Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

3.3. Retten til informasjon etter personvernlovgivingen

Når skal informasjonen bli gitt?

Virksomheten har en plikt til å gi informasjon både på eget initiativ og etter forespørsel fra den registrerte, i tråd med personvernforordningen artikkel 13 nr. 1 og artikkel 14 nr. 1. Hvilke frister som gjelder, avhenger av om opplysningene er samlet inn fra den registrerte selv eller fra en annen kilde.

Opplysninger som samles inn fra den registrerte

I tilfeller der opplysningene samles inn fra den registrerte selv, skal informasjonen gis før eller samtidig med innsamlingen, i tråd med personvernforordningen artikkel 13 nr. 1. Dersom personopplysningene samles inn via et registreringsskjema som den registrerte fyller ut, kan informasjonen gis i et vedlegg til skjemaet.

Opplysninger som samles inn fra andre enn den registrerte

Når personopplysningene samles inn fra noen andre enn den registrerte, skal virksomheten gi informasjonen innen rimelig tid, og aldri senere enn en måned etter innsamlingen, i tråd med personvernforordningen artikkel 14 nr. 3 bokstav a. Hva som regnes som rimelig tid, må vurderes ut fra hver enkelt situasjon. Jo mer inngripende eller virkningsfull behandlingen av personopplysningene er for de registrerte, desto raskere skal informasjonen gis, slik det fremgår av Datatilsynets veileder «Informasjon og åpenhet» punkt 3.

Hvis personopplysningene skal brukes til å kommunisere med en registrert, skal informasjonen senest gis når virksomheten kommuniserer med den registrerte for første gang, i tråd med personvernforordningen artikkel 14 nr. 3 bokstav b. Dersom personopplysningene skal utleveres til en mottaker, må informasjonen senest gis når opplysningene utleveres for første gang, i tråd med personvernforordningen artikkel 14 nr. 3 bokstav c.

Informasjonsplikt gjennom hele behandlingen

Noen ganger må virksomheten gi den registrerte informasjon om behandlingen av personopplysninger underveis i behandlingen. Virksomheten bør kjenne til følgende tilfeller:

  • Virksomheten skal gi informasjon når virksomheten viderebehandler personopplysninger for nye formål.
  • Virksomheten skal gi informasjon når den registrerte ber om innsyn.
  • Virksomheten skal gi informasjon i visse tilfeller av brudd på personopplysningssikkerheten.

Virksomheten bør sørge for at informasjonen er tilgjengelig for den registrerte til enhver tid. Hvis det gjøres endringer i virksomhetens informasjon om behandling av personopplysninger, som for eksempel i en personvernerklæring, bør endringene synliggjøres for den registrerte, i tråd med Datatilsynets veileder «Informasjon og åpenhet» punkt 2.

Hvordan skal informasjon gis?

Virksomheten må gi informasjon om behandling av personopplysninger, men virksomheten har ingen plikt til å sikre at den registrerte har tilegnet seg informasjonen.
Hensikten med informasjonsplikten er å sette den registrerte i stand til å forstå behandlingen av personopplysninger om seg selv. Hvordan informasjonen skal gis og på hvilket nivå vil derfor kunne variere.

Virksomheten må selv vurdere hvordan informasjonen skal gis til den registrerte. Personvernforordningen sier lite om hvilke metoder virksomheten bør eller kan benytte, men den gir noen føringer som virksomheten må følge.

Informasjonen bør være skriftlig

Informasjonen bør i utgangspunktet gis skriftlig, i tråd med personvernforordningen artikkel 12 nr. 1, men den kan også gis på andre måter. Virksomheten kan for eksempel bruke hjemmesider, videoer, skjemaer og illustrasjoner, men informasjonen bør samtidig være tilgjengelig skriftlig, slik det fremgår av Datatilsynets veileder «Informasjon og åpenhet» punkt 3.

Hvis den registrerte spør om det, kan informasjonen også gis muntlig, i tråd med personvernforordningen artikkel 12 nr. 1. Dette betyr at helsepersonell kan besvare spørsmål om behandlingen av personopplysninger muntlig der og da. Helsepersonellet bør imidlertid dokumentere at informasjon ble gitt, og hva som ble sagt, slik det anbefales i Datatilsynets veileder «Informasjon og åpenhet» punkt 4.

Informasjonen skal være kortfattet, enkel og tilgjengelig

Informasjonen må gis på en kortfattet og enkel måte. Virksomheten har ingen plikt til å utforme informasjon individuelt til hver registrert. Informasjonen kan derfor være rettet mot, og gjøres tilgjengelig for en gruppe registrerte.

Virksomheten må bruke klarspråk, og unngå juridiske formuleringer og annet avansert språk. Det bør gis en forklaring på eventuelle faguttrykk, herunder medisinske eller juridiske uttrykk som virksomheten må bruke. Dette gjelder særlig når informasjonen retter seg mot barn og andre sårbare grupper.

Helselovgivningen stiller strenge krav til hvordan informasjon om helsehjelpen skal tilpasses pasientens forutsetninger. Informasjonen skal blant annet tilpasses kultur- og språkbakgrunn, og helsepersonellet må forsikre seg om at mottakeren har forstått innholdet og betydningen av informasjonen.

Personvernforordningen stiler ikke like tydelige krav til hvordan virksomheten skal tilpasse informasjon om behandlingen av opplysninger. Virksomheten har imidlertid et særlig ansvar når den behandler helseopplysninger som kan oppleves som spesielt sensitive.

Dette kan tilsi at virksomheter i helse- og omsorgssektoren bør ta slike hensyn når den gir informasjon om behandlingen av opplysninger også.

Virksomheten er pålagt å gi den registrerte mye informasjon om behandlingen av personopplysninger. Virksomheten kan benytte ulike virkemidler for å gjøre tekst lettlest og oversiktlig for leseren. Virksomheten kan for eksempel bruke tydelige overskrifter, ikoner eller interaktive funksjoner.

For å sørge for at leseren får med seg de viktigste aspektene, kan virksomheten gi informasjonen lagvis. Det vil si at virksomheten presenterer den viktigste informasjonen først, og deretter annen informasjon.

Det anbefales alltid å presentere den viktigste informasjonen øverst når informasjon gis skriftlig. Behandlingens formål, virksomhetens kontaktinformasjon og registrertes rettigheter vil alltid være viktig. Virksomheten må vurdere om det er andre forhold som også er viktige for den konkrete behandlingen det skal gis informasjon om.

Selv om informasjonen gis lagvis, bør all informasjon om behandlingen av personopplysninger være tilgjengelig på ett sted. Hvis virksomheten har en nettside eller et system som den registrerte bruker, så kan slik informasjon gis i en personvernerklæring som finnes der.

Hvilke metoder kan benyttes for å gi informasjonen?

Informasjonen om behandlingen av personopplysninger må gis på en måte som er egnet til å sikre at den registrerte mottar informasjonen.

Virksomheten kan bruke metoden den mener er best egnet for å sikre dette, men den bør innebære aktive grep. Virksomheten må selv vurdere hvor aktiv den skal være når den gir informasjonen. I vurderingen bør virksomheten ta hensyn til den aktuelle behandlingen og hva den registrerte kan forvente.

Virksomheten må huske på at den registrerte skal gis mulighet til å benytte seg av andre rettigheter, for eksempel retten til innsyn eller sletting.

Hvis personopplysninger for eksempel blir samlet inn fra andre enn den registrerte, er behandlingen mer uforventet enn om den registrerte selv gir fra seg opplysningene. I slike tilfeller kan det derfor være nødvendig å ta direkte kontakt med den registrerte for å gi informasjonen.

Videre bør virksomheten også vurdere hvem den registrerte er, og hvilken situasjon hun står i. I en situasjon hvor en pasient er i kontakt med helsetjenesten for å få helsehjelp, er det ofte helsehjelpen som er viktigst for den registrerte. Kontakten med helsetjenesten må derfor ikke overskygges av informasjon om hvordan virksomheten behandler personopplysninger.

Virksomheten kan gi all informasjon direkte til den registrerte, for eksempel ved å dele ut et informasjonsskriv eller en brosjyre. Virksomheten kan imidlertid også gi den registrerte en henvisning til et sted hvor informasjonen finnes.

Dette kan være et skilt som henviser til en personvernerklæring på en nettside, eller en informasjonstekst i et elektronisk registreringsskjema som henviser til og linker et personvernkontrollpanel.

Eksempel 
Normland fastlegekontor har ikke gjort informasjon om hvordan virksomheten behandler personopplysninger tilgjengelig for sine pasienter. De vurderer derfor hvordan de skal gi informasjonen til pasientene. Legekontoret bestemmer seg for å utarbeide en personvernerklæring på virksomhetens nettside. Neste steg er å finne ut hvordan pasientene skal gjøres oppmerksomme på hvor informasjonen finnes. 

 

Legekontoret vurderer først om legene skal fortelle alle pasienter at informasjonen ligger på nettsiden første gang de oppsøker legen. De innser fort at dette ikke er hensiktsmessig. De tenker at fastlegene kan glemme å gi informasjonen og at pasientene kan oppfatte det som unødvendig informasjon under selve legetimen, som skal brukes til helsehjelp. 

 

Normland fastlegekontor vurderer derfor om det er tilstrekkelig å henge opp en plakat på venterommet, med henvisning til personvernerklæringen. I vurderingen legger de vekt på at de fleste pasientene er klar over at legekontoret behandler personopplysninger om dem. Pasientene oppsøker jo tross alt legen for å få en medisinsk vurdering, som innebærer at legen må bruke pasientenes personopplysninger.

 

Normland fastlegekontor konkluderer derfor med at pasientene ikke trenger å varsles direkte, og at det er godt nok med en henvisning til personvernerklæringen på venterommet. De sørger for at plakaten er plassert godt synlig ved inngangen til venterommet og at det er en lenke til personvernerklæringen på nettsidens startside. 

Hva skal det gis informasjon om?

Personvernlovgivingens regler om informasjonsplikt skiller mellom tilfeller der personopplysningene er samlet inn fra den registrerte selv, og der personopplysningene er samlet inn fra noen andre. I begge tilfellene har den registrerte rett på mye av den samme informasjonen, men det er også noen ulikheter. I dette delkapittelet behandles de to tilfellene sammen. Der det er forskjeller, slik at et krav bare gjelder det ene tilfellet, er dette presisert. 

Ved behandling av personopplysninger i behandlingsrettede helseregistre, er virksomheten kun pålagt å gi informasjon hvis opplysningene er samlet inn fra den registrerte selv.

Informasjon om virksomheten

Den registrerte skal få informasjon om virksomheten som er ansvarlig for behandlingen av personopplysningene. Det skal gis informasjon om virksomhetens identitet og kontaktinformasjon. Virksomheten må også oppgi personvernombudets kontaktinformasjon, hvis virksomheten har et personvernombud.

Informasjon om behandlingen av personopplysninger

Den registrerte skal få informasjon om selve behandlingen av personopplysninger, herunder hvilke formål personopplysningene behandles for, og hvilket rettslig behandlingsgrunnlag virksomheten baserer seg på. 

Hvis behandlingen baseres på en berettiget interesse, skal virksomheten også beskrive interessene virksomheten ivaretar gjennom behandlingen.

Virksomheten skal gi informasjon om hvor lenge personopplysningene lagres. Er det ikke mulig å gi en konkret tidsfrist, må virksomheten gi informasjon om hvilke kriterier som påvirker lagringstiden.

Virksomheten bør vurdere om den kan si noe mer enn at opplysningene lagres så lenge det er nødvendig, slik at den registrerte kan vurdere hva som gjelder i hennes situasjon.

Tilleggskrav når personopplysninger samles inn fra noen andre enn den registrerte:

I tilfeller hvor personopplysningene ikke er hentet fra den registrerte selv, skal virksomheten i tillegg gi informasjon om:

  • Hvilke kategorier av personopplysninger virksomheten behandler.
  • Hvilken kilde personopplysningene er hentet fra, og eventuelt om de er hentet fra offentlig tilgjengelige kilder. En offentlig tilgjengelig kilde kan for eksempel være folkeregisteret.  

Informasjon om mottakere personopplysningene utleveres til

Hvis virksomheten skal utlevere personopplysninger, må virksomheten gi informasjon om mottakerne av personopplysningene, eller kategoriene av mottakere.

I utgangspunktet bør alle mottakere navngis, men i noen tilfeller kan det være nok å gi en konkret beskrivelse av kategoriene.

Dette kan for eksempel være aktuelt for en fysioterapeut som oversender epikriser til pasienters fastlege. I stedet for å liste opp alle fastleger fysioterapeuten kan måtte sende epikriser til, er det tilstrekkelig å oppgi «pasientens fastlege» som en kategori av mottakere.

Hvis mottakeren er en virksomhet i et land utenfor EU/EØS (tredjeland) eller en internasjonal organisasjon, skal virksomheten gi informasjon om denne behandlingen.

I tilfeller hvor dette er aktuelt bør virksomheten ta kontakt med sine systemleverandører for å få bistand. 

Informasjon om den registrertes rettigheter 

Virksomheten skal alltid gi informasjon om hvilke rettigheter den registrerte har. Den registrerte skal få informasjon om:

  • Retten til innsyn i egne personopplysninger
  • Retten til å kreve retting eller sletting av personopplysninger
  • Retten til å kreve begrensning av behandling av personopplysninger
  • Retten til å protestere mot behandling av personopplysninger
  • Retten til å trekke tilbake et samtykke til behandling av personopplysninger
  • Retten til å klage til Datatilsynet 

Virksomheten bør vurdere å presisere hvilke rettigheter og begrensninger som gjelder i den konkrete sammenhengen, og hvordan den registrerte kan utøve sine rettigheter.

 Ved lagring av helse- og personopplysninger i et behandlingsrettet helseregister, kan det for eksempel informeres om at virksomheten er underlagt lovfestede oppbevaringsplikter som kan begrense den registrertes rett til å få slettet personopplysninger om seg selv. 

Tilleggskrav når personopplysningene samles inn fra den registrerte selv:

Når opplysningene samles inn fra den registrertes selv, skal virksomheten i tillegg gi informasjon om:

  • Lov eller en avtale inneholder krav om at personopplysningene må oppgis, eller om personopplysningene må oppgis for at en avtale skal kunne oppfylles
  • Den registrerte har en plikt til å oppgi personopplysninger 
  • Mulige konsekvensene av å ikke oppgi personopplysningene

Informasjon om automatiserte avgjørelser

Hvis virksomheten bruker automatiserte prosesser for å ta avgjørelser, har virksomheten en plikt til å gi følgende informasjon:

  • At automatiserte avgjørelser brukes
  • Informasjon om logikken i løsningen som benyttes 
  • Betydningen og forventede konsekvenser av avgjørelsene

Automatiserte prosesser kan være vanskelig å forstå og det kan oppleves som spesielt inngripende at en maskin skal ta avgjørelser om en selv. Det kan derfor være nødvendig å gi mer informasjon om behandlingen i slike tilfeller.

Informasjon om viderebehandling

Ved viderebehandling for nye formål, oppstår det en ny informasjonsplikt.Virksomheten må gi informasjon om den nye behandlingen. Informasjonen må gis før behandlingen starter.
Hvor tidlig informasjonen må gis, avhenger av hva slags endring det er snakk om. Jo mer uventede endringen er, og jo mer de kan påvirke den registrerte, desto tidligere skal informasjonen gis.

Generelle unntak fra plikten til å gi informasjon om behandling av helse- og personopplysninger 

Det finnes flere unntak fra plikten til å gi informasjon om behandling av personopplysninger. Den registrertes rett til informasjon er nært tilknyttet den registrertes rett til innsyn i egne personopplysninger, og det finnes flere unntak som gjelder begge rettighetene. Det kan være lurt å se dette delkapittelet om unntak i sammenheng med delkapittelet om unntak fra retten til innsyn. Ikke alle unntak er like aktuelle ved behandling av personopplysninger for å gi helsehjelp. Dette delkapittelet gir en oversikt over de mest aktuelle unntakene som virksomheter i helse- og omsorgssektoren kan få bruk for. 

Opplysninger som er underlagt taushetsplikt

Informasjonsplikten gjelder ikke hvis det å gi informasjon vil være i strid med helsepersonellets taushetsplikt. Ref. Personvernforordningen artikkel 14 (5) (d) og personopplysningsloven § .Helselovgivningens regler om taushetsplikt gjelder fullt ut. 

Eksempel: 

NN dukker opp på Normland legevakt med brukket nese og blåmerker. Hun opplyser til legen på legevakten at skadene skyldes vold fra ektefelle og legen noterer dette ned i pasientens journal. 

Legen har nå registrert personopplysninger om pasientens ektefelle og ektefellen kan identifiseres. Det betyr at legevakten i utgangspunktet vil ha en plikt til å gi ektefellen informasjon om hvordan legevakten behandler personopplysninger om han. I dette tilfellet vil virksomheten ikke kunne gi slik informasjon uten å bryte helsepersonellets taushetsplikt. Virksomheten har derfor ikke en informasjonsplikt overfor ektefellen.

Den registrerte har tidligere fått informasjonen

Videre er virksomheten ikke forpliktet til å gi informasjon som den registrerte allerede har fått. Dette kan være aktuelt hvis virksomheten leverer den samme helsetjenesten til en pasient flere ganger.

Er informasjonen gitt ved første levering av tjenesten, må den ikke gis på nytt ved levering av identisk tjeneste senere. Virksomheten bør kunne dokumentere at informasjonen har blitt gitt, og det anbefales å ta hensyn til dette hvis en virksomhet vurderer å bruke unntaket.

Unntak fra plikten til å gi informasjon når personopplysningene er samlet inn fra andre enn den registrerte selv 

Noen unntak gjelder bare når personopplysningene er samlet inn fra noen andre enn den registrerte selv. Disse unntakene er snevre, og det skal mye til for at virksomheten kan bruke dem. De mest aktuelle unntakene for helse- og omsorgssektoren er: 

Behandlingen av personopplysninger pålagt i lov eller forskrift 

Informasjonsplikten gjelder ikke alltid når personopplysninger behandles for å ivareta en rettslig plikt. Det gjøres unntak fra informasjonsplikten når behandlingen har en tydelig hjemmel i lov eller forskrift, og loven eller forskriften inneholder regler som ivaretar den registreres interesser. 

Det er umulig å gi informasjonen

Dette unntaket er svært strengt og det er ikke tilstrekkelig at det er vanskelig å gi informasjon til den registrerte. Det må være praktisk umulig. Unntaket kan være aktuelt når det ikke er mulig å finne kontaktinformasjon til den registrerte. Virksomheten kan likevel gjøre informasjonen allment tilgjengelig på nettsiden sin.

Å gi informasjon vil innebære en uforholdsmessig stor innsats 

Dette unntaket kan være aktuelt der virksomhetens innsats for å informere registrerte overgår ulempene ved at den registrerte ikke får informasjonen. Unntaket er særlig aktuelt i tilfeller hvor virksomheten behandler et svært stort antall registrerte og hvor behandlingen sjelden innebærer store negative konsekvenser for den registrerte.

Et eksempel på en type behandling som virksomheten ikke trenger å informere om er der et sykehus samler inn kontaktinformasjon til pasienters pårørende. Det vil være svært krevende for sykehuset å informere alle de pårørende om at personopplysninger om dem samles inn, hva som er kilden til opplysningene og hvordan opplysningene behandles.

Det er heller ikke spesielt inngripende for de pårørende at disse personopplysningene behandles. Virksomheten er derfor ikke pliktig til å gi informasjon til denne gruppen.

Normen

Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 09. desember 2022