Meðferð og öryggi persónuupplýsinga

1. Inngangur

Sigra Sjúkraþjálfun (Sigra) leggur ríka áherslu á að vernda persónuupplýsingar notenda þjónustu sjúkraþjálfara og vinna þær í samræmi við gildandi reglugerðir og  lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Persónuupplýsingar eru hvers kyns upplýsingar sem hægt er að rekja beint eða óbeint til einstaklings.  Heilbrigðisupplýsingar flokkast sem viðkvæmar persónuupplýsingar og skal huga sérstaklega að öryggi og vernd við vinnslu og meðferð slíkra upplýsinga.  Starfsfólki Sigra er ljós ábyrgð sín og eru þau jafnframt bundin þagnaskyldu samkvæmt lögum um heilbrigðisstarfsmenn nr. 34/2012 og lögum um réttindi sjúklinga nr. 74/1997.

Þessi persónuverndarstefna útskýrir hvernig Sigra safnar, notar, geymir og verndar persónuupplýsingar.  

• Hvaða persónuupplýsingum söfnum við

Persónuupplýsingar sem Sigra kann að safna:

• Nafn, kennitala og samskiptaupplýsingar s.s. símanúmer, netfang, tölvupóstur eða netbókanir.
• Upplýsingar um heilsufar sem tengjast sjúkraþjálfun t.d. beiðnir og greiningar frá læknum, aðrar greiningar, meðferðaráætlun, framvindu og skoðunarnótur.
• Tímabókanir og önnur samskipti.
• Greiðslu- og reikningsupplýsingar
• Upplýsingar sem nauðsynlegt er að safna vegna krafna, endurgreiðslu eða greiðsluþátttöku frá Sjúkratryggingum Íslands, tryggingarfélögum eða öðru heilbrigðisstarfsfólki.  
• Upptalning hér fyrir ofan er ekki tæmandi og getur tekið breytingum ef þjónusta sú sem Sigra veitir breytist.

• Tilgangur vinnslu persónuupplýsinga

Við vinnum persónuupplýsingar eingöngu í skýrum og lögmætum tilgangi til að:

• Veita sjúkraþjálfun, meðferð sem tengist sjúkraþjálfun eða heilbrigðisþjónustu.
• Halda utan um sjúkraskrá og halda utan um tímabókanir.
• Vegna innheimtu, reikningagerð og bókhalds.
• Uppfylla lagalegar skyldur gagnvart stjórnvöldum.
• Samskipti við skjólstæðinga, lækna eða annarra heilbrigðisstarfsmanna vegna meðferðar.

• Lagagrundvöllur vinnslu

Vinnsla persónuupplýsinga byggir á einum eða fleiri eftirfarandi lagagrundvöllum:

• Samþykki notenda fyrir sjúkraþjálfuninni og/eða annarri heilbrigðisþjónustu.
• Nauðsyn vegna veitingu heilbrigðisþjónustu.
• Lagaskyldur samkvæmt heilbrigðislöggjöf og bókhaldslögum.
• Lögmætir hagsmunir, svo framarlega sem þeir ganga ekki gegn réttindum notenda þjónustu sjúkraþjálfara.

• Varðveisla persónuupplýsinga

Persónuupplýsingar eru varðveittar eins lengi og nauðsynlegt er samkvæmt lögum og faglegum kröfum. 

Sjúkraskrár eru varðveittar í samræmi við lög um heilbrigðisþjónustu  nr. 40/2007 og ákvæði í persónuverndarlögunum. Öll umsýsla og meðferð í kringum sjúkraskrár notenda þjónustu sjúkraþjálfara eru meðhöndlað af fyllstu virðingu og ströngum trúnaði.

Sigra eyðir notendareikningi sem notanda þjónustu sjúkraþjálfunar óskar eftir að verði eytt eins fljótt og verða má, nema þeim upplýsingum sem safnað er vegna lögmætra hagsmuna líkt og komið hefur fram hér fyrir ofan. 

Sjúkraþjálfara er heimilt að eyða vinnuskjölum eða persónulegum minnisblöðum og er það gert þegar þeirra er ekki lengur þörf. Bókhaldsgögnum er eytt í samræmi við lög um bókhald nr. 145/1994.  Sjúkraskrá er lögbundið skjal og er háð ströngum reglum um varðveislu.

• Miðlun persónuupplýsinga

Við miðlum ekki persónuupplýsingum til þriðja aðila nema:

• Það sé nauðsynlegt vegna meðferðar t.d. til annarra heilbrigðisstarfsmanna.
• Samkvæmt lagaskyldu eða stjórnvaldsákvörðunum t.d. til Sjúkratrygginga Íslands.
• Til þjónustuaðila sem vinna upplýsingar fyrir hönd Sigra en þá samkvæmt trúnaðar- og vinnslusamning.
• Ef notandi þjónustu sjúkraþjálfara gefur ótvírætt samþykki sitt fyrir slíkri dreifingu eða miðlun.
• Öryggi persónuupplýsinga

Við grípum til viðeigandi tæknilegra og skipulagslegar öryggisráðstafna til að vernda persónuupplýsingar gegn óheimilum aðgangi, gegn því að þær glatist eða breytist og gegn óleyfilegum aðgang, afritun, miðlun eða misnotkun t.d. með því að:

• Stýra aðgangi að öllum okkar upplýsingakerfum.
• Geymum undirrituð komublöð á pappírsformi í lokuðu rými.

• Fræða sjúkraþjálfara og annað starfsfólk um öryggisráðstafanir og vernd persónuupplýsinga í samræmi við þau lög sem um Sigra sjúkraþjálfun gilda.

• Réttindi hins skráða þ.e. notendur þjónustu sjúkraþjálfara

Það er mikilvægt að persónuupplýsinga sem unnið er með séu réttar. Það er því mikilvægt að notendur þjónustu sjúkraþjálfara tilkynni um breytingar sem kunna að verða á persónuupplýsingum sínum.

Notendur sjúkraþjálfunar eiga rétt á að:

• Fá aðgang að eigin persónuupplýsingum.
• Óska eftir að fá rangar upplýsingar leiðréttar í samræmi við málefnaleg rök notenda.
• Óska eftir takmörkun vinnslu þegar við á.
• Afturkalla samþykki sitt (ef vinnsla byggir á samþykki).
• Leggja fram kvörtun til Persónuverndar. 

• Rýni og endurskoðun

Skjal þetta er rýnt að minnsta kosti á tveggja ára fresti eða við meiri háttar breytingar á þjónustu Sigra til notenda þjónustu sjúkraþjálfara. 

Allar beiðnir eða fyrirspurnir um meðferð og öryggi persónuupplýsingar hjá Sigra Sjúkraþjálfun skal senda á netfangið svennisv@simnet.is

Fyrir hönd Sigra,  

Sveinn Sveinsson, framkvæmdastjóri Sigra sjúkraþjálfun

Reykjavík,  16. janúar 2026.