Overlegen nr. 1 - 2019

Håndtering av personopplysninger Av Helga Bysting, personvernombud, Dnlf F oreningsleddene i Legeforeningen er selvstendige virksomheter, med eget organisasjonsnummer, og regnes som behandlingsansvarlig etter personvernregelverket. I dette ligger at alle foreningsledd vil ha et ansvar for den håndtering av personopplys- ninger som gjøres av foreningsleddet. Selv om det er variasjoner i grad og omfang, er det klart at alle foreningene håndterer personopplysninger. Det kan for eksempel være kontaktopplysninger om styremedlemmer, medlemslister eller liste over kursdeltakere. Som behandlingsansvarlig må det enkelte foreningsledd sørge for at behandlingen av personopplysninger til enhver tid skjer i henhold til regel- verket. I den anledning vil vi minne om informasjon som ligger på Lege- foreningens nettside under jus og arbeidsliv - www.legeforeningen.no/ gdpr. På disse nettsidene finnes både generell informasjon om personvern, samt informasjon som er særlig til­ passet foreningsleddene. Blant annet står det beskrevet hvilke oppgaver foreningene må gjøre. For eksempel må man kartlegge hvilke personopp- lysninger man har lagret og for hvilket formål man har de aktuelle person­ opplysningene. Det må vurderes om foreningen har et lovlig grunnlag for behandlingen av personopplysningene. Videre må det blant annet foreligge rutiner for sletting av informasjon når det opprinnelige formålet med å ha personopplysningene bortfaller og rutiner for håndtering av innsynsbe- gjæringer. For leger som er ansatt i et helsefore- tak er det virksomheten ved ledelsen som er behandlingsansvarlig etter personvernlovgivningen (ansvarlig for etterlevelse). Hvert enkelt helseperso- nell er imidlertid fortsatt underlagt selvstendig ansvar mht. taushetsplikt og forsvarlighetskrav mv. etter helse- lovgivningen, i tillegg til eventuelle interne instrukser for håndtering av personopplysninger. Om forholdet mellom helselovgivningen og person- vernreglene har det den senere tid pågått flere debatter. De nye person- vernreglene skulle isolert sett ikke representere noe veiskille i håndteringen av helseopplysninger, da de samme grunnprinsippene fortsatt gjelder, men det kan i noen saker observeres at fokuset i retning overholdelse av personvern- regelverket synes å være forsterket. Det faller utenfor denne artikkelen å utdype dette, men Legeforeningen har engasjert seg i problemstillingene og vil søke å bidra til oppklaring rundt temaene. Legeforeningens tillitsvalgte repre- senterer Legeforeningen og medlem- mene, blant annet overfor arbeids­ givere. Det er Legeforeningen sentralt som har behandlingsansvaret for be- handlingen av personopplysninger som skjer i hele organisasjonen, også på lokalt nivå. Det betyr at tillitsvalgte, på ulike nivåer, må forholde seg til hvordan Legeforeningen bestemmer at opplysningene skal behandles og oppbevares. Har du spørsmål om hvordan du som tillitsvalgt skal håndtere ulike problemstillinger, kan du sende en e-post til Legeforeningens personvernombud: personvernombud@ legeforeningen.no Se også informasjon og retningslinjer for tillitsvalgte på våre nettsider for personvern – www.legeforeningen.no/gdpr Dersom foreningene, tillitsvalgte eller andre medlemmer ønsker nær- mere veiledning vil Legeforeningens sekretariat være behjelpelig. • ›› OVERLEGEN 1-2019 45 Den 25. mai 2018 trådte nye regler for behandling av personopplysninger i kraft i EU i form av en ny forordning (GDPR). Den nye norske person­ opplysningsloven trådte i kraft 20. juli 2018, og fra samme dato ble EUs personvernforordning (GDPR) også gjeldende i Norge