Behandlingsgrunnlag
Personvernforordningen stiller krav om at all behandling av personopplysninger skal ha et lovlig grunnlag. Dette kalles behandlingsgrunnlag. Det lovlige grunnlaget kan finnes i andre lover enn personvernforordningen. Behandlingsgrunnlaget skal dekke alle typer behandlinger av helse- og personopplysninger som utføres: innsamling, registrering, lagring, sletting, utlevering, mv.
Utgangspunktet for å kunne dokumentere helse- og personopplysninger i helse- og omsorgstjenesten, er at opplysningene er relevante og nødvendige for å kunne yte eller administrere helse- og omsorgstjenester. Dokumentasjon av opplysninger for andre formål, eller innenfor andre sektorer (f.eks. på skolen eller i barnevernet) må ha et annet behandlingsgrunnlag, enten i sektorlovgivningen eller direkte i personvernforordningen.
For mer veiledning om behandlingsgrunnlag, se Normens kapittel 4.1 Behandlingsgrunnlag. og Veileder for rettigheter ved behandling av helse- og personopplysninger. For mer om samtykke til helsehjelp se pasient- og brukerrettighetsloven med kommentarers kapittel 4,
Samtykke til bruk av portaler og applikasjoner
Enkelte helsevirksomheter har innloggingsportaler på sine nettsider hvor pasienten kan logge inn med sikker autentiseringsløsning (i praksis med Bank-ID eller MinID) for å få tilgang til timebestilling, reseptfornying, digital meldingsboks mm. Enkelte portaler kan også benyttes via applikasjon til smarttelefon.
Bruken av slike nettportaler/applikasjoner krever samtykke fra pasienten. Det er kun nødvendig å innhente samtykke til behandling av personopplysninger som er nødvendige for å bruke selve portalen eller plattformen. Eksempler på slike opplysninger kan være fødselsnummer, samtykker gitt av pasienten eller andre innstillinger som styrer bruk av plattformen, samt opplysninger som pasienten selv velger å registrere, slik som SMS-varsel mm. Samtykket bør skilles ut til de enkelte tjenestene som finnes i portalen/applikasjonen, slik at pasienten kan samtykke til å motta for eksempel påminnelser på e-post, men ikke på SMS.
Det er ikke nødvendig å innhente samtykke til behandlingen av helseopplysninger som gjøres tilgjengelig for pasienten via portalen, da dette er en rettslig plikt for helsetjenesten som faller inn under dokumentasjonsplikten.
Administrasjon av samtykket for bruk av plattformen eller portalen bør kunne gjøres i nettportalen/applikasjonen. Hvis ikke må pasienten informeres om hvor vedkommende skal henvende seg for å trekke sitt samtykke, for eksempel ved å kontakte helsevirksomheten. Dette bør det gis informasjon om til pasienten ved første gangs pålogging til tjenesten.
For mer informasjonen om kravene til samtykke og administrer Veileder for rettigheter ved behandling av helse- og personopplysninger.
Taushetsplikt
Personell som behandler helse- og personopplysninger i helse- og omsorgstjenesten, vil være underlagt regler om taushetsplikt. Dette bidrar til at den registrerte kan være trygg på at informasjonen ikke blir gitt videre til uvedkommende. Taushetsplikten gjelder også for personopplysninger som fremkommer i digital pasientkommunikasjon.
Virksomheten skal legge til rette for at alle medarbeidere til enhver tid er bevisst taushetspliktens innhold og omfang. Virksomheten skal sørge for praktiske løsninger, inkludert teknologiske, som gjør at taushetsplikten kan etterleves av medarbeiderne. Dette innebærer for eksempel rutiner for å sikre at informasjon kommer frem til rett mottaker, og at virksomheten etablerer tiltak for å forhindre at helse- og personopplysninger og annen informasjon med betydning for informasjonssikkerheten tilgjengeliggjøres ved hjelp av ukryptert e-post og SMS eller andre usikre kanaler.
Les mer om taushetsplikten generelt på temasidene for taushetsplikt og opplysningsplikt på Helsedirektoratets nettsider.
