personopplysningene skal lagres, hvis dette ikke er mulig skal det gis informasjon om kriteriene som brukes for å fastsette dette tidsrommet.
- Din rett til å kreve retting, sletting eller begrensning av behandling av personopplysninger.
- Din rett til å gjøre innsigelse mot behandlingen.
- Retten til å klage til en tilsynsmyndighet.
-
Hvor personopplysningene stammer fra dersom opplysningene ikke er samlet inn fra deg, Ved automatiserte avgjørelser inkludert profilering, basert på de innhentede opplysningene, skal det gis informasjon om den bakenforliggende logikken bak de automatiserte avgjørelsene samt betydningen og de mulige konsekvenser behandlingen har for de registrerte.
- Hvis den dataansvarlige skal overføre personopplysninger til et tredjeland eller internasjonal organisasjon skal du få vite dette og om opplysningene er tilstrekkelig beskyttet eller ikke.
For praktisk fremgangsmåte se følgende side:
Å benytte seg av retten til innsyn er gratis, men dersom du ber om mer enn én kopi kan sykehuset ta et rimelig administrasjonsgebyr.
Unntak
I noen tilfeller kan sykehuset nekte deg innsyn. Dette gjelder dersom:
- opplysningene er av betydning for Norges utenrikspolitiske interesser eller nasjonale forsvars- og sikkerhetsinteresser. Dette unntaket gjelder bare dersom det også kan gjøres unntak fra allment innsyn for slike opplysninger etter offentlighetsloven §§ 20 og 21
- det er påkrevd å hemmeligholde opplysningene av hensyn til forebygging, etterforskning, avsløring eller rettslig forfølging av straffbare handlinger.
- det er utilrådelig at du får kjennskap til opplysningene av hensyn til helsen din eller forholdet ditt til nære pårørende
- opplysningene er omfattet av lovfestet taushetsplikt
- det er i strid med åpenbare og grunnleggende private eller offentlige interesser å gi innsyn, medregnet hensynet til deg selv
-
innsynet vil krenke rettighetene og frihetene til andre.
Dersom det nektes inn vil du få en skriftlig begrunnelse uten ugrunnet opphold og normalt senest innen en måned.
Du kan lese mer om innsyn i offentlig virksomhet hos Datatilsynet
Du har også rett til innsyn i egen pasientjournal:
Retting av opplysninger
Det er viktig at opplysningene vi har om deg er riktig. Dersom du oppdager uriktige eller ufullstendige opplysninger om deg har du i noen tilfeller krav på å få disse rettet. Du må da kunne sannsynliggjøre at opplysningene er uriktige og hva som er korrekt.
Dersom du oppdager slike feil tar du kontakt på skjema på Helsenorge.no [lenke?]
Eksempel på at du kan kreve retting er at du oppdager feil adresse i dine kontaktopplysninger.
Du har du også krav på å supplere opplysninger som gir et uriktig inntrykk. Eksempel på supplering er at nye opplysninger vil gi et riktigere bilde av de allerede registrerte opplysningene.
Sletting av opplysninger
Du har i noen tilfeller rett til å kreve at opplysninger sykehuset oppbevarer om deg slettes. Dette gjelder dersom:
- Du benytter deg av retten til å protestere (link).
- Du trekker tilbake ditt samtykke (link).
-
Dersom det ikke lenger er nødvendig å beholde opplysningene dine.
- Ahus som sykehus har i en del tilfeller en lovregulert plikt til å lagre opplysninger selv om helsehjelpen er avsluttet.
-
Dersom virksomheten har sletteplikt etter loven.
Unntak
Du har ikke krav på sletting i følgende tilfeller:
- Lagring er nødvendig for arkivering i allmenhetens interesse, vitenskapelige eller historiske forskningsformål eller statistiske formål. Unntaket gjelder bare dersom sletting i alvorlig grad vil hindre at målene nås. Videre sier personvernforordningen artikkel 89 at disse typene behandling av personopplysninger må ha tiltak og garantier for å vareta den enkeltes personvern.
-
Virksomheten har lagringsplikt etter lov (for eksempel bokføringsplikt).
-
Lagring er nødvendig for visse typer bruk innen helsetjenesten (etter personvernforordningen artikkel 9).
Begrense
Du har rett til å be om at måten sykehuset bruker personopplysningene dine på begrenses. Den praktiske virkningen av å kreve begrensning er at Ahus lagrer opplysningene, men kun kan behandle de til andre formål med ditt samtykke
- Du kan kreve begrensning i følgende situasjoner:
- Du mener opplysningene lagret om deg er feilaktige. Mens den dataansvarlige kontrollerer opplysningene, kan behandlingen begrenses i en periode.
- Du har brukt din rett til å protestere, og virksomheten holder på å avgjøre om innsigelsen din skal tas til følge.
- Man kan begrense bruk av personopplysninger i f.eks kvalitetsprosjekter og begrense muligheten til å kontaktes digitalt
- Virksomheten skal slette opplysningene fordi de ikke lenger er nødvendige for formålet de ble samlet inn for. Du har behov for opplysningene for å fastsette, gjøre gjeldende eller forsvare et rettskrav og ønsker derfor at de lagres.
Protestere
I noen tilfeller har du rett til å protestere mot at personopplysningene dine brukes av Ahus. Virkningen av en protest er at virksomheten ikke lenger kan bruke personopplysningene du protesterer mot. Dette er et midlertidig tiltak inntil krav om retting eller sletting er vurdert.
Retten til å protestere gjelder ikke dersom:
- Personopplysningene er nødvendige for å utføre en avtale du har med virksomheten.
- Virksomheten er pålagt i lov å behandle personopplysningene dine.
- Virksomheten kan vise at tungtveiende grunner går foran protesten
Dersom unntakene ikke kommer til anvendelse vil opplysningene slettes. Vi skal svare på protesten din uten ugrunnet opphold og normalt senest innen én måned.
Automatiserte avgjørelser
Du har rett til å ikke være gjenstand for automatiserte individuelle avgjørelser som har rettsvirkning eller på tilsvarende betydelig måte i betydelig grad påvirker deg.
«Automatiserte avgjørelser» er de som foretas utelukkende av dataprogrammer uten menneskelig innblanding eller påvirkning.
Unntak
Forbudet gjelder ikke dersom den automatiserte avgjørelsen:
-
er nødvendig for å inngå eller oppfylle en avtale mellom den registrerte og en dataansvarlig
-
er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett som den dataansvarlige er underlagt, og der det også er fastsatt egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser
-
er basert på den registrertes uttrykkelige samtykke
Retten er ytterligere begrenset for helseopplysninger:
Man kan kun bruke automatiserte avgjørelser basert på helseopplysninger når du har uttrykkelig samtykket til behandling av personopplysninger eller behandlingen er nødvendig av hensyn til viktige allmenne interesser og det er innført egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser.
Utlevering av data
Retten til dataportabilitet innebærer en rett til å få dine personopplysninger utlevert i et maskinlesbart format. Dette gjelder kun opplysninger du selv har gitt til Ahus. Disse opplysningene kan du gjenbruke på tvers av ulike systemer og tjenester. I tillegg gjelder det bare der behandlingen er basert på samtykke og dersom behandlingen utføres automatisk.
Denne retten gjelder ikke for behandling av helseopplysninger i behandlingsrettede helseregistre og forskriftsregulerte helseregistre.