GDPR – dette bør du sjekke

Juridisk direktør i Direktoratet for e-helse, Birgitte Jensen Egset, medgir at det er et stort informasjonsbehov knyttet opp mot den nye personvernloven, populært kalt GDPR (General Data Protection Regulation). Hun viser til at direktoratet har publisert informasjon om den nye forordningen på ehelse.no og normen.no.

På ehelse.no ligger det også en powerpoint-presentasjon, som har mye informasjon om den nye personvernforordningen og ulike begrep som brukes i den nye loven.

LES OGSÅ: Kommuneoverlege etterlyser mer informasjon om GDPR

– Vi prøver å lage lett tilgjengelig og god dokumentasjon, og skjønner at det er ulike grupper som trenger informasjon. Vi forstår godt at det er et informasjonsbehov hos fastlegene for eksempel, og skal kontakte legeforeningen for å følge opp dette nærmere, sier Egset.

Fem jurister og saksbehandlere jobber med GDPR-prosjektet og normen.no – som har som hovedmål å sikre at Direktoratets nasjonale løsninger innfrir de nye personvernkravene.

– Hvilke tips vil du gi til de som driver en legepraksis eller et legesenter?

– Den nye forordningen gjelder for alle som behandler personopplysninger, slik som personopplysningsloven gjelder i dag. Vi har veldig streng lovgivning om personopplysninger i pasientbehandling allerede i dag. Det vil si at dersom man følger de gamle reglene og norm for informasjonssikkerhet er man på god vei til de nye reglene trer i kraft.

Dagens Medisin har spurt Birgitte Jensen Egset i Direktoratet for e-helse og Advokat Aadel Heilemann i Legeforeningen om deres tips til hva man bør undersøke for å være klar for GDPR:

1. Få oversikt
Det aller viktigste med den nye personvernforordningen, er at alle leger må ha oversikt og ha skrevet ned hvilke personopplysninger man behandler, og til hvilket formål.

– Du skal vite hvilke formål du har for å lagre personinformasjon og hvilke sikringstiltak du har iverksatt, sier Egset.

2. Skriv databehandleravtale
I tillegg er det viktig å vite om man bruker en databehandler som arbeider med systemene som behandler personopplysninger (for eksempel ekstern IT-driftsleverandør). Dersom man har en databehandler, må man også ha en såkalt «databehandleravtale».

– Det er slik at man også etter dagens lovgivning skal ha en slik databehandleravtale, forklarer Egset.

Hun medgir at den nye personvernforordningen imidlertid fører til at konsekvensene ved mangel på en slik avtale blir noe større med den nye loven, ettersom bøtenivået (4 prosent av omsetning) er satt høyere med GDPR.

3. Lag sikringstiltak
I tillegg må man ha tenkt over sikringstiltak – det vil si at persondataene er tilstrekkelig beskyttet i et system med god tilgangskontroll, og at de er lagret på en datamaskin (server) som oppbevares på et låst rom. Man bør også ha klart hvordan man skal varsle, om data kommer på avveie.

– Sikringstiltakene innebærer å gjøre en risikovurdering av alle IT-systemer som behandler personopplysninger, også eventuelle IT-servere man selv drifter på kontoret, for å undersøke om de er godt nok satt opp. Dersom man bruker en databehandler, må man forsikre seg om at de har gode systemer for å håndtere personopplysninger.

– Vi har mistanke om at på en del fastlegekontor, så står serveren under en pult og at persondataene kanskje ikke er godt nok sikret. Da blir spørsmålet om hvem som kan få fysisk tilgang til systemet, om det er god nok tilgangskontroll og om brannmuren er god nok.

Verdt å merke seg er at de nye reglene også gjelder for databehandlerne, slik at de også er forpliktet til å følge de nye lovene.

Egset påpeker at det kan være lurt å bruke en ekstern IT–leverandør:
– Hvis man faktisk koster på seg å bruke en IT-leverandør, så vil man få bedre ytelse og sikkerhet.

4. Krav om dataportabilitet
I den nye personvernforordningen er det også et krav om dataportabilitet – som enkelt betyr at en bruker skal kunne be om å få sine data utlevert, slik at de kan ta det med seg til en annen tilbyder.

Ifølge Egset trumfer journalplikten imidlertid kravet brukerne kan fremsette om å få sine data slettet.

– Legens plikt til å lagre journalen trumfer retten til å bli glemt. Fordi det er et lovbestemt krav til dokumentasjonsplikt, forklarer Egset.

5. Vurder lagring
Aadel Heilemann, advokat og seksjonssjef for jus og arbeidsliv i Legeforeningen mener det er viktig å huske på at legene må vurdere om opplysninger om pasienter som gikk på legesenteret for 20 år siden fortsatt bør lagres.
– I tillegg må de vurdere alle øvrige personopplysninger som lagres, hvor man kanskje ikke har like stor bevissthet på at man oppbevarer personopplysninger. For eksempel deltakerlister fra et kurs, eller informasjon lagret om ansatte. Ryggmargsrefleksen som kommer når man finner en gammel excel-liste eller annen informasjon utover journalsystemene, må endres.

6. Lag rutine for sletting
– Man skal ha en plan for når opplysninger skal slettes og hvordan det skal gjøres, sier Heilemann og forklarer at Legeforeningen har laget et eksempeldokument som viser hvordan man kan kartlegge personopplysninger i for eksempel et excel-ark.

– Det er ikke en absolutt fasit på hvordan man skal føre dokumentasjonen, men det må gjøres.

– Dette er omfattende
Birgitte Jensen Egset presiserer at det ikke er Direktoratet for e-helse sitt ansvar at småvirksomheter som driver med helsetjenester holder seg innenfor det nye EU-lovverket. Dette er opp til de enkelte virksomhetene:

– Fastlegene er ansvarlige for sine pasienter og sine løsninger. Sykehusene er ansvarlig for pasientene de behandler og vi er ansvarlig for systemer i våre nasjonale løsninger.

Egset forklarer at de i normen for informasjonssikkerhet også har laget en veileder for legekontor og en mal for internkontroll for legekontor.

Oppdaterer Normen
Hoveddokumentet som skisserer Normen for informasikkerhet vil bli oppdatert før 25. mai, men ikke veilederen for legekontor.
– Burde ikke veilederen ha vært oppdatert før regelverket etter planen trer i kraft?

– Poenget er at vi oppdaterer normens hoveddokument. Legekontorveilederen står på listen over det som skal oppdateres men vi får dessverre ikke den ferdig før den 25.

– Dere bør ikke ha alt klart?
– Dette er veldig omfattende. Den endelige ordlyden på norsk av EU-forordningen er egentlig ikke offisiell før forordningen er besluttet tatt inn i EØS-avtalen, av EØS-komitéen. Men den norske lovproposisjonen kom fredag før påske, sier hun.

Dro på opplæringsturné
Egset forteller at direktoratet, sammen med Datatilsynet, KS, KiNS (Forening kommunal informasjonssikkerhet), Difi og Utdanningsdirektoratet, har kjørt en opplæringsturné inn mot kommuner, om de nye personvernreglene. Turnéen ble gjennomført ni steder i landet, med 1600 deltakere.
– Vi prøver å nå ut til mange med informasjon. I tillegg så har vi på planen å kontakte Legeforeningen for å se om vi kan delta på planlagte møter som de har på blokken.
– Når tenker dere gjøre det?
– Nå. Så fort som mulig, er målet.

Mal for GAP-analyse
Egset viser forøvrig til at Direktoratet for e-helse har maler for kartlegging av behandling av personopplysninger og mal for databehandleravtale på ehelse.no. Der er også en mal for GAP-analyse – som går ut på å finne avstanden mellom hvor man er og bør være, i arbeidet med GDPR. Det vil bli lagt ut mer veiledning og maler utover våren.

Lett å forstå?
– Mener du at informasjonen på deres sider er lett å forstå for helsepersonell?

– Dette er tungt EU-lovspråk og jeg tenker at dokumentene på normen.no er lettere å forstå. Vi har ellers fått tilbakemeldinger på at det vi skriver kan være litt vanskelig og jobber aktivt med å forbedre og forenkle struktur og språk.

– Utfordring for små virksomheter
Advokat Aadel Heilemann, som har jobbet lenge med GDPR-regelverket i Legeforeningen, ser frem til at direktoratet tar kontakt for å samarbeide om GDPR.

Heilemann ser ikke nødvendigvis små servere som står rundt på legekontor i Norge som et stort problem isolert sett.

Advokaten sier imidlertid at legeforeningen ser en klar utfordring i at næringsdrivende leger og mindre legesentre blir små virksomheter som håndterer store data. Og at de utveksler disse med helseforetakene.

– Dette kan bli et veldig stort ansvar som hviler på to-tre doktorer, for eksempel. En hacker vil kunne ønske å velge den enkleste veien inn i systemet, og da kan små virksomheter være sårbare. Sårbarheten forsterkes når virksomhetene i stadig større grad skal kommunisere på tvers.
– Vi mener at det må jobbes for mer sentraliserte løsninger og at utfordringen med informasjonssikkerhet bør tas tak i.

Fordelen med GDPR
Hun ser også en fordel med GDPR.

– Frem til nå har man som næringsdrivende lenge hatt ansvar for at systemet var lovlig. Nå – gjennom GDPR – får databehandler et selvstendig lovpålagt ansvar. Allikevel er det er fortsatt viktig å vurdere sikkerheten i oppbygningen av systemene, presiserer hun.

– Vi tenker at utviklingen bør gå i retning av at ansvaret for IT-systemene sentraliseres. Hvis Helseplattformen lykkes (felles journalsystem for kommune- og spesialisthelsetjenesten i Helse Midt journ. anm.), så vil man løse problemet ved at et enkelt legekontor må sikre systemet sitt. For der vil det måtte være egne løsninger som forvalter sikkerheten.