Nye regler for personvern - også i tannlegepraksis

EUs forordning for personvern, The General Data Protection Regulation (GDPR), trer i kraft 25. mai 2018. Det betyr at vi får nye regler for personvern også i Norge. Det nye regelverket gir virksomheter nye plikter og enkeltpersoner nye rettigheter. På samme måte som alle andre, må også vi tannleger sette oss inn i hva dette innebærer og gjøre nødvendige endringer.

Bakgrunnen for endringene er en radikal, digital samfunnsutvikling. Med økt bruk av digitale medier registreres og brukes personopplysninger nå nærmest overalt, hele tiden. Den digitale utviklingen har gått fort, og det eksisterende lovverket er ikke tilpasset dagens situasjon. EU vil styrke privatpersoners rettigheter og samtidig skjerpe bedriftenes forpliktelser.

NTFs arbeid med GDPR består av to deler. En del omfatter NTFs egen virksomhet. Både sekretariatet og NTFs ulike organer behandler medlems- og andre personopplysninger, og vi må tilpasse våre rutiner og systemer til det nye regelverket. Dette er et omfattende arbeid. Den andre delen består av informasjon og generell veiledning ut til medlemmene, for å bistå dere i møtet med de nye reglene for personvern og behandling av personopplysninger.

Vi skal gjøre vårt beste for å veilede og informere dere om GDPR. Vi har nå laget et eget område på NTFs nettsted hvor vi legger ut nyttig informasjon og veiledninger. Dette er verktøy dere kan bruke slik at virksomhetene skal være beredt for de nye kravene. NTFs veiledning og informasjon til medlemmene er ment å være på et overordnet nivå, fordi dette må tilpasses den enkelte virksomhet.

GDPR innebærer en full harmonisering av personvernregelverket i EU/EØS, og vil gjelde som norsk rett slik som den er. Departementet foreslår å videreføre gjeldende regler der det er anledning til nasjonale tilpasninger. En ny personopplysningslov har vært på høring, og vil etter det opplyste bli lagt frem for Stortinget i april 2018.

GDPR åpner imidlertid i stor grad for særregler når det gjelder behandling av helseopplysninger i helsesektoren, på samme måte som i dag. Departementet legger til grunn at gjeldende lover og forskrifter om behandling av helseopplysninger i utgangspunktet er i samsvar med GDPR.

GDPR omfatter imidlertid all behandling av personopplysninger i virksomheten, ikke bare i forhold til pasienter, men også leverandører, ansatte osv. Dere må derfor skaffe dere oversikt over hvilke personopplysninger som behandles i deres virksomhet, hvor opplysningene kommer fra og hva som er det rettslige grunnlaget for behandlingen av de aktuelle personopplysningene. Det er virksomhetens ledelse som har ansvaret for å utforme de nye rutinene, men alle i organisasjonen må kjenne til og følge de nye reglene.

GDPR oppfordrer til at det utarbeides bransjenormer eller retningslinjer for hvordan en sektor eller bransje skal sikre at den behandler personopplysninger på en riktig og god måte. Slike bransjenormer skal etter de nye reglene godkjennes av Datatilsynet.

Innen helsesektoren har vi allerede «Norm for informasjonssikkerhet i helse og omsorgstjenesten» (Normen) som er et omforent sett av krav til informasjonssikkerhet basert på dagens lovverk. Normen er utarbeidet av representanter for helsesektoren, herunder NTF. Hensikten med Normen er at den skal bidra til å etablere mekanismer hvor de forskjellige virksomhetene kan ha gjensidig tillit til at behandling av helse- og personopplysninger gjennomføres forsvarlig. Normen er under revisjon, og vil komme i en versjon som er tilpasset GDPR. Det er ennå ikke klart hva disse endringene vil gå ut på, men vi vil informere dere så snart det skjer noe. Å følge Normen vil også fremover være en måte å etterleve kravene til sikkerhet ved behandling av personopplysninger.

Det er liten grunn til å være bekymret for GDPR hvis virksomheten etterlever dagens regelverk. Men når loven nå endres, må også vi endre våre rutiner, slik at vi følger de pliktene vi får etter nytt lovverk. Dette arbeidet vil kreve ressurser og tid. Noen endringer må alle virksomheter gjøre, bl.a. sørge for å inngå nye databehandleravtaler og utarbeide en personvernerklæring. Datatilsynet har veiledningsplikt, og det finnes også mye informasjon og anbefalinger på www.datatilsynet.no.

NTF vil for øvrig følge utviklingen på personvernområdet også fremover, i samarbeid med Council of European Dentists (CED) og de andre nordiske landene.

NTF skal gjøre sitt - og så må vi alle gjøre vårt for å sette våre virksomheter i stand til å etterleve det nye regelverket.