Personvern i små helsevirksomheter (artikkel)

For å gi god og forsvarlig helsehjelp er det nødvendig å håndtere store mengder personopplysninger om enkeltindivider. Disse opplysningene omhandler ofte personlige og sensitive forhold og er avgjørende for helsehjelpens kvalitet. 

Å behandle disse personopplysningene om pasienter og brukere på en trygg måte, er avgjørende for å sikre tillit. Helsetjenesten er avhengig av tillit fra både pasienter, brukere, helsepersonell og befolkningen for øvrig. Pasienter, brukere og pårørende må ha tillit for å våge å gi helsetjenesten sine personopplysninger, av og til svært intim og personlig informasjon. Uten disse kan vi ikke gi helsehjelp av god kvalitet. 

Personopplysninger må være:

• korrekte, oppdaterte og fullstendige
• tilgjengelige for de som har et tjenstlig behov
• utilgjengelige for de som ikke har et tjenstlig behov 

EUs nye personvernforordning ble norsk lov i 2018. Dette nye regelverket styrker rettighetene til de registrerte (de personene det behandles personopplysninger om). Dette er i stor grad overlappende med pasientens rettigheter i pasient- og brukerrettighetsloven. Alle som skal behandle personopplysninger må ha forskjellige tiltak for å kunne oppfylle disse rettighetene. Tiltakene kan f.eks. gå ut på å oppdatere rutiner, gi innsyn, slette eldre personopplysninger, gi ansatte opplæring i personvern og ha god IT-sikkerhet.

Under finner du en oversikt over områder som små virkshomheter må kjenne til når de skal arbeide med personopplysninger.

Oversikt over og kontroll med personopplysningene

Alle virksomheter må ha oversikt over hvilke personopplysninger som behandles. Dette er viktig bl.a. for å ha kontroll på om virksomheten faktisk har lov til å behandle opplysningene og for å kunne vise at den har tiltak som er hensiktsmessige for å ivareta det ansvaret virksomheten har. 

Virksomheten er juridisk ansvarlig for sin behandling av personopplysninger, og helselovgivningen benytter begrepet «dataansvarlig» for å beskrive dette ansvaret. I praksis vil det overordnede dataansvaret gjerne tilfalle daglig leder på samme måte som andre typer lederansvar. I en liten helsevirksomhet vil en dataansvarlig for eksempel være daglig leder av en psykologpraksis, eller den ene av to fastleger på det lokale fastlegekontoret.

Oversikt

Som et ledd i å holde oversikt og kontroll med personopplysningene krever loven at virksomheten har en skriftlig oversikt. I personopplysningsloven kalles dette "Protokoll over behandlingsaktiviteter". Oversikten skal inneholde en del faste punkter. Les mer om dette i Normens faktaark om protokoll.

Det finnes gode maler å bruke for oversikten. Normens mal finner du her og Datatilsynets mal finner du her (datatilsynet.no). Oversikten skal oppdateres når det skjer endringer, og virksomheten bør gå gjennom den minst årlig for å kontrollere at den er á jour.

Behandlingen må være lovlig

De fleste personopplysningene små virksomheter i sektoren behandler vil være lovpålagte behandlinger som følge av helsepersonellovens plikt til å føre journal. Personopplysningsloven fremhever seks ulike grunnlag som det kan behandles opplysninger på. Dette kalles rettslig grunnlag. Virksomhetens behandling av personopplysninger må passe inn under ett av disse for å være lovlig. 

• Dersom det er nødvendig for å oppfylle en rettslig forpliktelse (at det er lovpålagt å behandle opplysningene, som plikten til å føre journal etter pasientjournalloven)
• Ved samtykke (at den registrerte gir virksomheten lov til å behandle opplysningene)
• Dersom det er nødvendig for å oppfylle en avtale den registrerte er en part i (for eksempel opplysninger om ansatte for å oppfylle arbeidsavtalen)
• For å verne den registrerte eller en annen persons vitale interesser (dette kan omfatte helseopplysninger i tilfeller der det handler om overlevelse, for eksempel dersom en person er bevisstløs og ute av stand til å samtykke)
• For å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet (dette kan omfatte noen aktiviteter innen folkehelse og forskning)
• Dersom det er nødvendig for formål knyttet til den dataansvarliges berettigede interesse (som å føre kunderegister i en virksomhet der de registrerte er kunder)

Det er viktig å finne ut hvorvidt det behandles opplysninger som ikke dekkes av punktene. Dersom virksomheten behandler personopplysninger den ikke har lov til å behandle, må disse slettes og/eller den ulovlige behandlingen opphøre. For å unngå feilslettinger kan det være nyttig å søke råd før sletting av opplysninger om er av betydning for virksomheten/ pasient eller bruker. 

Informasjon til pasient/bruker

Når virksomheten samler inn personopplysninger fra pasienter og brukere skal det etter loven gis informasjon om hvordan opplysningene skal behandles. Dette inkluderer informasjon om hvem som er dataansvarlig, hva som er det rettslige grunnlaget for behandlingen, hvorvidt opplysningene leveres videre til tredjeparter og hvor lenge de vil lagres. Det skal også opplyses om hvilke tiltak virksomheten har for å beskytte personopplysningene, så lenge åpenhet om dette ikke svekker sikkerheten.

Rettighetene til pasientene og brukerne etter personvernlovgivningen skal også beskrives, som retten til innsyn i egne personopplysninger, samt rettigheten om retting eller sletting av mangelfulle eller uriktige opplysninger. Det skal oppgis kontaktinformasjon og eventuelt skjema for å be om innsyn, retting eller sletting, slik at pasienter og brukere enkelt kan ta kontakt ved behov. 

Informasjonen kan gis som en personvernerklæring på nettsted, plakat på venterom, brosjyre, informasjonsskriv sammen med samtykke, eller på annen hensiktsmessig måte. 

Beskyttelse av personopplysningene 

Personopplysningene som behandles skal beskyttes. Det er den dataansvarlige som har det overordnede ansvaret for at virksomheten har god nok sikkerhet.

Hva er godt nok?

Personopplysningsloven sier at virksomhetene skal ha "egnede organisatoriske og tekniske sikkerhetstiltak" for å hindre brudd på sikkerheten. Personopplysningsloven definerer brudd som utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger.

Dette betyr at virksomheten må ha gode nok sikkerhetstiltak som passer til sin størrelse, organisering, drift og egenskapene til personopplysningene. Tiltak kan være tekniske (f.eks. antivirus) og organisatoriske (f.eks. rutiner og opplæring).

For å finne ut hvilke tiltak som passer og er gode nok, må virksomheten tenke på hvilken risiko personopplysningene er utsatt for. Skal virksomheten for eksempel ta i bruk et nytt pasientjournalsystem må den vurdere risikoen dette innebærer og hvilke tiltak som bør implementeres for å redusere risikoen. 

Systematisk arbeid

Virksomheten må ha tilfredsstillende internkontrollsystemer som også omhandler personvern. Med internkontrollsystem menes her systematisk tilnærming og rutiner for kontinuerlig forbedring. Dette kan med fordel gjøres på samme systematiske vis som forbedringsarbeid innen pasientsikkerhet og lignende. 

Den dataansvarlige må ha en plan for hvordan følge opp at rutiner som er etablert følges og hva som må gjøres dersom de ikke følges. I praksis kan dette blant annet gjøres ved å gjøre stikkprøver i tilgangsloggen for journaler, ved å spørre kolleger hvordan en gitt prosess utføres, eller ved å følge opp om leverandører etterlever databehandleravtalen. Dataansvarlig skal sørge for at det på årlig basis gjennomgås hva som har skjedd av sikkerhetshendelser og avvik, og hvorvidt det er behov for å endre noen av prosedyrene. Dette kan ha form som en samtale i kollegiet, og skal dokumenteres.

Les mer om hvilke dokumenter og rutiner et internkontrollsystem skal inneholde i Normen. Det vil utvikles ytterligere veiledning med tilhørende maler for internkontroll i løpet av 2019. Det finnes også IT-verktøy som er tilpasset små virksomheter for dette formålet.

Varsling ved avvik

Avvik innen personvern er et avvik som utgjør brudd på personopplysningssikkerheten. Det kan være brudd på prosedyrer av alle slag, både tilsiktet (som et datavirusangrep eller snoking i journal) og utilsiktet (som å gi et brev med personopplysninger om én bruker til en annen ved et uhell). 

Normens faktaark om avvik finner du her.

Virksomheten er ansvarlig for å melde avvik som utgjør et brudd på personopplysningssikkerheten til Datatilsynet innen 72 timer. Unntak fra dette gjelder hvis det er usannsynlig at avviket medfører en risiko for enkeltpersoners rettigheter eller personvern. Dette unntaket vil sjelden eller aldri gjelde helseopplysninger. 

Det er viktig at alle i virksomheten, inkludert administrativt personell, er kjent med hvordan man melder avvik og hvem man melder til. Alle avvik skal dokumenteres. Om virksomheten allerede har et avvikssystem vil det være hensiktsmessig å benytte dette også på personvernområdet. 

I enkelte tilfeller skal også den registrerte varsles. Les mer om dette og avviksrapportering til Datatilsynet her (datatilsynet.no).

Databehandlere og leverandører

En databehandler er noen som behandler personopplysninger på vegne av virksomheten (den dataansvarlige). Dersom en annen virksomhet behandler personopplysninger som du har samlet inn fra pasienter og brukere på dine vegne, er de en databehandler. Dette gjelder for eksempel dersom helsevirksomheten lagrer helseopplysninger om pasienter hos noen andre, for eksempel et pasientjournalsystem i sky eller et pasientjournalsystem som driftes hos leverandør. 

Avtalen som skal inngås mellom dataansvarlig og databehandler kalles en databehandleravtale. Denne kan enten være en del av et større avtaleverk, eller en enkeltstående skriftlig avtale. Hensikten med en slik avtale er å sikre at personopplysningene blir behandlet i samsvar med regelverket og sette en klar ramme for hvordan databehandleren kan behandle opplysningene. 

Normen anbefaler Direktoratet for e-helse sin mal for databehandleravtale.

Databehandleren skal bare behandle personopplysninger i tråd med det som er avtalt med dataansvarlig. Databehandleren har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet for å verne personopplysningene som behandles på vegne av den som er dataansvarlig. Du kan ikke inngå avtale med en databehandler som ikke kan garantere for at de vil gjennomføre passende sikkerhetstiltak.

Mer informasjon og veiledning

Norm for informasjonssikkerhet og personvern (Normen) er et sett med krav utledet av lovverket som er vedtatt av sektoren i fellesskap.

I tilknytning til Normen er det mye nyttig veiledningsmateriell. Normen har veiledere for flere av de små virksomhetene.

Veiledningsmateriellet for små virksomheter er nå under oppdatering. Dette gjøres i samarbeid med profesjonsorganisasjonene, praktikere og leverandører. 

Mer veiledning finnes også på datatilsynet.no, norsis.no og hos de enkelte profesjonsorganisasjonene.

Små helsevirksomheter

I denne artikkelen brukes dette begrepet om mindre virksomheter som yter helsehjelp.

For eksempel: Legekontor, fysioterapeuter, psykologer, tannleger.

Alle virksomheter skal ha tiltak som passer til sin størrelse og til kompleksiteten av sin behandling av personopplysninger.

Personopplysninger

En personopplysning er enhver opplysning om en identifisert eller identifiserbar person.

For eksempel: Navn, personnummer, telefonnummer og adresse.

Behandling av personopplysninger inkluderer alt som gjøres med disse, inkludert innsamling, oppbevaring, tilgjengeliggjøring, bruk, endring, utlevering og tilintetgjøring.