# Persónuverndarstefna *Gildir um alla vinnslu persónuupplýsinga hjá Per mentis slf., þar á meðal rafræna þjónustu, vefsvæði, Mínar síður og meðferð sjúkraskráa.* *** #### **1. Um Per mentis og hlutverk okkar** Per mentis slf. (kt. 660813-0550), Síðumúla 23, 108 Reykjavík, er ábyrgðaraðili vinnslu persónuupplýsinga við veitingu heilbrigðisþjónustu og rekstur rafrænnar þjónustu. Við vinnum með persónuupplýsingar í samræmi við: * **lög nr. 90/2018** um persónuvernd og vinnslu persónuupplýsinga * **lög nr. 55/2009** um sjúkraskrár * **lög nr. 40/2007** um heilbrigðisþjónustu * **lög nr. 74/1997** um réttindi sjúklinga * fyrirmæli Embættis landlæknis um fjarskipti í heilbrigðisþjónustu Markmið okkar er að tryggja örugga og lögmæta vinnslu gagna og að sjúklingar og aðrir notendur hafi skýr og gagnsæjar upplýsingar um hvernig gögn eru notuð. Ef þú hefur spurningar um persónuvernd má senda tölvupóst á [**info@permentis.is**](mailto:info@permentis.is). *** #### **2. Hvaða upplýsingar við vinnum með** Við vinnum eingöngu með þær upplýsingar sem nauðsynlegar eru til að: * veita heilbrigðisþjónustu, * sinna lagaskyldum, * reka rafræna þjónustu og öryggiskerfi hennar. **2.1 Almennar auðkenningarupplýsingar** * nafn * kennitala * netfang * símanúmer * fæðingardagur * auðkenningarstaðfesting með **íslenskum rafrænum skilríkjum (LoA4)** **2.2 Heilbrigðisupplýsingar (sjúkraskrá)** * gögn sem verða til við meðferð sjúklings * svör við spurningalistum og matsblöðum * klínískar athugasemdir, greiningar og meðferðarupplýsingar * rafræn samskipti við heilbrigðisstarfsfólk * sendingar og móttökur gagna sem tengjast meðferð **2.3 Tæknilegar upplýsingar sem verða til við notkun kerfa** Til að tryggja öryggi og rekstur kerfisins skráum við m.a.: * IP-tölur, dagsetningar og tímasetningar aðgerða * upplýsingar um innskráningu, útskráningu og rofna virkni * atvikaskrár (audit logs) sem tengjast öryggiseftirliti **2.4 Greiðslur** Við vinnum ekki með full kortanúmer eða greiðslugögn.\ Öll greiðslukortaupplýsingar fara í gegnum viðurkennda greiðslumiðlun. *** #### **3. Tilgangur vinnslu** Við vinnum með persónuupplýsingar í eftirfarandi tilgangi: **3.1 Veiting heilbrigðisþjónustu** * skráning upplýsinga í sjúkraskrá samkvæmt lögum * framvinda meðferðar, ráðgjöf og endurgjöf * boðanir, tilkynningar og viðbrögð í tengslum við meðferð **3.2 Rekstur rafrænnar þjónustu** * örugg innskráning með rafrænum skilríkjum * samskipti í gegnum Mínar síður * móttaka og úrvinnsla rafrænna eyðublaða og matsblöða * sending og viðtaka gagna í gegnum aðrar öruggar rásir **3.3 Öryggi og lagaskyldur** * Annálar (e. logs) og rekstrarsaga fyrir öryggiseftirlit * varnir gegn misnotkun og óviðkomandi aðgangi * tilkynningarskyld atvik samkvæmt lögum *** #### **4. Lagagrundvöllur vinnslu** Við vinnum persónuupplýsingar á eftirfarandi lagagrundvelli: **4.1 Skylda til að halda sjúkraskrá** Samkvæmt **lögum nr. 55/2009** ber heilbrigðisstarfsmönnum að halda sjúkraskrár um meðferð sjúklings. **4.2 Veiting heilbrigðisþjónustu** Vinnsla heilsutengdra upplýsinga er nauðsynleg samkvæmt: * **lögum nr. 40/2007** um heilbrigðisþjónustu * **lögum nr. 74/1997** um réttindi sjúklinga **4.3 Persónuverndarlög** Samkvæmt **lögum nr. 90/2018** má vinna heilsutengdar upplýsingar þegar: * vinnslan er nauðsynleg til að sinna heilbrigðisþjónustu, * vinnslan er nauðsynleg til að uppfylla lagaskyldu, * sjúklingur hefur samband við heilbrigðisstarfsmenn í tilgangi meðferðar. **Athugið** *Samþykki þitt á notkunarskilmálum rafrænnar þjónustu er ekki heimild til vinnslu heilsufarsupplýsinga.*\ Slík vinnsla byggist á lögbundnum skyldum og er óheimilt að afturkalla hana nema samkvæmt lögum. *** #### **5. Hvernig gögn eru varðveitt** **5.1 Sjúkraskrá** Varðveisla sjúkraskráa fer samkvæmt lögum nr. 55/2009.\ Sjúkraskrá er **ekki** eytt nema með sérstöku leyfi Embættis landlæknis. **5.2 Önnur gögn** Önnur persónuupplýsingar eru varðveitt: * eins lengi og nauðsynlegt er vegna þeirra verkefna sem gagna var aflað fyrir, * lengur ef sérlög krefjast þess (t.d. bókhaldslög). **5.3 Tæknileg gögn (annálar)** Öryggis- og rekstrarannálar eru varðveittir í samræmi við: * kröfur um öryggi * kröfur eftirlitsaðila * rekstrarlegar þarfir (audit, varnarskyldur, atvikagreining) *** #### **6. Hvernig við tryggjum öryggi gagna** Per mentis notar viðurkenndar öryggisráðstafanir, m.a.: * dulkóðun allra gagna í gagnagrunni (AES-256) * dulkóðun allra samskipta (TLS/SSL) * þriggja laga hönnun (vefþjónn, vinnsluþjónn, gagnagrunnur aðskilin) * aðgangsstýringar byggðar á lágmarksréttindagrundvelli * innskráning eingöngu með **íslenskum rafrænum skilríkjum (LoA4)** * aðgangsskráning og annálar sem ekki er hægt að breyta * reglulegar öryggisuppfærslur og eftirlit * tvíverknaðarkerfi og öryggisafrit * óheimilt fyrir starfsmenn að nálgast gögn nema vegna starfsskyldna * aðgangur starfsmanna er skráður Allur kerfisrekstur fer fram á öruggum netum með aðgangsstýringu og rekstraraðskilnaði. *** #### **7. Hverjir fá aðgang að gögnum** **7.1 Starfsfólk Per mentis** Aðeins þeir starfsmenn sem þurfa aðgang vegna starfsskyldna hafa aðgang að gögnum. **7.2 Þjónustuaðilar** Við notum eftirfarandi þjónustuaðila, sem vinna gögn samkvæmt verklagsreglum og samningum: * hýsingarþjónusta og öryggisinnviðir (t.d. dulkóðun, afritun, rekstur) * hugbúnaðar- og þjónustuaðilar sem styðja rekstur kerfisins * greiðslumiðlun (geymir ekki heilsugögn) Allir þjónustuaðilar starfa skv. vinnslusamningum í samræmi við lög nr. 90/2018. **7.3 Þegar lög krefjast** Við afhendum upplýsingar til stjórnvalda eða dómstóla aðeins þegar lagaskylda stendur til. *** #### **8. Réttindi þín** Samkvæmt lögum nr. 90/2018 átt þú rétt á: * að fá upplýsingar um hvaða gögn eru unnin * að fá aðgang að persónuupplýsingum (að beiðni) * að óska eftir leiðréttingu rangra upplýsinga * að fá afrit af gögnum (að beiðni) * að leggja fram kvörtun til Persónuverndar **Aðgangur að sjúkraskrá** Aðgangur að sjúkraskrá fer samkvæmt sérákvæðum **laga nr. 55/2009**, og sjúklingar geta óskað eftir aðgangi með formlegri beiðni. Frekari upplýsingar má nálgast undir almennum skilmálum, í sérstökum skilmálum um afhendingu sjúkraskrár. *** #### **9. Flutningur gagna innan og utan EES** Við vistum gögn á öruggum netum og þjónustum innan EES. Per mentis notar ekki þjónustu sem geymir heilbrigðisupplýsingar utan EES. *** #### **10. Vefkökur (cookies)** Við notum aðeins nauðsynlegar vefkökur til að: * tryggja innskráningu og öryggi * halda virkri innskráningu Við notum **ekki** greiningarkökur eða markaðskökur á Mínum síðum. *** #### **11. Hafðu samband** Ef þú vilt nýta réttindi þín eða óska eftir upplýsingum:\ [**info@permentis.is**](mailto:info@permentis.is) Ef þú telur að brotið hafi verið gegn persónuvernd þinni getur þú sent inn athugasemd eða kvörtun til eða til\ **Persónuverndar, Rauðarárstíg 10, Reykjavík** *** #### **Síðast uppfært** *25. nóvember 2025* --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://opinskjol.permentis.is/personuverndarstefna.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.