Om tjenesten PasientSky

PatientSky AS (“PS”) tilbyr sine tjenester gjennom plattformen PasientSky (“PasientSky”) på vegne av hver enkelt lege og/eller behandler på den respektive klinikken («Behandlere») og overfor klinikkens pasienter. PasientSky er utviklet for å legge til rette for visning av informasjonen fra helsepersonell og kommunikasjon mellom helsepersonell på klinikken og pasienter via PasientSky, epost og SMS, føring av pasientbok, samt for å tilby andre aktuelle tjeneste. Slike tjenester omfatter bestilling og administrasjon av legetimer, formidling og administrering av fakturaer, reseptbestilling og –historikk, samt bestille og gjennomføre E-konsultasjoner. Tjenestene som er beskrevet i dette avsnittet vil i fellesskap omtales som «Tjenestene» i denne personvernerklæringen. Din behandler kan bruke Tjenestene selv om du som pasient kan bestemme at du ikke ønske å benytte deg av Tjenestene selv.

Prinsipper for behandlingen

Bruk av PasientSky innebærer at PS vil behandle personopplysninger om deg. PS behandler data og personopplysninger i samsvar med de prinsipper og lover for behandling av personopplysninger som følger av det til enhver tid gjeldende regelverket.

Denne personvernerklæringen skal forklare nærmere hvordan dine personopplysninger behandles i PasientSky. Dersom du ønsker ytterligere informasjon om prinsipper og regelverk for behandling av personopplysninger, kan du blant annet finne dette på Datatilsynets nettsider.

Behandlingsansvar

To sentrale begreper innen personvern er «databehandler» og «behandlingsansvarlig». Behandlingsansvarlig er den som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes, mens databehandler er en som behandler personopplysninger på vegne av den behandlingsansvarlige.

Som leverandør av skytjenesten PasientSky er PS databehandler på vegne av de som benytter seg av PasientSky for den behandlingen av personopplysninger som er nødvendig for å benytte tjenestene. Dette innebærer at din(e) behandler(e) er behandlingsansvarlige i forbindelse med tjenestene som leveres via PasientSky.

For å kunne levere PasientSky må imidlertid PS også behandle dine personopplysninger i forbindelse med å administrere plattformen og din brukerprofil. For den behandlingen som utføres for slike administrative formål vil PS være behandlingsansvarlig.

Behandlingens lovlighet

Etter personvernforordningens artikkel 6, er behandling av personopplysninger kun lovlig når det foreligger et gyldig behandlingsgrunnlag. Slikt behandlingsgrunnlag kan være ditt samtykke til behandlingen av dine opplysninger; at behandlingen er nødvendig for å oppfylle en avtale som du er part i; er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige; er nødvendig for å verne dine eller en annen fysisk person vitale interesser; er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, eller er nødvendig for formål knyttet til de berettigede interesser som forfølges av den behandlingsansvarlige eller en tredjepart.

For barn under 16 år, er behandling som er basert på samtykke kun lovlig dersom, og i den grad samtykke er gitt eller godkjent av den som har foreldreansvar for barnet.

Dersom et slikt behandlingsgrunnlag foreligger, skal personopplysninger kun samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene.

Hvilke personopplysninger behandles av PS som databehandler?

Behandlingen som utføres av PS som databehandler vil omfatte personopplysninger, herunder helseopplysninger som er nødvendige for klinikkens bruk av PasientSky og Tjenestene tilbudt av PS (slik disse er beskrevet ovenfor). Databehandlerforholdet mellom hver Behandler og PS er regulert av en databehandleravtale.

Opplysningene om deg kommer enten fra din lege eller annet helsepersonell, deg selv eller folkeregisteret. PS behandler i all hovedsak kun opplysninger som ligger lagret i din behandler eller andre behandlere sine systemløsninger. Dette omfatter personopplysninger om din person, slik som navn, personnummer, kontaktdetaljer med mer. Behandlingen omfatter også dine helseopplysninger hentet fra Elektronisk Pasientjournal (EPJ) og ellers som lagt inn i PasientSky av deg eller din(e) Behandler(e). Eksempler på dette er opplysninger om din helsetilstand, medikamentbruk, resepter, vekt og legebesøk, med mer.

Hver Behandler anses som behandlingsansvarlig og PS behandler slike opplysninger kun etter deres spesifikke instruksjoner. Leger og andre behandlere sin behandling av person- og helseopplysninger har behandlingsgrunnlag dels i helselovgivningen, og dels etter samtykker fra pasientene. Det er dine Behandlere sitt ansvar som behandlingsansvarlig å påse at denne behandlingen av dine personopplysninger har gyldig behandlingsgrunnlag.

Hvilke personopplysninger behandles av PS som behandlingsansvarlig?

Personopplysninger behandles i forbindelse med innlogging og når du bruker tjenestene for å kommunisere med behandler.

Før du får tilgang til tjenestene vil det lagres personopplysninger om deg som bruker. Følgende opplysninger vil bli registrert: fødselsnummer; samtykkestatus (hvorvidt du har takket ja eller nei til å ta i bruk den enkelte tjenesten); informasjon om siste innlogging (for å kunne optimalisere både innhold og den tekniske ytelsen av tjenesten); navn; mobiltelefonnummer og adresse; profilbilder; posisjonsdata for stedsfunksjoner; folkeregistrert adresse og fødselsnummer. Elektronisk identifikasjon som IP-adresse og lignende behandles når du er pålogget og kan lagres i tilfelle feilsituasjoner. Logg over bruk av din profil (blant annet oversikt over pålogginger og handlinger du utfører) føres også.

Personopplysningene samles inn fra deg, din bruk av PasientSky, og folkeregisteret. Behandlingsgrunnlaget for vår behandling av dine personopplysninger er ditt samtykke, gitt ved registrering i PasientSky, at det er nødvendig for å levere tjenestene til deg, og at PS har en berettiget interesse i å behandle visse tekniske personopplysninger for å sikre effektiv og sikker drift av PasientSky-plattformen.

Er det frivillig å gi fra seg opplysningene?

Det er frivillig for deg som pasient om du ønsker å benytte deg av PS. Du kan også ta i bruk PS for en periode og deretter velge å avslutte bruken på et senere tidspunkt. Du som pasient kan derimot ikke bestemme om din Behandler ønsker å benytte seg av PS eller ikke.

Aktører med rolle i forhold til PS

PS er ansvarlig for selve portalløsningen PS. Innholdet som fremvises, gjøres på oppdrag for den enkelte klinikk som ønsker å ta løsningen i bruk. For fakturainformasjon er det Convene AS (tidligere Melin Medical AS) som er databehandler overfor klinikken med bruk av PS som underleverandør.

Utleveres opplysningene til tredjeparter?

Det utleveres som det klare utgangspunkt ingen helseopplysninger til andre mottakere. Fødselsnummer og kontaktinformasjon du har oppgitt, vil imidlertid bli utlevert til andre Behandlere og behandlingsinstitusjoner du er tilknyttet eller blir tilknyttet frem i tid så fremt disse benytter PS. Ingen andre Behandlere eller institusjoner vil ha tilgang til dine personopplysninger med mindre du fremsetter et eksplisitt ønske om dette.

Innsynsrett

Du har alltid rett til innsyn i de opplysningene vi har registrert om deg i tilknytning til PS i samsvar med personvernforordningens artikkel 15. Du ser opplysningene vi behandler om deg via din profil. For innsyn i dine helseopplysninger, må du ta kontakt med din Behandler.

Hvordan kan jeg styre mine samtykker?

Om du ønsker å ta i bruk tjenestene, kan du registrere deg på PS, og samtykke til bruk av tjenestene. Du kan samtidig samtykke til elektronisk kommunikasjon mellom deg og din(e) Behandler(e). Når du er innlogget i PS kan du når som helst gjøre endringer i det du tidligere har registrert, eller velge å trekke dine samtykker, om du skulle ønske det. Endringer gjør du under din profil, under eget felt for samtykke.

Rett til korrigering

Du har rett til å få personopplysninger om deg selv rettet eller komplettert i samsvar med personvernforordningens artikkel 16. Du kan selv rette personopplysningene vi behandler om deg som behandlingsansvarlig i PasientSky-appen og –nettportalen. Folkeregisterinformasjon må derimot endres via Folkeregisteret, om den ikke er korrekt.

For å utøve denne rettigheten i forbindelse med dine personopplysninger som behandles av PS som databehandler, må du ta kontakt med behandlingsansvarlig behandler.

Rett til sletting

Du har rett til å få personopplysninger om deg selv slettet. Opplysningene du har gitt PS som behandlingsansvarlig, slettes om du ønsker å slette din profil eller du har vært inaktiv i mer enn 3 år.

Alle personopplysninger som din(e) behandler(e) er behandlingsansvarlig for, vil derimot fortsatt kunne finnes hos den aktuelle behandler.

Om du etter 3 år uten bruk ønsker å benytte PasientSky, må du lage profil på ny. Ved dødsfall vil din profil og lagrede opplysninger umiddelbart låses når PS får informasjon om dødsfallet og deretter slettes etter tre måneder.

Rett til sletting får ikke anvendelse dersom behandlingen er nødvendig for å oppfylle en rettslig forpliktelse, eller av hensyn til allmennhetens interesse på området folkehelse (personvernforordningens artikkel 17). For å slette dine helseopplysninger, må du ta kontakt med din behandler.

Rett til begrensing av behandlingen

Dersom du ikke ønsker at vi skal slette personopplysningene dine PS behandler som behandlingsansvarlig, men har en grunn til å ønske at vi skal stanse å behandle de på andre måter enn lagring, har du etter nærmere omstendigheter rett til å be om dette (personvernforordningens artikkel 18). Dette kan for eksempel være dersom du bestrider riktigheten av personopplysningene, mener behandlingen er ulovlig, eller personopplysningene ikke lenger trengs til formålet med behandlingen. For slike henvendelser knyttet til personopplysninger vi behandler som behandlingsansvarlig kan du kontakte oss gjennom kontaktkanalene oppgitt nederst i denne erklæringen.

Rett til dataportabilitet

Du har rett til dataportabilitet for personopplysninger du har gitt til PS, og som behandles med grunnlag i ditt samtykke eller i avtale. Dette innebærer en rett til å motta nevnte personopplysninger i et strukturert, alminnelig anvendt og maskinleselig format, og til å overføre de til en annen behandlingsansvarlig (personvernforordningens artikkel 20).

For å utøve denne retten overfor PS kan du kontakte oss gjennom kontaktkanalene oppgitt nederst i denne erklæringen.

PS har i tillegg implementert EHR (Electronic Health Record) systemet for å legge til rette dataoverføring av helseopplysninger.

Innsigelsesrett

Du har etter personvernforordningens artikkel 21 rett til å protestere mot behandlingen av dine personopplysninger på nærmere betingelser. Du kan lese mer om innsigelsesretten på Datatilsynets hjemmesider. Du kan kontakte oss slik beskrevet i slutten av denne personvernerklæringen, eller kontakte behandlingsansvarlig behandler dersom du ønsker å utøve denne retten.

Retten til å klage til en tilsynsmyndighet

Dersom du mener vår, eller behandlingsansvarlig leges behandling av dine personopplysninger skulle være i strid med personvernforordningen, eller personvernregelverket for øvrig, har du rett til å klage på dette til tilsynsmyndighetene. For Norge er dette Datatilsynet, og klager kan leveres på deres nettsider.

Endring av personvernvilkår

PS forbeholder seg retten til å endre disse Personvernvilkårene med én måneds varsel på www.patientsky.no. Dersom endringen etter PS' oppfatning er til brukernes fordel eller er av mindre betydning kan endringen likevel gjennomføres uten varsel.

Dersom PS avvikler én eller flere av tjenestene vil det gis informasjon om dette med minimum seks måneders varsel på PS.no, der du vil få informasjon om avviklingsprosessen og hva som vil angå deg som bruker.

Hvordan sikres opplysningene?

Vi tar ditt personvern på alvor og krever derfor BankID eller Buypass ved pålogging av pasienter og tilsvarende sikkerhetsmekanismer for Behandlere. Løsningen er i tråd med kravene til Norsk Helsenett og kravene i Norm for informasjonssikkerhet i helsesektoren. Dette innebærer at informasjonssikkerheten i PS ivaretas i henhold til personopplysningsloven.

Følgende er eksempler på andre tiltak vi har gjennomført for å gi tilfredsstillende sikkerhet mht. konfidensialitet, integritet og tilgjengelighet for dine personopplysninger: kryptering av lagring av innholdet i din profil; digital signering og kryptering av kommunikasjon med helsevirksomheter slik at uvedkommende ikke vil få tilgang til informasjonen; automatisk overvåking av tjenestene for å avdekke virus, feilsituasjoner, misbruk og innbruddsforsøk, med mer; drifting av tjenestene er beskyttet med sterk fysisk sikring som blant annet omfatter adgangskontroll, posisjonsovervåkning og låste serverrom.

Disse og andre tiltak gjennomført av PS bidrar til å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen i samsvar med personvernforordningens artikkel 32.

Avgrensning av ansvar

Vi arbeider kontinuerlig for å sikre at informasjonen og funksjonene som foreligger på nettstedet er fullstendige og korrekte, men det tas forbehold om at sidene kan inneholde mangelfull eller unøyaktig informasjon. Alle opplysninger som behandles er hentet enten fra deg, din bruk av tjenestene, offentlig administrerte registre eller din(e) Behandler(e).

Mangelfulle eller feilaktige personopplysninger fra helsepersonell eller pasient som fremvises gjennom løsningen, må tas opp med den aktuelle Behandler.

PS er ikke ansvarlig for feil og mangler i rutiner og prosesser tilhørende helsepersonell, for eksempel hvordan helsepersonell følger opp pasientoppgaver. Dette er et forhold mellom deg og din Behandler.

Andre forhold som ligger utenfor PS sitt ansvar omfatter blant annet: feil, mangler og/eller uønskede egenskaper ved aktuelle data, filvedlegg, lenker og lignende, utover at oppdagede trusler som for eksempel virus vil bli fjernet; feil du som bruker av tjenestene selv gjør, for eksempel sletting av informasjon, utsendelse av informasjon til feil mottaker eller på annen måte tilgjengeliggjøring av informasjon for uvedkommende gjennom bruk av usikker tilkobling til internett (internettcafé og lignende); feil, mangler eller driftsforstyrrelser knyttet tilBankID og Buypass, brukerens maskinvare, programvare, tilgang til eller overføring over internett; innhold og handlinger på eksterne linker.

Dersom du kontakter oss for å utøve dine rettigheter knyttet til behandling av personopplysninger PS kun fungerer som databehandler for, er vi forpliktet til å videreformidle din henvendelse til behandlingsansvarlige lege/behandler.

Misbruk av tjenesten kan føre til utestengelse. I tilfelle brudd på lov og forskrift vil det kunne medføre anmeldelse og eller krav om erstatning.

Eksterne lenker

Pasientsky inneholder også eksterne lenker for å gjøre relevant informasjon tilgjengelig. Slike nettsider og tilhørende innhold er underlagt egne bruksvilkår som er angitt i de respektive nettstedenes personvernerklæringer.

Bruk av verge eller fullmektig

Du kan selv gi andre tilgang til informasjon, dette gjøres ved at du aktivt gir verge, egne barn eller andre fullmakt. Foresatte kan ta i bruk tjenestene på vegne av barn de har foreldreansvar for inntil barnet fyller 16 år.

Lovgivning og verneting

Nettstedet er underlagt og forholder seg til norsk lovgiving, herunder lovgivning og andre rettslige rammebetingelser innen personvern, helse og opphavsrett. Alle spørsmål som eventuelt måtte oppstå i tilknytning til innhold og bruk av sidene, reguleres av norsk rett. Eventuelle tvister avgjøres med verneting i Norge.

Informasjonskapsler

PS bruker informasjonskapsler for å navigere og bruke funksjoner på nettstedet. PS benytter også informasjonskapsler til å bedre din brukeropplevelse og samle inn statistikk. Det er mulig å besøke nettsiden patientsky.no uten å være logget inn og uten at informasjonskapsler er i bruk. Du kan velge innstillinger for dette i nettleseren. For mer informasjon om informasjonskapsler se https://www.patientsky.no/juridisk.

Kontaktinformasjon

Dersom du har spørsmål om personvern i tilknytning til behandling av personopplysninger om deg hos din Behandler eller klinikk, må du henvende deg dit. Identiteten til behandlingsansvarlig behandler/klinikk fremgår av avsenderfeltet i PasientSky-appen og –nettportalen.Dersom din henvendelse gjelder behandling av dine personopplysninger som PS er behandlingsansvarlig for, eller du har generelle spørsmål rundt personvern og sikkerhet i PS, kan du kontakte oss via vårt kontaktskjema på www.patientsky.no/kontakt-oss.