Ved hendelser som innebærer brudd på personopplysningssikkerheten, er det egne regler om oppfølgingen.
Disse reglene inneholder blant annet regler om at det skal gis informasjon til berørte registrerte når det er høy risiko for deres rettigheter og friheter.
Virksomheten skal som hovedregel gi berørte registrerte følgende informasjon:
- Kontaktopplysningene til virksomhetens personvernombud eller annen kontaktperson
- De sannsynlige konsekvensene av bruddet på personopplysningssikkerheten
- En beskrivelse av tiltakene som virksomheten har iverksatt eller planlegger å iverksette for å redusere konsekvensene av bruddet
Et brudd på personopplysningssikkerheten kan føles sterkt belastende for den registrerte. Det kan derfor være nødvendig å gi den registrerte mer informasjon enn det virksomheten er pliktig til å utlevere for å ivareta den registrertes interesser.
Virksomheten kan likevel ikke gi informasjon som vil medføre brudd på helsepersonellets taushetsplik teller som kan gå på bekostning av andre registrertes personvern.
Informasjonen skal gis på en hensiktsmessig måte. Dette kan f.eks. skje per telefon eller per brev.
Selv om virksomheten ikke er pålagt å varsle de berørte kan det være gode grunner til å informere om avviket. Dette sikrer åpenhet, og kan bidra til at saken blir bedre håndtert f.eks. ved at feilsende opplysninger slettes og den berørte kan treffe egne sikkerhetstiltak.
Eksempel Pasient NN er 16 år og er innlagt på Normland sykehus. I forbindelse med en oppdatering av sykdomsbildet, skal sykehuset sende informasjon til de pårørende. Pasienten har samtykket til at denne informasjonen gis. Ved en feil sendes denne informasjonen til en rekke andre pårørende i tillegg til rett mottaker. Pårørende til NN får vite dette via andre som har mottatt informasjonen, da lokalsamfunnet er lite, og alle kjenner alle.
Pårørende til NN blir svært opprørte, og kontakter sykehuset for å få informasjon om det som har skjedd. Sykehuset har ikke oppdaget feilen, men tar affære og melder avviket til Datatilsynet. De vurderer avviket til å ikke være så alvorlig at det er nødvendig å varsle de registrerte.
De pårørende kontakter sykehusets personvernombud for å få bistand. De mener at de har rett på mer informasjon om det som har skjedd, og synes det er svært ubehagelig at andre i lokalsamfunnet har fått sensitiv informasjon om sønnen deres. De vil derfor, i tillegg til informasjon om avviket, ha kontaktinformasjon til de andre mottakerne.
Personvernombudet kontakter egen virksomhet og argumenterer for at de pårørende bør få varsel etter artikkel 34, da de allerede er kjent med at avviket har skjedd og hva slags informasjon som er på avveie. Videre er det et viktig å demonstrere at man tar hendelsen på alvor og at man gjør det man kan for å ivareta pasienten og de pårørende. I en ubehagelig situasjon som denne er det avgjørende at pårørende og NN føler at de blir sett og at deres ubehag ikke bagatelliseres. Personvernombudet anbefaler at virksomheten tar hensyn til dette i sin kontakt med NN og de pårørende. Ombudet mener likevel at man ikke kan gi ut informasjon om andre mottakere, da disse har en selvstendig rett til å få sitt personvern ivaretatt.
Hendelsen resulterer i at sykehuset gjør endringer i sine informasjonsrutiner, og heretter sender informasjon via andre kanaler der risikoen for feilsending vurderes å være mye lavere. Sykehuset følger opp NN og hans pårørende ved å kontakte de direkte og informere om rutineendringen, for å gjøre de trygge på at dette ikke vil skje igjen. |
