Personopplysninger er alle opplysninger og vurderinger som kan knyttes til en enkeltperson. Naturterapeuter behandler personopplysninger når de lagrer opplysninger om pasientens helse og behandling i en pasientjournal.

Alle har krav på vern av sine personopplysninger. Dette betyr blant annet at man selv skal få bestemme hvem som kan behandle opplysninger om en selv og til hvilke formål. Derfor er det viktig at naturterapeuter forteller sine pasienter at han/hun registrerer opplysninger i en pasientjournal og sier hva som er formålet med dette. En annen viktig del av personvern er å beskytte personopplysningene.

Regelverket er dynamisk og utvikler seg parallelt med utfordringene dagens samfunn opplever. NNH tok turen til Datatilsynet for å drøfte viktige spørsmål om datasikkerhet og regelverk knyttet til håndtering av personopplysninger og pasientopplysninger. I møte med juridisk rådgiver Christine Dalebø Gjerdevik fikk vi nyttige råd og innspill som vi ønsker å presentere for våre medlemmer i form av et intervju med Christine.

De fleste av våre naturterapeuter er selvstendig næringsdrivende. Hvilke utfordringer tror du dette kan gi i deres arbeid med informasjonssikkerhet?
- Regelverket for behandling av personopplysninger og pasientopplysninger kan virke overveldende for mange, og særlig hvis du jobber alene med problemstillingene. Det kan være vanskelig å finne ut hvilke sikkerhetstiltak som er nødvendige.

- Vi har veiledere og tips på våre hjemmesider som kan være et fint utgangspunkt. I tillegg anbefaler vi alle som jobber med pasienter å bruke faktaarkene som er utarbeidet av Norm for informasjonssikkerhet i helse- og omsorgstjenesten.

• Datatilsynet.no

- Selv om naturterapeuter ikke er en del av helse- og omsorgstjenesten, kan dette være en god informasjonskilde for denne arbeidsgruppen.

Hvilke terapeuter må gi melding eller søke konsesjon fra Datatilsynet?
- Utgangspunktet er at behandling av sensitive personopplysninger, som helseopplysninger, krever konsesjon fra Datatilsynet.

- Dette kravet gjelder ikke for behandling av pasientopplysninger hos helse- og sosialpersonell som ikke er underlagt offentlig autorisasjon eller gitt lisens, som for eksempel naturterapeuter. For bruk av personopplysninger i behandling og oppfølging av pasientene, eller for utarbeidelse av statistikk, er det nok at naturterapeuten sender melding til Datatilsynet. Dette følger av personopplysningsforskriften § 7-25. Skjema for å sende melding finnes på våre hjemmesider.

Hva er de viktigste tingene en naturterapeut må tenke på når de skal oppbevare pasientjournaler?
- Naturterapeutene registrerer opplysninger om pasientens helse og behandling i pasientjournalen. I tillegg kan det være det registreres andre opplysninger om pasientens personlige forhold. Felles for disse opplysningene er at pasientene ikke ønsker at uvedkommende skal få kjennskap til dem. Dette krever både at terapeutene har taushetsplikt, men også at pasientjournalene er beskyttet mot at uvedkommende får tilgang til dem.

- Hvis elektroniske pasientjournaler oppbevares på PC, må den for eksempel være passordbeskyttet og kun brukes til jobbformål. Hvis journalene er på papir, er det viktig at de er oppbevart trygt i låst arkivskap. I tillegg er det viktig å huske på at pasientene har rett til å be om innsyn, retting og sletting av sine opplysninger.

Hvorfor stilles det krav til internkontroll?
- Som nevnt så må personopplysninger sikres, og personopplysningsloven krever at disse sikkerhetstiltakene dokumenteres i internkontrollen.

- Datatilsynet har laget en veileder om internkontroll i små bedrifter som kan være et fint utgangspunkt dersom man skal lage en internkontroll.

• Internkontroll og informasjonssikkerhet

- En internkontroll kan også være et godt arbeidsverktøy i det daglige. For eksempel bør man kunne finne svar om hva man skal gjøre hvis pasienten ber om innsyn, retting eller sletting av sine opplysninger.

Vi har hørt at i mai 2018 kommer nytt personvern-regelverk. Hva kan du si om det?
- Det er helt riktig! EUs personvernforordning, som ble vedtatt i mai 2016, får virkning fra mai 2018. Da får den virkning også i Norge.

- Kort fortalt gir personvernforordningen enkeltpersoner større rettigheter, samtidig som det stilles tydeligere  krav til dem som behandler personopplysninger. Det er viktig at alle virksomheter som behandler personopplysninger setter seg inn i det nye regelverket. Vi har mange gode råd på våre hjemmesider!

• Nye personvernregler i 2018

- Den nye personvernforordningen oppfordrer til utarbeidelse av bransjenormer. Kanskje en bransjenorm for informasjonssikkerhet kan være noe for naturterapeutene?

Vi takker Christine Dalebø Gjerdeviker for gode råd. NNH kommer til å holde kontinuerlig kontakt med Datatilsynet, og vi har allerede invitert Christine til å holde et foredrag i forbindelse med NNHs landsmøte i mars 2018. Dette vil være en glimrende anledning for våre medlemmer å bli kjent med Personvernforordningen som får virkning to måneder etter landsmøtet.