Personvernsrelger

Versjon 1.11 – 01.08.2018

Fastlegeportalen er en ikke- sensitiv kommunikasjonsplattform for medisinsk samhandling til bruk for Norske leger, psykologer og tannleger. Tilgjengelighetsdata som f.eks. Åpningstider, ventetider m.m. er kun synlig for Norske leger, psykologer og tannleger som har brukerkonto i fastlegeportalen.

I den grad en du har skriveadgang i fastlegeportalen, plikter du at det ikke forekommer sensitiv informasjon i det du skriver.

Informasjon om deg når du surfer på internett

De fleste nettsteder bruker Informasjonskapsler /Cookies for å samle informasjon fra de som besøker nettstedet (bruker), selv om brukeren ikke er pålogget.

En informasjonskapsel, ofte kalt cookie, er en liten tekstfil som lastes ned og lagres på din nettleser/datamaskin når du åpner en nettside. Informasjonskapselen brukes for eksempel til å lagre innloggingsdetaljer, huske handlekurv i nettbutikken eller finne ut «mest besøkte sider» på ett nettsted (trafikk informasjon).

Informasjonskapsler kan være nyttig både for eier og brukeren av et nettsted. Eieren kan tilpasse tjenesten ut fra informasjonen som lagres og brukeren vil oppleve besøket på nettstedet mer brukervennlig og tilpasset.

Hvorfor bruker vi informasjonskapsler /Cookies?

Fastlegeportalen bruker disse informasjon dels for å tilpasse brukerspesifikt innhold (f.eks. valg av sykehusområde, innloggingsdetaljer) og dels for å gjøre nettstedet sikrere for våre brukere.

Vi bruker trafikk informasjon fra Google Analytics for å bl.a. oppdage uønsket trafikk (f.eks. utenlandske aktører) for å iverksette nødvendige sikkerhetstiltak (blokkere IP-adresse).

Kontotyper og kilder til informasjon fastlegeportalen.

I forhold til personvernregler er det viktig å skille på følgende tre brukerkontotyper:

  1. Klient-organisasjon
  2. Bruker-organisasjon
  3. Bruker-person

Opprinnelsen til informasjon om en bruker i fastlegeportalen kan være en av følgende 3 kilder:

  1. Brukeren selv
  2. NHN-AR og HPRv2
  3. Klient-organisasjon

Brukerkontotyper

Hvilken informasjon om deg som finnes og hvordan disse informasjon behandles i fastlegeportalen, er avhengig av hvilken type brukerkonto du har.

Klient-organisasjon

Klient-organisasjon bruker fastlegeportalen som plattform for å tilby tjenester f.eks. arrangere kurs eller motta elektronisk avvik. Disse organisasjoner er som regel offentlige instanser (Sykehus, Kommune, NAV, Kurskomite i fylkesforeninger, m.m. ) som har en naturlig kontaktoverflate med helsepersonell i forhold til samhandling.

Avtale mellom fastlegeportalen og den enkelte klient-organisasjonen regulerer flere forhold vedr. personvernregler bl.a. databehandleransvaret som ligger hos Fastlegeportalen AS.

Bruker-organisasjon

Ett legekontor er ett typisk eksempel på en Bruker-organisasjon. Uten gyldig Her-ID er det ikke mulig å opprette en brukerkonto av denne typen. Den som har adgang til å lese organisasjonens innboks hos Norsk Helsenett kan opprette brukonto av denne typen for sin organisasjon.

Kun én brukerkonto pr organisasjon er tillatt. Brukerkonto av denne typen er tenkt å brukes av kontorpersonell for å avlaste leger i forbindelse med oppdatering av tilgjengelighetsdata (Åpningstider, ventetider og fravær av ulike typer).

Bruker-person

Denne typen av brukerkonto er en personlig brukerkonto og baserer seg på HPR-nummer eller personnummer (dersom ikke helsepersonell).

Kun én brukerkonto pr person er tillatt. Men en og samme person kan ha flere brukerprofiler avhengig av antall arbeidsplasser (HerID og/eller ansettelsesforhold). Ett typisk eksempel på det er en fastlege som arbeider dels på sitt kontor og dels som helsestasjonslege.

GDPR – «Å bli glemt»

Et sentralt tema i GDPR er den enkeltes rett til å få fjernet personlig informasjon og annen relatert informasjon. GDPR regler er underordnet annet lovmessig dokumentasjonskrav.

Informasjon om deg i fastlegeportalen kan ha sin opprinnelse i 3 mulige kilder:

1. Fra deg selv

I utgangspunktet er det svært lite du får skrive i fastlegeportalen. Med unntak av noen få felter i din egen brukerkonto, får du nesten aldri skrive noe i fastlegeportalen.

Når du oppretter en brukerkonto i fastlegeportalen, trenger vi en del informasjon fra deg for å beskytte din brukerkonto. For å unngå at noen annen utgir seg for å være deg og oppretter en brukerkonto i ditt navn, dobbeltsjekker vi informasjon fra deg mot NHN-AR og/ eller HPRv2.

På samme gang forenkler vi registreringsprosessen ved at informasjonen fra NHN-AR brukes for å tilpasse din brukerprofil. Det gjør at portalens samhandlingsverktøy velger riktig sykehusområde for deg, presenterer nærmeste kommunale tjenestetilbud, private spesialister som du kan henvise til m.m.

Dersom du i fremtiden skulle ønske å «bli glemt» i fastlegeportalen, skjer det ved at vi avidentifiserer din brukerkonto og sletter det du har skrevet i din brukerkonto. Andre type informasjon relatert til NHN-AR og/eller en klient-organisasjon faller oftest inn under annen lovverk, se under.

I den grad du har fått skriverettigheter i fastlegeportalen, beror det på en avtale mellom fastlegeportalen og en Klientorganisasjon(sykehus, kommune kursarrangør, m.m.). Her er noen eksempler:

  • Du kan være en ansatt på et sykehus som sender du et informasjonsbrev til fastleger. Selv om du har skrevet den teksten eies den av ditt sykehus som må godkjenne evt. sletting av den teksten.
  • Du er en fastlege som skriver en avviksmelding til sykehuset. Avviksmeldingen faller inn under bl.a. arkivlova som stiller krav om oppbevaring. Slike lovmessige krav er overordnet GDPR.

2. Fra NHN-AR / HPRv2

NHN-AR og HPRv2 er integrert i fastlegeportalen og blir oppdatert daglig. Informasjon fra disse databaser brukes bl.a. for å øke sikkerheten av våre brukerkonti og bedre bruksopplevelsen av fastlegeportalen.

Koblingen mot NHN sikrer at innholdet i fastlegeportalens adressestruktur er en «kopi» av NHN og alltid oppdatert. Tjeneste adresse for privatpraktiserende helsepersonale må oppdateres i NHN før det kan bli synlig i fastlegeportalen.

Dersom du i fremtiden skulle ønske å «bli glemt» i fastlegeportalen vil vi avidentifisere din brukerkonto, men fastlegeportalen vil fortsatt motta all informasjon om deg fra NHN og HPR ved den daglige oppdateringen.

Dersom du ikke har en personlig HerID, vil den mottatte informasjonen vil ligge i den daglige oppdateringsdatabasen uten at det blir brukt til noe. Denne databasen blir slettet hver dag og erstattes med en ny versjon av samme database som fastlegeportalen mottar fra HNH.

Dersom du har en personlig HerID, er du privatpraktiserende helsepersonell. Opplysninger om dit arbeidssted (f.eks. legekontor) og din rolle (f.eks. fastlege) kan ikke slettes i fastlegeportalen. Du kan derimot slette evt. tilleggsinformasjon som du har lagt igjen i din brukerkonto/ditt arbeidssteds brukerkonto.

3. Fra klientorganisasjon.

Fastlegeportalen tilbyr flere nyttige samhandlingsrelaterte programvarer direkte over nettet (SaaS). Stadig flere organisasjoner velger å bruke SaaS istedenfor å installere programvarer i organisasjonens pc:er. Det er arbeidsbesparende ved at organisasjoner slipper arbeid med både programvareinstallasjon og oppdateringer.

Når en ansatt slutter i en organisasjon/bedrift, har vedkommende ikke krav på sletting av sin data fra organisasjonens pc:er. Det er organisasjonen som er eier aktuelle data og har plikt til å sikre, oppbevare og til slutt slette den i henhold til gjeldende regelverk. Eierskapsforhold og oppbevaringsplikt eksisterer uansett om oppbevaringen skjer på en lokal datamaskin eller på SaaS.

KURS: Dersom du melder deg på ett kurs via fastlegeportalen, vil kursarrangøren (Klient-organisasjon) også trenger opplysninger i forbindelse med din påmelding. Du vil se oversikt over dine tidligere påmeldinger, kursavgift og kursbevis i fastelgeportalen. Kursarrangøren trenger å oppbevare informasjon i forhold til bl.a. regnskapslovgivning.

NYHETER: Dersom du har adgang til å publisere nyheter, gjør du det for en klientorganisasjon f.eks. ditt lokalsykehus. Det er aktuelle klient-organisasjon som «eier» det du har skrevet. Selvsagt har du, som forfatter av en nyhet, alltid mulighet til å endre teksten eller slette den i kraft av at du arbeider hos den samme arbeidsgiveren.

EPAS: Fagsystemet EPAS er et komplett dokumenthåndteringssystem til bruk for klient-organisasjoner. Ved at du har en brukerkonto i fastlegeportalen, vil du kunne bli invitert til å delta i ett prosjekt eller møte. Det er aktuelle klient-organisasjon som «eier» det du har skrevet, men du som forfatter kan endre på dine tekster.

Dersom du i fremtiden skulle ønske å «bli glemt» i fastlegeportalen ved avidentifisering. Vil evt. tekst du har skrevet (i regi av en klientorganisasjon) bli igjen, men ditt navn vil vises i et avidentifisert format (kombinasjon av tall og bokstaver). Dette er for å dels ivareta klientorganisasjonens lovpålagt forpliktelser f.eks. regnskapslovgivning(kursarrangør) og dels fastlegeportalens leverandør ansvar overfor klient-organisasjonen.

Fullstendig sletting data etter ønske fra klientorganisasjonen er mulig og regulert i bruksavtalen, se under.

GDPR – Last ned dine data

Når du bestiller nedlastning av dine data, søker vi gjennom hele databasen i fastlegeportalen og innhenter dine data basert på brukerkontotype og informasjonskilder.

NHN

Norsk Helsenett eier data som fastlegeportalen laster ned (NHN / HPRv2). Disse data skal ikke videreformidles av fastlegeportalen til andre. Informasjon om deg er en identisk kopi av deet som finnes i NHN-AR og HPRv2.

Separat avtale

Klientorganisasjoner inngår Bruksavtale med fastlegeportalen AS om bruk av fastlegeportalens tjenester inkl. SaaS. Inngått Databehandler- og Bruksavtale er overordnede i forhold til generelle personvernregler.

Kontakt fastlegeportalen

Data i din brukerkonto som du selv er kilde til, kan kan du få oversikt over ved å sende en support ticket fra https://support.fastlegeportalen.no/ .

Kontakt Klientorganisasjon

For å laste ned aktivitetsdata som er generert i forbindelse med din kontakt med en Klientorganisasjon f.eks. kurspåmelding eller innbetaling av kursavgift kan lastes ned etter at du henvender deg direkte til aktuelle klientorganisasjon.