Kommunen skal alltid vurdere hvilke konsekvenser behandling av helse- og personopplysninger medfører for den registrerte. Kommunen skal dokumentere lovligheten av behandlingen, formålet, hvordan personvernet til den registrerte er ivaretatt, og at det er gjort tilstrekkelige tiltak for å håndtere risikoen. Hvis det da er sannsynlig at en behandling medfører høy risiko for de registrerte, skal kommunen gjennomføre en mer grundig personvernkonsekvensvurdering, også kalt DPIA.
Bruk av velferdsteknologi i helse og omsorg er en aktivitet som kan medføre høy risiko for de registrertes rettigheter og friheter. Særlig vil følgende aktiviteter i behandling føre til at kommunen må gjennomføre DPIA:
- Systematisk monitorering som innføring av digitalt tilsyn, GPS klokker og annen sporingsteknologi.
- Når helseopplysninger behandles i stor skala
- Ny teknologi
- Barn og andre sårbare grupper
Ikke all velferdsteknologi vil medføre høy risiko for den registrertes rettigheter og friheter. I vurderingen av dette så kan det være aktuelt å vurdere
- omfang av personopplysninger
- personopplysningenes art (hvem opplysningene gjelder, sensitivitet osv.)
- kategorier av mottakere (deling, utlevering, innsyn osv.)
- kategorier av behandlinger (innsamling, sammenstilling, lagring osv.)
Vurderinger av personvernkonsekvenser vil bero på en helhetsvurdering hvor en må ta stilling til kategorier av personopplysninger, behandlinger, mottakere, formålet og sammenhengen opplysningene behandles i. Om kommunen gjør denne helhetsvurderingen basert på punktene over kan kommunene komme frem til gode avgjørelser.
Dersom kommunen kommer frem til at det ikke er behov for å gjennomføre en full DPIA, må dette dokumenteres og være saklig begrunnet.
Løsninger som i utgangspunktet ikke vil være høy risiko for den registrertes rettigheter og friheter:
- Teknologi som ikke behandler helse- og personopplysninger
- Forbrukerteknologi som pasienten/ brukeren selv tar i bruk
- Teknologi som ikke kobles til nettverk
- Stille sykesignalanlegg
Eksempel – elektronisk medisineringsstøtte Normland kommune skal implementere elektronisk medisineringsstøtte. Medisindispenseren plasseres hjemme hos brukerne hvor et fjernpleiesystem gjør det mulig for ansatte å sjekke om pasienten/brukeren har tatt medisinene som de skal.
Normland kommune gjør flere vurderinger (bl.a. risikovurdering, helsefaglige vurderinger) for å sikre at løsningen ivaretar krav til informasjonssikkerhet og personvern. De vurderer konsekvensene for personvernet til pasienten/ brukeren, om de har behandlingsgrunnlag og et klart formål og om det er nødvendig og gjennomføre en DPIA etter personvernforordningen artikkel 35. Kommunen gjennomfører den overordnende vurderingen. De vurderer at:
På bakgrunn av vurderingen inngår de en dekkende databehandleravtale og konkluderer med at det ikke er behov for å gjennomføre en DPIA etter artikkel 35. |
Det finnes mange ulike verktøy og maler for gjennomføring av DPIA. Direktoratet for e-helse har utarbeidet en mal som kan benyttes for større prosjekter i kommunen.
Bærum kommune har utarbeidet en mal som kan benyttes i kommunens arbeid med DPIA (kins.no).