Helse- og personopplysninger kan bare brukes for testformål dersom det er nødvendig, jf. personvernforordningen Artikkel 5. Prinsipper for behandling av personopplysninger nr. 1 bokstav c
Før virksomheten kan bruke helse- og personopplysninger til testing må det derfor vurderes om det er mulig å oppnå formålene med testingen ved bruk av syntetiske data, eventuelt anonymiserte eller pseudonymiserte opplysninger. Å gjøre slike vurderinger kan være krevende.
Det er derfor viktig å involvere personell med relevant kompetanse og om nødvendig søke ekstern bistand, for å avklare hvordan pasientsikkerhet og personvern kan ivaretas. Dersom virksomheten har et personvernombud, kan dette involveres ved vurderingene. Vurderingene skal dokumenteres for etterkontroll.
I tillegg til å vurdere nødvendigheten knyttet til bruk av helse- og personopplysninger til testing, må virksomheten også sørge for å oppfylle andre krav i personvernforordningen. Virksomheten må blant annet
- sikre at det finnes et rettslig grunnlag for å benytte helse- og personopplysningene til testing, jf. personvernforordningen Artikkel 6. og 9. (lovdata.no). Se formål og behandlingsgrunnlag (faktaark 56)
- sikre at personvernprinsippene etterleves, jf. personvernforordningen Artikkel 5. (lovdata.no). Se Personvernprinsippene (faktaark 57)
- gjennomføre risikovurderinger, jf. personvernforordningen Artikkel 32. Sikkerhet ved behandlingen (lovdata.no) og personvernkonsekvensvurderinger, jf. personvernforordningen Artikkel 35. Vurdering av personvernkonsekvenser (lovdata.no)
- etablere sikkerhetstiltak for å beskytte opplysningene mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, jf. personvernforordningen Artikkel 32. Sikkerhet ved behandlingen (lovdata.no)
- sikre at de registrerte får den informasjonen de har rett på om behandlingen, jf. personvernforordningen Artikkel 12.-14. (lovdata.no). Se veileder for rettigheter ved behandling av helse- og personopplysninger.
- sørge for å ivareta de registrertes rettigheter, herunder retten til innsyn, retting og sletting, jf. personvernforordningen Artikkel 15.-22. (lovdata.no). Se veileder for rettigheter ved behandling av helse- og personopplysninger.
- føre protokoll over behandlingen, jf. personvernforordningen Artikkel 30. Protokoller over behandlingsaktiviteter (lovdata.no)
- sikre at eventuelle databehandlere som kan få tilgang til opplysningene oppfyller kravene i personvernforordningen og i Normen, jf. personvernforordningen Artikkel 28. Databehandler (lovdata.no)
- sikre at det foreligger en skriftlig databehandleravtale med eventuelle databehandlere som gjennomfører testing, jf. personvernforordningen Artikkel 28. Databehandler (lovdata.no)
