Makuleringsbloggen - En blogg fra NG Secure AS

Personvernombudet gir råd - øverste leder har ansvaret

Skrevet av NG Secure | 9. januar 2019

Dere har sikkert registrert at det pågår en debatt om personvern og pasientsikkerhet ved Oslo Universitetssykehus (OUS). Problemstillingen er om personvernet kan gå ut over pasientsikkerheten. Det er en debatt jeg selvsagt ikke skal legge meg opp i. Men jeg registrerer at den berører sider ved personvernet som gjelder alle virksomhetsledere. I debatten påpeker Datatilsynet at det er øverste leder som tar beslutningene og har personvernansvaret. Personvernombudet gir råd. Dessuten har virksomheter plikt til å vurdere risikoen for brudd på personvernet og iverksette tiltak for å redusere risikoen.

Intensjonene med EUs personvernforordning (GDPR) som nå er en del av norsk lovgivning, var både å få få tydeligere regler og et sterkere personvern. Men samtidig ville man ha et regelverk som gjorde det mulig å utveksle informasjon med personopplysninger mellom virksomheter uten risiko for krenkelser av personvernet. Grensedragningen mellom ulike hensyn i den sammenhengen vil ikke være bastant. Mer på spissen enn i helsevesenet kan neppe den problemstillingen settes.

Lederen har personvernansvaret

I debatten ved OUS har både daglig leders og personvernombudets rolle vært et tema. Der har Datatilsynet kommet med viktige påpekninger. I et innlegg i Aftenposten har de vist til at ombudet har en rådgivende rolle på sykehusene og har blant annet i oppgave å informere om gjeldende personvernlovgivning. Den endelige beslutningen om å ta i bruk ny teknologi og nivået på sikkerheten ligger hos ledelsen ved sykehusene og ikke hos personvernombudet. Ledelsen kan velge å lytte til personvernombudets råd, men kan også velge å la være. Hvis noen skal stilles til ansvar for prosesser og beslutninger som er tatt, er det den øverste ansvarlige ved sykehuset.

Dette er ikke særegent for helsesektoren. Denne ansvarsfordelingen gjelder for alle norske virksomheter.

Personvernkonsekvenser skal vurderes

Når nye produkter, tjenester og systemer tas i bruk, følger det av GDPR at alle virksomheter har  plikt til å foreta en vurdering av hvilke konsekvenser det kan få for personvernet. Særlig viktig er det når man tar i bruk ny teknologi. Mulige konsekvenser fra interessentenes synsvinkel skal vurderes og evalueres. Plikten ligger hos personvernombudet og daglig leder, men med sistnevnte som den ansvarlige.

I tillegg skal det foretas en risikovurdering. Det vil si å vurdere sjansene for uønskede hendelser og ha tiltak for å hindre slike. Cyberangrep er et eksempel på en slik uønsket hendelse, som viser hvor viktig sikkerheten er. 

Risiko kan reduseres med sikker makulering

Et annet område hvor det finnes risiko for sikkerhetsbrudd, er når personopplysninger og annen sensitiv informasjon skal slettes enten de er lagret digitalt eller på papir.

En av rettighetene til de registrerte er at opplysningene om dem skal bli slettet når det ikke lenger finnes grunn til å ha dem lagret. Skjer ikke det på en trygg måte, kan sensitiv informasjon komme på avveie. Et av formålene med GDPR er nettopp å unngå det. Dessverre finnes det eksempler på uønskede hendelser fordi man ikke har gode nok sletterutiner.

NG Secure kan hjelpe dere med å redusere risikoen for sikkerhetsbrudd. Vårt opplegg for sikker makulering med utsetting og henting av forseglede beholdere, som fraktes i låste biler til et lukket og videoovervåket anlegg hvor dokumentene kvernes, gir dere trygghet for at sensitiv informasjon ikke kommer på avveie.

Kontakt oss gjerne for mer informasjon. Nedenfor kan du laste ned en gratis sjekkliste for GDPR. Den vil forhåpentligvis være nyttig hvis du ønsker å ta en ekstra gjennomgang av rutiner og praksis.