Digitale konsultasjoner og personvern

Behovet for å ta i bruk skjermbasert helsehjelp og andre digitale kommunikasjonsverktøy gjør at Datatilsynet mottar mange henvendelser om mulighetene for å ta i bruk nye løsninger og teknologi. Det er ønske om å benytte Skype, Messenger, Facetime, MMS eller lignende tjenester som erstatning for fysiske konsultasjoner med helsetjenesten eller andre offentlige tjenester. Dette kan være løsninger som tidligere ikke har vært ansett som lovlige ut fra sikkerhetsrisikovurderinger, eller de har ikke vært risikovurdert tidligere.

Vi får mange spørsmål rundt dette: «Kan man gjøre unntak fra personvernregelverket? Hvilke regler gjelder i krisetider? Kommer Datatilsynet til å gi gebyr hvis vi gjør feil?»

Regelverket

Smittevern- og beredskapslovgivningen dekker i stor grad de behandlingene av opplysninger man har behov for å gjøre i forbindelse med pandemien, og Stortinget har vedtatt en egen «korona-lov».

Retten til personvern og plikten til å sikre personopplysninger gjelder også i krisetider. Det er viktig at personvernregelverket etterleves når det oppstår krisesituasjoner som den vi står i nå. Datatilsynet mener at personvernregelverket åpner for å kunne ta hensyn til dette ekstraordinære.

Vi vil imidlertid ha forståelse for at man ikke praktiserer personvernregelverket strengt i spesielle eller kritiske omstendigheter, og at situasjonen kan tilsi at man tar i bruk løsninger som ikke er tilstrekkelig risikovurdert. Dette gjelder for eksempel kommunikasjonsløsninger mellom helsetjenesten og pasienter.

Råd fra Datatilsynet

I de tilfellene man ønsker å ta i bruk løsninger som ikke er tilstrekkelig risikovurdert, ønsker vi å gi følgende råd:

1. Begrens «snarveiene» til de tilfellene som faktisk er akutte
   Vårt råd her gjelder akutte tilfeller hvor det ikke er rom for å gjennomføre fullstendige vurderinger av risiko og personvernkonsekvenser. Eventuelle valg om å bruke løsninger man ikke kan garantere for sikkerheten til, kan bare forsvares i de tilfellene som oppstår som følge av den akutte situasjonen. Formålene man ønsker å oppnå må derfor tydelig defineres og avgrenses, og behandlingen av opplysninger i usikre løsninger må være tett knyttet til det akutte behovet som har oppstått som følge av pandemien.
2. Lytt til erfarne (og myndighetene)
   Enkelte løsninger er allerede tatt i bruk i forskjellige deler av offentlig sektor og helsetjenesten. Spør om innsyn i andres gjennomførte risikovurderinger for å vurdere gjenbruk.
   Helsemyndighetene kommer fortløpende med råd og veiledning som er relevant også for dem som behandler opplysninger.

   Eksterne veiledninger

   Direktoratet for e-Helse har kommet med en veiledning for bruk av videokonsultasjon.

   Helsedirektoratet og Folkehelseinstituttet har omfattende veiledning om håndteringen av Korona-pandemien på sine hjemmesider.

   Norm for personvern og informasjonssikkerhet i helse- og omsorgssektoren har veiledning på sine nettsider.

3. Dokumenter så godt som mulig
   Vi anbefaler at de vurderingene som gjøres blir dokumentert så godt som mulig. I de tilfellene det blir valgt løsninger i akuttsituasjoner, bør også disse vurderingene dokumenteres for blant annet etterkontroll.
4. Gjenopprett normaltilstand når unntakstilstanden er over
   Datatilsynet vil påpeke at det ikke kan etableres varige og permanente løsninger uten at de blir tilstrekkelig vurdert når den akutte situasjonen er over og ressursene som er tilgjengelige tillater det. Risikovurderingene må gjentas når forholdene er endret, og det ikke lenger er andre og viktigere hensyn som tillegges avgjørende vekt på bekostning av informasjonssikkerhet.
5. Evaluer situasjonen, tiltakene og behovene man bør ha dekket til en eventuell neste gang
   Alle som behandler personopplysninger bør ha metoder og løsninger som er robuste og som tåler uforutsette hendelser. Vi oppfordrer enhver som behandler opplysninger, og særskilt de som har måttet velge løsninger som ikke har vært tilstrekkelig risikovurdert, om å gjennomgå erfaringene og i størst mulig grad sikre at ikke lignende situasjoner kan oppstå i fremtiden.

Krav til informasjonssikkerhet og risikovurderinger

Ifølge personvernregelverket skal de ansvarlige etter en helhetsvurdering sørge for et «egnet sikkerhetsnivå» ved behandling av personopplysninger. Det skal blant annet legges vekt på sammenhengen behandlingen skjer i, konsekvenser for den registrertes rettigheter og friheter, samt formålet med behandlingen. 
Les mer om virksomhetenes plikter

Risikokartlegginger og -vurderinger kan være tidkrevende og omfattende, noe som vi i dagens akutte situasjon ikke kan forvente at det er tilstrekkelige ressurser til å kunne gjennomføre. Vi mener at følgende vurderinger bør gjøres før alternative metoder tas i bruk:

• Hensynet til hva man ønsker å oppnå, altså formålet med behandlingen, må kunne tillegges betydelig vekt.
• Det er relevant å legge vekt på hvor mye pasienten eller klienten selv oppnår gjennom en videokonsultasjon med legen sin.
• Samfunnets og allmenhetens gevinster er også relevante momenter i vurderingen.

Løsninger som tidligere har vært forkastet på grunn av alvorlig sikkerhetsrisiko, bør som et utgangspunkt ikke benyttes med mindre det er i helt særskilte tilfeller hvor andre avgjørende hensyn til den registrerte gis større betydning.