Nye personvernregler i mai 2018
I mai 2018 erstattes gjeldende personvernregler med EUs nye personvernforordning. De nye reglene representerer den største endringen innen personvernlovgivning på over 20 år, og vil gjelde for alle virksomheter som behandler personopplysninger. For helsesektoren vil reglene innebære større ansvar og strengere plikter når det behandles helseopplysninger, pasienter får styrket sine rettigheter og konsekvensene ved lovbrudd blir betydelig skjerpet sammenlignet med dagens praksis.
Det blir økt fokus på å utvikle bransjenormer for å etterleve regelverket. Dette er svært positivt for alle helsevirksomheter som etterlever Norm for informasjonssikkerhet i dag. Direktoratet for e-helse er i gang med å tilpasse normen til de nye kravene og det vil dermed bli lettere for helsevirksomheter å tilpasse eksisterende internkontroll når den nye versjonen av normen foreligger. TrinnVis vil bli oppdatert så snart arbeidet med normen er ferdigstilt.
Viktige endringer i nytt regelverk:
Skjerpet informasjonsplikt
Pasienter skal ha mer detaljert informasjon om behandlingen av deres helse- og personopplysninger og informasjon om hvordan de skal gå frem for å utøve sine rettigheter etter loven. Informasjonen skal være lett tilgjengelig og gis på kortfattet, klar og forståelig måte.
Strengere krav til samtykke
Kravene til innhenting og dokumentasjon av samtykke blir strengere. Samtykke som innhentes i erklæringer som også omfatter andre forhold, skal være tydelig adskilt de andre forholdene og være utformet på et forståelig, klart og enkelt språk. Pasienter skal når som helst kunne trekke tilbake sitt samtykke, og det skal være like enkelt å trekke tilbake et samtykke som å gi det.
Pasienter får flere rettigheter
Pasienters rett til innsyn, retting, sletting og sperring av egen journal vil bli videreført i de nye reglene, og det kommer også flere nye rettigheter. Blant annet blir sletteplikten styrket og den registrerte får rett til å få overført opplysninger om seg selv fra en tjenesteleverandør til en annen (dataportabilitet). Behandlingsansvarlig skal underrette mottakere av helse- og personopplysninger dersom pasientens opplysninger skal rettes, slettes eller begrenses.
Økte krav til internkontroll og dokumentasjon
Internkontrollplikten blir utvidet og den behandlingsansvarlige skal også kunne påvise at tiltakene fungerer. Alle skal føre dokumentert oversikt over alle behandlinger av helse- og personopplysninger, vurdere risiko- og personvernkonsekvenser og gjennomføre forhåndskonsultasjoner med Datatilsynet dersom behandlingen innebærer høy risiko. Det stilles også tydeligere krav til sikkerhetstiltak og disse skal jevnlig testes for å vurdere hvor effektive de er.
Krav om innebygd personvern
Systemer og løsninger som utvikles innen helsesektoren skal ha innebygd personvern og personvern som standardinnstilling. Dette innebærer at det skal tas hensyn til personvern fra starten av og gjennom hele utviklingsløpet når det utvikles nye pasientsystemer, og at den mest personvernvennlige innstillingen skal være standard i løsningen.
Plikt å ha personvernombud
Personvernombudet skal føre kontroll med virksomhetens etterlevelse av personvernreglene, og ordningen bli lovpålagt for alle offentlige virksomheter. Plikten vil også gjelde private helsevirksomheter som behandler helseopplysninger i stort omfang. Hva som regnes som stort omfang er ikke nærmere presisert i loven, men fastleger og fysioterapeuter som bare behandler opplysninger om et begrenset antall pasienter trenger ikke å ha ombud. Større legekontorer/helsesentre bør vurdere om ordningen gjelder for dem og sørge for å dokumentere de vurderinger som er gjort.
Bruk av databehandler
Behandlingsansvarlig skal bare bruke databehandlere som gir tilstrekkelige garantier for at de vil sikre at behandlingen oppfyller kravene i regelverket og de registrertes rettigheter. Dette vil medføre en utvidet undersøkelsesplikt for virksomheten. Det stilles også mer detaljerte krav til innholdet i databehandleravtalen.
Varslingsplikt ved sikkerhetsbrudd
Alle sikkerhetsbrudd skal varsles til Datatilsynet innen 72 timer etter at sikkerhetsbruddet ble oppdaget. Pasienter skal varsles dersom sikkerhetsbruddet medfører høy risiko for personvernkrenkelser.
Økte gebyrer og erstatningsplikt
Datatilsynet gis adgang til å ilegge bøter på inntil 20 millioner euro eller 4% av brutto årsomsetning dersom det konstateres brudd på loven. Det åpnes også for at pasienter og brukere (registrerte) kan kreve erstatning fra behandlingsansvarlig eller databehandler.