2.2. Noen utvalgte personvernområder

Personvernprinsippene

Personvernforordningen bygger på noen grunnleggende prinsipper som virksomheten må sørge for å ivareta når den behandler personopplysninger, se personvernforordningen artikkel.5. Prinsipper for behandling av personopplysninger(www.lovdata.no)

Dataansvarlig må sikre at egen virksomhet opptrer i henhold til personvernprinsippene.

Prinsippene gir uttrykk for både grunnleggende hensyn som personvernforordningen skal ivareta, og konkrete krav til hvordan personopplysninger skal behandles. Prinsippene er selvstendige regler som stiller krav til all behandling av personopplysninger. I tillegg skal de brukes i tolkningen av andre bestemmelser i forordningen og personvernbestemmelser i andre lover, herunder lover som regulerer behandling av personopplysninger i helse- og omsorgssektoren.

Personvernprinsippene består av:

• Prinsippene om lovlighet, rettferdighet og åpenhet
• Prinsippet om formålsbegrensning
• Prinsippet om dataminimering
• Prinsippet om riktighet
• Prinsippet om lagringsbegrensninger
• Prinsippet om integritet og konfidensialitet
• Prinsippet om ansvar

Les mer om i Normens faktaark om personvernprinisppene (faktaark 57).

Formål og behandlingsgrunnlag

Dataansvarlig skal alltid definere ett eller flere formål med behandlingen av helse- og personopplysninger. Formålene skal være spesifikke, uttrykkelig angitte og legitime, og de skal dokumenteres i virksomhetens protokoll over behandlingsaktiviteter.

Hvis helse- og personopplysningene skal brukes til andre formål enn de som virksomheten definerte før innsamlingen, så må denne behandlingen i utgangspunktet ha et eget behandlingsgrunnlag.

Helse- og personopplysninger kan bare behandles når det finnes et lovlig grunnlag for å behandle dem. I personvernforordningen kalles dette behandlingsgrunnlag. Hvert formål skal ha et eget behandlingsgrunnlag. Det er dataansvarlig som har ansvar for å etablere et lovlig grunnlag.

Det finnes seks ulike behandlingsgrunnlag som virksomheten kan velge mellom. Behandlingsgrunnlagene er

• samtykke
• nødvendig for å oppfylle en avtale
• nødvendig for å oppfylle en rettslig forpliktelse
• nødvendig for å verne om vitale interesser
• nødvendig for å utøve en oppgave i allmenhetens interesse eller utøve offentlig myndighet
• nødvendig for formål knyttet til en berettiget interesse.

Les mer i Normens faktaark om formål og behandlingsgrunnlag (faktaark 56)

De registrertes rettigheter

Både personvernlovgivingen og helselovgivningen gir rettigheter til pasienter og de registrerte. Ved behandling av helseopplysninger i forbindelse med helsehjelp gjelder personvernforordningen og personopplysningsloven så langt ikke noe annet følger av pasientjournalloven. I pasientjournalloven vises det til bestemmelser i helselovgivningen og personvernforordningen.

Les mer rettigheter i Normens veileder for rettigheter ved behandling av helse og personopplysninger

Databehandleravtalen skal blant annet pålegge leverandøren å bistå virksomheten i at den registrerte kan ivareta sine rettigheter. Dette skal sikre at leverandøren bidrar i ivaretakelsen av den registrertes rettigheter. Bistanden kan skje gjennom teknisk funksjonalitet eller annen praktisk bistand.

Databehandleravtalen eller tilhørende instrukser bør, beskrive hvordan leverandøren skal bistå i håndhevingen av en registrerts rettigheter. Virksomheten bør sørge for en tydelig ansvarsfordeling fra starten av, slik at henvendelser fra registrerte følges opp fortløpende. Virksomheten kan for eksempel spesifisere at leverandøren skal stå for innsamlingen av alle personopplysningene når virksomheten skal gi innsyn.

Innebygget personvern

Det er krav til at systemer og løsningen er utformet etter innebygget personvern (Privacy by design). Det går ut på å integrere personvern og personvernbeskyttende tiltak i systemets arkitektur og funksjonalitet fra start av. Dette sikrer at personvern blir en innebygd egenskap i løsningen.

Et viktig prinsipp innenfor Privacy by Design er dataminimering. Dette prinsippet handler om å begrense innsamlingen, bruket og lagringen av personopplysninger til det som er strengt nødvendig for det angitte formålet. Ved å redusere mengden personopplysninger som behandles, reduseres også risikoen for uautorisert tilgang eller misbruk av data.

Dataminimering innebærer å vurdere nøye hvilke typer personopplysninger som er nødvendige for å oppnå det ønskede formålet, og kun samle inn og behandle disse spesifikke opplysningene. Dette kan oppnås ved å implementere tekniske og organisatoriske tiltak som begrenser datainnsamlingen.

Taushetsplikt om helse og personopplysninger

Alle pasienter og brukere av helse- og omsorgstjenester har rett til vern mot spredning av opplysninger om personlige og helsemessige forhold.

Det er flere lovbestemmelser som regulerer dette og som har betydning for leverandørs taushetsplikt. Noen av disse er

• helsepersonelloven § 21 Hovedregel om taushetsplikt (lovdata.no)(helsepersonells taushetsplikt)
• spesialisthelsetjenesteloven § 6-1 Taushetsplikt (lovdata.no) (alle som utfører tjeneste for helseinstitusjon som omfattes av loven har taushetsplikt etter forvaltningsloven § 13 (taushetsplikt) (www.lovdata.no))
• pasientjournalloven § 15 Taushetsplikt (lovdata.no)(alle som behandler helseopplysninger etter denne lov har taushetsplikt)
• forvaltningsloven § 13 (taushetsplikt) (lovdata.no) (enhver som utfører tjeneste for et forvaltningsorgan å hindre at andre får kjennskap til det han gjennom tjenesten får vite om noens personlige forhold og om tekniske innretninger, fremgangsmåter og forretningsforhold av konkurransemessig betydning)

Helsepersonells taushetsplikt innebærer både en plikt til å tie og en aktiv plikt til å hindre at uvedkommende får tilgang til taushetsbelagt informasjon. Virksomheter i helse- og omsorgstjenesten har et ansvar for å tilrettelegge arbeidet på en slik måte at helsepersonell reelt kan overholde taushetsplikten. Virksomheten skal sørge for at alt personell som gis tilgang til helse- og personopplysninger og annen informasjon underlagt taushetsplikt, er kjent med sin taushetsplikt.

Virksomheten skal legge til rette for at personellet ivaretar taushetsplikten. Dette bør minst sikres gjennom

• tilgangsstyring, logging og etterfølgende kontroll
• sikring av informasjonssystemer
• rutiner, opplæring og informasjon
• utforming av fysiske lokaler

Normen sier at en leverandør kan håndtere helse- og personopplysninger enten ved behandling på vegne av den dataansvarlige, ved tjenesteutsetting eller ved at det ytes f.eks. vedlikeholdstjenester som innebærer at leverandørens ansatte kan eksponeres for taushetsbelagt informasjon.

Normen sier videre at leverandøren skal forsikre at de har rutiner som pålegger alle medarbeidere taushetsplikt om helse- og personopplysninger og annen taushetsbelagt informasjon. Leverandøren kan selv administrere og oppbevare taushetserklæringer for eget personell, men den dataansvarlige skal sikres innsyn ved behov. 

En annen aktuell taushetsplikt, som vi ikke omtaler her, er kundens taushetsplikt i anskaffelser. For offentlige anskaffelser har DFØ god veiledning, se fagsider om offentlige anskaffelser (anskaffelser.no).