GDPR-råd til helsesektoren

Pasienter og forbrukere vil få sterkere rettigheter. For aktører i helsesektoren betyr det at de må ha oversikt og kontroll over opplysningene.

Her er tre tips til deg som jobber i helsesektoren om hva du må ha i boks før 1. august i år.

 

Alt i alt skal GDPR-regelverket gi pasientene større rettigheter og bedre informasjon, og bedre muligheter til å ivareta sine rettigheter.

 

Personvern handler om retten til et privatliv

...og retten til å bestemme over egne personopplysninger.

Helseinstitusjoner og aktører i helsesektoren, offentlige og private som behandler opplysninger om oss må fra 1. august gjøre ting litt annerledes. De må på en enklere og klarere måte opplyse oss om hva de bruker informasjonen til og hva de gjør med opplysningene våre. Hvordan har de sikret dem, hvem er involvert?

Oversikt og kontroll

For virksomhetene innebærer det at de må ha bedre kontroll på hva de har av opplysninger. De må kunne svare pasienter og pårørende når de lurer på hva som finnes av informasjon om dem. Oversikt og kontroll er nøkkelordene, og det blir enda viktigere fra 1. august.

3 tips til helseforetak

 

1. Få kjennskap til regelverket

Noen av artiklene i regelverket:

  • Artikkel 5: Bruk av personopplysninger kun til formålet de er innsamlet i. Du skal vite klart og tydelig hva dine personopplysninger brukes til, og du har også rett til tilgang til dine personopplysninger.

  • Artikkel 17: Rett til å bli slettet. Hvis du ikke lenger er kunde, eller hvis du ikke ønsker at dine personopplysninger skal brukes for eksempel i markedsføring, har du rett til å få slettet dine personopplysninger.

  • Artikkel 20: Rett til portabilitet. Du har rett til å overføre opplysninger fra en leverandør til en annen, for eksempel om du skal bytte bank eller forsikring. Dette må skje i maskinlesbart format.

  • Artikkel 25: Samtykke må gis på en forståelig måte. Virksomheter kan ikke behandle dine personopplysninger med mindre du har gitt en spesifikt og klart samtykke. Det blir slutt på “I agree” til ti sider med liten skrift som du ikke forstår. Klart språk er viktigere.

 

2. Få oversikt

Personopplysninger er alt som kan knyttes til en bestemt person. Det typiske er navn og personnummer. Men også ting man ikke automatisk tenker på; som telefonnummer, e-postadresse og fagforeningsmedlemsskap.

Hvilke av disse opplysningene har dere i deres virksomhet? Om pasienter? Ansatte? Leverandører? Andre forretningsforbindelser? Har dere oversikt?

Prinsippet er uansett at det er hvilke personopplysninger dere har og hva dere bruker de til som avgjør hvordan dere berøres av GDPR.

Undersøkelse fra Datatilsynet viser at folk opplever opplysninger om sin privatøkonomi som sensitiv, særlig fødselsnummer, helseopplysninger og innholdet i telefonsamtaler og e-post. Men politiet og helsevesenet har fortsatt større tillit enn andre.

 

3. Finn gapene

Har dere kontroll på alt, eller hva mangler? Det må også dokumenteres at dere følger rutiner for behandling av personopplysninger, f. eks at personopplysninger som ikke trengs lenger slettes.  

Innebygd personvern betyr at man skal tenke personvern og informasjonssikkerhet i alle steg av en utviklingsfase. Innebygd personvern skal styrke individets rettigheter og samtidig gjøre det lettere for virksomheter å følge sine plikter og styrke informasjonssikkerheten. Dette går blant annet på dataminimering: man skal ikke behandle mer persondata enn det er behov for.

Det betyr også at dersom man ikke har behov for å identifisere noen, så skal man ta i bruk anonymisering, pseudonymisering eller andre tiltak. Videre skal man ha gode sletterutiner og tilgangsstyring.

 

GDPR-fakta

Personvernforordningen må være på plass i virksomheten senest 1. august 2018. Brudd på regelverket etter denne dato kan medføre bøter på inntil 20 millioner Euro eller 4% av bedriftens totale omsetning. IT leverandører (databehandlere) kan også få bøter direkte.

Les mer om GDPR her

Hvorfor er personvern så viktig?

Godt personvern er spesielt viktig i helsesektoren, både i form av at en behandler store mengde sensitive helseopplysninger som ikke andre skal ha innsyn i, men også fordi personopplysninger blir benyttet til å gi helsehjelp.

Manglende kontroll med personopplysninger kan altså medføre tillitsbrudd mellom helsetjenesten og pasienten, men også i ytterst konsekvens gi feilbehandling på bakgrunn av feil eller manglende informasjon.

 

Kontakt oss

Lars Erik Fjørtoft

Partner | Leder IT Risk, PwC Norway

Tlf: 974 74 469