Persónuverndarstefna Læknastöðvarinnar

Læknastöðinni (Stoðkerfi ehf.) leggur áherslu á að tryggja trúnað og öryggi persónuupplýsinga sem unnið er með innan félagsins. Persónuverndarstefna þessi nær til allra persónuupplýsinga um einstaklinga, t.d. einstaklinga sem eru í viðskiptum við okkur og/eða hafa samband við okkur, tengiliði sem koma fram fyrir hönd lögaðila í viðskiptum við félagið, sem og aðra tengiliði eða forráðamenn.

1. Lagaskylda

Læknastöðin leggur sig fram við að uppfylla og virða virða reglur laga um persónuvernd og vinnslu persónuupplýsinga og reglugerðar ESB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga. Í því felst m.a. að lágmarka vinnslu persónuupplýsinga eins og kostur er og vinna aðeins með upplýsingarnar í lögmætum tilgangi.

Starfsfólk okkar er einnig bundið þagnarskyldu samkvæmt lögum um heilbrigðisstarfsmenn og lögum um réttindi sjúklinga. Þagnarskyldan nær til allra persónuupplýsinga sem starfsfólk í heilbrigðisþjónustu kemst að í starfi sínu og helst þótt sjúklingur látist eða starfsmaður láti af störfum. Við leggjum ríka áherslu á að trúnaðar gagnvart persónuupplýsingum sé gætt.

2. Persónuupplýsingar

Samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga teljast persónuupplýsingar hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling. Með því er átt við upplýsingar sem hægt er að rekja beint eða óbeint til ákveðins einstaklings, t.d. með nafni, kennitölu, netfangi eða öðrum þáttum sem einkenna einstakling. Persónuupplýsingar geta verið í rituðu máli, á pappír, í stafrænu formi eða á mynd.

3. Vinnsla persónuupplýsinga

Meginstarfsemi félagsins er heilbrigðisþjónusta. Til þess að geta sinnt þeirri þjónustu þarf að skrá og vinna með ýmsar persónuupplýsingar. Ólíkum persónuupplýsingum er safnað eftir eðli viðskipta og/eða tengsla við okkur.

Helstu flokkar persónuupplýsinga sem unnið er með eru eftirfarandi:

  • Persónuauðkenni, s.s. nafn og kennitala
  • Tengiliðaupplýsingar, s.s. heimilisfang, símanúmer og netfang
  • Samskipta- og viðskiptasaga
  • Heilsufarsupplýsingar
  • Upplýsingar um nánasta aðstandanda
  • Lögfræðilegar upplýsingar vegna slysa- og bótamála

Samkvæmt lögum um sjúkraskrá er skylt að færa ákveðnar persónuupplýsingar í sjúkraskrá þeirra sem til okkar leita vegna heilbrigðisþjónustu. Samkvæmt lögunum skal færa öll þau atriði í sjúkraskrá sem nauðsynleg eru vegna meðferðar sjúklings. Lögin kveða á um ákveðnar lágmarksupplýsingar sem ber að skrá í sjúkraskrá, eftir því sem við á hverju sinni. Vinnsla upplýsinga í sjúkraskrá er nauðsynleg til að tryggja að heilbrigðisstarfsfólk sem kemur að meðferðinni hafi nákvæmar og réttar upplýsingar til að geta metið stöðuna og veitt viðeigandi meðferð.

Auk framangreindra upplýsinga kunnum við einnig að safna og vinna með aðrar upplýsingar sem viðskiptavinir eða forráðamenn/tengiliðir viðskiptavinar láta okkur sjálfir í té sem og upplýsingar sem eru okkur nauðsynlegar vegna starfseminnar. Upplýsingarnar eru fyrst og fremst unnar til að við getum sinnt þörfum viðskiptavina okkar, veitt þeim viðeigandi meðferð og þjónustu.

Vinnsla persónuupplýsinga er einnig nauðsynleg svo við getum skipulagt og stjórnað starfsemi okkar og rekstri, sem og í öryggisskyni. Þá þurfum við að vinna með persónuupplýsingar til þess að geta uppfyllt margvíslegar skyldur sem á okkur hvíla, t.d. í tengslum við lög og reglur um bókhald og á grundvelli samningssambanda. Við skráum því einnig upplýsingar um okkar viðskiptavini í rekstrar- og bókhaldslegum tilgangi.

Að meginstefnu til öflum við persónuupplýsinga beint frá viðskiptavinum okkar eða tengiliðum þeirra. Í sumum tilvikum fáum við upplýsingar frá þriðja aðila, t.d. aðstandendum, öðru heilbrigðisstarfsfólki og/eða opinberum stofnunum. Þá getum við þurft að nálgast persónuupplýsingar á netinu, t.d. símanúmers, kennitölu eða heimilisfangs. Sé persónuupplýsinga aflað frá þriðja aðila munum við leitast við að upplýsa um slíkt, sé okkur það unnt.

4. Varðveisla

Þau persónugreinanlegu gögn sem við höfum undir höndum eru ýmist vistuð í læstum skjalahirslum í geymslu, á skrifstofum okkar eða í viðeigandi tölvukerfum, svo sem í sjúkraskrárkerfinu Sögu. Hýsing umrædds tölvukerfis er á Íslandi. Gerðir eru sérstakir vinnslusamningar við hýsingaraðila þeirra tölvukerfa og við leggjum áherslu á að farið sé með persónuupplýsingar í samræmi við ákvæði laga um persónuvernd og vinnslu persónuupplýsinga.

Við varðveitum upplýsingar um viðskiptavini og forsvarsmenn/tengiliði viðskiptavina almennt með sjúkraskrám frá lokum viðskipta/viðskiptasambands og fylgjum lögum þar að lútandi. Sé um að ræða upplýsingar sem falla undir bókhaldslög er skylt að varðveita þær í sjö ár frá lokum viðkomandi reikningsárs. Hvað varðar færslu persónuupplýsinga í sjúkraskrár þá er okkur alltaf skylt að varðveita sjúkraskrár í samræmi við lög þar að lútandi.

5. Aðgangur og miðlun persónuupplýsinga

Við reynum að takmarka aðgang að persónuupplýsingum eins og kostur er og hefur einungis það starfsfólk sem það þarf aðgang að þeim. Hvað varðar sjúkraskrárupplýsingar þá eru það læknar, hjúkrunarfræðingar, sjúkraliðar, læknaritarar, kerfisfræðingar og framkvæmdastjóri, sem hafa mis mikinn aðgang, starfa sinna vegna. Umgengni og aðgangshópum vegna notkunar á rafrænni sjúkraskrá hjá Stoðkerfi er frekar lýst í verklagsreglum/upplýsingaskjali þar um.

Vinnsluaðilar okkar þurfa að hafa aðgang að ákveðnum gögnum, t.d. umsjónaraðilar tölvukerfa. Í slíkum tilvikum er okkur skylt að gera samninga um vinnsluna og sjá til þess að gætt sé að lögum og reglum um persónuvernd.

Við miðlum ekki persónuupplýsinga til þriðja aðila nema okkur sé það heimilt á grundvelli lagaskyldu, samnings eða samþykkis. Okkur er t.d. skylt samkvæmt lögum að skila tilteknum upplýsingum til ríkisstofnana, svo sem embættis landlæknis, Sjúkratrygginga Íslands, skattayfirvalda o.fl. Þá getur einnig verið þörf á því að deila heilsufarsupplýsingum með öðru heilbrigðisstarfsfólki, ásamt lögfræðingum sem hafa skriflegt umboð frá viðkomandi einstaklingi.

Við munum ekki miðla persónuupplýsingum utan evrópska efnahagssvæðisins nema okkur sé slíkt heimilt á grundvelli persónuverndarlöggjafarinnar og þagnarskyldu heilbrigðisstarfsfólks.

6. Vefsíður og vafrakökur

Við notum svokallaðar vafrakökur til mælinga á vefsvæðum okkar. Vafrakökur eru smáar textaskrár sem eru geymdar á tölvum eða snjalltækjum. Við heimsókn á vefsíðu okkar eru skráðar upplýsingar um tíma, dagsetningu, leitarorð, frá hvaða vef er komið, gerð vafra, gerð stýrikerfis o.fl. Upplýsingarnar eru notaðar við endurbætur á vefsíðum og við þróun, m.a. til að gera þær skilvirkari og bæta upplifun notandans. Upplýsingarnar eru ekki seldar þriðja aðila. Önnur sjálfvirk ákvarðanataka fer ekki fram í okkar starfsemi.

7. Öryggisráðstafanir

Við leitumst við að grípa til viðeigandi tæknilegra og skipulegra ráðstafana til að vernda persónuupplýsingar með sérstöku tilliti til eðlis þeirra. Þessum ráðstöfunum er ætlað að vernda persónuupplýsingar gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, afritun, notkun eða miðlun.

Dæmi um öryggisráðstafanir sem við grípum til eru:

  • Við stýrum aðgangi að öllum okkar kerfum.
  • Við geymum upplýsingar á pappírsformi í læstum hirslum.
  • Við sinnum fræðslu til starfsfólks.
  • Við erum með öryggis- og gæðanefnd sem hittist reglulega

 

Hvað varðar öryggi sjúkraskráa sérstaklega, þá gilda bæði lög, reglur og fyrirmæli frá landlæknisembættinu þar um sem við leggjum ríka áherslu á að fara eftir.

8. Breytingar og leiðréttingar á persónuupplýsingum

Það er mikilvægt að þær persónuupplýsingar sem við vinnum með séu réttar. Því er mikilvægt að okkur sé tilkynnt um breytingar sem kunna að verða á persónuupplýsingum þínum.

Einstaklingar geta átt rétt á því að fá óáreiðanlegar persónuupplýsingar um sig leiðréttar. Að teknu tilliti til tilgangs vinnslu persónuupplýsinga geta einstaklingar jafnframt átt rétt á að láta fullgera ófullkomnar persónuupplýsingar um sig, þ.m.t. með því að leggja fram frekari upplýsingar.

Við vekjum þó athygli á því að okkur er skylt samkvæmt lögum um sjúkraskrá að vinna ákveðnar persónuupplýsingar með því að færa þær í sjúkraskrá, sbr. 3. kafla hér að ofan, og er okkur ekki heimilt að breyta eða leiðrétta þær upplýsingar nema í ákveðnum tilvikum. Óheimilt er að eyða upplýsingum úr sjúkraskrá nema með samþykki landlæknis.

Vinsamlega beinið öllum uppfærslum eða beiðnum hvað þetta varðar til persónuverndarfulltrúa, sbr. 12. kafla stefnu þessarar.

9. Réttindi einstaklinga vegna vinnslu

Einstaklingar njóta ýmissa réttinda samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga, og geta t.d. óskað eftir aðgangi að persónuupplýsingum, eyðingu, takmörkun vinnslu og/eða flutningi þeirra. Þá eiga einstaklingar í ákveðnum tilvikum andmælarétt auk þess sem þeir njóta sérstakra réttinda í þeim tilvikum þar sem um öryggisbrot er að ræða við meðferð persónuupplýsinga.

Einstaklingar sem hyggjast leggja fram beiðni í tengslum við ofangreind réttindi eru beðnir um að hafa samband við persónuverndarfulltrúa, sbr. 12. kafla stefnu þessarar.

Framangreind réttindi eru ekki fortakslaus. Þannig kunna lög t.d. að skylda okkur til að hafna ósk um eyðingu eða aðgang að gögnum, sbr. einnig umfjöllun um sjúkraskrár í 8. kafla.

Ef upp koma aðstæður þar sem við getum ekki orðið við beiðni vegna ofangreinds munum við leitast við að útskýra hvers vegna beiðninni hefur verið hafnað, þó með tilliti til takmarkana á grundvelli lagaskyldu.

10. Samþykki

Í þeim tilvikum þar sem vinnsla persónuupplýsinga byggir á samþykki, á skráður einstaklingur hvenær sem er rétt á því að draga samþykki sitt til baka. Afturköllun samþykkis hefur ekki áhrif á lögmæti vinnslu á grundvelli samþykkisins fram að afturkölluninni.

Rétt er að geta þess að vinnsla persónuupplýsinga hjá okkur byggir sjaldnast á samþykki. Færsla upplýsinga í sjúkraskrá byggir t.d. á lagaskyldu, sbr. 3. kafla.

11. Fyrirspurnir og kvörtun til Persónuverndar

Ef þú vilt nýta þér þau réttindi sem lýst er í 8. og 9. kafla í stefnu þessari, eða ef þú hefur einhverjar spurningar varðandi persónuverndarstefnu þessa eða það hvernig við vinnum með persónuupplýsingar, vinsamlegast hafðu samband við persónuverndarfulltrúa sbr. 12. kafla hér á eftir.

Ef þú ert ósátt/ur við vinnslu okkar á persónuupplýsingum getur þú sent erindi til Persónuverndar (sjá frekari upplýsingar á www.personuvernd.is).

12. Upplýsingar um okkur og persónuverndarfulltrúa

Þú getur náð í okkur með að hafa samband í síma eða með tölvupósti:

Læknastöðin/Stoðkerfi ehf.

Urðarhvarf 8, 203 Kópavogi

laeknastodin@orkuhusid.is / 520-0100

 

Við höfum skipað persónuverndarfulltrúa, sem hefur eftirlit með málum er varða persónuvernd, þ.m.t. stefnu þessari:

Tinna Björk Gunnarsdóttir, lögmaður

Lögmannsstofunni Fortis ehf.

tinna@fortislogmenn.is / 520-5800

13. Gildistími og endurskoðun

Við kunnum að þurfa að breyta persónuverndarstefnu þessari, t.d. í samræmi við breytingar á viðeigandi lögum eða reglugerðum eða vegna breytinga á því hvernig við vinnum með persónuupplýsingar.

Þessi persónuverndarstefna var sett þann 29.09.2020