Arbeidsgivere er pålagt å sørge for at virksomheten er innrettet slik at lovens krav blir oppfylt, og sikre at hensynet til at arbeidstakernes helse blir ivaretatt. Kravet går frem av arbeidsmiljøloven. Bestemmelsen innebærer en plikt for arbeidsgiver til blant annet å kartlegge helsefarer og føre en løpende kontroll med arbeidsmiljøet. Arbeidsmiljølovens § 30 har bestemmelser om verne- og helsepersonale, hvor blant annet plikten til å ha bedriftshelsetjeneste er fastsatt.
Bedriftshelsetjenesten skal bidra til å skape sunne og trygge arbeidsforhold. I denne sammenheng skal bedriftshelsetjenesten opptre som sakkyndig overfor arbeidsgiveren. Bedriftshelsetjenestens hovedoppgave er å forebygge helseskader som følge av arbeidsmiljøet. Helsepersonellet kan også gi behandling. Behandlingstilbudet skal imidlertid ikke fortrenge forebyggende formål, og bør legges opp på en måte som tjener og utfyller det forebyggende arbeidet i samsvar med forskrift for verne- og helsepersonale.
Personopplysningene som behandles i forbindelse med bedriftshelsetjenesten, er ment for internt bruk. Hva som er korrekt bruk av opplysningene beror på en tolkning av bedrifthelsetjenestens lovlige innhold. Det er klart at ”bruk” også omfatter yrkesmessig attføring, rehabilitering og omplassering, samt utredning og eventuell behandling av yrkesrelaterte sykdommer.
Personopplysningslovens § 28 jf. § 11 oppstiller et forbud mot å lagre unødvendige personopplysninger. Typiske opplysninger som er nødvendig i forbindelse med bedriftshelsetjenesten, er identifikasjon av arbeidstaker, bedrift og arbeidsplass, samt eksponeringsdata. I tillegg registreres som hovedregel også jobbrelatert opplysninger i tilknytning til arbeidstakers helse.
Register for bedriftshelsetjenesten
Det må skilles mellom arbeidsmiljørelaterte og mer ”private” opplysninger i bedriftshelsetjenesteregisteret. Som hovedregel skal private personopplysninger, typisk sosial situasjon og livsstil mv, registreres separat fra de opplysningene som er direkte knyttet til vurderingen av arbeidsmiljøet. Om opplysninger som ellers anses som mer ”private”, likevel kan anses som relevante i forhold til arbeidstakers yrkesmessige eksponeringer, avhenger av en faglig vurdering som den bedriftshelsetjenesten har plikt til å foreta. Vurderingen skal blant annet baseres på kjennskap til virksomheten, eksponeringsforhold mv.
Bedriftshelsetjenesteregisteret er hjemlet i arbeidsmiljøloven med forskrifter. Reglene i personopplysningsloven med forskrifter setter rammer for bruken av opplysningene i registeret.
Informasjon til arbeidsgiveren
I utgangspunktet skal kun personell tilknyttet bedriftshelsetjenesten ha tilgang til registrerte personopplysninger. Når bedriftshelsetjenesten utfører forebyggende arbeid, opptrer de som sakkyndige rådgivere overfor arbeidsgiveren. Dette arbeidet forutsetter en viss utveksling av informasjon mellom bedriftshelsetjenesten og oppdragsgiveren. Det er kun personopplysninger som har direkte betydning for oppdraget som kan videreformidles. Dette vil sjelden være annet enn opplysninger som har betydning for arbeidsmiljøet. Utover dette gjelder taushetsplikten.
Bedriftshelsetjenesten skal så langt det er mulig kun utlevere anonymiserte opplysninger til arbeidsgiveren. Arbeidstakeren skal uansett informeres om bedriftshelsetjenestens rolle, og om at personopplysninger kan bli videreformidlet. Som hovedregel kreves det et gyldig samtykke fra den ansatte.
Utvidet bedriftshelsetjeneste - to journaler
Dersom virksomheten tilbyr legetjenester som går ut over lovpålagt bedriftshelsetjeneste, skal det skilles mellom de opplysningene som er relevante for bedriftshelsetjenesten og de opplysningene som ikke er relevante. Opplysninger knyttet til et individuelt helsetjenestetilbud utenfor bedriftshelsetjenesten skal inngå i en pasientjournal. Disse opplysningene har arbeidsgiveren ikke krav på innsyn i. Pasientjournalen reguleres av helsepersonelloven med tilhørende forskrifter.
Dersom bedriftshelsetjenesteregisteret og pasientjournalen føres i samme system, må det finnes tekniske sperrer som sikrer at registrene føres logisk atskilt. De to registrene skal som hovedregel ikke kunne kommunisere med hverandre. Det vises i denne sammenheng til reglene om informasjonssikkerhet i personopplysningslovens § 13 jf. personopplysningsforskriftens kapittel 2.
Bytte av bedriftshelsetjeneste
Virksomheten kan bytte tilbyder av bedriftshelsetjeneste. Dersom dette skjer, skal de ansatte informeres, og det er i utgangspunktet bare de bedriftsrelaterte opplysningene som skal overføres.
Meldeplikt
Bedriftshelsetjenesten vil være unntatt konsesjonsplikt, men underlagt meldeplikt i tråd med personopplysningsforskriftens § 7-26 jf. personopplysningslovens § 33.