Håndtering av personopplysninger

Den 25. mai 2018 trådte nye regler for behandling av personopplysninger i kraft i EU i form av en ny forordning (GDPR). Den nye norske person­opplysningsloven trådte i kraft 20. juli 2018, og fra samme dato ble EUs ­personvernforordning (GDPR) også gjeldende i Norge.

Foreningsleddene i Legeforeningen er selvstendige virksomheter, med eget organisasjonsnummer, og regnes som behandlingsansvarlig etter personvernregelverket. I dette ligger at alle foreningsledd vil ha et ansvar for den håndtering av personopplysninger som gjøres av foreningsleddet. Selv om det er variasjoner i grad og omfang, er det klart at alle foreningene håndterer personopplysninger. Det kan for eksempel være kontaktopplysninger om styremedlemmer, medlemslister eller liste over kursdeltakere.

Som behandlingsansvarlig må det enkelte foreningsledd sørge for at ­behandlingen av personopplysninger til enhver tid skjer i henhold til regelverket. I den anledning vil vi minne om informasjon som ligger på Legeforeningens nettside under jus og arbeidsliv – www.legeforeningen.no/gdpr. På disse nettsidene finnes både generell informasjon om personvern, samt informasjon som er særlig til­passet foreningsleddene. Blant annet står det beskrevet hvilke oppgaver foreningene må gjøre. For eksempel må man kartlegge hvilke personopplysninger man har lagret og for hvilket formål man har de aktuelle person­opplysningene. Det må vurderes om foreningen har et lovlig grunnlag for behandlingen av personopplysningene. Videre må det blant annet foreligge rutiner for sletting av informasjon når det opprinnelige formålet med å ha personopplysningene bortfaller og rutiner for håndtering av innsynsbegjæringer.

For leger som er ansatt i et helseforetak er det virksomheten ved ledelsen som er behandlingsansvarlig etter personvernlovgivningen (ansvarlig for etterlevelse). Hvert enkelt helsepersonell er imidlertid fortsatt underlagt selvstendig ansvar mht. taushetsplikt og forsvarlighetskrav mv. etter helselovgivningen, i tillegg til eventuelle interne instrukser for håndtering av personopplysninger. Om forholdet mellom helselovgivningen og personvernreglene har det den senere tid pågått flere debatter. De nye personvernreglene skulle isolert sett ikke representere noe veiskille i håndteringen av helseopplysninger, da de samme grunnprinsippene fortsatt gjelder, men det kan i noen saker observeres at fokuset i retning overholdelse av personvernregelverket synes å være forsterket. Det faller utenfor denne artikkelen å utdype dette, men Legeforeningen har engasjert seg i problemstillingene og vil søke å bidra til oppklaring rundt temaene.

Legeforeningens tillitsvalgte representerer Legeforeningen og medlemmene, blant annet overfor arbeids­givere. Det er Legeforeningen sentralt som har behandlingsansvaret for behandlingen av personopplysninger som skjer i hele organisasjonen, også på lokalt nivå. Det betyr at tillitsvalgte, på ulike nivåer, må forholde seg til hvordan Legeforeningen bestemmer at opplysningene skal behandles og oppbevares. Har du spørsmål om hvordan du som tillitsvalgt skal ­håndtere ulike problemstillinger, kan du sende en e-post til Legeforeningens personvernombud: personvernombud@ legeforeningen.no Se også informasjon og retningslinjer for tillitsvalgte på våre nettsider for personvern – www.legeforeningen.no/gdpr Dersom foreningene, tillitsvalgte eller andre medlemmer ønsker nærmere veiledning vil Legeforeningens sekretariat være behjelpelig.