Fotterapeuten nr. 2 - 2018

34 | FOTTERAPEUTEN 2 – 2018 | KRONIKK PERSONVERN E r du vant til trygt å sjonglere med person- data på jobben, er det tid for å legge om stilen. EUs nye personvernforordning stiller fra 25. mai 2018 nye krav til hvordan virk­ somheter skal håndtere persondata, slik at pasienter, innleid personale og medarbeidere får en høyere grad av beskyttelse mot identitetstyveri og misbruk av personlige opplysninger. Krav til dokumentasjon Gabriel Martiny er advokat og partner i WTC-advoka- tene i Danmark og gir for tiden råd til mange virksom- heter om de nye reglene. Han forteller at den vesentlig- ste forskjellen på den nåværende danske lovgivningen og EUs nye personvernforordning, er at man skal kunne dokumentere at man håndterer persondata forsvarlig. – Det betyr blant annet at man skal sørge for å skrive ned og gi videre så få opplysninger som mulig, kun de man trenger for å kunne utføre sitt arbeid og leve opp til sine forpliktelser, slik som å føre journal. For eksempel er det ikke relevant å registrere at pasientens mann har kreft, selv om man tenker at det kan være relevant å spørre om dette neste gang pasienten kommer til behandling, sier Gabriel Martiny. Skiller mellom data I personvernforordningen skiller man mellom alminnelige personopplysninger, slik som navn, adresse og telefonnummer, og sensitive personopplys- ninger som for eksempel sykdom, religion eller seksu- ell legning, som er knyttet til menneskerettighetene. Det er de sensitive dataene du skal være ekstra forsiktig med å registrere og gi videre, med mindre det er absolutt relevant for behandlingen. Opplys pasientene Et annet krav i de nye personvernreglene er at du skal slette opplysninger løpende, slik at du ikke oppbevar­ er gamle persondata som ikke lenger er relevante. – Loven om pasientjournaler trumfer dog person- vernforordningen, noe som betyr at det ikke skjer endringer i forhold til de oppbevaringskravene som danske fotterapeuter alt er underlagt. Til gjengjeld er det nytt at man nå må opplyse pasientene om hvem som er dataansvarlig, hva som er formålet med at data oppbevares, hvor lenge de oppbevares, hvilke rettigheter pasientene har i forhold til «sine data» og hvor man kan klage, sier advokaten. I praksis betyr det at du skal ha en ekstern tekst på hjemmesiden, som beskriver hvordan du håndterer data. Du kan også velge å levere denne direkte til pasienten, slik at du sikrer deg at pasientene dine ser teksten. Det siste er det imidlertid ikke noe krav til. Skriftlig samtykke I alle situasjoner der du gir sensitive personopplys- ninger videre til andre, skal du ha et helt klart samtykke fra den det gjelder, noe du må kunne dokumentere. Det holder altså ikke med et muntlig samtykke. – Hvis du for eksempel offentliggjør bilder av personer på hjemmesiden din eller på sosiale medier, skal du ha et skriftlig samtykke som er klart og lett forståelig. Det er den som offentliggjør bildene som har ansvaret for å kunne dokumentere at et samtykke er innhentet. Hvis du gir opplysninger videre, skal du også kunne dokumentere at du har samtykke til dette fra pasienten selv, sier Gabriel Martiny. Beskriv din IT-policy Adgang til pasientjournalene på klinikkens PCer skal på samme måte styres med hard hånd, men det vil være forskjellig fra klinikk til klinikk hvordan man organiserer det optimalt. – For eksempel skal man sikre seg at passord har en viss vanskelighetsgrad og blir skiftet ut regelmes- sig, slik at data ikke blir misbrukt. PCene skal ha virusbeskyttelse og bør ikke brukes til private formål og sosiale medier, for da øker risikoen for et sikker- hetsbrudd. EUs nye personvernforordning: SLIK PASSER DU PÅ PERSONOPPLYSNINGER Fra 25. mai må du kunne dokumentere hvordan du sikrer at persondata ikke havner i feil hender. AV TINA RØNHØJ I DANSKE FODTERAPEUTEN (OVERSATT OG LITT OMSKREVETTIL NORSKE FORHOLD)