Slik er personvernløsningen i TrinnVis
Den nye personvernløsningen i TrinnVis er klar. Hele databehandlingsdelen er omarbeidet og forenklet, og resultatet er mindre arbeid for deg, ikke mer.
Færre sider, færre dokumenter
Datasikkerhet har til nå vært den mest omfattende delen av TrinnVis, med hele seks temasider. Nå har vi redusert disse sidene til to. Antallet retningslinjer er redusert til mindre enn en fjerdedel, og alt øvrig innhold er bearbeidet og forenklet. TrinnVis har faktisk blitt enklere med GDPR.
I tråd med den nye terminologien er datasikkerhet i TrinnVis omdøpt til personvern. Alle dokumenter under dette temaet finner du nå under temasiden Personvern og IKT.
Slette dokumenter
Mange dokumenter i listene har fått et orange kryss. Det betyr at maldokumentet har blitt overflødig og kan slettes. Hvis du trykker på krysset i versjonslisten, får du en forklaring på hvorfor dokumentet foreslås slettet.
Noen dokumenter har blitt overflødige på grunn av den tekniske utviklingen. Dette gjelder f.eks enkelte dokumenter knyttet til meldingsutveksling i elektronisk journal. Andre har innhold som er flyttet til andre dokumenter, som retningslinjen Backup og tilbakekopiering, hvor innholdet er gjort om til konkrete oppgaver. Mange retningslinjer kan slettes fordi innholdet er gjort om til smart funksjonalitet. Et eksempel på dette er retningslinjen Bærbart og mobilt datautstyr, som var en oversikt over tekniske krav. Disse kravene møter du nå der du registrerer datautstyret, i datakartet på siden Persondata og dataanlegg.
Interaktivt datakart gir oversikt
Datakartet blir det sentrale elementet i personvernarbeidet. Her skal du dokumentere all behandling av persondata. Det viktigste er pasientjournalen, men du skal også dokumentere personregistre som brukes av tilkoblet medisinsk utstyr, elektronisk pasientdialog, personalarkiv og andre registre eller systemer som behandler persondata. Så registrerer du hvor disse dataene lagres, hvordan nettverk og internettilkobling er satt opp – altså hele det miljøet persondataene befinner seg i. Datakartet støtter også dokumentasjon for fjernservere og skyløsninger, som nå kommer for fullt også i helsevirksomheter.
Hvis du allerede har dokumentert dataanlegget ditt i TrinnVis, trenger du ikke å registrere på nytt – bare de tilleggsopplysningene som det nye regelverket krever. Hvis du ikke har brukt denne siden før, er det her du bør starte!
Viser deg hva som mangler
Når persondata og dataanlegg er dokumentert, vil advarsler i datakartet vise eventuelle feil og mangler. På denne måten blir det enkelt å få oversikt over hva som må gjøres for å oppfylle både GDPR og norsk helse- og personvernlovgivning.
Risikovurderinger
Basert på informasjonen du registrerer om dine persondata, foreslår TrinnVis konkrete risikovurderinger som du bør gjennomføre for å oppfylle GDPR-kravene. Disse risikovurderingene har også forklarende hjelpetekster med tips om hvordan du kan få ned risikoen for de aktuelle hendelsene. Trykk på det blå spørsmålstegnet ved overskriften for å se hjelpeteksten.
Sjekkliste for databehandleravtale
GDPR stiller nye krav til avtaler med alle som behandler persondata på dine vegne. Mange databehandlere har utarbeidet nye avtaler for sine kunder, men disse avtalene må kontrolleres for å sikre at de også dekker kravene du må stille til leverandøren. I TrinnVis blir disse kravene oversatt til en sjekkliste knyttet til databehandleravtalen. Sjekklisten er dynamisk, og sjekklistepunktene referer til opplysningene du har registrert i datakartet. Hvis du f.eks har oppgitt at en leverandør tar seg av backup, vil sjekklisten be deg kontrollere at avtalen omfatter backup.
NB! Databehandleravtale er en ny versjon av den gamle Avtale om tilgang til dataanlegget. Eksisterende brukere finner den under det gamle navnet. I listen over Versjoner finner du det nye forslaget.
Oppdatert avviksbehandling
Et viktig element i GDPR er meldeplikt ved avvik. Brudd på personvernet skal nå meldes til Datatilsynet, og til berørte personer. Sjekklisten i avviksbehandlingen blir nå oppdatert, slik at du blir minnet om denne meldeplikten ved avvik som berører personvern.
Infopakke til pasienter
GDPR krever at alle som behandler personopplysninger gir de registrerte enkel og forståelig informasjon om hvordan opplysningene behandles, og om deres rettigheter. TrinnVis har utarbeidet en brosjyre, en plakat og en nettside som innfrir dette kravet. Brosjyre og plakat kan bestilles på våre nettsider, og du kan lenke til infosiden fra dine hjemmesider.
Infoside: https://trinnvis.no/interne-sider/hvordan-blir-helseopplysningene-dine-behandlet/