Personvernerklæring


Denne informasjonen gjelder for Norsk Radiografforbunds åpne nettsider, medlemsnett og ulike tjenester som tilbys medlemmer og tillitsvalgte.

Norsk Radiografforbund (NRF) (org. nr. 958 664 222) er en organisasjon og er således ikke underlagt arkivloven eller Offentlighetsloven. Imidlertid er vi underlagt Personvernforordningen og personopplysningsloven. Personvernforordningen inneholder regler om hvordan personopplysninger som samles inn vil bli behandlet, herunder hvordan de sikres, hvem som har tilgang og om de kan utleveres til andre eksternt.

I henhold til personvernforordningen er Norsk Radiografforbund pålagt å ha et internkontrollsystem, og dette regulerer hvordan vi håndterer personopplysninger.

NRF ved sekretariatsansvarlig er ansvarlig for vår behandling av personopplysninger. Der det daglige ansvaret er delegert, kommer dette frem under hvert enkelt punkt.

Personvernerklæringen inneholder opplysninger som du har krav på når det samles inn opplysninger fra nettstedet vårt og generell informasjon om hvordan vi behandler personopplysninger. Dette er regulert i personvernforordningens kapittel III.

Behandling av opplysninger på radiograf.no, holdpusten.no, og andre domener eid av Norsk Radiografforbund

NRF har to hovednettsteder med tilhørende underliggende sider. For radiograf.no er det kommunikasjonsansvarlig som har det daglige ansvaret for behandling av personopplysninger, og for holdpusten.no er det redaktøren for Hold Pusten.

For vanlige brukere av nettstedene er det frivillig å oppgi personopplysninger i forbindelse med eventuelt abonnement på nyhetsbrevtjenester, se eget punkt om nyhetsbrevløsninger.

NRF bruker TU Media AS som samarbeidspartner på driftssiden og i forhold til utvikling og vedlikehold av forbundets nettsteder. På de åpne sidene har vi i tillegg innmeldingsskjema som er koblet mot vårt CRM system og denne løsningen blir utviklet og vedlikeholdt av Medlemsvekst AS.

Det er inngått databehandleravtale med samtlige av våre samarbeidspartnere og disse regulerer nærmer hva disse har tilgang til av personopplysninger og hvordan de skal behandles.

Nettstatistikk

NRF samler inn avidentifiserte opplysninger om besøkende på radiograf.no og holdpusten.no.

Formålet med innsamling av statistikken er å forbedre og videreutvikle våre ulike digitale løsninger og til en viss grad å personalisere informasjon basert på brukeratferd. Eksempler på hva statistikker gir svar på, er antallet besøkende, varighet på ulike besøk, navigasjon på nettstedene, hvilke nettsteder brukeren kommer fra og hvilke nettlesere som benyttes.

Opplysningene behandles i avidentifisert og aggregert form. Med avidentifisert mener vi at vi ikke kan spore opplysningene tilbake til den enkelte bruker. Vi samler inn hele IP-adressen, men vi beholder ikke hele IP-adressen og behandler ikke opplysningene på individnivå.

Vi bruker analyseverktøyet Google Analytics som vårt hovedverktøy. Dataene er i hovedsak kun tilgjengelig for NRF. Analyser og statistikker benyttes også til en viss grad i diskusjoner med samarbeidspartnere om videreutvikling av løsninger.

NRFs påloggede medlemssider og sider for kursdeltakere

NRF har etablert egne sider for påloggede medlemmer og kursdeltakere. Innhold og visninger er basert på våre data om medlemmer og kursdeltakere.

NRFs behandlingsgrunnlag for opplysninger om medlemmer er den nye personvernforordningen artikkel 9 nr.2 bokstav d som hjemler rett til å behandle sensitive personopplysninger jf. at medlemskap i fagforening er sensitivt, samt artikkel 6 nr. 1 bokstav b som angir avtale som behandlingsgrunnlag, f.eks. medlemsavtalen. I tillegg vil vi i noen tilfeller basere oss på et mer rent samtykke jf. artikkel 6 nr.1 bokstav a.

Ved pålogging på sidene kan det enkelte medlem se en del personopplysninger om seg selv og oppdatere en del av disse. Dette inkluderer følgende personopplysninger om:

  • Fødselsnummer, medlemsnummer og navn.
  • Kontonummer og betalingsform.
  • Kontaktopplysninger som adresse, e-post og mobilnummer.
  • Autorisasjonsnummer.
  • Opplysninger om arbeidsgiver og arbeidsforhold
  • Utdanninger og kurs.
  • Tilknytninger i organisasjonen og verv.
  • Lønn

For kursdeltakere er opplysningene begrenset til navn, kontaktopplysninger, opplysninger om arbeidsgiver, samt opplysninger om eventuelle allergier og behov for tilrettelegging. Vi vil ikke benytte opplysninger om kursdeltakere annet enn til å håndtere det aktuelle kurs eller til å tilby tilsvarende kurs i fremtiden.

NRF har avtale med Medlemsvekst AS med hensyn til vedlikehold og utvikling av løsningene. I tillegg benytter vi Visma AS som samarbeidspartner for fakturering.

Det er inngått databehandleravtaler med alle samarbeidspartnere.

Det er NRFs sekretariatsleder som har det daglige behandlingsansvaret for NRFs medlemssider og sider for kursdeltakere.

Nærmere om sikkerhet ved bruk av påloggede løsninger

Hvis du deler en datamaskin med andre, kan de som benytter maskinen etter deg få se hva du har skrevet i feltet for brukernavn. Du unngår dette ved å klikke på Nullstill-knappen når du er ferdig. Da blir feltet tømt. Hvis du sender bestillingen, tømmes skjemaet automatisk.

I forhold til min side gjelder i tillegg følgende:

  • Kommunikasjon mellom deg og Norsk Radiografforbund er kryptert med SSL
  • Pålogging ved bruk av brukernavn og personlig passord sørger for at sidene blir personalisert i forhold til hvem du er. I tillegg henter vi ut og viser hvilke personopplysninger vi har registrert om deg i vårt medlemssystem. Du har også via min side mulighet for å oppdatere personopplysninger om deg. Opplysningene er kun tilgjengelige for deg. I tillegg vil din nærmeste tillitsvalgt, hovedtillitsvalgt ha tilgang til begrensede personopplysninger om deg. Videre vil ansatte og politisk valgte i NRF som har behov for tilgang til opplysninger om våre medlemmer, ha mulighet til å se hele eller deler av de opplysningene vi har registrert om deg.
  • Det vil i forhold til funksjonalitet knyttet til arbeidsrom, informasjonssider som krever pålogging, være mulig å identifisere hvem som har vært inne på siden og koble dette mot medlemsnummer. Denne informasjonen vil hovedsakelig bli brukt i statistisk øyemed i forhold til å sjekke hvilke deler av løsningen som faktisk blir brukt, men kan i noen sammenheng også bli brukt til å følge opp og sikre at brukerne faktisk har vært inne på siden eller gjennomført opplæringsopplegg.

Påmelding til nyhetsbrev

Det er mulig å melde seg på nyhetsbrev. Ved påmelding til ulike nyhetsbrevløsninger er vårt behandlingsgrunnlag samtykke jf. Personvernforordningens artikkel 6 nr.1, mens for medlemmer er vår behandling hjemlet i artikkel 9 nr2 jf. artikkel 6 nr.1 bokstav b. Din e-postadresse vil ikke bli benyttet til andre formål enn å sende nyhetsvarsler og e-postadressen vil heller ikke bli gjort kjent for andre abonnenter på epostlisten. Ved oppsigelse av abonnementet slettes e-postadressen.

Annonser

NRF har på holdpusten.no og på enkelte sider under radiograf.no eksponert annonser for kommersielle aktører. Annonsørene får ikke tilgang til å spore brukere fra sine annonser.

Bruk av kontakskjemaer eller henvendelser ved bruk av felles e-postadresser

nrf@radiograf.no, kurs@radiograf.no og forsikring@radiograf.no kan benyttes til enkle spørsmål, og besvares hovedsakelig fortløpende med svar per e-post. Det samme gjelder våre kontakt- og tilbudsskjemaer, som sender spørsmålene inn i et saksbehandlingssystem for oppfølging av denne type henvendelser.

Saker som krever mer grundig saksbehandling eller som Norsk Radiografforbund har definert som arkivverdig, blir lagret i vårt dokumenthåndteringssystem. Vær oppmerksom på at bruk av e-post (og åpne kontaktskjemaer på internett) har mange svakheter som gjør at fortrolige opplysninger kan komme på avveie. Vi oppfordrer derfor til å ikke sende sensitive eller fortrolige opplysninger med e-post eller kontaktskjemaet.

Alle spørsmål som er besvart per e-post blir lagt i en egen database. Denne databasen blir brukt av Norsk Radiografforbund til å holde oversikt over typer av henvendelser og for å effektivisere vår saksbehandling.

Informasjonskapsler

En del av våre tjenester er avhengig av at du bruker en nettleser som kan håndtere informasjonskapsler ("cookies"). Informasjonskapsler er små informasjonsfiler som blir liggende igjen på datamaskinen din for at tjenesten vår skal virke. Det medfører ingen sikkerhetsrisiko for deg som bruker, og gjør at vi kan tilby deg en tjeneste som virker best mulig. Funksjonen kan slås av og på i de fleste nettlesere gjennom et menyvalg som "innstillinger", "sikkerhet" e.l.

Javascript

En del av våre tjenester er avhengig av at du bruker en nettleser som støtter Javascript. Javascript er små tilleggsprogramfiler som tar seg av en del av funksjonaliteten i tjenestene. Dersom du får melding om at Javascript er deaktivert, kan du endre dette gjennom et menyvalg som "innstillinger", "sikkerhet" e.l.

Spørreundersøkelser

NRF benytter SurveyExact som vårt verktøy for å gjennomføre undersøkelser og ulike typer valg. Det blir alltid informert om formålet med spørreundersøkelsen og hvorvidt den er anonym eller ikke.

Det er inngått databehandleravtale med SurveyExact AS.

Utlevering av personopplysninger til tredjeparter

NRF er en del av hovedorganisasjonen UNIO og vil i forbindelse med konfliktberedskap måtte overføre personopplysninger inn i en felles konflikthåndteringsløsning. Ansvaret for drift, vedlikehold og utvikling av denne løsningen er lagt til UNIO.

NRF tilbyr per i dag både obligatoriske, kollektive og individuelle forsikringsordninger til våre medlemmer og ansatte. Når det gjelder kollektive og individuelle forsikringene, så håndteres disse gjennom vårt forsikringskontor - Bafo. Det overføres derfor nødvendig medlemsinformasjon for å ivareta medlemmenes rettigheter i forhold forsikringsordningene. For de obligatoriske forsikringene overføres kun informasjon til forsikringskontoret for å identifisere medlemskap og reservasjoner fra ordningene.

Informasjon om medlemskapet videreformidles til medlemmets arbeidsgiver for å foreta kontingenttrekk dersom ikke medlemmet selv velger å betale kontingent direkte til forbundet.

Utover dette utleverer ikke NRF personopplysninger uten at det innhentes særskilt samtykke.

Håndtering av krav om innsyn, korrigering, begrensning av behandlinger og sletting av opplysninger

Retten til innsyn

Alle medlemmer, kursdeltakere, ansatte eller andre som er registrert i våre informasjonssystemer, har rett til innsyn i hvilke opplysninger vi behandler om den enkelte jf. Personvernforordningen artikkel 15. Dette innebærer at de har rett til nærmere informasjon om behandlingen og rett til å se og motta kopi av opplysninger som vi behandler om de. Retten til innsyn kan gjøres gjeldende ved henvendelse til nrf@radiograf.no.

Korrigering av personopplysninger

Personvernforordningens artikkel 16 og 19 gir personer som er registrert i våre informasjonssystemer rett til å få rettet og eller komplettert opplysninger. Henvendelser vedrørende dette kan gjøres ved henvendelse til nrf@radiograf.no.

Sletting

Personvernforordningens artikkel 17, 18, 19 og 21 åpner for en rett til sletting. Disse bestemmelsene angir at NRF ikke kan lagre identifiserbare opplysninger lenger enn det som er nødvendig for behandlingsformålet. NRF har definert ulike regler for sletting for ulike typer persondata og innsyn i dette eller krav om sletting kan sendes til nrf@radiograf.no. Som eksempel vil forsikringslovgivningen tilsi at personopplysninger om medlemmer og historisk forsikringsstatus må tas vare på for å kunne identifisere forsikringsrettighetene.

Krav til dataportabilitet

Personvernforordningens artikkel 20 angir at den som avgir personopplysninger har rett til å motta personopplysninger på et maskinformat. Henvendelser om dette kan rettes til nrf@radiograf.no.

Behandling av personopplysninger

Informasjonssikkerhet og medlemmenes personvern står høyt oppe på Radiografforbundets agenda, til beste for medlemmene.

Behandlingsansvarlig for personopplysningene som NRF behandler er Norsk Radiografforbund, org. nr. 958.664.222, ved Sekretariatsleder. Alle spørsmål du måtte ha om NRF sin behandling av personopplysninger kan rettes til NRF. Kontaktopplysninger finnes på denne siden.

NRF registrerer personopplysninger om våre medlemmer for at vi skal kunne gi rådgiving, juridisk bistand, kurs, oppfølging av tillitsvalgte/tillitsvalgts ordningen og den øvrige organisasjonen, medlemsmøter, opplæring og andre medlemsfordeler.

Det selges ikke personopplysninger til tredjepart, men formidling av enkelte opplysninger til samarbeidspartnere som vi har databehandler avtale med kan skje for å kunne gi informasjon om, og tilgang til, medlemsfordeler.

Informasjonssikkerhet er et samlebegrep som omfatter ulike aspekter, for eksempel: 

  • Opplysninger skal ikke komme på avveie 
  • Det skal ikke lagres sensitive opplysninger det ikke er saklig behov for
  • Uautoriserte skal ikke ha fysisk adgang til lokaler der sensitiv informasjon håndteres, eller få tilgang til slik elektronisk lagret informasjon
    Informasjon skal ikke kunne forandres uten autorisert tilgang
  • IT-systemer og infrastruktur skal legges opp slik at nedetid er lav 
  • Tilgang til systemer og informasjon gis kun til medarbeidere som har behov for det
  • Det skal være tatt i bruk rutiner for å håndtere uønskede hendelser
  • Medarbeidere som bruker informasjonssystemer skal ha tilstrekkelig kompetanse for å ivareta virksomhetens sikkerhetsbehov/krav

Personopplysninger er etter loven definert som opplysninger om:

  • Navn
  • Adresse
  • Telefonnummer
  • E-post
  • Fødselsnummer
  • Dynamisk ip-adresse
  • Mm.

Sensitive personopplysninger er etter loven definert som opplysninger om:

  • Rasemessig eller etnisk bakgrunn eller politisk, filosofisk eller religiøs oppfatning.
  • Opplysninger om at en person har vært mistenkt, siktet, tiltalt eller dømt for straffbar handling
  • Helseforhold
  • Seksuelle forhold
  • Medlemskap i fagforeninger
  • Mm.

Taushetsbelagte opplysninger (jf. straffeloven § 144) behandles på samme måte som sensitive personopplysninger.

Bruk av e-post

Da e-post ikke er en sikker informasjonskanal oppfordres medlemmene til å utvise forsiktighet med hensyn til å oppgi sensitive personopplysninger i e-postkommunikasjon med NRF. 

Medlemmer som søker råd og bistand fra sekretariatet i lønn- og arbeidsspørsmål, bør i størst mulig grad unngå å sende sensitive personopplysninger på e-post til sekretariatet. Andre kanaler, som brev og telefon, bør i stedet benyttes dersom det er nødvendig å oppgi slike opplysninger til NRF. Dersom medlemmet selv benytter e-post aksepterer vedkommende med dette at NRF også besvarer henvendelsen per e-post.

NRF bruker følgende standardformulering i all e-postkommunikasjon:

Denne e-posten med evt. vedlegg er kun beregnet for den angitte adressat. E-posten og evt. vedlegg kan inneholde taushetsbelagte opplysninger om privatpersoner. Dersom du ikke er rett mottaker, skal e-posten med vedlegg slettes snarest. Bruk eller videreformidling av opplysningene er ikke tillatt. I tilfelle feilsending av denne e-post, vennligst kontakt avsender snarest eller ring telefon 23 10 04 70

Informasjonskapsler/cookies

En informasjonskapsel, ofte kalt cookie, er en liten tekstfil som lastes ned og lagres på brukers datamaskin når brukeren åpner en nettside.  NRF bruker ikke cookies til å generere statistikk, og kan dermed ikke spore din bruk av nettstedet tilbake til deg som enkeltperson.

Nettbasert behandling av personopplysninger på https://www.radiograf.no

Sekretariatsleder har det daglige ansvaret for NRFs behandlinger av personopplysninger på radiograf.no med mindre annet er oppgitt under. Det er frivillig for de som besøker nettsidene å oppgi personopplysninger i forbindelse med tjenester som å motta nyhetsbrev. Behandlingsgrunnlaget er samtykke fra den enkelte, med mindre annet er spesifisert.

TU Media er NRFs totalleverandør for utvikling, drift og vedlikehold av nettsteder.

Opplysninger som samles inn i forbindelse med drift av nettsted, lagres på egne servere som driftes av leverandøren. Det er kun TU Media som har tilgang til opplysningene som samles inn. En egen databehandleravtale mellom NRF og TU Media regulerer hvilken informasjon leverandøren har tilgang til og hvordan den skal behandles.

Medlemssystem

I vårt medlemssystem registrerer vi ved innmelding navn, adresse, telefonnummer, e-postadresse og fødselsdato og personnummer. All trafikk fra innmeldingsskjemaet overføres kryptert (fra et nettsted med SSL-sertifikat).

Utover dette registreres autorisasjonsnummer, utdanningssted og stilling, arbeidsgiver, verv, kurs den enkelte deltar på og betalingshistorikk for medlemskontingent og obligatorisk forsikring.

Tilgang til hele medlemsregisteret har enkelte ansatte i forbundets sekretariat. Forbundets ansattes tilgang brukes i hovedsak for å bistå lokale tillitsvalgte og det enkelte medlem og holde oversikt over kontingentinnbetaling, sende informasjon, samt til å hente ut statistiske data. Tilgang til saksdokumenter har kun saksbehandlere.

Tillitsvalgte vil kun ha tilgang til opplysninger om registrerte medlemmer i egen avdeling/foretak/virksomhet.

Medlemmer har tilgang til kun sin egen informasjon med mulighet til å foreta endringer.

NRFs medlemslister er konfidensielle og utleveres aldri til andre enn de som har fått tilgang gjennom sitt verv eller engasjement i organisasjonen eller der det finnes gyldig overføringsgrunnlag, se nærmere under «Overføring av personopplysninger…».

Medlemsvekst AS er forbundets leverandør av medlemssystem. Det er inngått databehandleravtale med Medlemsvekst AS.

Personopplysninger som samles inn og behandles

NRF mottar og innhenter personopplysninger i forbindelse med de tjenester som NRF til enhver tid yter sine medlemmer og andre. NRF vil kun innhente personopplysninger i den utstrekning det er nødvendig for å yte tjenester og oppfylle plikter overfor medlemmer og andre. Personopplysninger vil i det vesentlige innhentes fra de registrerte selv, men kan i enkelte tilfeller også innhentes fra tredjeparter.

Formålet, samt grunnlaget, for å behandle personopplysninger, er avhengig av bakgrunnen for at opplysningene samles inn og behandles. NRF vil behandle personopplysninger i forbindelse med å oppfylle avtaler med sine medlemmer, og eventuelt andre (se Personvernforordningen Artikkel 6 nr. 1 bokstav b). NRF har også rettslige forpliktelser hvor det vil kunne være nødvendig å behandle personopplysninger, jf. Personvernforordningen artikkel 6 nr. 1 punkt c), eller for å utføre oppgaver i allmenhetens interesse, jf. Personvernforordningen artikkel 6 nr. 1 punkt e). I tilfelle hvor det ikke foreligger grunnlag for behandling som nevnt, vil grunnlag for behandling av personopplysninger basere seg på at behandlingen er nødvendig for formål knyttet til de berettigete interesser som forfølges av NRF, dersom ikke de grunnleggende rettighetene til de registrerte går foran, jf. Personvernforordningen artikkel 6 nr. 1 punkt f). Dersom det ikke foreligger andre grunnlag, eller det er usikkert om andre grunnlag er tilstrekkelig dekkende for behandlingen, vil behandlingen bli basert på samtykke fra de registrerte, jf. Personvernforordningen artikkel 6 nr. 1 punkt a).

Personopplysninger vil kun bli oppbevart og behandlet så lenge det er behov for å behandle personopplysningene, og opplysningene vil bli sikkert slettet så snart formålet for behandling ikke foreligger lenger.

Kontroll over informasjonen din - dine rettigheter som registrert

Du kan kontakte NRF når som helst for å få informasjon om hvordan NRF behandler personopplysninger om deg. Behandler NRF personopplysninger om deg, kan du enten få informasjon om opplysningene eller behandlingen, i den grad du ikke har tilgang på dette gjennom din side, se nedenfor, og få utlevert opplysningene om du krever det.

Vi vil imidlertid være sikre på at vi kun gir tilgang til dine personopplysninger til deg - og ikke noen som gir seg ut for å være deg - og vil derfor be deg om å bekrefte identiteten din eller å oppgi ytterligere informasjon før vi lar deg få tilgang til eller oppdatere personopplysningene.

Dersom du er medlem av NRF har du tilgang til det vesentlige av personopplysninger som behandles om deg gjennom dine sider ved å logge deg inn. På disse sidene kan du også oppdatere/korrigere opplysningene dine. Informasjon som ikke er tilgjengelig på dine sider, eller du ønsker informasjon av andre grunner, så kan du få innsyn i eller få oppdatert/korrigert gjennom å kontakte NRF (se kontaktopplysninger nedenfor).

For behandling av personopplysninger som er basert på samtykke, vil du ha mulighet til å trekke tilbake samtykket hvis du senere ikke ønsker at behandlingen skal fortsette. Dette vil enten kunne gjøres via dine sider, eller ved å kontakte NRF- avhengig av hvordan samtykket er innhentet. Hvis du trekker samtykke vil dette imidlertid kunne medføre at de tjenester som ytes eller behandling som skjer på grunnlag av samtykket, ikke vil kunne gjennomføres.

Hvis du ønsker å slette deler eller alle personopplysninger tilknyttet deg, hvis det er anledning til slik sletting, så kan det enten gjøres gjennom din side eller ved å kontakte NRF. Enkelte opplysninger må oppbevares over tid, også etter en eventuell utmelding. Dette gjelder f.eks. opplysninger som ivaretar deg i forhold til kurs du har gjennomført og forbundets obligatoriske forsikringsordninger.

Overføring av personopplysninger og bruk av databehandlere

NRF vil ikke overføre personopplysningene til tredjepart utover organisasjonen vedtatte samarbeidsparter, uten at det er informert om dette, og uten at det er nødvendig for å utføre organisasjonen vedtatte tjenester overfor medlemmer eller andre. En tredjepart får kun innsyn i opplysningene hvis dette er nødvendig for å utføre bestemte tjenester for oss, slik at vi kan yte organisasjonens vedtatte tjenester til medlemmer og andre.

NRF benytter seg av databehandlere for å behandle personopplysninger som for eksempel i tilknytning til leveranse av it-tjenester til forbundet. Det inngås avtaler/databehandleravtaler for å ivareta informasjonssikkerheten i slike tilfeller.

Klager

Du kan til enhver tid kontakte NRF dersom du har spørsmål eller henvendelser knyttet til behandling av dine personopplysninger. Dersom du mener at vår behandling av personopplysninger bryter med det som fremgår her eller personvernlovgivningen, herunder personopplysningsloven eller personvernforordningen (GDPR), så har du anledning til å klage til Datatilsynet. Du finner informasjon om hvordan kontakte Datatilsynet på Datatilsynets nettsider: www.datatilsynet.no.

Endringer

Det vil kunne være at denne informasjonen om behandling av personopplysninger vil bli endret fra tid til annen, bl.a. som følge av endringer i tjenester eller dersom det skjer endringer i regelverket om behandling av personopplysninger. Endres denne informasjonen, vil vi gjøre deg oppmerksom på dette på våre nettsider.

Veileder for informasjonssikkerhet for tillitsvalgte i Norsk Radiografforbund

NRF har utarbeidet en egen veileder i informasjonssikkerhet for de tillitsvalgte.