Datatilsynet gjennomførte i 2016 kontroller for å se hvordan de sentrale helseregistrene etterlever kravene i personvernreglementet. Rapporten fra kontrollen foreligger nå. Der får registrene skryt for å ha gjort et stort stykke arbeid for å etablere en tilfredsstillende internkontroll. Selv om kontrollene ble utført før EUs personvernfordning (GDPR) ble en del av norsk lov, mener Datatilsynet også at resultatene er relevante for å etterleve kravene i GDPR. I den forbindelsen er det nyttig å notere seg hvilke temaer de var opptatte av. I tillegg til internkontroll var det informasjonssikkerhetstiltak og de registrertes rettigheter. Har dere tiltak på plass som vil tilfredsstille Datatilsynet hvis de kommer på GDPR-ettersyn?
Fundamentet i GDPR er enkeltpersoners rettigheter. Derfor vil også hovedformålet med etterkontroller være å sjekke hvordan disse rettighetene ivaretas. Noen av de sentrale rettighetene er:
- Samtykke til innsamling av personopplysninger
- Rett til innsyn
- Rett til retting og sletting
- Rett til begrensning
- Rett til å protestere
- Rett til informasjon
Skal rettighetene være reelle krever det altså at de registrerte informeres. Av rapporten framgår det at Datatilsynet har funnet manglende strategier for informasjon. Det området er etter tilsynets mening det viktigste å ta tak i og gjøre bedre i framtiden for helseregistrene. Informasjonsplikten gjelder imidlertid alle typer virksomheter og ansvaret påhviler daglig leder.
Internkontroll
Personvernrettighetene i GDPR innebærer også flere andre plikter, og det stilles nye krav. Virksomhetene må dokumentere at de behandler personopplysninger i tråd med personvernprinsippene. Derfor må det etableres gode nok rutiner i form av internkontroll. En del av den vil være å demonstrere at det er utarbeidet tiltak for å sikre at personopplysninger behandles i samsvar med regelverket og at disse vedlikeholdes.
Virksomhetene må også vurdere risikoen for brudd på personvernreglene og ha tiltak for å hindre trusler mot dem. Mørketallsundersøkelsen viser at det her fortsatt er mangler mange steder.
Informasjonssikkerhet
Internkontroll er nødvendig for å ivareta den informasjonssikkerheten som GDPR krever. Som kjent betyr ikke GDPR at det er forbudt å samle inn og behandle personopplysninger. Personvernreglene skal imidlertid sikre at opplysningene beskyttes tilfredsstillende mot uberettiget innsyn og endringer når opplysningene er tilgjengelige for dem som trenger dem.
Det er dette som er informasjonssikkerhet, og det er en kontinuerlig prosess. Rutiner og tiltak må stadig gås gjennom og revideres. Det kan for eksempel oppstå nye trusler.
Som Datatilsynet understreker i rapporten om helseregistrene, er det viktig at de ansatte kjenner til regelverk og tiltak. Det betyr kompetanseutvikling og stadig opplæring. Erkjennelsen av det behovet er noe av bakgrunnen for at NorSIS i oktober hvert å har har en nasjonal kampanje for informasjonssikkerhet.
Sikker sletting
Så ønsker selvsagt jeg å minne om at internkontroll også betyr at dere må ha rutiner og tiltak for å oppfylle kravet i GDPR om sletting på en sikker måte. NG Secure har løsninger for det. Vi makulerer både papirdokumenter og digitale lagringsmedier. Vår satsing på sikkerhet gir dere trygghet for at sensitive data ikke kan gjenskapes etter makuleringen.