Virksomheter skal alltid vurdere hvilke konsekvenser behandling av helse- og personopplysninger medfører for den registrerte, som er det individet som opplysninger kan knyttes til. Virksomheten skal dokumentere lovligheten av behandlingen, formålet, hvordan personvernet til den registrerte er ivaretatt, og at det er gjort tilstrekkelige tiltak for å håndtere risikoen. Dette er krav som personvernforordningen stiller for alle behandlinger av personopplysninger.
Behandlingsprotokollen vil være et godt utgangspunkt for å vurdere flere av disse aspektene. Noen virksomheter velger også å legge til mer informasjon enn det lovkravet legger opp til i behandlingsprotokollen, for å skape større nytteverdi for vurderinger av personvernkonsekvenser og andre risikovurderinger.
Hvis det er sannsynlig at en behandling medfører høy risiko for de registrerte, skal virksomheten gjennomføre en mer grundig personvernkonsekvensvurdering, også kalt DPIA (Data Protection Impact Assessment). Denne vurderingen handler blant annet om å dokumentere at eventuell risiko for den registrerte ikke overgår den nytten som behandlingen av opplysningen kan gi, altså å dokumentere en forholdsmessighet. Videre er det sentralt at man ikke behandler flere personopplysninger enn det som er nødvendig.
Enhver virksomhet i helse- og omsorgssektoren skal vurdere om noen av behandlingene som planlegges (eller gjennomføres) vil føre til høy risiko for de registrerte. Den som har besluttet behandlingen må også ta ansvar for at nødvendig vurdering gjennomføres. Selv om bistand kan innhentes, må selve vurderingen gjennomføres av personer som har innsikt i fagområdet og hvordan virksomheten opererer.
Eksempel: Normland kommune skal implementere elektronisk medisineringsstøtte. Medisindispenseren plasseres hjemme hos brukerne hvor et fjernpleiesystem gjør det mulig for ansatte å sjekke om pasienten/brukeren har tatt medisinene som de skal. Normland ønsker å forbedre pasientsikkerheten ved at pasienten/brukeren får rett medisin til rett tid og håper at medisinavvikene går ned.
Normland kommune gjør flere vurderinger (bl.a. risikovurdering, helsefaglige vurderinger) for å sikre at løsningen ivaretar krav til informasjonssikkerhet og personvern. De vurderer konsekvensene for personvernet til pasienten/ brukeren, om de har behandlingsgrunnlag og et klart formål og om det er nødvendig å gjennomføre en DPIA etter personvernforordningens artikkel 35. Kommunen gjennomfører den overordnende vurderingen. De vurderer at:
På bakgrunn av vurderingen inngår de en dekkende databehandleravtale og konkluderer med at det ikke er behov for å gjennomføre en DPIA etter artikkel 35. De dokumenterer konklusjonene sine. Merk at dette er et eksempel på hvordan denne vurderingen kan gjennomføres. |
Datatilsynet har utarbeidet en oversikt over behandlingsaktiviteter som alltid krever at det må gjøres en DPIA, og virksomheten bør gjøre seg kjent med denne i forkant av oppstart av nye behandlinger av helse- og personopplysninger. Det er videre hensiktsmessig om virksomhetens leder gjør en vurdering av hvorvidt det er ønskelig med flere virksomhetsspesifikke kriterier, som for eksempel sier at ved behandling av helseopplysninger til forskning skal det alltid gjennomføres en DPIA uansett størrelsesorden, metode eller andre kriterier som eventuelt måtte inntreffe.
Vurderingene som gjøres i en DPIA skal ta utgangspunkt i den registrertes perspektiv, i motsetning til tradisjonelle risikovurderinger som benytter virksomhetsperspektivet. Hvordan påvirker vår behandling av helse- og personopplysninger de som opplysningene handler om? Derfor bør man også innhente synspunkter på den planlagte behandlingen fra de registrerte eller representanter for disse. Om man ønsker å forske på en spesifikk pasientgruppe kan man for eksempel undersøke om gruppen har en interesseorganisasjon som kan bidra med innhenting av denne typen innspill.
Man kan gjøre en DPIA i forkant, samtidig og/eller i etterkant av en risikovurdering av informasjonssikkerheten. Disse vurderingene vil uansett måtte sees i sammenheng, og som et minimum bør den vurderingen som ferdigstilles først oppdateres etter at den andre er ferdig, for å sikre at alle relevante risikomomenter er ivaretatt.
Dokumentasjonen som gjøres i en DPIA vil være viktig for å synliggjøre etterlevelse av virksomhetens arbeid med personvern, og er en sentral del av risikostyringen av informasjonssikkerhet og personvern i helse- og omsorgssektoren, så vel som den totale internkontrollen.
Det finnes flere ulike varianter av maler for vurdering av personvernkonsekvenser i bruk i helse- og omsorgssektoren i dag, blant annet fra Direktoratet for e-helse og fra KiNS/Bærum kommune.
Som beskrevet i kapittel 2.3 Risikovurdering er det også viktig her at vurderingen av personvernkonsekvenser blir en strukturert prosess, slik at man fanger opp de riktige risikofaktorene. Man må ha relevant underlagsdokumentasjon på plass og sentrale nøkkelpersoner må bidra i arbeidsmøter og lignende. Nøkkelpersoner kan være brukere av systemer og opplysninger (blant annet helsepersonell), jurister, sikkerhetspersonell, IKT-personell, personvernrådgivere, og databehandlere/leverandører.
Ikke minst er dette viktig for å kunne ivareta vurderinger knyttet til informasjonssikkerhet, personvern og pasientsikkerhet på tvers, for å kunne nå det overordnede målet om å yte forsvarlig helsehjelp. Om dette etterlates til ledelsen i siste steg av vurderingene som gjøres, risikerer man å gå glipp av viktige perspektiver som bør identifiseres tidlig i prosessen.
Dataansvarlig skal rådføre seg med virksomhetens personvernombud (dersom virksomheten har PVO) i forbindelse med utførelsen av en DPIA. En negativ tilbakemelding fra personvernombudet betyr at man eventuelt bør gjøre tilpasninger i den planlagte behandlingen av helse- og personopplysninger for å oppnå ønsket formål innenfor regelverket. Med andre ord bør man vurdere om det for eksempel vil være mulig å bruke færre helse- og personopplysninger enn først planlagt, eller å beskytte dem på en annen måte, og slik kunne implementere en ny løsning på en litt mer personvernvennlig måte som likevel fyller det opprinnelige behovet for å yte forsvarlig helsehjelp.
Anbefalinger fra personvernombudet er imidlertid ikke siste stopp i prosessen med en vurdering av personvernkonsekvenser. Det er viktig å fremheve at det ikke er personvernombudets rolle å godkjenne en DPIA. Personvernombudet er en rådgiver, mens det bare er virksomhetens ledelse og/eller en forhåndsdefinert risikoeier som kan beslutte hvorvidt virksomheten kan akseptere konkrete personvernkonsekvenser og et gitt risikonivå på personvernområdet.
