Behandling af personoplysninger i Sundhedsstyrelsen
Sundhedsstyrelsen behandler dine personoplysninger i overensstemmelse med de gældende regler om databeskyttelse. Det betyder, at du har en række rettigheder, som du kan gøre brug af. Som offentlig myndighed har vi også en række forpligtelser, som vi skal overholde.
Vi behandler personoplysninger om dig til forskellige formål. Det kan være, hvis du har været i kontakt med Sundhedsstyrelsen, eller hvis det er nødvendigt for at vi kan løse vores myndighedsopgave. Når vi behandler dine personoplysninger, som led i vores myndighedsopgave, er vi som udgangspunkt dataansvarlige for oplysningerne.
Behandlingen af personoplysningerne sker for de fleste behandlinger med hjemmel i:
databeskyttelsesforordningens Artikel 6, stk. 1, litra a, c og/eller e
databeskyttelsesforordnings Artikel 9, stk. 2, litra a, i og f
Formålene med behandlingerne
Sundhedsstyrelsen er en styrelse under Indenrigs- og Sundhedsministeriet, og vores hovedopgave er fastsat i sundhedslovens § 212. Det primære formål med at behandle personoplysninger er så vi kan udføre de op-gaver, vi som styrelse er blevet pålagt.
Vores hovedopgave består i at bistå henholdsvis indenrigs- og sundhedsministeren og ældreministeren med den centrale forvaltning af sundhedsmæssige anliggende og af social- og plejefaglige indsatser på ældreområdet.
Sundhedsstyrelsen har også en række lovfastsatte opgaver bl.a. indenfor strålebeskyttelse, lægelige basis og videreuddannelse, maksimale ventetider og certificering af friplejeboligleverandører. Du kan læse nærmere om formålet med behandlingerne i boksen nederst på siden. (”Behandling af personoplysninger boks”).
Mange af vores behandlingsgrundlag følger derfor af fx sundhedsloven, epidemiloven, strålebeskyttelsesloven og de bekendtgørelser, der er udstedt med hjemmel i disse love.
For at kunne varetage disse opgaver behandler vi forskellige kategorier af personoplysninger, herunder almindelige personoplysninger (fx navn, kontaktoplysninger, alder) og følsomme personoplysninger (fx helbredsoplysninger).
Vi behandler også CPR numre som entydig identifikation og fx for at kunne sende digital post til dig. Det gør vi med hjemmel i databeskyttelseslovens § 11, stk. 1.
Sikker opbevaring og sikker behandling
Sundhedsstyrelsen har en række foranstaltninger for at sikre at dine personoplysninger bliver behandlet på en sikker og forsvarlig måde. Det gør vi, ved at have passende organisatoriske og tekniske sikkerhedsforanstaltninger, som har til hensigt at sikre, at vi overholder kravene i databeskyttelsesforordningen. Det betyder bl.a., at vi sikre at der ikke behandles flere oplysninger end nødvendigt, og at vi har passende sikkerhed mod hackere eller forsøg på blokering af vores tjenester, så dine personoplysninger ikke kompromitteres.
Sikkerhedsforanstaltningerne betyder blandt andet også, at medarbejdere i Sundhedsstyrelsen kun får adgang til dine personoplysninger, når de har brug for det i deres arbejde.
Videregivelse
Vi gør opmærksom på, at dine personoplysninger i nogle tilfælde vil kunne blive udleveret til tredjeparter. Det kan fx være andre offentlige myndigheder, som vi har pligt til at udlevere personoplysninger til eller til brug for forskning i overensstemmelse med databeskyttelseslovens § 10, stk. 1 og 2 og databeskyttelsesforordnings artikel 9, stk. 2, litra j, jf. art. 89, stk. 1.
Hvis vi vurderer, at din henvendelse til Sundhedsstyrelsen ikke vedrører vores sagsområde, har vi også pligt til at videresende den til rette myndighed efter reglerne i forvaltningslovens § 7, stk. 2. Du vil altid få besked hvis din henvendelse er videre-sendt.
Vi kan også videregive dine personoplysninger, i det omfang det kræves efter reglerne om aktindsigt. Dette vil altid ske efter en konkret vurdering i henhold til reglerne i offentlighedsloven eller forvaltningsloven.
Visse af Sundhedsstyrelsens opgaver kræver, at vi får andre til at behandle personoplysninger efter instruks fra os. Det er fx i forbindelse med drift og administration af vores IT-systemer. Vi har indgået databehandleraftaler med vores databehandlere og fører tilsyn med deres overholdelse af databehandleraftalerne efter gældende regler herom.
Vores databehandlere anvender som udgangspunkt ikke oplysningerne til egne formål, men kun til udførelse af en bestemt opgave, som er fastsat af os. Når databehandlerens opgave er fuldført, slettes og/eller returneres oplysningerne til Sundhedsstyrelsen.
Hvis vi får behov for at overføre oplysninger til lande uden for EU/EØS, vil det ske i overensstemmelse med databeskyttelsesordningens kapitel V. Ved overførsler til tredjelande vil overførslen som udgangspunkt ske efter indgåelse af EU Kommissionens standardkontraktbestemmelser, jf. databeskyttelsesforordningens artikel 46 eller på baggrund af EU Kommissionens tilstrækkelighedsafgørelse, jf. databeskyttelsesforordningens artikel 45.
Hvor længe gemmer vi personoplysninger?
Vi opbevarer som udgangspunkt kun personoplysninger, så længe det er nødvendigt for at opfylde vores formål med behandlingen beskrevet ovenfor, medmindre vi i henhold til gældende lovgivning er forpligtet til at opbevare dine personoplysninger i en længere periode.
Som offentlig myndighed har vi en journaliserings- og en notatpligt, som følger af henholdsvis offentlighedslovens §§ 13 og 15. Det betyder, at der er visse dokumenter, som vi modtager fysisk og elektronisk, eller oplysninger vi får mundtligt, som vi har pligt til at journalisere i vores elektroniske sags- og dokumenthånderingssystem.
Oplysninger om dig i Sundhedsstyrelsens elektroniske sags- og dokumenthåndteringssystem vil blive overført til opbevaring i Rigsarkivet i overensstemmelse med arkivlovens §§ 8, 12 og 13 efter afslutning af den journalperiode, hvori sagen er afsluttet.
Behandling af personoplysninger
1. Sagsbehandling vedrørende Registrering af stråledoser i Sundhedsstyrelsens Register for Persondosimetri
Formålet ved sagsbehandling vedrørende registrering af stråledoser i Sundhedssty-relsens register for persondosimetri er, i medfør lovgivningen, at overvåge den sam-lede stråling, stråleudsatte arbejdstagere udsættes for med henblik på overholdelse af dosisgrænser.
Behandlingen af personoplysningerne sker i henhold til finanslovens § 16.11.11.90, hvorefter Sundhedsstyrelsens virksomhed omfatter bl.a. dosisovervågning af stråle-udsatte arbejdstagere, der gennem deres arbejde bliver udsat for ioniserende stråling, samt § 89 i bekendtgørelse om ioniserende stråling og strålebeskyttelse.
2. Sagsbehandling vedrørende udstedelse af strålepas
Formålet med sagsbehandlingen vedrørende udstedelse af strålepas er at sikre en overholdelse af dosisgrænser for stråleudsatte arbejdstagere, når de arbejder i en virksomhed, der ikke samtidig er arbejdsgiver.
Behandlingen af personoplysningerne sker i henhold til finanslovens § 16.11.11.90, hvorefter Sundhedsstyrelsens virksomhed omfatter bl.a. dosisovervågning af stråle-udsatte arbejdstagere, der gennem deres arbejde bliver udsat for ioniserende strå-ling, samt § 89 i bekendtgørelse om ioniserende stråling og strålebeskyttelse.
Behandlingen af dine personoplysninger er som udgangspunkt baseret på databe-skyttelsesforordningens artikel 6, stk. 1, litra e, og behandlingen af helbredsoplysnin-gerne behandler vi i medfør af databeskyttelsesforordningens artikel 9, stk. 2 litra f. Hvis vi behandler dit CPR-nummer, så sker det med henblik på en entydig identifikation i medfør af databeskyttelseslovens § 11, stk. 1.
3. Sagsbehandling vedrørende dosismåling af stråleudsatte arbejdstagere i industri, sundhedsvæsen mv.
Formålet med sagsbehandling vedrørende dosismåling af stråleudsatte arbejdstagere i industri, sundhedsvæsen mv. er i medfør af tilbud af persondosimetri at overvåge den samlede stråling, stråleudsatte arbejdstagere udsættes for med henblik på over-holdelse af dosisgrænser.
Behandlingen af personoplysningerne sker i henhold til finanslovens § 16.11.11.90, hvorefter Sundhedsstyrelsens virksomhed omfatter bl.a. dosisovervågning af stråle-udsatte arbejdstagere, der gennem deres arbejde bliver udsat for ioniserende strå-ling, samt § 89 i bekendtgørelse om ioniserende stråling og strålebeskyttelse.
Behandlingen af dine personoplysninger er som udgangspunkt baseret på databe-skyttelsesforordningens artikel 6, stk. 1, litra e, og behandlingen af helbredsoplysnin-gerne behandler vi i medfør af databeskyttelsesforordningens artikel 9, stk. 2 litra f. Hvis vi behandler dit CPR-nummer, så sker det med henblik på en entydig identifikation i medfør af databeskyttelseslovens § 11, stk. 1.
4. Sagsbehandling vedrørende udstedelse af tilladelser/modtagelse af underretninger og tilsyn som strålebeskyttelsesmyndighed
Formålet med sagsbehandlingen er udstedelse af tilladelser/modtagelse af underret-ninger og tilsyn som strålebeskyttelsesmyndighed i medfør af § 18 i strålebeskyttel-sesloven.
5. Sagsbehandling vedrørende lægelig basis- og videreuddannelse
Formålet med sagsbehandling vedrørende lægelig basis- og videreuddannelse er til-deling af dispensation for 2-stedskraver og 12-månedersreglen i den lægelige videre-uddannelse, dispensation for tidsfrister i den lægelige videreuddannelse, ansøgning om tildeling af særlige hensyn i forbindelse med klinisk basisuddannelse.
Behandlingen sker efter reglerne i Bekendtgørelse om lægers kliniske basisuddannelse. Nærmere bestemt §§ 5, 9, stk. 3 og 15, stk. 3 og 5.
6. Sagsbehandling vedrørende inspektorordning
Formålet med sagsbehandling vedrørende inspektorordningen er administration af Sundhedsstyrelsens inspektorordning, jf. § 6, stk. 2 i Bekendtgørelse om uddannelse af speciallæger. Det følger ligeledes, af § 6, stk. 4 i bekendtgørelsen, at Sundheds-styrelsen offentliggør inspektorrapporter fra de enkelte uddannelsesafdelinger. In-spektorrapporterne offentliggøres på Sundhedsstyrelsens hjemmeside.
Inspektorordningen består af udvælgelse af inspektorer, koordinering af årlige in-spektorbesøg, håndtering af selvevalueringsrapporter og udarbejdelse af inspektor-rapporter. Der kan henvises til Vejledning om Inspektorordningen i den lægelige vide-reuddannelse, VEJ nr. 9893 af 8. september 2016.
Sundhedsstyrelsen gør opmærksom på, at der anvendes en AI-løsning til udarbejdel-se af styrelsens kommentarer i forbindelse med inspektorbesøget. Oplysningerne i selvevalueringsskemaet vil i den forbindelse indgå i det datagrundlag, som anvendes i AI-løsningen, til at udarbejde udkast til styrelsens kommentarer.
7. Sagsbehandling vedrørende personaleadministration
Formålet med sagsbehandling vedrørende personaleadministration er administration af ansættelsesforhold, beregning og udbetaling af løn, honorarer, pensioner og andre ydelser for eksempel vederlag mv. Beregning, fradrag og afregning af for eksempel kildeskat, ATP mv. samt postering af lønudgifter og lønfradrag.
Behandlingen af dine personoplysninger er som udgangspunkt baseret på databe-skyttelsesforordningens artikel 6, stk. 1, litra e, og behandlingen af helbredsoplysnin-gerne behandler vi i medfør af databeskyttelsesforordningens artikel 9, stk. 2 litra f. Hvis vi behandler dit CPR-nummer, så sker det med henblik på en entydig identifikation i medfør af databeskyttelseslovens § 11, stk. 1.
8. Sagsbehandling vedrørende handlepligt vedrørende overskridelse af maksimale ventetider
Formålet ved denne sagsbehandling er, at sikre at patienter, der lider af livstruende sygdomme, for hvilke vi har fastsat maksimale ventetider til behandler, hvor regions-rådet i bopælsregionen ikke kan tilvejebringe et behandlingstilbud, får en henvisning til behandling på et sygehus i en anden region eller på et privat sygehus her i landet eller på et sygehus i udlandet. Sundhedsstyrelsen kan i særlige tilfælde pålægge et offentligt sygehus her i landet at varetage behandling af patienten.
Behandlingen har hjemmel i sundhedslovens § 88, stk. 3-4 og §§ 11, 12 ,13, 17 og 18 i Bekendtgørelse om maksimale ventetider ved behandling af kræft og visse til-stande ved iskæmiske hjertesygdomme. Endvidere er formålet at fastslå om tidsfristerne i Bekendtgørelse om maksimale ventetider er overholdt.
9. Sagsbehandling vedrørende højt specialiseret behandling i udlandet
Formålet ved sagsbehandling vedrørende højt specialiseret behandling i udlandet, er at kunne vurdere om kriterierne for tilbud om højt specialiseret behandling i udlandet er opfyldt. Sundhedsstyrelsen kan godkende, at patienter henvises til højtspecialise-ret behandling i udlandet når betingelserne herfor er opfyldt. Dette følger af §§ 26 og 28 i Bekendtgørelse om ret til sygehusbehandling.
10. Sagsbehandling vedrørende tilladelse til kastration i særlige tilfælde.
Formålet ved indsamling af personoplysninger behandling af ansøgninger om kastra-tion er for, at vi kan træffe afgørelse om tilladelse til kastration i særlige tilfælde. Behandlingen sker med hjemmel i §§ 115 – 117 og sundhedsloven samt reglerne i Bekendtgørelse om sterilisation og kastration.
11. Sagsbehandling vedrørende anmodninger om aktindsigt, egenacces, slet-ning og klager mv.
Formålet ved disse sagsbehandlinger er behandling af oplysninger i forbindelse med borgeres anmodninger om bl.a. aktindsigt, egenacces, sletning af oplysninger mv. i henhold til forvaltningsloven og databeskyttelseslovgivningen, hvorfor hjemlen til denne behandling ligeledes findes i hhv. forvaltningslovens kapitel 4 og Databeskyttelsesforordningens art. 15 – 19.
12. Sagsbehandling vedrørende certificering af friplejeboligleverandører
Formålet med behandlingen er, at certificere fysiske eller juridiske personer, som fri-plejeboligleverandører efter lov om friplejeboliger. Det følger af kapitel 3 og § 20 i Bekendtgørelse om certificering af friplejeboligleverandører, at Sundhedsstyrelsen behandler ansøgninger om certifikation.
13. Hvis du søger job i Sundhedsstyrelsen
Sundhedsstyrelsen registrerer de oplysninger, du giver os, når du søger job i Sund-hedsstyrelsen. Vi bruger oplysningerne i rekrutteringsprocessen. Hvis du søger et job hos os, modtager vi fx oplysninger fra dig om navn, CPR-nummer, kontaktoplysnin-ger, uddannelse og CV mv. Hvis du ikke bliver ansat, gemmer Sundhedsstyrelsen de oplysninger, du har givet os, i 6 måneder, hvorefter de bliver slettet.
Behandlingen af dine personoplysninger er som udgangspunkt baseret på databe-skyttelsesforordningens artikel 6, stk. 1, litra e, og behandlingen af helbredsoplysnin-gerne behandler vi i medfør af databeskyttelsesforordningens artikel 9, stk. 2 litra f. Hvis vi behandler dit CPR-nummer, så sker det med henblik på en entydig identifikation i medfør af databeskyttelseslovens § 11, stk. 1.
14. Hvis du skriver til Sundhedsstyrelsen (borgerhenvendelser)
Sundhedsstyrelsen behandler dine personoplysninger for at udføre den nødvendige sagsbehandling på baggrund af din henvendelse til styrelsen. Behandlingen sker som led i vores myndighedsudøvelse, da vi efter forvaltningsloven og i medfør af god forvaltningsskik har pligt til at yde vejledning og bistand til person, der retter henvendelse, om spørgsmål inden for vores sagsområde. Henvendelserne kan f.eks. have karakter af forespørgsler, klager eller rettighedsanmodninger.
Behandlingen af dine personoplysninger er som udgangspunkt baseret på databeskyttelsesforordningens artikel 6, stk. 1, litra e. Hvis du har sendt følsomme personoplysninger behandler vi dem i medfør af databeskyttelsesforordningens artikel 9, stk. 2 litra f. Hvis vi behandler dit CPR-nummer, så sker det med henblik på en entydig identifikation i medfør af databeskyttelseslovens § 11, stk. 1.
15. Pressebetjening
I visse tilfælde behandler Sundhedsstyrelsen personoplysninger i forbindelse med pressehenvendelser. Vi er forpligtet til i fornødent omfang at yde vejledning og bi-stand til personer, herunder journaliser, der retter henvendelse med spørgsmål inden for vores sagsområde.
Formålet med behandlingen af personoplysninger er at kunne besvare pressens henvendelse. Vi vil i den forbindelse foretage en registrering af henvendelsen med henblik på at afgive et svar til pressen. Retsgrundlaget for behandlingen er baseret på en retlig forpligtelse, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra c.
16. Nævn og udvalg, og sekretariatsbetjening.
Sundhedsstyrelsen betjener råd, nævn, udvalg og centre på det sundhedsfaglige område. Styrelsen kan i den forbindelse udpege medlemmer eller behandle oplysninger om medlemmerne.
Du kan finde en liste over styrelsens råd, nævn, udvalg og centre her
Derudover betjener Nationalt Center for Etik arbejdet i de fire uafhængige organer: Det Etiske Råd, Dataetisk Råd, National Videnskabsetisk Komité (NVK) og de Viden-skabsetiske Medicinske Komiteer (VMK). Vi gør opmærksom på, at Dataetisk Råd har en anden databeskyttelsesrådgiver, du kan læse mere om databeskyttelse hos de enkelte uafhængige organer på deres hjemmesider.
Betjeningen vil enten fremgå af en konkret hjemmel i dansk ret eller være baseret på databeskyttelsesforordningens artikel 6, stk. 1, litra c, jf. Sundhedslovens § 212.
17. Puljeadministration
Sundhedsstyrelsen behandler personoplysninger i forbindelse med administration af puljer på ældre- og sundhedsområdet. Styrelsen behandler de oplysninger, man som ansøger, indsender i henhold til kravene for den konkrete pulje. Der kan derved være tale om almindelige personoplysninger, følsomme personoplysninger og fortrolige op-lysninger. Det kan desuden efter omstændighederne være nødvendigt at behandle personoplysninger om andre end den person, som søger om puljer.
Formålet med behandlingen er at kunne sikre administrationen af de ældre og sundhedsfaglige puljer, som henhører Sundhedsstyrelses myndighedsopgave. Behandlingen af dine personoplysninger er som udgangspunkt baseret på databeskyttelsesfor-ordningens artikel 6, stk. 1, litra e og artikel 9, stk. 2 litra f., jf. Sundhedsloven § 212. Styrelsen kan ligeledes have puljer som er hjemlet på finansloven eller ved reserven til social-, sundheds, og arbejdsmarkedsområdet (SSA-reserven).
Når der er truffet afgørelse om tildeling af midler for den konkrete pulje offentliggøres modtagerne af puljen på styrelsens hjemmeside, herunder fx personoplysninger om konkrete medarbejdere.