Personvernforordningens prinsipp om riktighet fastslår at personopplysninger skal være korrekte og oppdaterte. Dersom virksomheten oppdager at personopplysninger ikke er korrekte, må de rettes eller slettes på virksomhetens eget initiativ og uten opphold. Den registrerte har i tillegg en rett til å be om retting etter personvernforordningen artikkel 16. Den registrerte har også denne retten når hennes personopplysninger behandles i helseforskning, behandlingsrettede helseregistre og andre helseregistre. I lovgivningen som regulerer disse områdene, er det lagt inn henvisninger til rettigheten i personvernforordningen. Retten til å kreve retting er nærmere beskrevet i veileder for rettigheter ved behandling av helse- og personopplysninger, kapittel 5 Retten til retting.
Prinsippet om riktighet handler om å sørge for at opplysningene man behandler er riktige og holdes oppdaterte underveis i behandlingen dersom dette er i tråd med formålet de behandles for.
For å etterleve dette prinsippet må virksomheten sette inn tiltak for å sikre personopplysningenes riktighet. Eksempler på tiltak kan være rutiner for å sørge for at registre og pasientjournal holdes oppdatert, å sjekke kontaktlister opp mot folkeregisteret, eller å be pasienter om å bekrefte at kontaktinformasjon er korrekt og fullstendig. En praktisk måte å sikre opplysningenes riktighet på, er å gi registrerte en mulighet til å få innsyn i opplysningene om seg selv, og deretter kunne kreve retting eller sletting. På helsenorge.no har for eksempel pasienter en mulighet til å få innsyn i egne pasientjournaler. Prinsippet bør ses i sammenheng med retten til innsyn i Artikkel 15. Se mer om denne rettigheten i veileder for rettigheter ved behandling av helse- og personopplysninger, kapittel 4 Retten til innsyn.
Risikoen for at opplysninger blir feil og utdaterte øker dersom helsepersonell har flere systemer å registrere de samme helseopplysninger i. Tiltak for å sikre at dette ikke skjer kan også være et utslag av prinsippet om riktighet.
I likhet med dataminimeringsprinsippet vil dette prinsippet også slå ut forskjellig i enkelte tilfeller. Retten til å kreve retting er begrenset i helse- og omsorgssektoren fordi helsepersonell er underlagt en dokumentasjonsplikt, som skal sikre at visse opplysninger er etterviselige og kontrollerbare. Det er naturligvis av stor betydning at personopplysninger er korrekte når det ytes helsehjelp, men plikten til å rette sammenholdt med dokumentasjonsplikten kan for eksempel innebære at virksomheten må supplere opplysningene med nye, fremfor å erstatte opplysningene. Det vil blant annet være forskjell på tilfeller hvor det dreier seg om rene faktaopplysninger eller om det dreier seg om skjønnsmessige vurderinger.
Eksempel 8 - personopplysningers riktighet
NN (38) har bedt om innsyn i sin pasientjournal hos fastlegen. Når NN går gjennom journalen, ser hun at fastlegen har oppført en uriktig opplysning i journalen. I forbindelse med behandling av en betennelse i NNs ankel, har fastlegen ført opp at NN brakk det samme benet da hun var syv år gammel. Dette stemmer ikke, for NN var 37 år gammel da dette skjedde. NN tar kontakt med fastlegen og ber om å få rettet denne opplysningen. For fastlegen er det viktig å dokumentere hvilken informasjon han tok utgangspunkt i da han behandlet betennelsen i ankelen. Han kan derfor ikke erstatte den uriktige opplysningen med den riktige opplysningen. For å ivareta pasientsikkerheten og sikre riktig medisinsk behandling fremover, samt ivareta prinsippet om riktighet, legger fastlegen til en kommentar til oppføringen. Her skriver han at det er en feil i oppføringen, og at pasienten i realiteten var 37 år gammel da bruddet i benet oppsto.
Eksempel 9 - personopplysningers riktighet
Kvinneklinikken ved Normsund sykehus behandler til enhver tid en rekke pasienter med magesmerter i sine polikliniske avdelinger. Ettersom magesmerter er et symptom som kan oppstå av mange forskjellige årsaker, og det i mange tilfeller kan være utfordrende å stille en diagnose, velger Normsund sykehus å opprette et internt kvalitetsregister etter Helsepersonellovens § 26 for oppfølgingen av disse pasientene. Normsund sykehus definerer formålet som kvalitetssikring av det diagnostiske arbeidet med disse pasientene og sikring av at pasientene er gitt tilstrekkelig oppfølging. I forbindelse med opprettingen av kvalitetsregisteret, så utarbeider sykehuset en integrasjon mellom det elektroniske pasientjournalsystemet og kvalitetsregisteret. Integrasjonen gjør at alle nye pasienter som er aktuelle for registeret automatisk føres opp i registeret, og at pasientjournalen fra pasientens første konsultasjon importeres til registeret. Sykehuset glemmer imidlertid å etablere funksjonalitet som sikrer at kvalitetsregisteret oppdateres etter hvert som pasientjournalen oppdateres. Dette gjør at kvalitetsregisteret mangler informasjon fra senere konsultasjoner og medisinsk behandling som pasienten mottar på klinikken. Personopplysningene i kvalitetsregisteret oppdateres ikke, og de vil i flere tilfeller være ufullstendige eller uriktige. Sykehuset har derfor brutt prinsippet om riktighet. I dette eksempelet går hensynet til pasientsikkerheten hånd i hånd med personvernprinsippet, ettersom riktige opplysninger også er nødvendig for forsvarlig helsehjelp.
Eksempel 10 - personopplysningers riktighet
NN ligger klar til MR av lumbalcolumna med kontrast. NN blir forklart at det skal gis kontrast pga. operasjonen han har hatt i ryggen. NN sier at han aldri er operert i ryggen. Det viser seg at henvisningsopplysningene er lagt inn på feil pasient. Henvisningen er skannet inn, og på denne henvisningen er det et annet navn og fødselsnummer. Manglende kontroll i samspill mellom manuelle og teknologiske prosesser fører til feil i pasientjournalen.
Avviket må håndteres, dokumenteres, rapporteres og meldes til tilsynsmyndighetene i tråd med Normsorg sine rutiner og det bør vurderes hvilke tiltak (tekniske/og eller organisatoriske) som skal iverksettes for å lukke avviket og hindre at tilsvarende feil kan skje igjen. Avviket ved Normland kan tyde på at de har utfordringer med kvalitetssikringen av informasjonen de er avhengige av, inkludert personopplysningenes riktighet, og at dette ikke i tilstrekkelig grad har blitt håndtert i form av nye og bedre rutiner.
