Rettigheter ved behandling av helse- og personopplysninger etter GDPR
Hvordan påvirker EUs personvernforordning (GDPR) den registrertes rettigheter ved behandling av helse- og personopplysninger?
Virksomheter i helse- og omsorgsektoren må ha rutiner og tiltak på plass for å håndtere de registrertes rettigheter når den nye personvernforordningen (GDPR) trår i kraft.
Rettigheter for de registrerte som allerede finnes i personopplysningsloven vil videreføres etter innføring av GDPR i Norge.
Nye og forsterkede rettighetskrav
Mange rettigheter i GDPR finnes allerede i helselovgivningen, men det stilles likevel flere nye eller forsterkede krav til hvordan disse skal ivaretas. Virksomheter i helse- og omsorgssektoren må derfor tilrettelegge for å ivareta dette i sine løsninger og systemer.
Hvilke rettigheter videreføres og forsterkes, og hvordan?
Rett til informasjon
Den registrerte har rett til å få informasjon om hvordan deres opplysninger blir behandlet, hvilke konsekvenser behandlingen kan ha, hvilke rettigheter han eller hun har og hvordan disse rettighetene kan tas i bruk. Det er et krav at all informasjon må være lett forståelig og tilgjengelig for den registrerte. Det er flere typer ny informasjon som må gis til den registrerte etter GDPR art. 13 og 14, for eksempel kontaktopplysninger til personvernombudet og informasjon om hvor lenge opplysningene skal lagres (lagringstid). Dersom det ikke er mulig å informere om lagringstid, må det gis informasjon om kriteriene som brukes for å fastsette lagringstiden. den underliggende logikken, betydningen og konsekvenser ved behandlingen. Dette er aktuelt der personopplysninger behandles for profileringsformål.
Rett til innsyn
Dersom det behandles personopplysninger om den registrerte, skal den registrerte få innsyn i egne personopplysninger. Denne rettigheten er hjemlet både i GDPR, pasientjournalloven og helseregisterloven. I tillegg er det også bestemmelser i de enkelte registerforskriftene om innsynsrett.
Rett til retting og sletting
Den registrerte har rett til å få opplysninger om seg selv rettet eller slettet. Retting og sletting av personopplysninger etter GDPR må skje uten ugrunnet opphold. Retting av personopplysninger i pasientjournal følger bestemmelser om retting etter pasientjournalloven. Personopplysninger som samles inn i forbindelse med behandling av pasienter i helsetjenesten omfattes av helsepersonellets journalføringsplikt etter helsepersonelloven, og vil ikke kunne slettes selv om den registrerte ber om det.
Rett til begrensning av behandlingen
Denne rettigheten innebærer at personopplysningene som samles inn ikke lenger kan behandles, men fortsatt kan lagres. Det gis flere muligheter i art. 18 i GDPR for når denne rettigheten kan brukes. Denne rettigheten ser ut til å gå noe lenger enn helselovgivningen. Den registrerte gis mulighet til å motsette seg ulovlig behandling av opplysninger, men kan samtidig be om at opplysningene fortsatt lagres. Det er uklart hva som ligger i denne rettigheten, og innholdet vil avhenge av fortolkning av nytt regelverk og helselovgivning etter innføring av GDPR.
Rett til å protestere på behandlingen (innsigelsesrett)
Den registrerte har i visse tilfeller rett til å protestere på behandling av egne opplysninger, som for eksempel i forbindelse med direkte markedsføring. I tilfeller der den registrerte har rett til innsigelse, plikter den behandlingsansvarlige å avslutte behandlingen av personopplysningene. Unntaket er hvis det foreligger tungtveiende og berettigede grunner for behandlingen som går foran hensynet til den registrertes interesser eller at behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav. Et eksempel på et slikt unntak er behandling av personopplysninger i journal etter helsepersonelloven og pasientjournalloven som er nødvendig for dokumentasjon og fremtidig pasientbehandling av den registrerte.
Rett til å motsette seg automatiserte avgjørelser og profilering
Den registrerte har rett til å motsette seg automatiserte avgjørelser som har rettsvirkning eller i betydelig grad påvirker den registrerte. Automatiserte avgjørelser som bygger på helseopplysninger krever et eksplisitt og gyldig samtykke eller behandlingen må ha vesentlig offentlig interesse og hjemmel i lov.
Ny rettighet til dataportabilitet
Med GDPR kommer en ny rettighet til den registrerte: retten til å ta med seg personopplysninger fra en behandler til en annen (dataportabilitet). Behandling av helseopplysninger basert på pasientjournalloven og helseregisterloven vil ikke være omfattet av retten til dataportabilitet. Denne rettigheten gjelder kun opplysninger den registrerte selv har gitt til den behandlingsansvarlige, og omfatter ikke personopplysninger som er samlet inn fra andre kilder. Informasjon eller analyse den behandlingsansvarlige har generert på bakgrunn av opplysningene omfattes heller ikke.
Videre gjelder rett til dataportabilitet kun dersom behandlingen av personopplysninger skjer på bakgrunn av et samtykke eller en kontrakt. Dersom behandling av personopplysninger foretas på et annet rettslig grunnlag enn samtykke, som for eksempel basert på lov eller forskrift i helselovgivningen, har ikke de registrerte krav på dataportabilitet.
Huskeliste
- Sett deg inn i alle rettigheter og hvordan de best kan ivaretas
- Oppdatere informasjon som gis til den registrerte i tråd med kravene til nye typer informasjon etter GDPR
- Gå gjennom egne systemer og løsninger, og legge til rette for at retting og sletting kan skje umiddelbart når det er hjemmel for det
- Ha rutiner og tiltak på plass for å håndtere den registrertes rettigheter på en tilstrekkelig måte, inkludert rutiner for begrensning av behandling av personopplysninger
- Dersom du behandler helseopplysninger ved bruk av automatiserte avgjørelser og profilering, sørge for at du har gyldig hjemmelsgrunnlag som samtykke eller hjemmel i lov
Datatilsynets veileder om den registrertes rettigheter etter nytt regelverk (datatilsynet.no)