Personvern hos tannlegen

I 2005 gjennomførte Datatilsynet tilsyn ved fem tannlegekontorer i landet. Målet for tilsynet var å sette søkelyset på personvernet og gi grunnlag for dialog mellom Datatilsynet, tannlegebransjen og leverandører til tannlegebransjen. På bakgrunn av gjennomførte tilsyn konkluderte Datatilsynet blant annet med at kjennskapen til regelverket var liten blant tannlegene. Datatilsynets arbeid tar utgangspunkt i følgende lover og forskrifter:

• Personopplysningsloven

• Personopplysningsforskriften

• Helseregisterloven

De nevnte lover og forskrift finnes i sin helhet på Lovdata, www.lovdata.no

Personopplysningsloven og helseregisterloven benytter to sentrale begreper som det er viktig å merke seg; databehandlingsansvarlig og databehandler. Med databehandlingsansvarlig menes den som bestemmer formålet med behandlingen av helseopplysningen og hvilke hjelpemidler som skal brukes. Med behandling menes enhver bruk av personopplysninger som for eksempel innsamling, registrering, sammenstilling og lagring av data. Det er også databehandlingsansvarlig som er ansvarlig for at behandlingen av data skjer på lovlig vis. I praksis vil det være virksomhetens øverste leder (tannlege) som er databehandlingsansvarlig. Normalt vil det være naturlig å delegere eller dele det daglige ansvaret med andre i virksomheten, øvrige tannleger, tannpleiere og sekretærer. Uansett er det øverste leder som har ansvaret. Som databehandler regnes alle som behandler helseopplysninger på vegne av den databehandlingsansvarlige.

Det må etableres systematiske rutiner for forsvarlig behandling av helseopplysninger i virksomheten (internkontroll). Ved bruk av elektronisk journalsystem sier personopplysningsforskriften at det skal etableres klare ansvars- og myndighetsforhold for bruk av systemet. Ansvars- og myndighetsforhold skal dokumenteres, for eksempel ved å bruke skjema «Dokumentasjon av datasikkerhet» i kvalitetshåndboken på NTFs nettsted, kapittel 3 Ekstern kommunikasjon og datasikkerhet. I henhold til personopplysningsforskriften skal det føres oversikt over hva slags personopplysninger som innhentes og registreres. Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandling av personopplysninger. Den behandlingsansvarlige skal gjennomføre risikovurdering for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Resultatet av risikovurderingen skal dokumenteres. Mer om risikovurdering finner du også i kapittel 3 i Kvalitetshåndboken på nett.