Virksomheten må sikre at det er mulig å ivareta den registres rettigheter ved bruk av skytjenester.
Virksomheten må i anskaffelsesprosessen stille krav til skyleverandøren som skal gjøre den i stand til å oppfylle både pasientrettigheter etter helselovgivingen og personvernrettighetene som følger av personvernforordningen.
Det må blant annet sikres at:
- Pasienten/brukeren sikres innsyn i alle opplysninger i behandlingsrettet helseregister. Dette gjelder også lydlogger, røntgenbilder, videoopptak etc.
- Pasientens/brukerens rettigheter til retting/sletting av helse- og personopplysninger ivaretas
- Pasienten eller brukeren har rett til å motsette seg at opplysninger utleveres eller tilgjengeliggjøres. Dette kan gjelde overføring eller tilgjengeliggjøring av opplysninger både til pasienten selv, til verger og /eller til helsepersonell
- Dersom krav om retting/sletting skjer manuelt av leverandøren eller på forespørsel fra dataansvarlig, må det avklares på forhånd hvem hos dataansvarlig som kan gi slik instruks, og hvordan det skal gjøres i praksis.
- Den registrerte kan få innsyn i den faktiske identiteten til mottakere(virksomheter) av deres personopplysninger, inkludert underleverandører. Den dataansvarlige har en plikt til å gi den registrerte, på forespørsel, den faktiske identiteten til mottakere av personopplysninger. Det er bare der det (ennå) ikke er mulig å identifisere disse mottakerne at dataansvarlig kan nøye seg med å angi hvilke kategorier av mottakere det gjelder. Et annet unntak er når anmodningen «åpenbart er grunnløs eller overdreven, jf. EU-domstolens dom C‑154/21 (curia.europa.eu).
Innsyn i logger skal som et minimum sikre at den registrerte får informasjon om minimum:
- Identiteten til helsepersonellet og organisatorisk tilhørighet til den som har hentet fram helseopplysninger
- Grunnlaget for tilgjengeliggjøringen
- Tidsperioden for tilgjengeliggjøringen.
For mer informasjon, se Veileder for rettigheter ved behandling av helse og personopplysninger.
