Spør advokaten

Tannlegenes spørsmål om GDPR

NTFs sekretariat får mange henvendelser om innføringen av ny personvernlovgivning (GDPR) og hva den enkelte må gjøre i denne forbindelse. På NTFs nettsted er det lagt ut veiledning for medlemmer om GDPR, som det anbefales å sette seg inn i.

Under følger svar på noen av de spørsmålene som oftest blir stilt om personvern:

Må jeg legge til rette for elektronisk journalinnsyn?

Nei, hverken pasient- og brukerrettighetsloven eller pasientjournalloven regulerer hvordan eller på hvilken måte pasienter skal få innsyn i journalen, ut over at pasienten på forespørsel har rett til en enkel og kortfattet forklaring på faguttrykk og lignende, i tillegg til kopi.

Det følger av fortalen til personvernforordningen at det bør være mulig å gi elektronisk innsyn i personopplysninger. Videre at «dersom det er mulig, bør den behandlingsansvarlige kunne gi fjerntilgang til et sikkert system der den registrerte kan få direkte tilgang til egne opplysninger».

Helse- og omsorgsdepartementet legger til grunn at personvernforordningen ikke pålegger virksomhetene en plikt til å gi elektronisk innsyn i alle helseopplysninger som kan knyttes til den registrerte. Ut over dette er det opp til den enkelte virksomhet hvordan den tilrettelegger for journalinnsyn.

Kan jeg fortsatt ta betaling for å gi pasienten innsyn i egen journal?

Nei. Etter gjeldende pasientjournalforskrift er det adgang til å kreve inntil 85 kroner i gebyr for utskrift eller kopi av journal. Når personvernforordningen trer i kraft kan det bare tas betalt dersom den registrerte ber om flere kopier. I slike tilfeller kan det innkreves et rimelig gebyr basert på administrasjonskostnadene. Betalingen kan ikke overstige de faktiske utgiftene.

Hvem må jeg inngå databehandleravtale med?

Det må inngås databehandleravtale med virksomheter du velger å la behandle personopplysninger du er databehandlingsansvarlig for. Praksiseiere må sørge for at for eksempel leverandører av pasientjournalsystemer, lønnssystem, regnskapsfører o.l. signerer en ny databehandleravtale før personvernforordningen trer i kraft.

Mal for databehandleravtale finnes tilgjengelig på NTFs nettsted.

Må jeg ha samtykke fra pasienten for å kunne føre journal?

Nei. Journalføringsplikten følger av helsepersonelloven §§ 39 og 40, og det er ikke mulig å avtale seg bort fra denne eller å la det være opp til pasienten om det skal føres journal eller ikke.

Må jeg ha personvernombud?

Virksomheter som har som hovedvirksomhet å behandle sensitive personopplysninger i stor skala må ha personvernombud. Behandlingen av sensitive personopplysninger anses for å være en hovedvirksomhet der den er uløselig forbundet med virksomhetens tjenester.

Det er ikke definert i personvernforordningen hva som ligger i begrepet stor skala, men følgende momenter bør tas med i vurderingen:

* antallet personer det behandles opplysninger om

* mengden og omfanget av personopplysningene som blir behandlet

* varigheten av behandlingen

* det geografiske omfanget av behandlingen

For eksempel er NTF pålagt å ha personvernombud. NTFs virksomhet er uløselig knyttet til å behandle opplysninger om medlemskap i fagforening, som er en sensitiv personopplysning, og de registrerte befinner seg i hele landet. Et eksempel på virksomhet som ikke må ha personvernombud er fastleger, som kun behandler opplysninger for et begrenset antall pasienter i et begrenset geografisk omfang.

NTF har vært i kontakt med Datatilsynet for å få avklart om praksiser med mange pasienter og flere tannleger må ha personvernombud. Fra Datatilsynets side er det ikke ønskelig å tallfeste hva som ligger i «stor skala». Det legges opp til en helhetsvurdering hvor alle momentene over må vurderes samlet av hver enkelt, i tillegg til hvordan omstendighetene for øvrig gir trygghet og dokumentasjon for at personopplysningene blir behandlet i tråd med personvernprinsippene og øvrig lovgivning.

Dette blir dermed en samlet vurdering som hver enkelt praksiseier må ta. Det er viktig å dokumentere skriftlig de vurderingene som blir gjort, dersom man ved tvil kommer til at personvernombudsordning ikke skal opprettes.