Smittevern og personvern – hvilke regler gjelder?

Under koronapandemien må alle helsevirksomheter ha målrettede tiltak som verner pasienter og ansatte mot smitte. Flere av disse tiltakene innebærer innsamling og annen behandling av personopplysninger og er derfor underlagt personvernlovgivningen. Mange mangler kunnskap og fokus på dette. Hvordan er det hos dere?

Regelverket knyttet til personvern og smittevern er omfattende og kan være vanskelig å få oversikt over. Og selv om smittevern nå har mest fokus, er det viktig å sørge for å følge loven også når det gjelder personvern.

TrinnVis har oppdatert innhold som forenkler dette arbeidet. Nederst i denne artikkelen finner du en oversikt over hva som er nytt. TrinnVis-brukere som allerede har brukt personverndelen kan enkelt oppdatere denne med ferdiglagde tekster. For de som ikke har jobbet med personvern og GDPR er det på tide å begynne.

Krav ved behandling av koronarelaterte personopplysninger

Å behandle personopplysninger betyr all bruk av opplysningene – som innsamling, lagring, utlevering, endring, sletting osv. For helsevirksomheter er det spesielt viktig å være oppmerksom på hvilke regler som gjelder for innsamling og utlevering av personopplysninger. Dette gjelder både for pasienter og ansatte som er eller kan være smittet av koronaviruset. Det er også viktig å ha oversikt over hvordan behandlingen av personopplysninger skal sikres og dokumenteres for å være i samsvar med personvernlovgivningen.

Oversikt over behandlingen av personopplysninger må dokumenteres

For å forebygge smittespredning på arbeidsplassen og sikre et forsvarlig arbeidsmiljø under koronapandemien kan det være nødvendig å få oversikt over ansatte og deres situasjon. Ofte er det opplysninger som dette som bør innhentes:

• Smittestatus
• Karantene/isolasjon
• Nærkontakter i virksomheten
• Reiser til risikoområder
• Risikogrupper og tilretteleggingstiltak
• Andre opplysninger som er nødvendige for å sikre et trygt arbeidsmiljø

Flere av disse opplysningene regnes som helseopplysninger, og det stilles derfor strenge krav til hvordan de behandles og sikres.

Personvernlovgivningen krever at dere skal ha skriftlig og dokumenterbar oversikt over all behandling av personopplysninger som utføres i virksomheten. Det betyr at dere må kartlegge hvilke personopplysninger som behandles i forbindelse med koronapandemien, og dokumentere hvordan opplysningene behandles.
Det samme gjelder personopplysninger for pasienter eller andre smittede når dere yter smittevernhjelp etter smittevernloven, gir personlig smittevernveiledning eller utleverer personopplysninger til pasienters lege, kommunelegen eller andre.

Lovligheten av behandlingen må dokumenteres

I tillegg til oversikt over behandling av personopplysninger må dere dokumentere at dette gjøres i samsvar med de grunnleggende prinsipper for lovlig behandling av personopplysninger. Disse prinsippene krever blant annet at det etableres et gyldig behandlingsgrunnlag for hvert formål som personopplysningene brukes til. Det kreves også at det ikke samles inn flere personopplysninger enn strengt nødvendig og at personopplysningene slettes når formålet med behandlingen er oppfylt.

Informer om hvordan personopplysninger behandles

Det må gis informasjon til pasienter og ansatte om hvordan personopplysninger behandles. Informasjonen skal være utformet slik at det er lett å forstå:

• hva som gjøres med personopplysningene
• hvilke rettigheter ansatte/pasienter har
• hva de skal gjøre for å utøve sine rettigheter

Informasjonen skal være lett tilgjengelig og utformet på et enkelt, klart og forståelig språk.

Krav ved utlevering av personopplysninger

Hvis pasienter får påvist koronasmitte må dere handle raskt for å hindre videre smittespredning. En viktig del av dette er å informere myndighetene slik at smitten kan begrenses. Ved utlevering av taushetsbelagte personopplysninger må det foreligge lovhjemmel eller samtykke fra den det gjelder.

• Helsepersonell som mistenker eller påviser smittetilfeller av koronaviruset skal varsle kommuneoverlegen. Dette er viktig for å sikre at smitteverntiltak og kontaktsporing kan iverksettes så raskt som mulig
• Leger og laboratorium som påviser eller diagnostiserer et tilfelle av koronasmitte skal melde dette samme dag til MSIS gjennom vanlige meldingsrutiner

I tilfeller hvor ansatte blir smittet må det gjøres en konkret vurdering om utlevering av opplysninger til kolleger og ansatte. Arbeidsgivere har plikt til å sikre et forsvarlig arbeidsmiljø for alle ansatte, og kan dele informasjon internt om en smittet ansatt dersom det ansees som nødvendig.
Det skal imidlertid ikke utleveres mer informasjon enn nødvendig, og så langt det er mulig bør man unngå å indentifisere den som er smittet.

TrinnVis forenkler arbeidet med behandling av personopplysninger

Regelverket knyttet til person- og smittevern er omfattende og kan være vanskelig å få oversikt over. Likevel er det viktigere enn noensinne å sørge for at riktige smitteverntiltak etableres samtidig som den enkeltes personvern respekteres. TrinnVis har en oppdatert Personvern-del som forenkler dette.

• TrinnVis-brukere som allerede har dokumentert hvordan ikke-koronalrelaterte personopplysninger behandles kan enkelt oppdatere eksisterende dokumentasjon med ferdiglagde tekster. Disse ligger tilgjengelige i en ny rutine.
• TrinnVis har rutine for hvordan ansatte skal informeres om behandling av deres personopplysninger under koronapandemien, pluss en personvernerklæring som skal fylles ut. Den utfylte erklæringen deles enkelt med kolleger og ansatte via TrinnVis.
• Det er også lagt til nye rutiner i TrinnVis for hvordan pasienter skal informeres når deres personopplysninger behandles og utleveres i forbindelse med melding- eller varsling om smittsom sykdom.

Personvernerklæring og rutiner vedrørende smittevern og personvern finner du på temasidene Smittevern og Personvern og IKT i TrinnVis.

Det kan være vanskelig å vite hva som menes med behandling av personopplysninger, hva som må gjøres av risikovurderinger, hvordan alt skal dokumenteres og akkurat hvilken informasjon som er riktig å gi til ansatte og pasienter. Dette er den viktigste jobben TrinnVis gjør – nemlig å gjøre lover og regler forståelige, og ha ferdiglagde forslag som sparer tid og sikrer at dere driver lovlig.