Gildir um alla vinnslu persónuupplýsinga hjá Per mentis slf., þar á meðal rafræna þjónustu, vefsvæði, Mínar síður og meðferð sjúkraskráa.

1. Um Per mentis og hlutverk okkar

Per mentis slf. (kt. 660813-0550), Síðumúla 23, 108 Reykjavík, er ábyrgðaraðili vinnslu persónuupplýsinga við veitingu heilbrigðisþjónustu og rekstur rafrænnar þjónustu.

Við vinnum með persónuupplýsingar í samræmi við:

• lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga

• lög nr. 55/2009 um sjúkraskrár

• lög nr. 40/2007 um heilbrigðisþjónustu

• lög nr. 74/1997 um réttindi sjúklinga

• fyrirmæli Embættis landlæknis um fjarskipti í heilbrigðisþjónustu

Markmið okkar er að tryggja örugga og lögmæta vinnslu gagna og að sjúklingar og aðrir notendur hafi skýr og gagnsæjar upplýsingar um hvernig gögn eru notuð.

Ef þú hefur spurningar um persónuvernd má senda tölvupóst á .

2. Hvaða upplýsingar við vinnum með

Við vinnum eingöngu með þær upplýsingar sem nauðsynlegar eru til að:

• veita heilbrigðisþjónustu,

• sinna lagaskyldum,

• reka rafræna þjónustu og öryggiskerfi hennar.

2.1 Almennar auðkenningarupplýsingar

• nafn

• kennitala

• netfang

• símanúmer

• fæðingardagur

• auðkenningarstaðfesting með íslenskum rafrænum skilríkjum (LoA4)

2.2 Heilbrigðisupplýsingar (sjúkraskrá)

• gögn sem verða til við meðferð sjúklings

• svör við spurningalistum og matsblöðum

• klínískar athugasemdir, greiningar og meðferðarupplýsingar

• rafræn samskipti við heilbrigðisstarfsfólk

• sendingar og móttökur gagna sem tengjast meðferð

2.3 Tæknilegar upplýsingar sem verða til við notkun kerfa

Til að tryggja öryggi og rekstur kerfisins skráum við m.a.:

• IP-tölur, dagsetningar og tímasetningar aðgerða

• upplýsingar um innskráningu, útskráningu og rofna virkni

• atvikaskrár (audit logs) sem tengjast öryggiseftirliti

2.4 Greiðslur

Við vinnum ekki með full kortanúmer eða greiðslugögn. Öll greiðslukortaupplýsingar fara í gegnum viðurkennda greiðslumiðlun.

3. Tilgangur vinnslu

Við vinnum með persónuupplýsingar í eftirfarandi tilgangi:

3.1 Veiting heilbrigðisþjónustu

• skráning upplýsinga í sjúkraskrá samkvæmt lögum

• framvinda meðferðar, ráðgjöf og endurgjöf

• boðanir, tilkynningar og viðbrögð í tengslum við meðferð

3.2 Rekstur rafrænnar þjónustu

• örugg innskráning með rafrænum skilríkjum

• samskipti í gegnum Mínar síður

• móttaka og úrvinnsla rafrænna eyðublaða og matsblöða

• sending og viðtaka gagna í gegnum aðrar öruggar rásir

3.3 Öryggi og lagaskyldur

• Annálar (e. logs) og rekstrarsaga fyrir öryggiseftirlit

• varnir gegn misnotkun og óviðkomandi aðgangi

• tilkynningarskyld atvik samkvæmt lögum

4. Lagagrundvöllur vinnslu

Við vinnum persónuupplýsingar á eftirfarandi lagagrundvelli:

4.1 Skylda til að halda sjúkraskrá

Samkvæmt lögum nr. 55/2009 ber heilbrigðisstarfsmönnum að halda sjúkraskrár um meðferð sjúklings.

4.2 Veiting heilbrigðisþjónustu

Vinnsla heilsutengdra upplýsinga er nauðsynleg samkvæmt:

• lögum nr. 40/2007 um heilbrigðisþjónustu

• lögum nr. 74/1997 um réttindi sjúklinga

4.3 Persónuverndarlög

Samkvæmt lögum nr. 90/2018 má vinna heilsutengdar upplýsingar þegar:

• vinnslan er nauðsynleg til að sinna heilbrigðisþjónustu,

• vinnslan er nauðsynleg til að uppfylla lagaskyldu,

• sjúklingur hefur samband við heilbrigðisstarfsmenn í tilgangi meðferðar.

Athugið

Samþykki þitt á notkunarskilmálum rafrænnar þjónustu er ekki heimild til vinnslu heilsufarsupplýsinga. Slík vinnsla byggist á lögbundnum skyldum og er óheimilt að afturkalla hana nema samkvæmt lögum.

5. Hvernig gögn eru varðveitt

5.1 Sjúkraskrá

Varðveisla sjúkraskráa fer samkvæmt lögum nr. 55/2009. Sjúkraskrá er ekki eytt nema með sérstöku leyfi Embættis landlæknis.

5.2 Önnur gögn

Önnur persónuupplýsingar eru varðveitt:

• eins lengi og nauðsynlegt er vegna þeirra verkefna sem gagna var aflað fyrir,

• lengur ef sérlög krefjast þess (t.d. bókhaldslög).

5.3 Tæknileg gögn (annálar)

Öryggis- og rekstrarannálar eru varðveittir í samræmi við:

• kröfur um öryggi

• kröfur eftirlitsaðila

• rekstrarlegar þarfir (audit, varnarskyldur, atvikagreining)

6. Hvernig við tryggjum öryggi gagna

Per mentis notar viðurkenndar öryggisráðstafanir, m.a.:

• dulkóðun allra gagna í gagnagrunni (AES-256)

• dulkóðun allra samskipta (TLS/SSL)

• þriggja laga hönnun (vefþjónn, vinnsluþjónn, gagnagrunnur aðskilin)

• aðgangsstýringar byggðar á lágmarksréttindagrundvelli

• innskráning eingöngu með íslenskum rafrænum skilríkjum (LoA4)

• aðgangsskráning og annálar sem ekki er hægt að breyta

• reglulegar öryggisuppfærslur og eftirlit

• tvíverknaðarkerfi og öryggisafrit

• óheimilt fyrir starfsmenn að nálgast gögn nema vegna starfsskyldna

• aðgangur starfsmanna er skráður

Allur kerfisrekstur fer fram á öruggum netum með aðgangsstýringu og rekstraraðskilnaði.

7. Hverjir fá aðgang að gögnum

7.1 Starfsfólk Per mentis

Aðeins þeir starfsmenn sem þurfa aðgang vegna starfsskyldna hafa aðgang að gögnum.

7.2 Þjónustuaðilar

Við notum eftirfarandi þjónustuaðila, sem vinna gögn samkvæmt verklagsreglum og samningum:

• hýsingarþjónusta og öryggisinnviðir (t.d. dulkóðun, afritun, rekstur)

• hugbúnaðar- og þjónustuaðilar sem styðja rekstur kerfisins

• greiðslumiðlun (geymir ekki heilsugögn)

Allir þjónustuaðilar starfa skv. vinnslusamningum í samræmi við lög nr. 90/2018.

7.3 Þegar lög krefjast

Við afhendum upplýsingar til stjórnvalda eða dómstóla aðeins þegar lagaskylda stendur til.

8. Réttindi þín

Samkvæmt lögum nr. 90/2018 átt þú rétt á:

• að fá upplýsingar um hvaða gögn eru unnin

• að fá aðgang að persónuupplýsingum (að beiðni)

• að óska eftir leiðréttingu rangra upplýsinga

• að fá afrit af gögnum (að beiðni)

• að leggja fram kvörtun til Persónuverndar

Aðgangur að sjúkraskrá

Aðgangur að sjúkraskrá fer samkvæmt sérákvæðum laga nr. 55/2009, og sjúklingar geta óskað eftir aðgangi með formlegri beiðni. Frekari upplýsingar má nálgast undir almennum skilmálum, í sérstökum skilmálum um afhendingu sjúkraskrár.

9. Flutningur gagna innan og utan EES

Við vistum gögn á öruggum netum og þjónustum innan EES.

Per mentis notar ekki þjónustu sem geymir heilbrigðisupplýsingar utan EES.

10. Vefkökur (cookies)

Við notum aðeins nauðsynlegar vefkökur til að:

• tryggja innskráningu og öryggi

• halda virkri innskráningu

Við notum ekki greiningarkökur eða markaðskökur á Mínum síðum.

11. Hafðu samband

Ef þú vilt nýta réttindi þín eða óska eftir upplýsingum:

Ef þú telur að brotið hafi verið gegn persónuvernd þinni getur þú sent inn athugasemd eða kvörtun til eða til Persónuverndar, Rauðarárstíg 10, Reykjavík

Síðast uppfært

25. nóvember 2025