GDPR – dette bør du sjekke

Her er tipsene fra Direktoratet for e-helse om den nye personvernforordningen.

E-helsedirektoratet har publisert informasjon om General Data Protection Regulation (EUs personvernforordning, GDPR) på sine sider og hvordan dette innvirker på «Norm for datasikkerhet» (Normen) som alt helsepersonell følger.    Informasjonen fins her: ehelse.no og normen.no.

I Dagens Medisin gir juridisk direktør i E-helsedirektoratet Birgitte Jensen Egset tips om den nye personvernforordningen. – Den nye forordningen gjelder for alle som behandler personopplysninger, slik som personopplysningsloven gjelder i dag. Vi har veldig streng lovgivning om personopplysninger i pasientbehandling allerede i dag. Det vil si at dersom man følger de gamle reglene og norm for informasjonssikkerhet er man på god vei til de nye reglene trer i kraft, sier Egset til avisen.

Hennes øvrige tips:

1. Få oversikt
Det aller viktigste med den nye personvernforordningen, er å ha oversikt og ha skrevet ned hvilke personopplysninger man behandler, og til hvilket formål. Du skal vite hvilke formål du har for å lagre personinformasjon og hvilke sikringstiltak du har iverksatt, sier Egset.

2. Skriv databehandleravtale
I tillegg er det viktig å vite om man bruker en databehandler som arbeider med systemene som behandler personopplysninger (for eksempel ekstern IT-driftsleverandør). Dersom man har en databehandler, må man også ha en såkalt «databehandleravtale». Det er slik at man også etter dagens lovgivning skal ha en slik databehandleravtale. Den nye personvernforordningen medfører imidlertid til at konsekvensene ved mangel på en slik avtale blir større med den nye loven, ettersom bøtenivået (4 prosent av omsetning) er satt høyere med GDPR.

3. Lag sikringstiltak
I tillegg må man ha tenkt over sikringstiltak – det vil si at persondataene er tilstrekkelig beskyttet i et system med god tilgangskontroll, og at de er lagret på en datamaskin (server) som oppbevares på et låst rom. Man bør også ha klart hvordan man skal varsle, om data kommer på avveie. Sikringstiltakene innebærer å gjøre en risikovurdering av alle IT-systemer som behandler personopplysninger, også eventuelle IT-servere man selv drifter på kontoret, for å undersøke om de er godt nok satt opp. Dersom man bruker en databehandler, må man forsikre seg om at de har gode systemer for å håndtere personopplysninger. Verdt å merke seg er at de nye reglene også gjelder for databehandlerne, slik at de også er forpliktet til å følge de nye lovene. Hvis man faktisk koster på seg å bruke en IT-leverandør, så vil man få bedre ytelse og sikkerhet.

4. Krav om dataportabilitet
I den nye personvernforordningen er det også et krav om dataportabilitet – som enkelt betyr at en bruker skal kunne be om å få sine data utlevert, slik at de kan ta det med seg til en annen tilbyder. Ifølge Egset trumfer journalplikten imidlertid kravet brukerne kan fremsette om å få sine data slettet. – Plikten til å lagre journalen trumfer retten til å bli glemt, fordi det er et lovbestemt krav til dokumentasjonsplikt, sier den juridiske direktøren.

Les hele saken på Dagensmedisin.no