Hva er personopplysninger, og hvem er ansvarlig for dem?

I denne personvernerklæringen, som retter seg mot Evidia pasienter og kunder i vår omsorgsvirksomhet, beskriver vi blant annet hvilke personopplysninger vi behandler og til hvilke formål, hvordan vi behandler personopplysningene dine og dine rettigheter når det gjelder behandlingen av dataene dine.
 
Innhold 
  1. Hvem er ansvarlig for behandlingen av dine personopplysninger?
  2. Behandlingsansvarlig
  3. Hva er personlig informasjon?
  4. Hvor får Evidia din personlige informasjon fra?
  5. Til hvilke formål og på hvilket juridisk grunnlag behandler Evidia dine personopplysninger?
  6. Sikkerhet for dine personlige data
  7. Mottakere som informasjon kan deles med
  8. Hvor behandler Evidia dine personopplysninger?
  9. Hvor lenge lagrer Evidia din personlige informasjon?
  10. Dine rettigheter angående Evidia' behandling av dine personopplysninger
  11. Hvis du har noen tanker eller ønsker å sende inn en klage
  12. Kontaktinformasjon for Evidia
 
 

1. Hvem er ansvarlig for behandlingen av dine personopplysninger?

Den som bestemmer formålet med behandlingen av personopplysningene kalles behandlingsansvarlig. Det er den behandlingsansvarlige sin oppgave og å sørge for at personopplysninger blir behandlet i henhold til gjeldende regelverk.
 

2. Behandlingsansvarlig

Evidia har et personvernombud som har som oppgave å overvåke at Evidia overholder regelverket i personvernforordningen og annen relatert lovgivning.
 
Du kan kontakte personvernombudet dersom du har spørsmål om Evidia sin behandling av personopplysninger eller hvis du ønsker å utøve noen av dine rettigheter vedrørende behandling av personopplysninger.

Kontaktopplysninger: Anita Øyrås, PVO Evidia
Telefonnummer: 22 43 43 43
E-post: personvernombud@evidia.no 
Evidia Norge AS, Stenersgata 1A, 0050 Oslo
 
Dersom meldingen din inneholder sensitive personopplysninger (f.eks. informasjon om helsen din), anbefaler vi at du kontakter personvernombudet på vanlig post eller telefon.
 
 

3. Hva er personlig informasjon?

Personopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Det kan være ditt navn, din kontaktinformasjon, dine helseopplysninger eller medisinske vurderinger. Personopplysningsloven bestemmer hvordan vi skal behandle dine personopplysninger. Personopplysningsloven stiller en del krav til behandling av det som kalles særlige kategorier av personopplysninger (blant annet helseopplysninger) som Evidia er pålagt å følge. Som privat helseforetak må vi i Evidia også forholde oss til helselovenes regler for behandling av personopplysninger. Relevante helselover som omhandler behandling av personopplysninger er spesialisthelsetjenesteloven, helsepersonelloven, åpenhetsloven, pasientjournalloven (inkl. pasientjournalforskriften) pasient og brukerrettighetsloven, helsearkivloven etc. 
Samtlige lover og forskrifter kan leses på www.lovdata.no      
 
 

4. Hvor får Evidia din personlige informasjon fra?

Helseopplysninger og ønsket undersøkelse: Via henvisninger fra henvisere med henvisningsrett.
 

Fra deg

I forbindelse med din kontakt med Evidia mottar vi informasjon direkte fra deg. Informasjonen, som har betydning for deg, din sikkerhet og din undersøkelse hos oss, skriver vi inn i din pasientjournal.
 

Forsikringsselskap

Kommer du til oss via et forsikringsselskap vil vi motta visse opplysninger fra forsikringsselskapet.
 

Fra folkeregisteret

I Evidia journalsystem er det viktig at din kontaktinformasjon er korrekt og oppdatert. Derfor samler vi inn opplysninger om deg (navn og kontaktinformasjon) fra folkeregisteret.

 

Innhenting av annen helseinformasjon

Evidia kan innhente nødvendig informasjon om deg fra annet helsepersonell. Dette forutsetter at vi har et pasientforhold til deg og at informasjonen fra annet helsepersonell kan antas å ha betydning for den undersøkelsen du skal gjennomføre hos Evidia. Hensikten med innhenting av annen helseinformasjon er å kunne gi deg så godt svar på din problemstilling som mulig.
 
 

5. Til hvilke formål og på hvilket juridisk grunnlag behandler Evidia dine personopplysninger?

Vi samler kun inn personopplysninger i den grad de er nødvendige for at vi skal kunne tilby våre tjenester til deg. Vårt hovedformål for behandlingen av dine personopplysninger er å yte forsvarlig helsehjelp, samt tilby våre medisinske tjenester. Utover dette behandler vi i enkelte tilfeller personopplysninger for markedsføringsformål. Du kan lese mer om det under punktet om markedsføring.
 
Personopplysningene vi samler inn om deg er opplysninger som vi anser relevante for å gi deg forsvarlig helsehjelp. De opplysningene vi behandler har vi fått av deg, fra annen helseinstans hvor du har mottatt behandling, fra prøver vi tar etc.
 
Når du blir diagnostisert, mottar helsehjelp eller medisinsk behandling hos Evidia så plikter vi å registrere alle opplysningene som er nødvendige for å yte helsehjelp i våre systemer for pasientjournaler. Det stilles lovkrav til føring av pasientjournal og hvilke opplysninger som skal nedskrives. Journalen kan eksempelvis inneholde kontaktinformasjon, nærmeste pårørende, sykdomshistorikk, tidligere behandlinger, hvilke medisiner du bruker, diagnoser, bilder fra røntgen etc. 
 
Vi sletter personopplysninger når de ikke lenger er nødvendige for å oppfylle det formålet de opprinnelig ble samlet inn for. Når det gjelder personopplysninger lagret i pasientjournaler gjelder andre regler, se mer under punktet for sletting av personopplysninger.
 
Alle våre ansatte som behandler helseopplysninger om deg er underlagt taushetsplikt. Det samme gjelder andre som behandler personopplysninger på våre vegne.
 
Hvem kan vi dele dine personopplysninger med?
  • Helseforetak eller annet helsepersonell
    Det hender at vi blir kontaktet av helseforetak, den legen som henviste deg til oss eller annet helsepersonell som også gir deg medisinsk behandling og som ber om å få utlevert dine pasientopplysninger.
  • Helsepersonell har anledning til å utlevere dine taushetsbelagte opplysninger til samarbeidende helsepersonell som er underlagt samme taushetsplikt som våre ansatte. Dette gjøres kun i den grad det anses som nødvendig for å gi deg forsvarlig helsehjelp og reglene følger av helsepersonelloven § 25.  Som pasient har du rett til å motsette deg slik utlevering. Opplysningene som eventuelt deles er begrenset til det som er nødvendig. Vi deler kun slik informasjon til henvisende lege eller dersom det etterspørres av samarbeidende personell.
  • Offentlige myndigheter
    Dersom det er pålagt ved lov eller det er mistanke om at det er begått lovbrudd i forbindelse med bruk av våre tjenester, vil informasjonen vi har lagret om deg kunne utleveres til offentlige myndigheter.
  • Databehandlere
    En databehandler er et selvstendig selskap eller juridisk enhet som behandler personopplysninger på vegne av behandlingsansvarlig. Dvs. når Evidia benytter underleverandører, for eksempel leverandører av system for pasientjournal eller røntgenmaskiner.
  • Evidia sørger for at alle databehandlere er underlagt samme taushetsplikt som personell ansatt hos Evidia og at avtaler om bruk av databehandler oppfyller personopplysningsloven sine krav til bruk av databehandlere/innhold av databehandleravtaler.
  • Evidia benytter hovedsakelig databehandlere som behandler personopplysninger innenfor EU/ EØS. Det vil si at disse databehandlerne er underlagt det samme regelverket når det kommer til behandling av personopplysninger. Ved få unntak benyttes databehandlere som er lokalisert utenfor EU/EØS. I disse tilfellene har Evidia besørget at disse databehandlerne er underlagt tilstrekkelig beskyttelsesnivå for behandling av personopplysninger i henhold til GDPR art 45 flg.
  • Offentlige helseregistre som vi er pålagt gjennom lovgiving å dele informasjon til, slik som proteseregisteret og kreftregisteret.

 

Forskning/studier

Det hender at Evidia behandler pasientdata innenfor rammen av etisk godkjent forskning.
Rettsgrunnlag: Behandling av personopplysninger er nødvendig for å utføre en oppgave av allmenn interesse (artikkel 6.1 e GDPR). Behandling av sensitive personopplysninger, f.eks. helseopplysninger, er nødvendig for vitenskapelige eller historiske forskningsformål (artikkel 9.2 j GDPR).
 
For at personopplysningsbehandling til forskningsformål skal tillates, kreves det støtte i lov (2003: 460) om etikkvurdering av forskning som involverer personer (etikkprøvingsloven). Personopplysningene som behandles skal være nødvendige for det aktuelle formålet, dvs. den spesifikke studien.
 
Kategorier av personopplysninger: De datakategoriene som er spesifisert i den godkjente etikksøknaden, f.eks. helse- og identitetsopplysninger.
 
Lagringsperiode: Så lenge behandlingen av personopplysninger er nødvendig for den spesifikke forskningsstudien. Oppbevaringstiden skal fremgå av forskningspersonens opplysninger og være forenlig med godkjent etikksøknad.
 
 

Kommunikasjon og markedsføring

Sosiale medier

Vi ønsker å være tilgjengelig for våre kunder og potensielle kunder i sosiale medier og har derfor profil blant annet på Facebook, LinkedIn og Youtube. Formålet med disse sidene er å gjøre våre tjenester, vår kontaktinformasjon og åpningstider tilgjengelige for våre kunder/pasienter og potensielle pasienter. Dersom du ønsker å ta kontakt med oss ved hjelp av disse kanalene oppfordrer vi deg til ikke å dele personopplysninger. Dersom du har et spørsmål som innebærer deling av dine sensitive personopplysninger (eks. opplysninger om din helse) anbefaler vi at du heller kontakter oss per telefon slik at vi kan hjelpe deg
 

Informasjonskapsler/Cookies

En informasjonskapsel er en tekstfil som lagres på enheten din slik at et nettsted kan gjenkjenne enheten din. Det finnes to typer informasjonskapsler, permanente og midlertidige (såkalte session cookies). Permanente informasjonskapsler lagres som en fil på enheten din i en lengre periode, mens økt informasjonskapsler er midlertidig plassert på enheten din og brukes kun i løpet av tiden du surfer på siden og forsvinner deretter. Her kan du lese om hvordan vi håndterer informasjonskapsler når du besøker Evidia nettside.
 

Automatisert beslutningstaking

Evidia bruker ikke tjenester som involverer automatisert individuell beslutningstaking. Vi anvender ikke såkalt profilering og tar dermed ikke generelle avgjørelser eller forutsetninger om eiendommer basert på våre pasienters 'eller kunders' personopplysninger.
 

6. Sikkerhet for dine personlige data

Dine rettigheter

Innsyn

Du har rett til innsyn i egne personopplysninger. Dersom du ønsker å vite hva som er lagret av personopplysninger om deg i våre systemer kan du ta kontakt med den røntgenavdeling som behandlet deg eller så kan du sende oss en forespørsel.  Vi ber om at du ikke oppgir sensitive personopplysninger.

Retting og sletting

Retting

Det er viktig at opplysningene vi har om deg er riktige og oppdaterte. Hvis du oppdager en feil, oppfordrer vi deg til å ta kontakt med oss slik at opplysningene kan bli rettet. Når det gjelder opplysninger i pasientjournaler så er adgangen til å få opplysninger rettet begrenset av regler i helsepersonelloven.

Sletting

Du kan også kontakte oss dersom du ønsker at opplysninger skal slettes. Når det gjelder opplysninger i pasientjournaler så er adgangen til å få opplysninger slettet svært begrenset på grunn av regler i helsepersonelloven.
Rett til å kreve begrenset behandling av personopplysninger
Du har rett til å kreve at vår behandling av personopplysninger om deg begrenses. Metoder for å begrense behandling er å flytte de til et annet behandlingssystem, gjøre utvalgte opplysninger utilgjengelige eller at offentlige opplysninger fjernes fra nettsted. Dette kan du be om i følgende situasjoner:
  • Dersom du mener at personopplysningene vi har lagret om deg er unøyaktige, i denne forbindelse kan behandlingen begrenses i perioden det tar for å kontrollere om personopplysningene er riktige.
  • Dersom du mener at vår behandling av personopplysninger om deg er ulovlig.
  • Dersom Evidia ikke lenger har behov for personopplysningene, men du behøver disse til å fastsette eller gjøre gjeldende rettskrav.

Rett til dataportabilitet

Du har rett til å ta med deg dine personopplysninger fra Evidia til en annen tilsvarende aktør. Dette kalles dataportabilitet. Denne retten gjelder kun dersom behandlingen av dine personopplysninger skjer på bakgrunn av et samtykke fra deg eller i forbindelse med oppfyllelse av en avtale mellom deg og Evidia. For ordens skyld gjøres det oppmerksom på at hoveddelen av den behandlingen Evidia gjør med personopplysninger har såkalt behandlingsgrunnlag i rettslige forpliktelser til å yte helsehjelp og er sånn sett ikke underlagt retten til dataportabilitet.
 
Dersom behandlingen av personopplysningene om deg har rettslig grunnlag i forbindelse med oppfyllelse av en avtale eller ditt samtykke så kan du velge om du ønsker å få opplysningene utlevert til deg selv eller at vi sender de direkte til din nye medisinske behandler/ leverandør.
 
For ordens skyld gjør vi oppmerksom på at retten til dataportabilitet ikke har noen innvirkning på våre plikter til oppbevaring av din pasientjournal.
 

8. Hvor behandler Evidia dine personopplysninger?

Evidia behandling av personopplysninger skjer hovedsakelig innenfor EU/EØS. Ved innleie av IT-leverandører til f.eks. driftstjenester og support prøver vi så langt det er mulig å sikre at leverandørene og eventuelle underleverandører kun lagrer og behandler personopplysninger innenfor EU/EØS. Unntaksvis kan personopplysninger overføres til land utenfor EU/EØS, f.eks. når vi skal ansette en leverandør som er utenfor eller behandler data i et land utenfor EU/EØS. All slik overføring av personopplysninger må skje i samsvar med gjeldende lov og uten å krenke dine lovfestede rettigheter. Ved overføring til land utenfor EU/EØS sikres lovligheten først og fremst ved å anvende EU-kommisjonens standard kontrakts bestemmelser for tredjelandsoverføringer og treffe komplementære tekniske og organisatoriske sikkerhetstiltak som resulterer i et godt beskyttelsesnivå tilsvarende det som tilbys innenfor EU / EØS.
 

9. Hvor lenge lagrer Evidia din personlige informasjon?

Lagringstid

Vi vil i utgangspunktet ikke lagre personopplysninger lenger enn det som er nødvendig for å oppfylle formålet med behandlingen og de lovpålagte pliktene vi har. Når det kommer til personopplysninger lagret i pasientjournal gjelder andre regler.
Hovedregelen er at journalene skal oppbevares til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for dem. Evidia er etter helsearkivforskriften forpliktet til å avlevere journalmateriale til Norsk Helsearkiv etter dette.

Rett til å klage til Datatilsynet

Dersom du er uenig i hvordan vi behandler personopplysninger har du rett til å klage til Datatilsynet. Du kan lese mer om dette på Datatilsynet sine nettsider:
https://www.datatilsynet.no/om-datatilsynet/kontakt-oss/hvordan-kan-jeg-klage-til-datatilsynet/  

Rett til å se journaldokumentene dine

Ønsker du å se journaldokumentene dine, er du velkommen til å kontakte mottaket du har besøkt og be om en journalkopi. Dersom det ikke er noen hindringer etter loven, har du rett til å få tilgang til journaleksemplaret ditt så snart som mulig.
Du har rett til å få informasjon om hvilke innsyn som er gjort i din pasientjournal (såkalte loggutdrag).
 

Retten til å trekke tilbake samtykke

Hvis vi behandler dine personopplysninger på grunnlag av ditt samtykke, har du rett til å tilbakekalle samtykket du har gitt når som helst. Det betyr at vi må stoppe den pågående personopplysningsbehandlingen, men det påvirker ikke behandlingen vi allerede har utført (før samtykket ble tilbakekalt).
 
 

11. Hvis du har noen tanker eller ønsker å sende inn en klage

Evidia har eget personvernombud. Ta kontakt på personvernombud@Evidia.no dersom du har spørsmål til hvordan vi behandler dine personopplysninger, vil be om retting, sletting eller innsyn eller du har andre spørsmål. Vi vil besvare din henvendelse så fort som mulig. Vi ber deg om ikke å sende personsensitiv informasjon på e-post.
Hvis du ikke er fornøyd med Evidia' behandling av dine personopplysninger eller hvis du mener at Evidia ikke oppfyller lovkravene, vil vi gjerne at du presenterer dette for oss. Du har også rett til å sende inn en klage til Privacy Protection Authority (IMY).
 

12. Informasjon og kontaktdetaljer

 
Evidia AS
Organisasjonsnummer: 918 041 958
Postadresse
Evidia Norge AS
Stenersgata 1 A
0050 Oslo
E-post: personvernombud@evidia.no 
Telefon: 22 43 43 43 
 

Selvbetjent ankomstregistrering

Vi har selvbetjent ankomstregistrering ved alle våre røntgenavdelinger. Formålet er å tilby en enkel og heldigital løsning som lar deg selv håndtere utfylling av helseformular, innsjekk og betaling for timen med din egen telefon. På denne måten slipper du unødig venting i resepsjonen, og vi forsterker personvernet ved at du kan håndtere alt på egen hånd.

Digital skjemautfylling

Dagen før timen hos oss vil vi sende deg en SMS med påminnelse om timen din. 
Skal timen dekkes av din helseforsikring, vil du få tilsendt skjema for samtykke til utlevering av dine helseopplysninger til forsikringsselskapet.
Når du har fylt ut skjemaet som du har fått tilsendt må du identifisere deg med BankID før skjemaet lagres i vårt journalsystem.

Ankomstregistrering

En time før din avtale får du SMS med en link som du benytter til å registrere din ankomst. På denne måten trenger du ikke å vente på din tur i resepsjonen, og du kan gå rett til anvist venteområde.

Betaling med mobilen

Kort tid etter ditt besøk vil du få tilsendt en SMS med link til betaling via vår partner PayEx. Du kan betale med kort eller Vipps. Betaler du ikke innen 48 timer vil du få tilsendt faktura, og da påløper også fakturagebyr.

Slik behandles dine personopplysninger

Systemet for selvbetjent ankomstregistrering kjøres fra sikre servere i Stockholm. Alle timer som er planlagt lagres kryptert og kun midlertidig på disse serverne. Her behandler vi opplysninger om din avtale hos oss, hvem som er din lege, ditt navn, fødselsnummer, telefonnummer og adresse. Dataen slettes snart formålet er oppfylt. Opplysningene er kun tilgjengelig for et begrenset antall medarbeidere hos Evidia og eventuelle driftspartnere, der det er et tjenstlig behov for å kunne gi nødvendig helsehjelp og for å utvikle og drifte løsningen.
For å kunne tilby mobil-betaling overføres opplysningene om deg og hvor mye du skal betale for timen til PayEx. Opplysningene lagres midlertidig på europeiske servere og slettes når formålet er oppfylt og i henhold til relevant lovgivning.

Online booking

På Evidia’ nettsider har du mulighet å endre time til enklere undersøkelser. Du kan endre eller avbestille time ved å logge inn med BankId. Disse opplysningene vil bli lagret i vårt journalsystem (se eget avsnitt om lagring av pasientopplysninger). Dine opplysninger vil kun være tilgjengelig for nødvendig helsepersonell i Evidia. Alle våre ansatte som behandler helseopplysninger er underlagt taushetsplikt.
Dine personopplysninger lagres kun midlertidig på nettsiden i kryptert tilstand. Vår nettside og drift av denne er basert på Optimizely DxC teknologi hvor sikkerhet er i høysete og etter sikkerhetsbransjens beste praksis. Løsningen kjører på Azure datasentre, og overholder industristandarder (inkludert ISO 27001) for fysisk sikkerhet og tilgjengelighet.

Skjema for timebestilling til Evidia

På https://bestille.evidia.no/ er et skjema for timebestilling til Evidia. Her kan du fylle ut dine opplysninger og sende oss en forespørsel om undersøkelse. Alle radiologiske undersøkelser krever at du har henvisning fra lege og derfor er det også mulig å laste opp henvisningen direkte til oss på denne siden. 
Opplysningene du sender til oss gjennom denne siden lagres i 30 dager i en database hos Sectra, som i dette tilfelle er databehandler for Evidia. Serveren står i Norge og tilkoblingen er kryptert med SSL/https. Opplysningene overføres så av Evidia sine kundebehandlere til vårt journalsystem. Se eget avsnitt som omhandler lagringstid for personopplysninger i pasientjournal.