Ellen Ekre Engh, spesialrådgiver/advokat
27. april 2018 (endret 12. oktober 2018)
EUs personvernforordning, General Data Protection Regulation (GDPR), gjelder fra våren 2018. Reglene er en del av den nye personopplysningsloven som er på trappene. For psykologer som yter helsehjelp, vil ikke endringene ha stor betydning.
De nye reglene pålegger alt fra enkeltmannsforetak til store bedrifter nye plikter, og gir nye rettigheter til personene man behandler personopplysninger om. Dette medfører strengere krav til psykologvirksomheter ettersom de behandler personopplysninger.
Hovedformålet med det nye lovverket er at bruk av personopplysninger skal begrunnes og begrenses. Det vil ikke være lovlig å samle inn eller lagre personopplysninger man ikke trenger. Personopplysninger skal ikke brukes til andre formål enn det de er samlet inn for. Når behovet har falt bort, skal personopplysninger slettes.
Dagens lovverk stiller krav til at du har rutiner for å etterleve personopplysningsloven. Når loven endres, må du også endre disse rutinene.
I denne artikkelen med vedlegg finner du ut hvordan psykologer skal følge det nye regelverket. Vedlegget gjelder både psykologer som yter helsehjelp (tar pasienter i behandling) og psykologer som driver andre typer tjenester. For deg som yter andre tjenester enn helsehjelp/ i tillegg til helsehjelp, er det utarbeidet en mer omfattende redegjørelse under punkt nr. 3.
Artikkelen med vedlegg er ikke ment som en totaloversikt over det nye regelverket. Det er ment som utgangspunkt for at den enkelte psykologvirksomhet skal kunne drive i tråd med de nye reglene. Å følge rådene i denne veiledningen vil være et godt utgangspunkt for å etablere personvern i tråd med reglene. Den enkelte virksomhet er imidlertid selv ansvarlig for å følge personvernreglene og følge med på om og når denne veilederen oppdateres.
Ved spørsmål kan Datatilsynet, Direktoratet for e-helse, Fylkesmannen eller Psykologforeningen kontaktes. Foreningen kan kontaktes på forhandlingsavdelingen@psykologforeningen.no .
Personopplysning: Enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»)
Sensitiv personopplysning: Personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering
Behandling: Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke. Eksempler er innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.
Dette innebærer nesten enhver befatning, typisk innhenting, lagring og bruk. For eksempel å sende en epost, å lagre telefonnumre og kontaktinformasjon på telefonen
Behandlingsansvarlig: En fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes. I helselovgivningen benyttes begrepet dataansvarlig for å ikke blandet dette sammen med den som er behandlingsansvarlig for helsehjelp.
Databehandler: En fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige
Behandlingsgrunnlag: Rettslig grunnlag for å behandle personopplysninger.
Det er ikke store faktiske endringer som følger av de nye personvernreglene.
Psykologer som yter helsehjelp gjennom private virksomheter må uansett følge eksisterende helselovgivning. Norge har flere lover og en rekke forskrifter som gir særregler om behandling av helseopplysninger. Disse reglene utfyller, og til dels skjerper, de generelle kravene etter personopplysningsloven.
Det er satt strenge vilkår for å kunne samle inn, lagre og behandle helseopplysninger, og strenge krav til konfidensialitet, informasjonssikkerhet, innsyn osv. Reglene om journalføring gir deg rett til å registrere pasientopplysninger (behandlingsgrunnlag). For deg som kun yter helsehjelp, vil det være tilstrekkelig å fylle ut de to øverste radene i vedlagte forslag til mal over aktuelle behandlingsgrunnlag etter forordningens artikkel 30.
Privatpraktiserende psykologer har altså allerede i dagens lovverk plikt til å gjøre mye av det de nye personvernreglene medfører. Dette følger både av helseregisterloven (regler om behandling av helseopplysninger til statistikk, forskning mv. i helse- og omsorgsektoren) og pasientjournalloven (regler om behandling av helseopplysninger når det ytes helsehjelp).
Pasientene har allerede rett til innsyn i journal, de må samtykke til helsehjelpen og det finnes detaljerte regler om retting og sletting av journalinnhold. Dette er regler som allerede eksisterer for deg som yter helsehjelp, og blir ikke endret med de nye personvernreglene.
Når psykologer yter helsehjelp er de underlagt taushetsplikt etter helsepersonelloven. Dette gjelder uavhengig av om opplysningene psykologen mottar er en personopplysning. Også i personvernforordningen finnes det slik taushetsplikt. Uautorisert tilgang eller utlevering av opplysninger vil derfor kunne utgjøre brudd på både lovbestemt taushetsplikt for helsepersonell og – dersom det gjelder personopplysninger – brudd på personvernforordningen.
Det nye regelverket forutsetter at alle virksomheter som behandler personopplysninger gjennom sitt internkontrollsystem, må kunne vise at virksomheten etterlever GDPR. Se vedlagt forslag til protokoll over behandlingsgrunnlag etter forordningen artikkel 30 og normen.no (lenke)for ytterligere informasjon.
Etter Helsepersonelloven og pasientjournalloven er det ikke et krav om at pasientens samtykke oppfyller vilkårene til samtykke i GDPR-forordningens forstand. Dette betyr at det fremdeles ikke vil være nødvendig med en erklæring eller tydelig bekreftelse om samtykke til behandling av helseopplysninger i forbindelse med helsehjelp. Derfor videreføres dagens regler om hvordan samtykke kan gis til helsehjelp og tilhørende behandling av helseopplysninger, jf. pasient- og brukerrettighetsloven §§ 4-1 flg.
Virksomheter som ikke er regulert av helselovgivningen må sørge for å ha behandlingsgrunnlag for oppbevaring av personopplysninger (se vedlagt mal for behandlingsprotokoll etter GDPR art. 30). Dersom virksomheten din yter bistand– eksempelvis til bedrifter med arbeidsmiljøproblemer, vil behandlingsgrunnlaget være avtale med det aktuelle firmaet og eventuelt samtykke fra de aktuelle ansatte.
Din virksomhet må alltid ha et behandlingsgrunnlag for å behandle en opplysning om en person.
Typiske behandlingsgrunnlag er når:
Kan du ikke peke på et slikt grunnlag, så kan du heller ikke behandle opplysningene. Behandlingsgrunnlag for personopplysninger finnes i GDPR art. 6.
Hvis du i tillegg skal behandle sensitive personopplysninger (se definisjon under punkt 1), må bedriften ha eget behandlingsgrunnlag i GDPR art. 9 ved siden av de som nettopp er nevnt etter GDPR art. 6.
Mulige behandlingsgrunnlag er da blant annet:
Hvis virksomheten har ansatt, registreres det personopplysninger om de ansatte. Registreringen må ikke gå lenger enn personvernreglene tillater. Her er imidlertid ikke reglene endret i forhold til gammel personvernlovgivning, men registreringen av personopplysninger om ansatte må inn i protokollen etter forordningens art. 30. Se informasjon fra Datatilsynet angående personvern på arbeidsplassen.
Ta kontakt med forhandlingsavdelingen hvis du har spørsmål knyttet til behandling av informasjon om ansatte.
For det første må det utarbeides en personvernerklæring. Erklæringens skal blant annet sier noe om hvilke opplysninger du lagrer om kundene/ pasientene, hvordan sikkerheten/tilgangen sikres, retten til innsyn/retting/sletting og hvor lenge opplysningene lagres (det vil si oppfylle kravene til informasjonsplikt). Denne informasjonen må gjøres tilgjengelig for kunden/pasienten, for eksempel på virksomhetens nettside.
Personvernerklæringen skal minst svare til listen i personvernforordningens artikkel 13 og 14. Dette kan for eksempel gjøres på følgende måte:
Videre må det etter forordningen art. 30 lages en protokoll (oversikt) over hvilke personopplysninger virksomheten registrerer og hjemmelen for slik behandling. Se vedlagt forslag til protokoll. Dette kan inngå som en del av virksomhetens internkontrollsystem.
Det må inngås databehandleravtale med de som registrerer personopplysninger på vegne av virksomheten, for eksempel leverandøren av journalsystem. Ta kontakt med din tjenesteleverandør og sørg for å få dette på plass.
Bedriften må ha på plass avvikssystem i tråd med de nye reglene. Her er forslag til formulering:
Et sikkerhetsbrudd defineres som et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet
Ved avvik skal Datatilsynet varsles innen 72 timer etter at behandlingsansvarlig (psykologen) har fått kunnskap om avviket. De berørte parter (pasienten, kunden) skal gis et varsel med følgende innhold:
I følgende tilfeller kan firma imidlertid la være å varsle de berørte:
Hvis det er uforholdsmessig vanskelig å varsle hver enkelt av de berørte. I slike tilfeller skal informasjonen i stedet offentliggjøres eller deles på annen måte, slik at de berørte likevel underrettes på en effektiv måte
Dette nettstedet bruker informasjonskapsler. Les mer om informasjonskapsler her. Ikke vis denne meldingen igjen.