Ekstraordinære omstendigheter tvinger frem bruk av andre løsninger og systemer i møte med kollegaer og innbyggere. Men hva må vi tenke på for å sikre personvernet?


Personvern – hva er det?

Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger.

Som enkeltmenneske har du rett på en privat sfære som du selv kontrollerer, hvor du kan handle fritt uten tvang eller innblanding fra staten eller andre mennesker. Dette prinsippet er blant annet forankret i Den europeiske menneskerettighetskonvensjonen (EMK) artikkel 8 og i Grunnloven § 102.

Personvern er ikke bare en viktig menneskerettighet som skal sikre hensynet til den enkeltes personlige integritet og privatliv. Personvern er også viktig for å sikre felles goder i et demokratisk samfunn, slik som tanke- og ytringsfriheten for den enkelte.

Personvernbegrepet rommer, i tillegg til vernet av privatlivets fred og den enkeltes personlige integritet, også i stor grad vernet av enkeltpersoners rett til å ha innflytelse på bruk og spredning av personopplysninger om seg selv.

I 2018 fikk Norge en ny personopplysninglov, bestående av nasjonale regler og EUs personvernforordning (GDPR). Personopplysningsloven regulerer behandling, lagring, sletting, innsamling og alt annet vi gjør med personopplysninger.

Det følger av både personopplysningsloven og EØS-loven at personvernforordningen (GDPR) skal gå foran norsk lov ved konflikt. Det betyr at alle norske regler om behandling av personopplysninger må være kompatible med personvernforordningens system for å være gyldige, såfremt forordningen ikke har åpnet for at de enkelte landene kan eller skal lage nasjonale tilpasninger.

Personvernregleverket tar høyde for helsemyndighetenes registrering og bruk av personopplysninger i tider med smittsomme og alvorlige grenseoverskridende sykdommer. Personopplysningsloven gir egne unntak for behandling av personopplysninger som er nødvendig av allmenne folkehelsehensyn (personvernforordningen art. 9 nr. 2 bokstav i og fortalepunkt 52-54). Vi har særlovgivning som regulerer disse tilfellene i helselovgivningen og smittevernlovgivningen i Norge.


Personvernombudets rolle og behandlingsansvarliges ansvar

Personvernombudets hovedoppgave er å informere og gi råd til innbyggere, ansatte og ledelsen om de forpliktelsene virksomheten har etter personvernlovgivningen, knyttet til personvern og informasjonssikkerhet.

Personvernombudet skal også kontrollere overholdelsen av personvernlovgivningen og andre relevante regelverk med personvernbestemmelser, samt kommunens egne interne retningslinjer for behandling av personopplysninger. Selv om personvernombudet har en rolle i å kontrollere etterlevelse etter regelverket, er det fremdeles den behandlingsansvarlige (kommunen) som er ansvarlig for at personvernlovgivningen følges.

Personvernombudet har ingen funksjon som godkjenningsmyndighet, men skal gi råd basert på gjeldende lovgivning til den behandlingsansvarlige.

I tillegg skal personvernombudet samarbeide med Datatilsynet og fungere som et kontaktpunkt for tilsynet ved eventuelle spørsmål. De registrerte (ansatte, innbyggere, brukere, pasienter, elever, foresatte, mv.) skal på sin side kunne kontakte personvernombudet med alle spørsmål knyttet til behandling av deres opplysninger, og om utøvelsen av rettighetene de har i henhold til personvernlovgivningen.

I disse krisetider, når personvernet blir satt under særlig stort press, blir personvernombudets rolle spesielt viktig. For å opprettholde tjenestene våre i en annerledes arbeidshverdag må vi tenke nytt, men det meste kan gjøres uten å gå på kompromiss med ansatte og innbyggeres personvern.


Hva vil vi gjøre, og kan vi gjøre det?

Mange kommer med tips om tiltak som skal gjøre det enklere å holde kontakt eller ideer til hvordan vi kan hindre smittespredning. Noen vil bruke informasjon rundt koronautbruddet til å gjøre analyser av folks helsetilstand, andre igjen trenger smarte løsninger for å dele informasjon på tvers av hjemmekontorer, og ellers trenger kommunens ansatte gode løsninger for å kommunisere med innbyggerne i forbindelse med tjenesteyting.

I krisesituasjoner er det mulig å fire litt på hvor grundig undersøkelser man skal gjøre i forkant av innføring av systemer, løsninger og behandlinger, men dette må likevel veies opp mot viktigheten av den konkrete behandlingen. At det finnes snevre unntaksregler i lovgivningen, betyr ikke at ethvert prosjekt eller behandling kan påberope seg rettigheter etter disse snevre uttaksreglene.

Terskelen for å kunne påberope seg unntaksregler som til en viss grad setter personvernet og andre menneskerettigheter til siden er svært høy, og en slik handling må av den grunn være solid begrunnet. Dette betyr at du blant annet må vurdere behandlingens nødvendighet, forholdsmessighet og hvorvidt det er den minst inngripende måten å gjøre behandlingen på.

Datatilsynet har uttalt at det må tas hensyn til personvernet så lenge ikke liv og helse står i umiddelbar fare. Dette synet støtter også personvernombudet.

Når vi er i krise blir vi som samfunn sårbare, og da er fokuset på personvernet ekstra viktig å ivareta for å trygge befolkningen.


Hva må vi dokumentere?

Før vi tar i bruk nye systemer, starter nye behandlinger eller kommuniserer over en ny plattform, må vi faktisk vurdere om løsningen, behandlingen eller systemet skal behandle personopplysninger og om det er forsvarlig å bruke dette til det vi ønsker. Har vi sjekket om det finnes en lovhjemmel for det vi vil gjøre? Har vi vurdert om det vi ønsker å gjøre er nødvendig, forholdsmessig og den minst inngripende måten å gjøre den konkrete oppgaven på? Dersom det er et nytt system vi skal ta i bruk, vet vi om dette er godkjent for vårt formål og om vi har avtale med leverandør om bruk av dette systemet fra før?

Terskelen for å nedprioritere personvernet og andre menneskerettigheter er satt høyt, noe som betyr at det må gjennomføres en risiko- og sårbarhetsvurdering (ROS), det må gjøres en vurdering av personvernkonsekvenser (DPIA) i de tilfellene dette er aktuelt og det må foreligge en databehandleravtale mellom kommunen og leverandøren. Disse kravene fremgår av lov, og det vil gjelde for de aller fleste behandlinger vi ønsker å gjøre, også i denne ekstraordinære tiden med korona-pandemi.


Hva anbefales?

Vi anbefaler sterkt at man velger løsninger og systemer som allerede er godkjent for bruk i kommunen. Da har vi nødvendig databehandleravtale på plass, det er gjort risikovurdering og vi har sikringstiltak. Et raskt søk i «systemoversikten» gir deg en pekepinn på hvorvidt et system er i bruk i kommunen i dag – og du kan enkelt innhente tidligere dokumentasjon ved å kontakte systemeier. Du har da et godt grunnlag for å vurdere din konkrete bruk av løsningen/systemet.


Kan videokonsultasjon brukes mellom ansatte og pasienter/brukere?

Ifølge Datatilsynet skal det kunne tas hensyn til at vi er i en nasjonal unntakstilstand i vurderingen av dokumentasjonskrav før innføring av nye systemer eller oppstart av nye behandlinger, men det må likevel tas hensyn til personvernet så lenge ikke liv og helse står i umiddelbar fare.

Datatilsynet har vurdert at dette i utgangspunktet ikke er tilfellet i situasjoner der videokonsultasjoner skal benyttes. Det vil derfor ikke være grunnlag for å lempe på kravet om at databehandleravtale, ROS og DPIA skal gjøres i forkant av at et tiltak som videokonsultasjon i helsetjenesten settes i gang.
For å ivareta personvernet på en best mulig måte, anbefaler vi at videotjenesten som velges er anerkjent og kan vise at personopplysninger behandles på en sikker måte. Se her Direktoratet for E-helse sin liste over anbefalte videokonsultasjonsverktøy.

Se ellers informasjon og anbefalinger til helsepersonell og innbyggere om hvordan komme i gang med videokonsultasjon hos Direktoratet for e-helse.


Hvordan er reglene for registrering og bruk av personopplysninger om koronasmitte?

Personvernregleverket tar høyde for helsemyndighetenes registrering og bruk av personopplysninger i tider med smittsomme og alvorlige grenseoverskridende sykdommer. Regelverket gir egne unntak for behandling av personopplysninger som er nødvendig av allmenne folkehelsehensyn. Folkehelseinstituttet fører et eget utbruddsregister over alle utbrudd av koronasmitte i Norge. Sammen med kommunelegen og øvrige helsetjenester sporer de også opp hvem den smittede har hatt kontakt med, registrerer og følger opp.

Personvernombudets råd til den behandlingsansvarlige og kommunens ansatte Selv om vi står i en utfordrende situasjon, er det viktig at vi alle tar oss tid til å ta kloke og veloverveide valg; dette er ikke tiden for å sette hensynet til personvernet til side. Vi som kommune har et stort ansvar for å ivareta tilliten mellom ansatte og ledelsen, samt befolkningen og kommunen. Ivaretakelse av personvernet er grunnsteinen i dette tillitsforholdet. Som behandlingsansvarlig er det viktig å merke seg at vi har et tilsynsorgan (Datatilsynet) og en årvåken presse i Norge, som ikke har glemt personvernets verdi, til tross for at fokus i disse dager ligger på korona-pandemien. Både som ansatt og som leder i kommunen må du være deg bevisst at dine avgjørelser om behandling av personopplysninger må tåle dagens lys, også etter at vi er kommet igjennom denne utfordrende perioden.

Har du spørsmål; kontakt personvernombudet på

 


Kilder:

Datatilsynets faktaside om korona og personvern

Datatilsynets side om personvern

Datatilsynets side om personvernombudets oppgaver

Direktoratet for E-helse