Folkehelseinstituttets personvernerklæring
Artikkel
|Oppdatert
FHI behandler personopplysninger for å kunne utføre våre samfunnsoppdrag. Personvernerklæringen gir informasjon om hvordan vi behandler personopplysninger og hvilke rettigheter de registrerte har.
Kontaktinformasjon for personvern ved FHI
Denne personvernerklæringen gjelder for behandling av personopplysninger som Folkehelseinstituttet (FHI) er ansvarlig for. Se kontaktinformasjon på Kontakt oss (fhi.no).
Du kan også alltid kontakte personvernombudet ved å sende en e-post til personvernombud@fhi.no.
Hvorfor har vi ansvar for personopplysninger?
Å behandle andres personopplysninger handler om grunnleggende respekt for privatliv og retten til å selv å bestemme over egne personopplysninger som nedfelt i den europeiske menneskerettighetskonvensjon (EMK) artikkel 8 og Grunnloven § 102. Å «behandle» slike opplysninger er å bruke personopplysninger. Eksempler på slik behandling er når FHI samler inn opplysninger, registrerer, tilrettelegger, setter sammen med andre opplysninger, lagrer eller gjør tilgjengelig.
Når FHI behandler personopplysninger, er vi som oftest «behandlingsansvarlige». Det betyr at FHI (ved direktør) har ansvar og plikter etter personopplysningsloven og personvernforordningen (GDPR) knyttet til de personopplysningene vi har.
FHI behandler personopplysninger på en lovlig og sikker måte. Personopplysninger skal tas godt vare på hos FHI.
Hvorfor behandler vi personopplysninger?
FHI behandler opplysninger om deg for å utføre våre pålagte samfunnsoppgaver innen blant annet smittevern, helseberedskap, psykisk og fysisk helse, giftinformasjon, miljøfaktorer, rusmidler, tobakk, ernæring, fysisk aktivitet og andre forhold som påvirker helsetilstanden og ulikskap i helse, helsefremmende og forebyggende tiltak i befolkningen og internasjonal helse. Behandling har flere formål: vedlikeholde og oppdatere helseregistre, håndtere vaksinerekvisisjoner, utvikle, utarbeide og formidle registerdata, og dokumenter helsehjelp.
Opplysninger blir behandlet for å kunne drifte virksomheten. Vi behandler korrespondanse i form av e-post og telefon, og saksbehandler og arkiverer i fag-, fil- og arkivsystemer. Vi behandler opplysninger i forbindelse med offentlige innkjøp, ansettelsesforhold, og gjennom lister over møte- og seminardeltakere samt intranett. Vi sikrer våre lokaler og fagsystemer gjennom blant annet oversikt over personer som har tilgang til lokalene våre, aktivitetslogging i fagsystemer, kameraovervåkning og ved drift, utbedring og arbeid med nettstedet fhi.no.
Lover og regler når vi behandler personopplysninger
FHI behandler personopplysninger blant annet etter bestemmelsene i personopplysningsloven, personvernforordningen, helseregisterloven, smittevernloven, helseberedskapsloven, pasientjournalloven, folkehelseloven, helseforskingsloven, arbeidsmiljøloven, statsansatteloven og arkivloven.
Vi samler inn og behandler opplysninger enten fordi har vi grunnlag i lov eller forskrift, eller fordi vi har fått samtykke fra den det gjelder.
Slik får vi personopplysninger
Måten og metoden som FHI samler inn personopplysninger på kommer an på hvor opplysningen opprinnelig stammer fra.
I likhet med de fleste offentlige virksomheter må FHI til en viss grad behandle personopplysninger i forbindelse med saksbehandling, gjennomføring av møter og besøk, utveksling av e-poster og telefonsamtaler, samt offentlige anbud. FHI er grossist for vaksiner, og mottar personopplysninger knyttet til det enkelte kundeforhold. I de fleste tilfeller er dette kun opplysninger om kunde (legekontor, helsestasjon etc.) og rekvirent (lege/helsesykepleiers navn, HPR-nummer og kontaktinformasjon). På blå resepter mottar vi i tillegg pasientinformasjon. Blå resepter mottas ikke elektronisk.
FHI behandler personopplysninger om sine ansatte for å administrere lønn og personalansvar. Det registreres nødvendige opplysninger for utbetaling av lønn, for eksempel lønnsnivå, tidsregistrering, skatteprosent, skattekommune og fagforeningstilhørighet. Andre opplysninger om ansatte kan omfatte den enkeltes arbeidsinstruks og tilrettelegging av arbeidet. Vi bruker disse opplysningene for å regulere arbeidsforholdet og ivareta vår rolle som arbeidsgiver. Registrering, lagring og oppbevaring på dette området skjer i henhold til arbeidsmiljøloven, statsansatteloven, personvernforordningen, personopplysningsloven og arkivlovgivningen.
Hvem har tilgang til personopplysninger?
Ansatte i FHI som har som oppgave å håndtere FHIs oppgaver på respektive områder vil ha tilgang til personopplysninger fra registre og undersøkelser knyttet til den aktuelle oppgave.
Opplysninger hentet i forbindelse med saksbehandling og forretningsdrift vil være tilgjengelig for ansatte som har hatt saksansvar.
Slik tar vi vare på personopplysninger
FHI lagrer personopplysninger i ulike databaser. Tilgang til disse databasene er strengt tilgangs- og behovsstyrt.
FHI er underlagt kravene til forsvarlig behandling av personopplysninger i personvernforordningen, personopplysningsloven og tidligere nevnte lover. Det er strenge betingelser knyttet til å behandle personopplysninger og FHI er nøye med å verne om opplysninger om den enkelte.
Våre ansatte er underlagt taushetsplikt. Brudd på taushetsplikten er straffbart.
Hvor lenge oppbevarer vi personopplysninger?
Lagringstid og lignende avhenger av grunnlaget for opplysningene, se over.
For eksempel vil opplysninger i de forskriftsbaserte helseregistre ikke slettes. Dette skyldes blant annet at registrene ikke ville oppnådd sitt formål dersom opplysningene ble slettet.
Opplysninger vi samler inn ved samtykkebasert undersøkelse lagres i henhold til det aktuelle samtykket og grunnlaget.
Hvem utleverer vi personopplysninger til?
FHI tilgjengeliggjør personopplysninger til blant annet forskning. FHI forsikrer alltid at de som ber om data har behandlingsgrunnlag etter personvernforordningen, personopplysningsloven og tidligere nevnte lover. Hovedregelen er at data utleveres i en slik form at de ikke kan brukes til å identifisere enkeltpersoner.
Enkelte databehandlere, særlig underleverandører som leverer datasystemer, programvare og tekniske løsninger, vil noen ganger ha tilgang til personopplysninger. Disse kalles for «databehandlere» og gis noen ganger adgang til personopplysninger for å kunne levere, oppgradere og rette feil i våre systemer. Det er strenge betingelser for slik tilgang, og arbeidet utføres under streng kontroll av FHI. Leverandørene er pålagt taushetsplikt.
Rettigheter når du er registrert
Etter personvernforordningen og tidligere nevnte lover har de registrerte flere rettigheter overfor oss som behandler personopplysninger.
Folkehelseinstituttet har plikt til å sørge for generell informasjon om helseregistrene det er dataansvarlig for. Forskningsansvarlige, prosjektledere og dataforvaltere i helseundersøkelser og forskningsprosjekter ved Folkehelseinstituttet skal dessuten sørge for åpenhet rundt bruken av helseopplysninger og om forskningen. Du som enkeltindivid har som hovedregel rett til informasjon om hvilke opplysninger som er registrert om deg, og rett til innsyn i opplysningene. Merk at det er gjort noen begrensinger i rettighetene til innsyn, retting og begrensning av behandling, jf. personopplysningsloven § 17.
Videre har du rett til innsyn i opplysninger som er registrert om deg i lovbestemte helseregistre, slik som Nasjonalt vaksinasjonsregister SYSVAK og Medisinsk fødselsregister. Du kan også få vite hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til ditt navn eller fødselsnummer. Informasjonen skal gis i en forståelig form og er gratis. Folkehelseinstituttets innbyggertjenester på helsenorge.no gir elektronisk innsyn i flere helseregistre. Dersom det ikke er lagt til rette for innsyn via helsenorge.no, kan du laste ned skjemaet Krav om innsyn i helseregistre.
Det er viktig at helseregistrene inneholder riktige og fullstendige opplysninger, og Folkehelseinstituttet bruker store ressurser for å kvalitetssikre opplysningene. Dersom du mener opplysningene som er registrert om deg likevel er mangelfulle, kan du i utgangspunktet kreve dem rettet.
Dersom opplysningene som er registrert om deg føles sterkt belastende for deg, kan du kreve dem sperret eller slettet, jf. helseregisterloven § 25, med de begrensninger som følger av personopplysingsloven § 17.
Du har i utgangspunktet rett til informasjon om hva slags behandling av helseopplysninger Folkehelseinstituttet foretar i samtykkebaserte helseundersøkelser og i forskningsprosjekter. Videre har du rett til innsyn i opplysninger som er registrert om deg i forskningsprosjekter, jf. personvernforordningen (GDPR) art. 15 og helseforskningsloven § 40. Det er imidlertid noen unntak i innsynsretten, jf. helseforskningsloven § 42.
Dersom du mener opplysningene som er registrert om deg i samtykkebaserte helseundersøkelser og i forskningsprosjekter er uriktige eller ufullstendige, kan du kreve dem rettet. Ta i tilfelle kontakt med prosjektleder for det aktuelle forskningsprosjektet.
Du kan når som helst og uten særskilt begrunnelse trekke samtykket til deltakelse i forskningsprosjekter tilbake, jf. helseforskningsloven § 16. Merk at adgangen til å kreve destruksjon, sletting eller utlevering gjelder ikke dersom materialet eller opplysningene er anonymisert, dersom materialet er bearbeidet, eller dersom opplysningene allerede er inngått i utførte analyser.
Ta i tilfelle kontakt med prosjektleder for det aktuelle forskningsprosjektet. Den dataansvarlige skal da sørge for at dine helseopplysninger slettes eller utleveres til deg, og at eventuelt biologisk materiale destrueres.
Personopplysninger i helseregistre, helseundersøkelser og forskning
Nedenfor finner du detaljert informasjon om hvordan FHI håndterer dine personopplysninger i helseregistre, helseundersøkelser og/eller forskning.
Generell informasjon om FHI sin behandling av personopplysninger finner du lenger opp i denne personvernerklæringen.
Personvern og helsedata
Informasjon om personvern som handler om å ivareta både enkeltpersoners og samfunnets interesser. Folkehelseinstituttet er opptatt av å ivareta personvernet i alle deler av sin virksomhet. Les mer om hvordan vi gjør det på Personvern og helsedata (fhi.no).
Du kan reservere deg mot biologisk forskning
Den regionale komiteen for medisinsk og helsefaglig forskningsetikk kan bestemme at humant biologisk materiale (blodprøver, vevsprøver med mer) innsamlet i helse- og omsorgstjenesten som ledd i diagnostisering og behandling, kan eller skal brukes til forskningsformål uten innhenting av pasientens samtykke. Pasienten skal på forhånd ha blitt informert om at humant biologisk materiale i visse tilfeller kan benyttes til forskning og må ha fått adgang til å reservere seg mot forskning på humant biologisk materiale.
Du som pasient kan reservere deg mot at ditt biologiske materiale samlet inn i helse- og omsorgstjenesten i forbindelse med diagnostisering eller behandling av deg skal kunne benyttes til medisinsk og helsefaglig forskning, jf. helseforskningsloven § 28.
Endringer i helseforvaltningen 1. januar 2024
Som følge av endringer i helseforvaltningen 1. januar 2024 overføres registre fra Helsedirektoratet og Kreftregisteret til Folkehelseinstituttet. Registrene som blir overført fra Helsedirektoratet er Norsk pasientregister (NPR), Kommunalt pasient- og brukerregister (KPR), Egg- og sæddonorregisteret (inkludert Mor- og donorkoderegisteret) og forløperen til KPR, IPLOS.
Les om behandling av personopplysninger i registrene FHI overtar fra Helsedirektoratet på Når behandler vi personopplysninger? (helsedirektoratet.no).
Les om Personvern og informasjonssikkerhet (kreftregisteret.no)
Detaljer om bestemte funksjoner og områder
fhi.no
Bruk av informasjonskapsler (cookies)
Informasjonskapsler (cookies) er små tekstfiler som lagres i nettleseren din når du åpner en nettside. Ifølge lov om elektronisk kommunikasjon (ekomloven) § 2-7b har du krav på å få vite og godkjenne hvilke opplysninger som lagres, hva opplysningene brukes til og hvem som benytter de. Du kan selv regulere hva du tillater av informasjonskapsler.
Følgende informasjonskapsler brukes på fhi.no:
ai_user: brukes av Application Insight til å koble anonymiserte data om din aktivitet på nettsidene på tvers av besøk. Disse dataene brukes til å overvåke stabiliteten og ytelsen til nettsidene.
ai_session: brukes av Application Insight til å holde styr på hvilke sidevisninger som er gjort av samme anonymiserte bruker. Disse dataene brukes til å overvåke stabiliteten og ytelsen til nettsidene.
__cfduid: brukes av Cloudflare til å oppdage og blokkere eventuelle «Denial of Service»-angrep mot nettsidene. Ikke i bruk etter 10. mai 2021.
subscription-email og subscription-token: brukes til å identifisere brukere når man administrerer egne e-post abonnementer på nyheter og eller oppdatering av sider på fhi.no.
ARRAffinity_FHI: Brukes for å videresende brukere av sider på fhi.no inn til samme interne server gjennom hele sesjonen. Informasjonskapselen blir slettet når nettleservinduet lukkes.
__RequestVerificationToken: Brukes for å garantere at skjema som vises er fra dette nettstedet og ikke er forfalsket. Informasjonskapselen blir slettet når nettleservinduet lukkes.
ASP.Net_SessionId: Brukes for å holde oversikt over hvilke sider på nettstedet du har vært innom. Denne brukes for eksempel for å markere lenker du har trykket på med annen farge enn de du ikke har trykket på. Informasjonskapselen blir slettet når nettleservinduet lukkes
cookie-consent: brukes for at du ikke trenger å se banneret med informasjon om informasjonskapsler oftere enn hver 14. dag. Lagres i 14 dager.
Matomocookies som settes i forbindelse med analyseverktøy: _pk_id.1.c1f4 og _pk_ses.1.c1f4
Nyhetsbrev og nyhetsvarslinger
De som ønsker det kan abonnere på ulike nyhetsbrev og nyhetsvarslinger på fhi.no. Du legger selv inn din egen e-postadresse. Behandlingen skjer på grunnlag av avtale med deg ved at du har meldt deg på nyhetsbrevet og bekreftet at du vil motta det. Vi forplikter oss til ikke å gi e-postadressen din videre til andre eller å bruke den til noe annet enn å sende ut nyhetsbrevet. Du kan melde deg av ved å klikke på en lenke i nyhetsbrevet du mottar.
Innsending av opplysninger via kontaktskjema
Informasjon som du legger inn på de ulike kontaktskjemaene på fhi.no blir sendt videre til rette avdeling hos oss i FHI som e-post. Vi tar imot og svarer på e-post på Outlook. Personopplysninger som du oppgir i e-poster til oss er omfattet av hva som er arkivverdig etter arkivloven og arkivforskriften, og slike henvendelser skal lagres i arkivsystemet Public 360. Her vil vi behandle personopplysninger som navn, adresse, telefonnummer, e-postadresse og annen relevant informasjon. Slik registrering, lagring og oppbevaring vil skje i henhold til arkivlovgivningen.
Bruk aldri e-post til å oppgi sensitiv informasjon til FHI!
Sosiale medier
FHI bruker Facebook, Twitter og Instagram. I en prosjektperiode våren 2021 bruker vi også kanalen Slack til åpen dialog om arbeidet med koronasertifikat. Vi bruker Meta Business Suite til annonsering, statistikk og analyse av Facebook og Instagram. Relation Desk fra Retriever er vårt oppgaveverktøy for å svare ut henvendelser i kommentarfeltet.
FHI og Facebook/Meta har felles behandlingsansvar for opprettelse og bruk av Facebook-siden til FHI, og for å fremme informasjon til Facebook-brukere gjennom målrettet formidling. Som behandlingsansvarlig er FHI ansvarlig for at behandlingen av personopplysninger om brukerne på vår Facebook-side er lovlig og i tråd med personvernprinsipper og regelverk.
De felles behandlingsaktivitetene omfatter: (i) innsamling av personopplysninger om personer som besøker og interagerer med FHIs sine Facebook-sider, (ii) behandling som gjøres for å generere aggregert statistikk for aktivitet på FHI sine Facebook-sider; (iii) behandling som skjer etter FHIs valgte, relevante målrettingskriterier og visning av informasjonen til målgruppene, og (iv) behandling utført av Facebook når Facebook viser resultatene av målrettingskampanjer til FHI.
FHI har ikke felles behandlingsansvar med Facebook/Meta for behandling av personopplysninger ut over det som er beskrevet over.
FHI vil være ansvarlig for å ivareta rettigheter i forbindelse med kommentarer og meldinger i Facebook-meldinger. FHI vil følge opp eventuelle henvendelser fra de registrerte om dette.
FHI har iverksatt flere tiltak for å redusere personvernrisikoer forbundet med Facebook-siden, blant annet retningslinjer for moderering, skjuling, eller sletting av innlegg, og stengning av kommentarfelt når vi ikke har bemanning på kvelder og helger.
Du kan begrense Facebook/Meta og FHIs innsamling av personopplysninger på Facebook-siden ved å bruke Facebook sine personvernverktøy.
Husk at bruk av våre sider på sosiale medier innebærer ytterligere behandling av dine personopplysninger fra disse sosiale mediene. Les mer på:
Facebooks retningslinjer for data (facebook.com)
Instagrams retningslinjer for data (instagram.com)
Twitter Privacy Policy (twitter.com)
Privacy Policy for Slack (slack.com)
Kameraovervåkning ved FHI
FHI er en beredskapsorganisasjon som behandler sensitivt materiale, og det er derfor behov for kontroll på adgang / tilgang til våre arealer. Kameraovervåkning er ment å forbygge og oppklare uønskede hendelser samt hindre uautorisert forsøk på adgang til våre lokaler. All kameraovervåkning er sentrert mot inngangspartier, i tillegg til enkelte utvalgte uteområdene der ekstra sikring er vurdert som nødvendig. Våre lokaler som har kameraovervåking er merket med dette.
Kameraopptak slettes i henhold til automatiserte sletterutiner og ikke ut over det som til enhver tid er nødvendig for formålene, og ikke ut over syv dager. Ved konkret mistanke om lovbrudd kan opptak blir lagret lengre.
Folkehelseinstituttet skal ikke benytte kameraovervåking eller opptak fra denne for formål som er uforenelige med de ovennevnte formålene.
Behandlingsgrunnlaget for denne behandlingen er personvernforordningen artikkel 6 nr. 1 bokstav f, som tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes interesser eller grunnleggende rettigheter og friheter. Den berettigede interessen er å sikre Folkehelseinstituttets lokaler og eiendom.
For spørsmål om kameraovervåkning ved Folkehelseinstituttets lokaler i Oslo, kontakt hovedresepsjonen i Lovisenberggaten 8
For spørsmål om kameraovervåkning ved Folkehelseinstituttets lokaler i Bergen (Zander Kaaesgate 7), kontakt utleier KLP Eiendom.
Datatilsynet tar i mot klager
Hvis du mener at FHI behandler personopplysninger på en ulovlig måte, kan du kontakte Datatilsynet på deres nettside Hvordan klage til Datatilsynet.
