Bedriftshelsetjenesten

Bedriftshelsetjenesten kan bare lagre personopplysninger som er nødvendige for tjenesten. Arbeidsgiveren har bare innsynsrett i opplysninger som har betydning for arbeidsmiljøet.

Arbeidsgivere skal sørge for arbeidstakernes helse blir ivaretatt. Dette innebærer blant annet kartlegging av helsefarer og løpende kontroll med arbeidsmiljøet. Arbeidsmiljøloven stiller også krav om at arbeidsgiveren har en bedriftshelsetjeneste (arbeidsmiljøloven § 3-3).

Bedriftshelsetjenesten skal bidra til å skape sunne og trygge arbeidsforhold og har som hovedoppgave å forebygge helseskader som følger av arbeidsmiljøet. Helsepersonellet kan også gi behandling. Behandlingstilbudet skal likevel ikke fortrenge forebyggende formål, og bør legges opp på en måte som tjener og utfyller det forebyggende arbeidet i samsvar med § 13 i forskrift om organisering, ledelse og medvirkning, som tar for seg bedriftshelsetjenesten.

Personopplysninger som kan behandles

Bedriftshelsetjenesten kan behandle

  1. identifikasjon av arbeidstaker, bedrift og arbeidsplass
  2. eksponeringsdata
  3. jobbrelatert opplysninger i tilknytning til arbeidstakers helse

Personopplysningene som bedriftshelsetjenesten behandler, er ment for internt bruk. Bedriftshelsetjenesten kan behandle personoopplysninger i tilknytning til yrkesmessig attføring, rehabilitering og omplassering, samt utredning og eventuell behandling av yrkesrelaterte sykdommer.

Bedriftshelsetjenesten kan ikke lagre unødvendige personopplysninger.

Separat registrering av opplysninger

Bedriftshelsetjenesten må i sitt register må skille mellom arbeidsmiljørelaterte og private opplysninger. Som hovedregel skal private personopplysninger, slik som sosial situasjon og livsstil, registreres separat fra de opplysningene som er direkte knyttet til vurderingen av arbeidsmiljøet. Bedriftshelsetjenesten må gjøre en faglig vurdering av om opplysninger som anses som private, skal anses som relevante i forhold til arbeidstakers yrkesmessige eksponeringer. De skal gjøre vurderingen blant annet baseres på kjennskap til virksomheten, eksponeringsforhold, med videre. 

Bedriftshelsetjenesteregisteret er hjemlet i arbeidsmiljøloven med forskrifter. Personopplysningsloven med forskrifter setter rammer for bruken av opplysningene i registeret.

Utlevering av opplysninger til arbeidsgiver

Det er i utgangspunktet kun personell tilknyttet bedriftshelsetjenesten som skal ha tilgang til registrerte personopplysninger. Når bedriftshelsetjenesten utfører forebyggende arbeid, opptrer de som sakkyndige rådgivere overfor arbeidsgiveren. Dette arbeidet forutsetter en viss utveksling av informasjon mellom bedriftshelsetjenesten og oppdragsgiveren. Det er kun personopplysninger som har direkte betydning for oppdraget, som kan videreformidle fra bedriftshelsetjenesten til arbeidsgiveren. Dette vil sjelden være annet enn opplysninger som har betydning for arbeidsmiljøet. Utover dette har bedriftshelsetjenesten taushetsplikt.

Bedriftshelsetjenesten skal så langt det er mulig kun utlevere anonymiserte opplysninger til arbeidsgiveren. Arbeidstakeren skal uansett informeres om bedriftshelsetjenestens rolle, og om at personopplysninger kan bli videreformidlet. Som hovedregel kreves det et gyldig samtykke fra den ansatte.

Helsetjeneste og bedriftshelsetjeneste - to journaler

Dersom arbeidsgiveren tilbyr legetjenester som går ut over lovpålagt bedriftshelsetjeneste, skal det skilles mellom de opplysningene som er relevante for bedriftshelsetjenesten og de opplysningene som ikke er relevante. Opplysninger knyttet til et individuelt helsetjenestetilbud utenfor bedriftshelsetjenesten skal inngå i en pasientjournal. Disse opplysningene har arbeidsgiveren ikke krav på innsyn i. Pasientjournalen reguleres av helsepersonelloven med tilhørende forskrifter.

Dersom bedriftshelsetjenesteregisteret og pasientjournalen føres i samme system, må det finnes tekniske sperrer som sikrer at registrene føres logisk atskilt. De to registrene skal som hovedregel ikke kunne kommunisere med hverandre.

Bytte av bedriftshelsetjeneste

Dersom arbeidsgiveren bytter tilbyder av bedriftshelsetjenester skal de ansatte informeres. I slike tilfeller er det i utgangspunktet bare de bedriftsrelaterte opplysningene som skal overføres.

Meldeplikt

Bedriftshelsetjenesten er unntatt konsesjonsplikt, men har meldeplikt for sin behandling av personopplysninger.

God informasjonssikkerhet - en veileder i internkontroll

Med god internkontroll og et bevisst forhold til å sikre opplysninger sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig.

God informasjonssikkerhet - en veileder i internkontroll

Spørsmål og svar

Se alle spørsmål og svar om arbeidsliv