Nye personvernregler – betydning for fysioterapipraksis

20. juli 2018 trådte nye personvernregler i kraft i Norge. Hva betyr det for din fysioterapipraksis?


EUs personverndirektiv fra 1995 ble fra 1. juli 2018 erstattet med EUs personvernforordning, «General Data Protection Regulation (GDPR)». Gjennom EØS-avtalen gjelder de nye felles reglene for personvern i EU også for Norge. De nye reglene gjenspeiler behovet for å oppdatere lovverket i tråd med tiden vi lever i. I tillegg er formålet å styrke rettighetene til borgerne og tilliten til digitale tjenester. Det er viktig å ha kontroll over personlige data, og hvordan og hva de blir brukt til i et stadig mer digitalisert samfunn.

I helsesektoren skal pasienten ikke bare få mer informasjon. Det skal også være god tilgangsstyring og dataminimering. Bare informasjon som er nødvendig, skal gis, og sikringstiltak skal iverksettes om nødvendig. Å kunne balansere konfidensialitet og tilgjengelighet vil sikre tillit hos pasienten og kvalitet i tjenesten.

Personvernforordningen GDPR er gamle personvernprinsipper i ny drakt. Noen regler er innskjerpet, men mange fantes også tidligere. Økt sanksjonsnivå hadde allerede før ikrafttredelsen av de nye personvernreglene medført økt bevissthet omkring etterlevelsen av regelverket. Nytt er at virksomhetene risikerer bøter ved brudd på regelverket.

Fysioterapeuten som databehandlingsansvarlig
Styrking av borgernes rettigheter kan føre til flere plikter for deg som databehandlingsansvarlig. Med databehandlingsansvarlig menes den som bestemmer formålet med behandlingen av opplysningene og hvilke hjelpemidler som skal brukes, og den som i eller i medhold av lov er pålagt databehandlingsansvar, jf. helseregisterloven § 2 bokstav e.

Begrepet «databehandlingsansvarlig» knyttes til den personen eller virksomheten som har bestemmelsesrett over opplysningene og den elektroniske behandlingen av disse. I en fysioterapipraksis blir fysioterapeuten databehandlingsansvarlig. Dette innebærer at fysioterapeuten er ansvarlig for informasjonssikkerhet, og skal kunne påse at personvernprinsippene overholdes.

Elektronisk pasientjournal
Det viktigste «hjelpemiddelet» for en fysioterapeut når det gjelder personvern og informasjonssikkerhet, er elektronisk pasientjournal (EPJ). Slik programvare har gjerne innebygd personvern, men det er viktig å undersøke om programvaren du bruker, tilfredsstiller de nye personvernreglene. En enkel måte å sjekke dette på er å høre om din EPJ-leverandør følger Normen.

Personvernombud
I offentlige virksomheter av en viss størrelse må det velges et personvernombud. Selvstendig næringsdrivende fysioterapeuter med driftstilskudd er en del av den offentlige helsetjenesten, men det er fortsatt uavklart om slike små virksomheter må velge et personvernombud. Uansett er det viktig med en bevisstgjøring om at personvern er en viktig del av eksisterende internkontroll. Trusler mot personvernet kan for eksempel være at journalen er ufullstendig, at uautoriserte får tilgang og innsyn i journal, tap av lagringsmedia eller bærbar PC med journalopplysninger. Typisk er også at ny versjon av journalsystemet installeres, men kun delvis virker, eller at fysioterapeuten sender SMS eller e-post som inneholder helseopplysninger.

Normen
Normen er en bransjenorm for personvern og informasjonssikkerhet, og et verktøy for å etablere tilfredsstillende sikkerhet i møte med pasienten. Norsk Fysioterapeutforbund følger denne bransjenormen. For fysioterapeuter som har inngått en avtale med Norsk Helsenett, er Normen juridisk bindende.

I forbindelse med nye personvernregler kommer Normens versjon 6.0 (2019) til å være mer leservennlig og ikke bare gjelde informasjonssikkerhet, men også personvern. Personvern er mer enn informasjonssikkerhet. Personvern innebærer også et vern mot at informasjon om pasienten er «borte vekk», eller at informasjon om pasienten er feil. Nye og/eller endrede krav som følge av ny lovgivning som er viktig for sektoren, skal tas inn i Normen versjon 6.0.

Økt fokus på personvern og informasjonssikkerhet vil kunne gi pasienten større tillit til tjenesten, og et løft for din fysioterapipraksis.

Kontaktperson i Norsk Fysioterapeutforbund:

  • Henriëtta Richter Uitdenbogaardt, seniorrådgiver, hr@fysio.no, tlf. 22 93 30 50.

(Artikkelen oppdatert 14. november 2018)