Artikler om personvern

Sjekkliste for næringsdrivende leger

Det er viktig at legekontoret gjennomgår sin egen håndtering av personopplysninger, som omfatter så vel pasientdata som opplysninger om ansatte mv. Til hjelp i arbeidet har vi laget en kort (ikke uttømmende) sjekkliste.
18. januar 2018
Sjekkliste - Illustrasjon: Colourbox.com
Illustrasjon fra Colourbox.com

1. Kartlegg bruk av personopplysninger 
Virksomheten må skaffe oversikt over hvilke personopplysninger den sitter på. Fordi legekontoret behandler helseopplysninger (særskilt kategori av personopplysninger) plikter kontoret å føre en protokoll med oversikt over opplysningene. Dette kan for eksempel gjøres i et Excel-ark. Oversikten skal blant annet inneholde:

  • Hvem behandler virksomheten personopplysninger om? For eksempel ansatte og pasienter
  • Hvilke type opplysninger har dere om de aktuelle personene? For eksempel: navn, adresse, telefonnummer, kontonummer, pårørendeinformasjon, helseopplysninger, referat fra medarbeidersamtaler for ansatte, advarsler, annet i personalmappen.
  • Når brukes opplysningene og for hvilket formål? For eksempel kontonummer brukes i forbindelse med lønnsutbetaling eller referat fra medarbeidersamtaler brukes i forbindelse med oppfølging og utvikling av ansatte.

Vi har laget et eksempel på et kartleggingsskjema som legekontoret kan bruke for å kartlegge behandlingen av personopplysninger her.

2. Har du lov til å bruke opplysningene? 
For å behandle personopplysninger kreves en hjemmel. Dette kan være en lovhjemmel, samtykke eller nødvendighetsgrunn. I arbeidsforhold vil et eksempel på en nødvendighetsgrunn være at man har kontonummer med det formål å utbetale lønn til de ansatte 

3. Sletting av informasjon
Det er et generelt prinsipp at informasjon skal slettes når det ikke lenger er nødvendig for formålet det var innhentet for. Det skal likevel lagres lenger når det er pålagt i lov, for eksempel bokføringsloven. Det er viktig å ha rutiner for sletting av informasjon. Har dere nå lagret mer informasjon enn nødvendig? For eksempel om tidligere ansatte. 

4. Rutiner for informasjonssikkerhet og internkontroll
Det er viktig å sørge for at virksomheten har god informasjonssikkerhet, og at det er rutiner for internkontroll. Dette innebærer at virksomheten må ha rutiner som sikrer at virksomheten har tilfredsstillende informasjonssikkerhet og at virksomheten overholder reglene om personvern. Rutinene må dokumenteres.

Legeforeningen har en samarbeidsavtale med TrinnVis som er et kvalitets-/internkontrollsystem laget av leger for å forenkle driften og forbedre pasientsikkerheten ved legekontoret. Som medlem i Legeforeningen får du 30 prosent på et abonnement hos TrinnVis og kan prøve tjenesten gratis i én måned. Link til medlemsinfo.
 
Les mer om Trinnvis på Trinnvis.no

5. Bruker dere en databehandler?

Dersom dere bruker en leverandør som behandler opplysninger på virksomhetens vegne er dette en databehandler, og det kreves en databehandleravtale. Dette kan for eksempel være dersom man har satt utbetalingen av lønn til en ekstern leverandør, eller leverandør av pasientjournalsystemet. Tilbydere av systemer har gjerne ulike standard databehandleravtaler som benyttes for kunder. Legeforeningen er i dialog med de ulike tilbydere av journalsystemer for å se på vilkårene i deres standard databehandleravtaler for bedre å kunne ivareta medlemmenes interesse her.

6. Felles journalsystem

Mange leger har organisert seg i et samarbeid mellom flere virksomheter. Det kan for eksempel være et samarbeid mellom flere enkeltstående legevirksomheter eller et samarbeid med andre behandlingsrettede virksomheter, herunder fysioterapeuter. Dersom de samarbeidende virksomhetene skal dele journalsystem, må det inngås en samarbeidsavtale mellom virksomhetene. En slik avtale skal blant annet regulere databehandlingsansvaret og eventuell fordeling av oppgaver, hvordan helseopplysninger skal behandles og sikres og hvordan pasientens rettigheter skal ivaretas. Vi viser til veileder for samarbeid mellom virksomheter om felles journal utarbeidet av Normen (Norm for informasjonssikkerhet i helse- og omsorgssektoren).