Den nye personvernloven som innføres i 2018 fører til strengere krav til håndtering av personopplysninger.
STYRKING: Ny ordning fører til strengere krav til håndtering av personopplysninger. Illustrasjonsfoto: Colourbox
I 2018 trer EUs personvernforordning, også kjent som GDPR, i kraft. Forordningen er del av EØS-avtalen som Norge er forpliktet til å følge, og vil derfor få virkning også i Norge. De nye reglene vil få betydning for arbeidet i Legeforeningen .
- Innføringen av forordningen fører til strengere krav til behandlingen av personopplysninger, det vil si opplysninger og vurderinger som kan knyttes til en person, forklarer seksjonssjef i Jus- og arbeidslivsavdelingen i Legeforeningen, Aadel Heilemann.
- Hovedendringen er en styrking av det enkelte individs rettigheter. Det stilles blant annet større krav til samtykke, informasjon og databehandling.
Hun forklarer at det vil være viktig med en større grad av oppmerksomhet rundt denne tematikken også for Legeforeningens underforeninger.
- Ta for eksempel en liste over deltakere på et kurs som ble holdt i 2013. Dersom man skal fortsette å ha denne listen lagret må man ha en klar begrunnelse, et rettslig grunnlag, for hvorfor denne skal bevares. Under enhver omstendighet må man ha rutiner for sletting av denne type informasjon når lagring ikke lenger er nødvendig. Personopplysninger kan ikke lagres på ubestemt tid, sier Heilemann.
Større krav til retningslinjer og rutiner
Flere av dagens regler videreføres, men forordningen innebærer til dels en innskjerping av reguleringene og til dels innføres også nye krav. Fremover blir det blant annet viktig å være oppmerksom på følgende:
Krav om bruk av oppdatert teknologi i databehandlingen: Det er databehandlingsansvarliges ansvar å sørge for at teknologien som brukes er “state of the art”. Det som var bra i går er ikke nødvendigvis godt nok i dag.
Krav om sletterutiner: Det må opprettes retningslinjer for hvor lenge personopplysninger skal lagres og “retten til å bli glemt” er styrket.
Strengere samtykkekrav: Til nå har det på en del områder vært vanlig å innhente brede samtykkeerklæringer for bruk av personopplysninger. Det vil nå bli et krav om samtykkeerklæringer som tydeligere spesifiserer hvordan data skal brukes, av hvem og med hvilket formål.
Risikovurdering: Databehandler må foreta en vurdering av faren for sikkerhetsbrudd og ha retningslinjer for tiltak ved eventuelle brudd. Det blir viktig at virksomheten kan dokumentere at man har dette på plass.
Vil følge opp
Legeforeningen arbeider med å tilrettelegge for det nye regelverket på tre nivåer: sentralt, i foreningsleddene og på vegne av næringsdrivende leger.
- Nå kartlegger vi behovet for retningslinjer og rutiner knyttet til Legeforeningen sentralt. Når det gjelder medlemsregisteret må vi nok ha nye rutiner for informasjon og sletting. Når det gjelder utlevering av opplysninger fra registeret til foreningsledd som er registrert i Brønnøysundregisteret må vi ha en databehandleravtale som regulerer dette, forteller Heilemann.
- Vi jobber også med å se på mulighetene for å yte bistand til foreningsleddene om de nye reglene, blant annet gjennom kurs og utvikling av en egen nettside med veiledning. Videre vil vi også jobbe med å informere og bistå næringsdrivende leger. Dette skjer blant annet gjennom et samarbeid med Akademikerne om kontakt med Norsk helsenett og Norm for informasjonssikkerhet.
Høyere bøter
Den nye personvernforordninger vil få tydelige følger, tror Heilemann.
- Det er mange i hele Europa som nå jobber med implementeringen av denne forordningen. Jeg tror vi alle vil merke endringene fordi virksomhetene har streng informasjonsplikt, og vi må regne med å motta mye mer informasjon enn tidligere om ulike virksomheters håndtering av våre personopplysninger. Vi vil nok også få mange flere og mer spesifikke samtykkeerklæringer i mailinnboksen, sier hun.
Det vil også bli en skjerpet straff for brudd på personvernreglene:
- Det er varslet et betydelig høyere bøtenivå. Datatilsynet har ennå ikke gått ut med hvor høye bøtene blir, men bøtenivået etter forordningen blir vesentlig høyere enn i dag. Tanken bak det høye bøtenivået er at man rett og slett vil gjøre det umulig for de useriøse aktørene å opprettholde sin virksomhet.
Les mer om GDPR og Legeforeningen her .
