Besøksregistrering og smittesporing

Vi mottar jevnlig henvendelser fra virksomheter som har spørsmål om besøksregistrering i forbindelse med smittesporing – både fra steder som ønsker å registrere besøkende og tilbydere av tjenester for registrering. Her er litt generell veiledning i hvilke personvernregler som gjelder i forbindelse med slik registrering.

Vi understreker at dette kun er ment som generell veiledning, og at den enkelte virksomhet i samsvar med ansvarlighetsprinsippet i personvernforordningen har et selvstendig ansvar for å sette seg inn i gjeldende lover og regler for behandling av personopplysninger, samt for å dokumentere at de etterlever dem.

Vi har også fått henvendelser fra tjenester som tilbyr registrering av ansatte med tanke på eventuell smittesporing, men vi vil ikke komme inn på det i denne artikkelen.
Les mer om arbeidsliv og korona i en annen artikkel

Hvorfor besøksregistrering?

Besøksregistrering betyr at en virksomhet fører et register over besøkende. Formålet er å kunne overlevere relevante data fra registeret i tråd med smittevernlovgivningen for å spore eventuelle nærkontakter hvis for eksempel en gjest på et serveringssted har testet positivt på covid-19.

Flere kommuner har nå pålagt eller anbefalt virksomheter å registrere besøkende i forbindelse med eventuell smittesporing. Noen kommuner har pålagt besøksregistrering gjennom lokale forskrifter, mens i andre kommuner er det opp til den enkelte virksomhet å avgjøre om de skal føre besøksregistre.

Uavhengig av om virksomheten er pålagt å føre et register av kommunen eller ikke, er det viktig at den enkelte virksomheten husker på de generelle reglene for behandling av personopplysninger i personvernforordningen hvis de skal føre et besøksregister.

En oversikt over virksomhetens plikter ved behandling av personopplysninger finner dere på en egen samleside

Rettslig grunnlag

Et av de mest sentrale prinsippene i personvernforordningen er at all behandling av personopplysninger må ha et rettslig grunnlag.

Personvernforordningen inneholder flere alternative grunnlag, men for besøksregistrering er de mest aktuelle grunnlagene:

  1. at virksomheten har hjemmel i forskrift (utføre en oppgave i allmenhetens interesse) dersom den er pålagt å føre register, eller
  2. en såkalt interesseavveining hvis virksomheten selv har besluttet å registrere besøkende.

Samtykke fra den enkelte besøkende kunne også vært et aktuelt behandlingsgrunnlag, men det er viktig å huske på at et av de grunnleggende kravene til samtykke er det skal være helt frivillig. Det betyr at et samtykke som er gitt under press eller for å unngå negative konsekvenser ikke er gyldig. Vår anbefaling er derfor å basere besøksregistrering enten på hjemmel i lokal forskrift eller en interesseavveining som nevnt over.
Les mer om kravene til samtykke  

Roller og ansvar

Utgangspunktet er at det er virksomheten som har behov for registrering som er behandlingsansvarlig, altså de som får besøk må føre en oversikt. Hvis dere ønsker å ta i bruk en tjeneste for å føre besøksregistrering, er det viktig at dere inngår de nødvendige avtalene som må til.

Hvis dere tar i bruk en ekstern leverandør til å behandle personopplysninger på virksomhetens vegne, er denne leverandøren en såkalt databehandler. Det betyr at leverandørens rett til å behandle personopplysninger må følge av avtalen med den behandlingsansvarlige, og at databehandleren kun kan behandle personopplysninger etter instruks og ikke for egne formål. Avtalen mellom den behandlingsansvarlige (for eksempel serveringsstedet) og databehandleren (tilbyderen av besøksregistrering) kalles en databehandleravtale, og personvernforordningen stiller krav til hva en slik avtale skal inneholde.
Les mer om og finn maler for databehandleravtaler

Nødvendighet og lagring

Prinsippet om dataminimering betyr at virksomheter bare kan samle inn de personopplysningene som er nødvendige for å oppnå formålet med registreringen.

Det vil normalt bare være navn, kontaktinformasjon og tidsrommet enkeltpersoner har oppholdt seg i virksomheten – og avhengig av lokalets størrelse eventuelt også hvor de har sittet – som er nødvendige opplysninger for besøksregistrering.

Informasjonssikkerhet

Personvernforordningen krever at all behandling av personopplysninger skjer med tilstrekkelig informasjonssikkerhet, både under innsamling, lagring og eventuell oversending.

Det betyr at den enkelte virksomhet må sikre at besøksregisteret er lagret på en sikker måte, at ikke uvedkommende får tilgang til opplysningene, og at opplysningene må oversendes på en sikker måte til helsemyndighetene dersom dette blir aktuelt.

For å sikre at uvedkommende ikke får tilgang til besøksregisteret fraråder vi derfor lister eller lignende som ligger åpent tilgjengelig for besøkende. Virksomheten må velge en løsning som sikrer konfidensialitet på en bedre måte.

Når en virksomhet velger å benytte seg av en ekstern leverandør for besøksregistering, er det virksomhetens ansvar å forsikre seg om at leverandøren de velger tilbyr tilstrekkelig informasjonssikkerhet rundt lagringen av besøksregisteret.
Les mer om informasjonssikkerhet på vår samleside

Sletting

Hver enkelt virksomhet må sørge for at personopplysningene ikke lagres lenger enn det som er nødvendig for eventuell smittesporing.

Det vil normalt ikke være nødvendig å lagre opplysninger om besøkende av smittevernhensyn i mer enn 10 dager, og unntak fra dette må særskilt begrunnes. Dersom andre forskrifter sier noe annet, vil de gå foran denne anbefalingen.

Hva skjer ved eventuelt smitteutbrudd?

Reglene for når besøksregisteret kan overleveres til helsemyndighetene og brukes i smittesporing, følger av smittevernlovgivningen. Dette kan for eksempel skje ved at kommunelegen tar kontakt med den enkelte virksomheten og ber om få oversendt en oversikt over de besøkende.
Les mer om hvordan smittesporing skjer på Folkehelseinstituttet sine hjemmesider

En oppsummering

  • Informer om formålet. Gjør det klart for gjestene hvilke opplysninger som registreres, hva det skal brukes til og hvor lenge det oppbevares. Dersom der for eksempel skal benytte dere av et online bookingsystem, må dere også informere gjestene hvis opplysninger fra bookingen vil kunne bli brukt til smittesporing.
  • Registrer kun det nødvendige. Det vil normalt være navn, kontaktopplysninger og det tidsrom personene har oppholdt seg i lokalene – eventuelt hvor i lokalet dersom det er snakk om større lokaler.
  • Pass på opplysningene. Sørg for at uvedkommende ikke får adgang til opplysningene som er registrert.
  • Ikke bruk opplysningene til andre formål. Opplysningene må kunne brukes til smitteoppsporing ved behov, og ikke andre formål slik som for eksempel markedsføring.
  • Slett opplysningene fortløpende. Når opplysningene ikke lenger er relevante og det ikke er nødvendig å lagre dem med tanke på eventuell smittesporing skal de slettes. Det vil normalt være tilstrekkelig med lagring i 10 dager.
  • Ha databehandleravtale. Hvis dere benytter dere av en ekstern leverandør til besøksregistrering, vil denne leverandøren være en databehandler. Sørg for å ha på plass nødvendige avtaler.

Husk også at når personopplysningene er registrert, har de besøkende (de registrerte) en rekke rettigheter som virksomheten må være oppmerksom på. Les mer om de registrertes rettigheter på vår samleside