Kommuneoverlege etterlyser mer informasjon om GDPR

Kommuneoverlege i Vega kommune i Nordland, Sinne Simony Marken, er en av dem som har fått med seg at EUs personvernforordningen snart trer i kraft. Populært kalt GDPR (General Data Protection Regulation).

Marken er avdelingsleder på et legekontor, og forteller at hun tilfeldigvis kom over problemstillingen med at virksomheter som behandler personopplysninger må innfri de nye EU-reglene for håndtering av personopplysninger. 

– Jeg må finne ut hva vi skal gjøre for å leve opp til disse nye lovkravene. Jeg synes ikke den informasjonen jeg har funnet så langt er lett å tolke, sier Sinne Simony Marken.

Marken forteller at kolleger i nabokommuner også opplever at å finne informasjon om det nye regelverket er utfordrende.

Mulige bøter
Sentralt i det nye regelverket, er større krav til at bedrifter må føre egenkontroll over hvordan man behandler personopplysninger. I tillegg kan det norske Datatilsynet bøtelegge bedrifter som ikke følger reglene med inntil 4 prosent av omsetningen, med et tak på 20 millioner Euro, skriver Legeforeningen.

De har blant annet laget en liste over endringer regelverket medfører her. Se listen her!

Tidligst 1. juli
Den nye personvernforordningen skulle etter planen innføres 25. mai. Nylig skrev Rett 24 at ikrafttredelse av de nye reglene er utsatt – og at det foreløpig ikke avklart når det regelverket trer i kraft. Nylig bekreftet også Justisdepartementet at loven tidligst vil kunne settes i kraft 1. juli i år.

Direktoratet for e-helse beskriver forøvrig omfanget av det nye regelverket slik: «Forordningen består av 99 artikler og 173 fortalepunkter, og inneholder oppdaterte nye regler som bygger på grunnprinsippene som er nedfelt i EUs personverndirektiv, samt klargjøring av flere rettigheter som er etablert gjennom europeisk rettspraksis».

– Vanskelig å forstå
Marken synes informasjonen rundt den nye personvernforordningen er vanskelig å forstå og etterlyser mer konkret informasjon om hvordan det nye regelverket vil påvirke dem som driver helse- og omsorgstjenester i kommunehelsesektoren. Enten det dreier seg om legekontorer, eller sykehjem og pleietjenester.

– Jeg trenger å vite helt konkret, skal vi gjøre noe med journalsystemet vi har, eller lever det opp til kravene slik som det er, og er det andre endringer som skal gjøres på et legekontor for å leve opp til de nye lovkravene?

Kommuneoverlegen kontaktet nylig Fylkesmannen i Nordland for å undersøke om de hadde hjelp og informasjon å gi kommunene, men forteller at da hun kontaktet Fylkesmannen ble hun anbefalt fra Fylket om å følge et kurs i regi av Direktoratet for e-helse, fordi de ikke hadde kompetanse på området.

Kommunikasjonssjef Wigdis Korsvik ved Fylkesmannen i Nordland bekrefter svaret: – Vi anbefaler kommunehelsetjenesten å ta kontakt med Direktoratet for e-helse, for å skaffe seg både nødvendig informasjon og kurs. Internt hos Fylkesmannen i Nordland starter vi nå opp med opplæring i GDPR. Dette innebærer at alle ansatte skal gjennomføre et kurs som skal gi oss grunnleggende kunnskap i de nye reglene for personvern. Kurset er obligatorisk for alle, uavhengig hvilke oppgaver vi har.

Fulltegnede kurs
Direktoratet for e-helse avholder populære kurs om GDPR – hvor flere er fulltegnede, opplyser Marken. Etter at hun tok kontakt med direktoratet, har hun heldigvis fått plass på et av de fulle kursene.

Marken opplyser at kommunen har satt i gang et arbeid ved legesenteret hun jobber for å få oversikt over all personinformasjonen som de behandler og få på plass nødvendige avtaler med de leverandørene legesenteret jobber med.

LES OGSÅ: Dagens Medisin har spurt Direktoratet for e-helse og Legeforeningen om hvilke ting man må sjekke før den nye personvernforordningen trer i kraft senere i år.

Ikke for helsepersonell
Datatilsynet er håndhevende organ for det nye regelverket. Marken opplever at datatilsynets veiledere om den nye personvernlovgivningen er på et språk som er vanskelig å forstå, og vanskelig å konvertere til konkret bruk.

–  Det er ikke myntet på en helseavdeling. Det står også en del generelt på Direktoratet for e-helse sine sider, men det står ikke hva et legekontor eller sykehjem konkret skal gjøre. Jeg synes ikke at informasjonen er lett forståelig eller forklarende. Generelt har det vært lite informasjon til helsetjenesten om GDPR.

Viser til Legeforeningen
Camilla Nervik, seniorrådgiver i Datatilsynet, mener det ville være lite hensiktsmessig at Datatilsynet skulle ha detaljert informasjon som ga veiledning til hva man bør gjøre i spesifikke bransjer, for eksempel i en legepraksis.

– Datatilsynet kommer trolig ikke med så mye sektorspesifikk veiledning. Vi kan gi grunnleggende informasjon om regelverket, og så bør man få retningslinjer for eksempel gjennom bransjenormer og eventuelt sin fagforening sier hun og viser til Legeforeningen.

– Det er opp til bransjen selv å lage god veiledning og normer som er tilpasset akkurat den behandlingen av opplysninger man gjør. Det er nettopp dette som er noe av det som er bra med den nye personvernforordningen, at den oppmuntrer til å lage normer for og av de som kjenner området best. Det aller beste veiledningsmaterialet blir laget av bransjen selv.

Legeforeningen jobber med saken
Den Norske legeforening har utarbeidet nettsider og veiledere for blant annet selvstendig næringsdrivende leger og andre, som leter etter informasjon om hvordan de skal takle den nye personvernforordningen.

Advokat Aadel Heilemann, som jobber med den nye forordningen i Legeforeningen, opplyser at de prøver å oppdatere løpende med informasjon som kan være til hjelp for legene. 

Hun forteller også at Legeforeningen ser på å opprette kurs om GDPR for sine medlemmer, og forklarer at de har holdt foredrag for flere foreningsledd. 

– Vi har opprettet disse informasjonssidene som en innledning. Deretter har vi planer om å aktivt bygge ut med informasjon, for eksempel når Normen for informasjonssikkerhet oppdateres, eller Datatilsynet og andre steder publiserer ny informasjon, sier Heilemann som er seksjonssjef for jus og arbeidsliv i Legeforeningen.

– Signalene fra de fleste instansene, er at det først kommer ny informasjon i mai.

Legeforeningen har også et samarbeid med selskapet Trinnvis Kvalitet som leverer løsninger som skal gjøre det lettere å forholde seg til de nye personvernreglene.

Lurt å være innenfor loven
Heilemann forteller at Legeforeningen i disse dager jobber opp mot Normen for informasjonssikkerhet, for å finne ut hvordan den bør oppdateres, slik at den ikke står i strid med den nye  loven og for at Normen skal gi best mulig veiledning i forhold til regelverket.
– Selve det norske lovforslaget kom først i slutten av Mars. Derfor er det noen løse tråder som må nøstes opp i før man får oppdatert Normen.
Generelt sett sier Heilemann at et legekontor vil være relativt godt forberedt om de i dag følger loven om personopplysninger. 

– Har man vært innenfor i dag, er sannsynligheten stor for at man forholder seg rimelig greit til forordningens krav. Vår erfaring er at legekontorene har et høyt fokus på en sikker og fortrolig håndtering av pasientopplysninger. Nå må imidlertid legekontorene passe på at alle personopplysninger som virksomhetene behandler blir håndtert i henhold til kravene i den nye personvernlovgivningen. For eksempel må de ha rutiner for håndtering av personaldata, herunder for sletting av slike data når det ikke lenger er nødvendig å lagre disse.
Endrede krav
Det er imidlertid endrede krav til såkalte databehandleravtaler.

– Her må journalleverandørene justere avtalene de har fra tidligere, fordi forordningen stiller noen nye krav sett i forhold til gammelt regelverk.

Heilemann viser forøvrig til at det er egne bestemmelser som gjelder for pasientjournaler, og at særlover går foran den nye forordningen.

LES OGSÅ: Dagens Medisin har spurt Direktoratet for e-helse og Legeforeningen om hvilke ting man må sjekke før den nye personvernforordningen trer i kraft senere i år.

Legeforeningen har også laget en sjekkliste for hva man bør undersøke hvis man driver legesenter. Den informasjonen finner du her.