Personopplysninger, samtykke, personvern

Virksomheten må gjøre en risikovurdering. Sensitive data må oppbevares eller lagres adskilt fra åpen informasjon. For å ivareta sikkerheten, plasseres sensitiv informasjon ofte i egne soner med tilgangskontroll.

Sensitive personopplysninger («særlige kategorier»):

  • Rasemessig eller etnisk opprinnelse
  • Politisk oppfatning
  • Religion
  • Fagforeningsmedlemskap
  • Seksuelle forhold eller orientering
  • Genetiske og biometriske opplysninger brukt for å identifisere noen
  • Helseopplysninger – opplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand

Innhente samtykke

Når det er nødvendig å behandle personopplysninger, skal behandlingen først og fremst baseres på samtykke eller annet rettslig grunnlag. Et samtykke skal være frivillig, uttrykkelig og informert.Personopplysninger skal kun behandles der det finnes et tydelig spesifisert formål. Dersom man ønsker å behandle personopplysninger til andre formål enn de var innhentet for, må man forsikre seg om at det nye formålet er forenlig med det gamle. Dersom konklusjonen er at det nye formålet er uforenlig med det gamle, skal det innhentes samtykke, eller behandlingen må hjemles i lov.

Personvern for pasienter og brukere

For virksomheter som jobber med pasienter og brukere anbefales det å benytte den minst inngripende løsningen og dessuten begrense mengden data som lagres. Ved behandling av pasient- og brukerinformasjon bør virksomheten vurdere å benytte:

  • Sanntidsløsning (hvis mulig)
  • Lagre lokalt (hvis mulig). Det vil si er det behov for lagring i skyen?
  • La brukeren ha kontroll over løsningen.
  • Slette data etter bruk
  • Begrense tilgangen til informasjon
  • La brukeren ha innsyn i egne data
  • Kryptere og anonymisere dataene

Ta personverntesten

Tilbake til hovedside GDPR