Persónuverndarstefna Sjúkrahússins á Akureyri.
Sjúkrahúsið á Akureyri (SAk) veitir almenna og sérhæfða sjúkrahúsþjónustu fyrir landsmenn auk almennrar sjúkrahúsþjónustu í sínu heilbrigðisumdæmi, sbr. lög nr. 40/2007 um heilbrigðisþjónustu. Þar fer fram kennsla og starfsnám heilbrigðisstétta og stundaðar eru vísindarannsóknir á heilbrigðissviði.
Persónuvernd er mikilvæg í allri starfsemi SAk og felur meðal annars í sér að starfsmenn virða friðhelgi einkalífs allra sem til þess leita eða þar starfa. SAk er nauðsynlegt og í sumum tilfellum skylt að skrá og vinna ýmsar persónu- og heilsufarsupplýsingar svo það geti veitt sem besta þjónustu og sinnt lögboðnu hlutverki sínu. Rík áhersla er lögð á að við meðferð persónuupplýsinga sé þagnarskylda og friðhelgi einkalífs virt og að upplýsingar séu varðveittar með öruggum hætti.
Hér á eftir verður gerð grein fyrir persónuverndarstefnu SAk. Þar kemur fram í hvaða tilgangi upplýsingum er safnað frá sjúklingum, starfsmönnum, nemum eða öðrum skjólstæðingum, hvaða upplýsingum er safnað, réttur einstaklinga gagnvart eigin upplýsingum, hvernig þær eru varðveittar, hvert þeim er miðlað og hvernig öryggi þeirra er gætt í starfseminni.
I. Persónuupplýsingar
Með persónuupplýsingum er átt við allar upplýsingar sem hægt er að tengja eða rekja til tiltekinna einstaklinga á beinan og/eða óbeinan hátt. Það gæti verið í rituðum texta, rafrænu upplýsingakerfi eða á mynd. Dæmi um þetta er nafn, kennitala, heimilisfang, netfang, innlagnardeild og heilbrigðisgögn af ýmsu tagi. Fyrir starfsmenn nær þetta m.a. til starfsaldurs, launaupplýsinga, viðveru- og fjarvistaupplýsinga, veikinda, orlofs og vinnutíma. Upplýsingar sem eru ópersónugreinanlegar teljast ekki persónuupplýsingar. Margvísleg skráning upplýsinga er nauðsynleg, bæði vegna þeirrar heilbrigðisþjónustu sem SAk veitir og vegna reksturs þess. Án þessarar skráningar væri ekki unnt að veita þá þjónustu sem skjólstæðingar eiga rétt á að fá eða að stjórna starfseminni á skilvirkan hátt. Undir hugtakið vinnsla fellur öll meðferð persónuupplýsinga, s.s. söfnun, skráning, varðveisla, miðlun og eyðing.
II. Um hverja vinnur SAk persónuupplýsingar
SAk vinnur persónuupplýsingar um sjúklinga, starfsfólk, nema og aðra þá aðila sem það á í samskiptum við vegna starfsemi sinnar. Hér undir falla m.a. birgjar, verktakar og fleiri aðilar sem sinna þjónustu fyrir SAk eða í samvinnu við það.
Öll vinnsla persónuupplýsinga er í samræmi við þá persónuverndarlöggjöf sem gildandi er hverju sinni. Vinnslan fer ávallt fram í skýrum, lögmætum og málefnalegum tilgangi og þá skal þess gætt að upplýsingarnar séu viðeigandi og ekki umfram það sem nauðsynlegt er.
III. Hvaða persónuupplýsingar vinnur SAk og af hverju
SAk vinnur upplýsingar um þá aðila sem tilgreindir eru í II. kafla bæði almennar og viðkvæmar. Aðeins er safnað upplýsingum sem eru nauðsynlegar og viðeigandi hverju sinni og ræðst það af eðli sambandsins sem er á milli SAk og einstaklingsins sem um ræðir hvaða upplýsingar það eru.
SAk vinnur persónuupplýsingar til þess að geta sinnt þeirri lögbundnu þjónustu sem því ber að veita og til að uppfylla þær skyldur sem á því hvíla lögum samkvæmt. Veiting heilbrigðisþjónustu ber þar hæst og er vinnsla heilbrigðisupplýsinga um sjúklinga því afar umfangsmikil. Persónuupplýsingum er einnig safnað á grundvelli samningssambanda, m.a. við starfsfólk eða verktaka, sem og í öryggis- og eignavörsluskyni. Þá kann SAk að þurfa að vinna persónuupplýsingar vegna ákvarðanatöku sem fellur undir stjórnsýslu þess, verka sem unnin eru í almannaþágu og til að gæta lögmætra hagsmuna.
IV. Réttur hins skráða
Skráðir einstaklingar eiga rétt á að vita hvaða upplýsingar eru skráðar um þá hjá SAk og á grundvelli sérstakrar beiðni að fá aðgang að þeim. Þeir eiga einnig rétt á að láta leiðrétta rangar upplýsingar og takmarka vinnslu þeirra. Í einstaka tilvikum er heimilt að eyða persónuupplýsingum, enda standi lagaákvæði því ekki í vegi.
Þegar vinnsla persónuupplýsinga byggist á samþykki hins skráða er ávallt hægt að afturkalla það.
V. Trúnaður
Á SAk er lögð rík áhersla á að trúnaðar gagnvart persónu- og heilbrigðisupplýsingum sé gætt í hvívetna. Allt starfsfólk SAk er bundið þagnareið og hefur þannig skuldbundið sig til þess að gæta fyllsta trúnaðar. Brot á trúnaðarskyldum eru litin alvarlegum augum og fara í skilgreindan farveg innan SAk. Réttur allra skjólstæðinga SAk sem og starfsmanna þess til trúnaðar er bundinn lögum um persónuvernd.
VI. Varðveislutími
SAk er afhendingarskyldur aðili á grundvelli laga um opinber skjalasöfn og er því óheimilt að ónýta eða farga skjölum sem falla undir gildissvið laganna nema að fengnu leyfi. Öðrum persónuupplýsingum er eytt eða þær gerðar ópersónugreinanlegar um leið og ekki er lengur þörf á persónuupplýsingum vegna tilgangs vinnslunnar. Um varðveislu sjúkraskrárgagna fer samkvæmt lögum um sjúkraskrár nr. 55/2009 og um bókhaldsgögn í samræmi við lög um bókhald nr. 145/1994.
VII. Miðlun
SAk miðlar persónuupplýsingum til ýmissa aðila í samræmi við þær lagaskyldur sem á því hvílir. Má þar nefna Sjúkratryggingar Íslands, Embætti landlæknis og Fjársýslu ríkisins. SAk miðlar einnig upplýsingum til annarra heilbrigðisstofnanna og heilbrigðisstarfsmanna þegar það á við og nauðsynlegt kann að reynast vegna þeirrar þjónustu sem veitt er. Þá kann miðlun persónuupplýsinga að fara fram á grundvelli samnings við SAk, þar á meðal eru þjónustusamningar við aðila sem sinna þjónustu við tölvu- og upplýsingakerfi og lækningatæki. Miðlun getur einnig farið fram á grundvelli upplýsts samþykkis þess einstaklings sem á í hlut.
Þegar SAk gerir samninga við utanaðkomandi aðila sem fela í sér miðlun persónuupplýsinga er ávallt að því gætt að þeir aðilar geti tryggt öryggi upplýsinganna.
VIII. Öryggi
SAk stuðlar að virkri öryggisvitund starfsmanna með viðeigandi fræðslu og þjálfun varðandi öryggi við vinnslu persónuupplýsinga og þagnarskyldu. Vinnsla upplýsinga og tæknilegar og skipulagslegar öryggisráðstafanir eru í samræmi við upplýsingaöryggisstefnu SAk.
IX. Ábyrgð og eftirlit
Sjúkrahúsið á Akureyri, Eyrarlandsvegi, 600 Akureyri, kt. 580269-2229 er skilgreindur ábyrgðaraðili þeirra persónuupplýsinga sem stofnunin safnar og varðveitir vegna nauðsynlegrar vinnslu sem fellur undir starfsemi hennar og ber forstjóri ábyrgð á allri meðferð og vinnslu upplýsinganna.
Fyrirspurnum, beiðnum og kvörtunum tengdum persónuvernd skal beint á netfangið personuvernd@sak.is.
X. Endurskoðun
SAk getur hvenær sem er breytt vinnulagi varðandi meðhöndlun og vinnslu persónuupplýsinga enda reynist það nauðsynlegt vegna breytinga á lögum og reglugerðum tengdum persónuvernd og meðferð persónuupplýsinga eða vegna breytinga á því hvernig það vinnur með persónuupplýsingar. Verði slíkar breytingar gerðar verða þær kynntar á heimasíðu SAk.
Framangreind meðferð persónuupplýsinga er í samræmi við ný persónuverndarlög, sem lögfesta ákvæði reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og frjálsa miðlun þeirra. Hægt er að fræðast nánar um persónuverndarlögin á vef Persónuverndar.
Samþykkt af framkvæmdastjórn SAk þann 16.08.2018.
