Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

11.3. Unntak fra forbudet om automatiserte avgjørelser

Generelle unntak 

Det finnes unntak fra det generelle forbudet om å benytte automatiserte avgjørelser.

Virksomheten kan ta slike avgjørelser hvis behandlingen er:

  • nødvendig for å inngå eller oppfylle en avtale
  • tillatt i henhold til lov eller forskrift som også fastsetter egnede tiltak for å verne den registrerte
  • basert på den registrertes samtykke 

Hvis behandlingen baseres på avtale eller samtykke er virksomheten forpliktet til å iverksette og gjennomføre tiltak for å verne om den registrertes personvern. Virksomhetens tiltak skal minst gi den registrerte en rett til å få et menneske til å gå gjennom avgjørelsen, en rett til å uttrykke sine synspunkter og til å bestride avgjørelsen.

Tilleggskrav ved behandling av særlige kategorier av personopplysninger

Unntakene som nevnt i forrige punkt er ikke tilstrekkelig i tilfeller hvor virksomheter ønsker å ta automatiserte avgjørelser basert på for eksempel helseopplysninger.

I slike tilfeller kan virksomheten kun benytte automatiserte avgjørelser hvis den registrerte har gitt sitt uttrykkelig samtykke til det eller hvis det er nødvendig av hensyn til viktige allmenne interesser.

For å kunne benytte seg av adgangen til å behandle helseopplysninger basert på viktige allmenne interesser må de allmenne interessene være forankret i rettsregler som er forholdsmessige til formålet med behandlingen.

Rettsreglene må også sikre egnede tiltak for å verne den om registrertes personvern. Adgangen er derfor nokså snever. 

Virksomheten må sørge for å iverksette og gjennomføre tiltak for å verne om den registrertes personvern uavhengig av om behandlingen baseres på samtykke eller allmenne interesser.

Slike tiltak kan være at den registrerte gis en rett til å få et menneske til å gå gjennom avgjørelsen, at den registrerte skal kunne komme med sine synspunkter og kunne bestride avgjørelsen.

Virksomheten kan også innføre tiltak som for eksempel jevnlig kontroll av systemet for å sørge for at det fungerer som det skal, eller benytte seg av pseudonymisering og anonymisering. 

I tilfeller hvor virksomheten tar automatiserte avgjørelser basert på helseopplysninger, kan det være nødvendig å gi den registrerte informasjon om disse tiltakene. 

Normen

Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 09. desember 2022