Når en virksomhet behandler personopplysninger, har den registrerte rett til innsyn i personopplysningene som blir behandlet om henne. Innsynsregelen gjelder for all behandling av personopplysninger i virksomheter, også i behandlingsrettede helseregistre og andre helseregistre. Dette delkapittelet gir en beskrivelse av pliktene virksomheten har når den mottar en innsynsforespørsel fra en registrert.
Hvilke opplysninger skal den registrerte få innsyn i?
Når virksomheten får en innsynsforespørsel fra en registrert, skal den bekrefte eller avkrefte om den behandler personopplysninger om personen som spør. Hvis virksomheten behandler personopplysninger om henne, så skal det gis innsyn i personopplysningene.
At registrerte har rett til innsyn i personopplysningene betyr at registrerte har rett til å få se opplysningene. Virksomheten må være oppmerksom på at en beskrivelse eller indirekte gjengivelse av hvilke typer personopplysninger som behandles, ikke er godt nok. Plikten til å gi innsyn gjelder kun selve personopplysningene og ikke fullstendige dokumenter.
Hvis virksomheten behandler en stor mengde personopplysninger om den registrerte, kan det bli mye informasjon for den registrerte å motta. I tillegg kan det ta lang tid å svare på innsynsforespørselen slik at den registrerte må vente.
Virksomheten bør derfor sørge for at den registrerte kan velge om hun vil be om innsyn i spesifikke opplysninger eller om hun vil ha innsyn i alt. Dette kan for eksempel gjøres ved å gi informasjon om dette i personvernerklæringen eller ved å ha et innsynsskjema med avkrysningsmuligheter. Det må understrekes at virksomheten ikke kan avvise en innsynsforespørsel hvis den registrerte ønsker innsyn i alt.
Virksomhetens plikt til å gi informasjon i forbindelse med innsyn
Når virksomheten mottar en innsynsforespørsel, har virksomheten også en plikt til å gi den registrerte følgende informasjon om behandlingen av personopplysningene:
- Formålet med behandlingen av personopplysningene.
- Kategoriene av personopplysninger som behandles.
- Eventuelle mottakere av personopplysningene eller kategorier av mottakere.
- Om mottakerne befinner seg utenfor EU/EØS eller er internasjonale organisasjoner.
- Hvor lenge personopplysningene lagres, eller hvilke kriterier virksomheten bruker for å vurdere lagringstid.
- Hvilke rettigheter den registrerte har, herunder:
- Retten til retting og sletting av personopplysninger. o Retten til å begrense behandlingen av personopplysningene. o Retten til å protestere mot behandlingen av personopplysningene.
- Retten til å klage på behandlingen til Datatilsynet.
- Om virksomheten bruker automatiserte avgjørelser, og hvis den gjør det; informasjon om denne prosessen.
- Hvor personopplysningene er hentet fra, hvis de ikke er hentet fra den registrerte selv.
Informasjonsplikten ved innsyn omfatter mye av den samme informasjonen som virksomheten er pålagt å gi ved innsamlingen av personopplysningene. Informasjonspliktene bør derfor ses i sammenheng.
Kapittelet om informasjonsplikten ved innsamling av personopplysninger kan derfor komme til nytte ved håndtering av innsynsforespørsler.
På samme måte som når virksomheten gir informasjon om behandlingen ved innsamling, skal informasjonen som gis ved innsyn være kortfattet, åpen, forståelig og lett tilgjengelig.
Virksomheten må også tilpasse informasjonen til den registrerte. Dette innebærer for eksempel at virksomheten må unngå faguttrykk og avansert språk.
Virksomheter som skal gi innsyn i helse- og personopplysninger i behandlingsrettede helseregistre, andre helseregistre og i forskningsprosjekter, må også sørge for å gi informasjonen som er listet opp i dette punktet.
Hvilke opplysninger kan den registrerte nektes innsyn i?
Personvernlovgivingen beskriver flere unntak fra innsynsretten, som ikke er nevnt i helselovgivingen. Disse unntakene kan likevel være aktuelle når virksomheter behandler helse- og personopplysninger.
Unntakene er imidlertid snevre, og det skal derfor mye til for at de kan benyttes. De viktigste unntakene for virksomheter i helse- og omsorgssektoren er:
Taushetsplikt
Retten til innsyn gjelder ikke når en lov eller forskrift sier at opplysningene er underlagt taushetsplikt, og et innsyn vil bryte taushetsplikten. Helselovgivingens regler om taushetsplikt og unntakene fra denne gjelder fullt ut.
Eksempel
|
Det vil være utilrådelig at den registrerte får opplysningene
Innsynsretten gjelder ikke når det vil være utilrådelig å gi den registrerte opplysningene av hensyn til hennes egen helse eller av hensyn til hennes relasjon til nærstående. Unntaket gjenspeiler et av forvaltningslovens unntak fra partsinnsyn. Dette unntaket kan derfor være mest aktuelt ved saksbehandling i forvaltningen.
Unntaket har også likhetstrekk med unntaksbestemmelsene i helselovgivingen, se kapittelet Hvilke opplysninger kan pasienten nektes innsyn i? Virksomheter som skal vurdere innsyn i pasientjournal bør bruke unntakene i helselovgivningen.
Straffbare handlinger
Virksomheten kan nekte å gi innsyn i opplysninger som det er nødvendig å holde hemmelig for å etterforske, avsløre eller rettsforfølge straffbare handlinger.
Dette kan være aktuelt både når en virksomhet bistår politiet i en etterforskning, eller hvis virksomheten gjennomfører bevissikring og det er fare for at bevis vil bli skjult.
Intern saksforberedelse
Virksomheten har ikke en plikt til å gi innsyn i personopplysninger som utelukkende blir behandlet for intern saksforberedelse, hvis de må holdes hemmelig for å sikre forsvarlige interne prosesser. Virksomheten må være oppmerksom på at det er en forutsetning at opplysningene ikke er utlevert til andre.
Unntaket kan for eksempel være aktuelt hvis virksomheten vurderer å si opp en ansatt, og har påbegynt, men ikke ferdigstilt et oppsigelsesbrev. Hvis den ansatte ber om innsyn i denne perioden, så kan virksomheten unnta oppsigelsesbrevet fra innsyn.
Eksempel Normland sykehus oppdager at det over en periode har forsvunnet sterke smertestillende. Sykehuset skjerper derfor rutinene rundt ansattes uthenting av medisiner. Sykehuset har fattet mistanke om hvem som kan ha underslått medisinene. De har planer om å følge opp den ansatte, og å melde saken til Fylkesmannen og politiet.
Før oppfølgingen starter, mottar sykehuset en innsynsforespørsel fra den mistenkte. Han har forstått at han kan ha blitt avslørt, på grunn av sykehusets skjerpede rutiner. For å unngå at den ansatte skjuler bevis, beslutter sykehuset å ikke gi den ansatte innsyn i opplysningene som er registrert i forbindelse med den planlagte oppfølgingen. |
I strid med åpenbare og grunnleggende interesser
Plikten til å gi den registrerte innsyn gjelder ikke hvis innsynet vil være i strid med åpenbare og grunnleggende private eller offentlige interesser. Dette innebærer blant annet at virksomheten ikke skal gi den registrerte innsyn hvis dette vil krenke en annen registrerts personvern.
Unntaket kan være aktuelt å bruke når en ansatt har levert et varsel om at en kollega ikke følger virksomhetens rutiner. I et slikt tilfelle, kan ikke den som varselet gjelder få innsyn i opplysningene om hvem som varslet om forholdet.
Arkivformål i allmennhetens interesse, vitenskapelige og historiske forskningsformål og statistiske formål
I tillegg kan virksomheten nekte å gi innsyn hvis det er nødvendig å behandle personopplysningene for arkivformål i allmennhetens interesse, vitenskapelige og historiske forskningsformål og statistiske formål.
Dette unntaket kan være aktuelt for de forskriftsregulerte helseregistrene og for helserelaterte forskningsprosjekter.
Unntaket gjelder bare så langt det enten vil kreve en uforholdsmessig stor innsats for virksomheten å gi innsyn, eller innsyn vil gjøre det umulig eller i alvorlig grad hindre at målene nås.
Ved vurderingen av om innsyn vil være uforholdsmessig, kan virksomheten ta hensyn til ressursbruken ved å måtte håndtere den samlede mengden innsynsforespørsler og potensielle innsynsforespørsler. Unntaket om at innsyn vil gjøre det umulig eller i alvorlig grad hindre at målene nås, er ment for tilfeller hvor andre grunner enn ressursårsaker hindrer at formålet nås.
Åpenbart grunnløse eller overdrevne krav
Virksomheten kan nekte den registrerte innsyn hvis innsynsforespørselen åpenbart er grunnløs eller overdreven. Dette gjelder særlig hvis den registrerte stiller samme krav gjentatte ganger over en kort tidsperiode.
Hvordan skal innsyn gis?
Det er opp til virksomheten selv å vurdere hvordan innsyn skal gis, men som et minimum må en kopi av personopplysningene gjøres tilgjengelig for den registrerte. Dette kan være kopier av hele dokumenter, men virksomheten kan også kopiere enkeltopplysninger over i et nytt dokument.
Virksomheten skal i utgangspunktet utlevere slike kopier gratis, men hvis den registrerte ber om flere kopier, så kan virksomheten likevel be om et rimelig gebyr basert på administrasjonskostnadene.
Virksomheten må sørge for at den gir innsyn til riktig person. Dette må være basert på en risikovurdering. Innsynet kan gjøres på flere måter, for eksempel ved å etterspørre skriftlige og underskrevne innsynsforespørsler fra den registrerte med kopi av ID, ved fysisk oppmøte eller ved digitale innsynforespørsler der innsender autentiserer seg med bruk av Bank-ID.
Virksomheten må også sørge for at den registrerte ikke får opplysninger som går på bekostning av andre personers rett til personvern.
Hvis den registrerte ber om innsyn elektronisk, for eksempel på e-post eller via digitalt skjema, skal kopiene og informasjonen også gis elektronisk. Dette gjelder så lenge den registrerte ikke har bedt om å få innsyn på andre måter.
Når innsyn gis elektronisk, bør virksomheten unngå å bruke vanlig e-post. Virksomheten må sørge for sikker overføring, for eksempel gjennom krypteringsløsninger eller andre sikkerhetstiltak.
Personvernlovgivingen fastsetter at virksomheten bør gi den registrerte tilgang til et sikkert system hvor den registrerte kan få direkte tilgang til personopplysningene sine hvis det er mulig. En slik løsning må ikke gå på bekostning av andres personvern eller sikkerheten i informasjonssystemet.
Et eksempel på en slik løsning er Helsenorge.no sin elektroniske innsynstjeneste. Som nevnt ovenfor er det flere hensyn som må vurderes hvis en pasient skal gis slik tilgang til sin pasientjournal.
I forbindelse med anskaffelse av nye systemer bør virksomheten sørge for at systemene legger til rette for å kunne gi innsyn. Virksomheten bør blant annet sørge for at det er enkelt å hente ut opplysninger av systemet.
I tilfeller hvor virksomheten ønsker et system som skal gi en pasient direkte innsyn i pasientjournal, bør det også tas hensyn til at systemet skal legge til rette for forhåndsvurderinger av helsepersonell.
