Nye personvernregler stiller nye krav til virksomhetene

Seminar hos Arntzen de Besche (tidligere arr.)

 

EUs forordning for personvern, The General Data Protection Regulation (GDPR), blir gjennomført som norsk lov og trer i kraft 25. mai  2018.  Det betyr at vi får nye regler for personvern i Norge. Det nye regelverket gir virksomheter nye plikter og enkeltpersoner nye rettigheter. De nye reglene betyr mer detaljregulering og tilstramminger, samt at dokumentasjonskravene øker.

For å forberede våre medlemmer på de nye reglene arrangerte Medtek Norge, i samarbeid med nettverkspartner Arntzen de Besche, et seminar om de nye personvernreglene.

Innhente samtykke

Når det er nødvendig å behandle personopplysninger, skal behandlingen først og fremst baseres på samtykke eller annet rettslig grunnlag. Et samtykke skal være frivillig, uttrykkelig og informert.

Personopplysninger skal kun behandles der det finnes et tydelig spesifisert formål. Dersom man ønsker å behandle personopplysninger til andre formål enn de var innhentet for, må man forsikre seg om at det nye formålet er forenlig med det gamle. Dersom konklusjonen er at det nye formålet er uforenlig med det gamle, skal det innhentes samtykke, eller behandlingen må hjemles i lov.

Hva er «sensitive» personopplysninger?

Virksomheten må gjøre en risikovurdering. Sensitive data må oppbevares eller lagres adskilt fra åpen informasjon. For å ivareta sikkerheten, plasseres sensitiv informasjon ofte i egne soner med tilgangskontroll.

Sensitive personopplysninger («særlige kategorier»):

  • Rasemessig eller etnisk opprinnelse
  • Politisk oppfatning
  • Religion
  • Fagforeningsmedlemskap
  • Seksuelle forhold eller orientering
  • Genetiske og biometriske opplysninger brukt for å identifisere noen
  • Helseopplysninger – opplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand

Sanksjoner overfor Helse Sør-Øst

Sanksjonsregimet en av de avgjørende grunnene til den oppmerksomhet som dette har fått. Det er fortsatt usikkert hvordan reglene blir utøvet i praksis, men det ligger an til en økning i gebyrnivået.

I slutten av oktober varslet Datatilsynet ni helseforetak i Helse Sør-Øst om overtredelsesgebyr på 800 000 kr. Helseforetakene får gebyr for ikke å ha oppfylt pliktene til sikkerhetsledelse, risikovurderinger og tilgangsstyring i forbindelse med tjenesteutsetting av IKT-Drift til utlandet. Dette illustrerer viktigheten av å foreta risikovurdering og etablere velfungerende systemer som tar vare på personopplysninger.

Personvern for pasienter og brukere

For virksomheter som jobber med pasienter og brukere anbefales det å benytte den minst inngripende løsningen og dessuten begrense mengden data som lagres. Ved behandling av pasient- og brukerinformasjon bør virksomheten vurdere å benytte:

  • Sanntidsløsning (hvis mulig)
  • Lagre lokalt (hvis mulig). Det vil si er det behov for lagring i skyen?
  • La brukeren ha kontroll over løsningen.
  • Slette data etter bruk
  • Begrense tilgangen til informasjon
  • La brukeren ha innsyn i egne data
  • Kryptere og anonymisere dataene

Hva må du og din virksomhet gjøre?

Virksomheten må etablere systemer for oppfølging. Personvern overfor ansatte, kunder, pasienter og brukere er et løpende forhold som krever systematiske tiltak og kan bety en endring i bedriftskulturen til enkelte virksomheter.

  • Erkjenn at noe må gjøres
  • Plasser ansvar – sett ned team
  • Kartlegg hva bedriften har og gjør med tanke på behandling av personopplysninger – og hvorfor
  • Kartlegg og vurder risiko, sikkerhetstiltak, tilganger og slettingsrutiner.
  • Bør noe endres?
  • Utarbeid nødvendig dokumentasjon

I presentasjonen om de nye personvernreglene finner du mer informasjon og en sjekkliste (pdf)

Tekst: Datatilsynet.no og Advokatfirma Arntzen de Besche