Retningslinjer for personvern Del Behandling av personvernopplysninger i stiftelsen CRUX. Som behandlingsansvarlig for behandling av personopplysninger er stiftelsen CRUX underlagt personvernregelverket. Stiftelsen CRUX vil kunne ha behov for å oppdatere personvernerklæringen, og det vil alltid være den siste publiserte erklæringen som gjelder. Stiftelsen CRUX er en landsomfattende, diakonal og ideell stiftelse som tilbyr tjenester innen helse- og sosialfeltet i Norge. CRUX består av virksomheter som utfører en rekke forskjellige tjenester, deriblant helsetjenester, tjenester innen barnevern og andre tjenester innen helse- og sosialsektoren. For å kunne tilby gode tjenester, må vi ofte behandle personopplysninger elektronisk eller i et register. Vi gjør oppmerksom på at alt som er beskrevet nedenfor i Personvernerklæringen ikke gjelder alle. Hvilke personopplysninger vi behandler, vil variere etter hvilke tjenester den enkelte mottar fra stiftelsen CRUX. Hva er personopplysninger? Personopplysninger er opplysninger og vurdering som kan knyttes til deg som enkeltperson. Det kan være ditt navn, din kontaktinformasjon, dine helseopplysninger og medisinske vurdering Behandlingsansvar for personopplysninger Stiftelsen CRUX ved generalsekretær Helmuth Liessem på hovedkontoret er behandlingsansvarlig for personopplysninger som behandles i organisasjonen. Opplysningene behandles i henhold til gjeldende regelverk. Behandling av personopplysninger Behandling av personopplysninger vil si enhver bruk av personopplysninger. Det kan være innsamling, registrering, lagring, sammenstilling, utlevering, sletting osv. All behandling av personopplysninger er som hovedregel underlagt personopplysningsloven. For at vi skal kunne behandle opplysninger om deg må vi ha et rettslig grunnlag. Det kan for eksempel være at du har gitt oss samtykke til å håndtere personopplysningene, eller vi skal oppfylle en avtale med deg. Gjelder det helseopplysninger, og vi har en avtale med deg, innhenter vi disse opplysningen direkte fra deg eller den du gir oss samtykke til å innhente opplysninger fra. Gjelder det en tjeneste vi utfører på vegne av det offentlige, mottar vi helseopplysningene direkte fra dem. Det kan være nødvendig å behandle personopplysninger, for å oppfylle en rettslig forpliktelse (eks. bokføringsloven, skatteforvaltningsloven). Andre relevante lover vi er forpliktet til å følge Spesialisthelsetjenesteloven, lov om barnevernstjenester, lov om kommunale helse- og omsorgstjenester, pasient og brukerrettighetsloven, helsepersonelloven og helseregisterloven. Alle våre ansatte som behandler personopplysninger om deg er underlagt taushetsplikt. Det samme gjelder andre som behandler personopplysninger på våre vegne. Bruk av dine personopplysninger Vi samler kun inn personopplysninger i den grad de er nødvendige for at vi skal kunne tilby våre tjenester til deg, eller oppfylle en avtale. Formålet er å kunne tilby deg som deltaker / pasient / ansatt / kunde / frivillig / jobbsøker våre tjenester på best mulig måte i henhold til dine ønsker - en avtale/kontrakt, oppdrag eller lovpålegg. Sletting Vi sletter personopplysninger når de ikke lenger er nødvendige for å oppfylle det formålet de opprinnelig ble samlet inn for. Når det gjelder opplysninger lagret i pasientjournal gjelder andre regler (se mer under punktet for sletting av personopplysninger). Hvem kan vi dele dine personopplysninger med? Helseforetak, annet helsepersonell eller våre oppdragsgivere(kommune/stat) Vårt helsepersonell har anledning til å utlevere dine taushetsbelagte opplysninger til samarbeidende helsepersonell, som er underlagt samme taushetsplikt som våre ansatte. Dette gjøres kun i den grad det anses som nødvendig for å gi deg forsvarlig helsehjelp. Vi følger reglene i helsepersonelloven. Databehandler En databehandler er et selvstendig selskap eller juridisk enhet som behandler personopplysninger på vegne av behandlingsansvarlig. Det betyr at når vi benytter underleverandører, leverandører av system for pasientjournal, økonomisystem, tilgangsstyringer osv., er disse å anse som databehandlere. Stiftelsen CRUX sørger for at alle databehandlere er underlagt samme taushetsplikt som egne ansatte. Avtaler om bruk av databehandlere oppfyller personopplysningslovens krav til bruk av databehandlere. Offentlig helseregister Vi er pålagt gjennom lovgivning å dele informasjon til offentlig helseregistre, slik som Norsk pasientregister. Offentlig myndighet Dersom det er pålagt ved lov, eller mistanke om lovbrudd i forbindelse med bruk av våre tjenester, vil informasjon vi har lagret om deg kunne utleveres til offentlig myndigheter. Annen 3. part Ved forsendelser fra oss til deg som kunde, kan opplysninger som navn, adresse og telefonnummer deles med 3 part, som for eksempel fraktselskap. Lagringstid I all hovedsak lagrer vi ikke personopplysninger lengre enn det som er nødvendig, for å oppfylle formålet med behandlingen og de lovpålagte plikter vi har. Det betyr at personopplysninger som vi behandler på grunnlag av ditt samtykke slettes, hvis du trekker ditt samtykke. Personopplysninger vi behandler for å oppfylle en avtale, slettes når avtalen er oppfylt og alle plikter som følger av avtaleforholdet er oppfylt. Vi gjør oppmerksom på at enkelte opplysninger ikke blir slettet ved avslutning av kontrakten. Det kan være opplysninger som ifølge annet lovverk må oppbevares i flere år etter at kontrakten er avsluttet; • Regnskapsmessige forhold • Helseopplysninger med krav om oppbevaring i journal • Ved oppdragsavtaler for det offentlige (dem vi utfører tjenester på vegne av), er det de som overtar og oppbevarer opplysningene når vi har avsluttet oppdraget Dine rettigheter Innsyn Du har rett til innsyn i opplysninger vi behandler om deg. Du må ta skriftlig kontakt med leder av virksomheten i CRUX som du er tilknyttet, eller sentralt personvernombud: Ingeborg Fjeldstad Eriksen (i.f.eriksen@stiftelsencrux.no). Vi ber om at du ikke oppgir sensitive personopplysninger. Vi svarer på din henvendelse så fort som mulig, og senest innen 30 dager. Vi vil be deg bekreftet identiteten din, eller oppgi ytterligere informasjon, før vi lar deg ta i bruk dine rettigheter ovenfor oss. Dette gjør vi for å være sikre på at vi kun gir tilgang til dine personopplysninger til deg, og ikke noen som utgir seg for å være deg. Er behandlingen basert på samtykke, har du rett til å trekke det tilbake når som helst. Retting Det er viktig at opplysningene vi har om deg er riktige og oppdaterte. Vi oppfordrer deg til å ta kontakt med oss hvis du oppdager feil, slik at dette kan bli rettet. Når det gjelder opplysninger i pasientjournaler, så begrenser regler i helsepersonalloven adgangen til å få opplysninger rettet. Sletting Du kan kontakte oss dersom du ønsker at opplysninger skal slettes. Når det gjelder opplysninger i pasientjournaler, så er adgangen til å få opplysningene slettet svært begrenset på grunn av regler i helsepersonelloven. Med mindre personopplysningene om deg også behandles til andre formål, som du ikke kan eller vil motsette deg, skal vi slette dem. Rett til å protestere Dersom vi behandler personopplysninger om deg uten ditt samtykke, har du rett til å protestere. Retten til å protestere gjelder ikke i følgende tilfeller: • Personopplysningene er nødvendige for å utføre en avtale du har med oss • Vi er pålagt i lov å behandle personopplysningene dine • Hvis vi i behandlingene av personopplysningen har tungtveiende grunner. Da kan disse gå foran protesten din. Rett til å motsette deg direkte markedsføring Vi behandler i utgangspunktet ikke personopplysninger med formål om direkte eller tilpasset markedsføring. Skulle dette skje så har du rett til å protestere. Vi vil da respektere protesten din. Rett til begrensning I noen tilfeller kan du be om at behandlingen av dine personopplysninger begrenses. Vi lagrer personopplysningene, men bruker dem ikke uten ditt samtykke. Dette kan være i følgende situasjoner: • Du mener opplysningene som er lagret om deg er feilaktige. Behandling av opplysningene kan begrenses en periode, mens behandlingsansvarlig kontrollerer opplysningene. • Du har brukt din ‘rett til å protestere’, og vi holder på å avgjøre om innsigelsen din skal tas til følge Du kan også bruke retten til begrensning for å hindre at personopplysningene dine slettes. Det gjelder i disse tilfellene: • Personopplysninger behandles ulovlig og skal slettes, men du ønsker at bruken av dem begrenses i stedet for at de slettes • Vi skal slette opplysningene fordi de ikke lengre er nødvendige for formålet de ble samlet inn for. Du har behov for opplysningene for å fastsette, gjøre gjeldende eller forsvare et rettskrav og ønsker derfor at de lagres. Dataportabilitet Du har rett til å få utlevert personopplysninger om deg, og gjenbruke disse som du vil på tvers av ulike systemer og tjenester. Dette gjelder kun når opplysninger om deg er samlet på bakgrunn av samtykke eller en kontrakt med deg. Du kan lese mer om dine rettigheter i personopplysningsloven og personvernforordningen: https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3#KAPITTEL_gdpr-3 Hva registreres når du bruker stiftelsencrux.no? Stiftelsen CRUX har som mål å behandle personopplysninger med respekt og forsiktighet. For å kunne tilpasse informasjon og oppfølging individuelt, ber vi om firmanavn og kontaktinformasjon ved forespørsler via nettstedet http://stiftelsencrux.no. Vi utleverer ikke denne informasjonen til andre, og du kan til enhver tid be om innsyn i hvilken informasjon som er lagret om deg, samt at informasjon om deg blir slettet. Informasjonskapsler CRUX benytter informasjonskapsler (også kalt cookies) på stiftelsencrux.no for å gi en god brukeropplevelse. Ved å besøke våre nettsider samtykker du i at vi kan etterlate informasjonskapsler i din nettleser. De fleste nettsteder bruker i dag informasjonskapsler. En informasjonskapsel legges i din nettlesers internminne, som gjør at man bedre kan forstå hvordan du bruker nettstedet. På sikt brukes denne kunnskapen for å tilby deg en bedre opplevelse når du besøker nettstedet. Dette er loggfiler som lagres på servere, som f.eks. IP-adresser, nettlesere, operativsystemer, bruk/navigasjon etc. De fleste nyere nettlesere (Google Chrome, Opera, Internet Explorer, Firefox, Safari) er innstilt på å akseptere informasjonskapsler automatisk. Du kan selv velge å endre innstillingene slik at informasjonskapsler ikke blir akseptert. Vær oppmerksom på at mange nettsteder ikke vil fungere optimalt dersom du ikke aksepterer informasjonskapsler. CRUX lagrer aldri informasjon som kan identifisere deg personlig. Oversikt over hvilke informasjonskapsler vi bruker på våre nettsider: Facebook Formål: Funksjon for å dele via Facebook. Setter ikke informasjonskapsler selv, men hvis en er tilstede blir den lest. Google Analytics Formål: Samler informasjon om hvordan besøkende bruker nettsiden. Vi benytter denne informasjonen for å lage rapporter og videre for å forbedre nettsiden. Informasjonen som samles inn er anonym; antall besøkende på nettsiden, hvor besøkende kommer fra og hvilke sider de besøker. Navn: ASP.NET_SessionID Formål: Informasjonskapsler for generelle og vanlige formål. Stiftelsen CRUX etterstreber til enhver tid å følge gjeldende regelverk for personvern. Har du spørsmål så send oss en e-post: hovedkontoret@stiftelsencrux.no