Hva er relevante rettslige grunnlag?
I dette prosjektet har vi vurdert hva et rettslig grunnlag kan være for at en pasient kan ta i bruk en fullmaktsløsning som gir fullmektig tilgang til pasientens helseopplysninger i sykehusets DHO-tjeneste.
Personvernforordningen (GDPR) krever at all behandling av personopplysninger har hjemmel i ett av de seks rettslige grunnlagene oppstilt i artikkel 6 nr. 1 bokstav a til f.
Behandling av opplysninger av særlige kategorier, herunder helseopplysninger, jf. artikkel 9 forutsetter ytterligere vilkår for å behandle slike opplysninger. Behandling av helseopplysninger medfører at det må foreligge et unntak i artikkel 9 nr. 2 for å kunne foreta behandlingen.
Kommunikasjonen mellom pasienten og sykehuset regnes som et ledd i helsehjelpen Ahus gir. Etableringen av selve løsningen antas å være dekket av de generelle reglene som gjelder for behandling av personopplysninger i helsesektoren.
I vurderingen av rettslig grunnlag for å bruke løsningen overfor den enkelte pasient, kan samtykke være et aktuelt rettslig grunnlag, jf. artikkel 6 nr. 1 bokstav a, jf. artikkel 9 nr. 2 bokstav a.
For at et samtykke skal være gyldig, må det være frivillig, spesifikt, informert, utvetydig, gitt gjennom en aktiv handling, dokumenterbart og mulig å trekke tilbake like lett som det ble gitt, jf. artikkel 4 nr. 11 og artikkel 7. Ettersom løsningen skal behandle helseopplysninger, må samtykket i tillegg være «uttrykkelig» jf. artikkel 9 nr. 2 bokstav a.
Pasienten, som også vil være fullmaktsgiver, må få informasjon om hvordan opplysninger behandles, hvorfor de behandles, hvem som har tilgang, om mulighetene for å rette og slette helsedata, og om hvordan de kan begrense, og trekke fullmakten tilbake. Dette krever at Ahus lager en løsning med tydelig informasjon og med lett forståelige beskrivelser tilpasset den enkelte pasienten.
Kravet til frivillighet
En utfordring ved bruk av samtykke, som særlig må vurderes i dette tilfellet, er kravet til frivillighet.
Vi antar at noen pasienter ønsker å bo hjemme så lenge som mulig. En forutsetning for å bo hjemme er å kunne rapportere helseopplysninger til kommune og/eller sykehus. Klarer de ikke dette selv, må de samtykke til at assistenter, pårørende eller andre hjelpere får fullmakt til å utføre oppgavene.
Et samtykke er imidlertid ikke gyldig som rettslig grunnlag etter personvernforordningen hvis det foreligger press for å samtykke eller dersom det oppstår negative konsekvenser dersom man ikke samtykker. Den enkelte må være i stand til å foreta et fritt valg. Det kan sette frivilligheten under press hvis alternativet til å samtykke til å ta i bruk fullmaktsløsningen for eksempel er å bo på en helseinstitusjon.
Samtidig er det opp til pasienten selv å velge hvem som skal representere dem. I mange tilfeller er det pasienten selv som ansetter assistenter, og de kan selv velge hvem de ønsker at skal opptre som pårørende og andre hjelpere. Dette reduserer risikoen for at pasienten gir fullmakt til en person hen ikke ønsker å gi den til. Løsningen skal dessuten skreddersys slik at den som får fullmakt ikke får for vide fullmakter eller innsynsrettigheter. Med forutsetning om at løsningen kun skal brukes av pasienter med samtykkekompetanse og pasienten selv kan velge hvem det er som kan få fullmakt til å rapportere i helsetjenesten, samt hva fullmektig får tilgang til, er Datatilsynets vurdering at kravet til frivillighet som hovedregel vil være oppfylt.
På bakgrunn av forutsetningene ovenfor mener vi at samtykke i denne sammenhengen er et relevant rettslig grunnlag for bruk av den digitale fullmaktsløsningen.
Hva hvis pasienten ikke har samtykkekompetanse?
I de tilfellene der pasienten ikke har samtykkekompetanse, kan det være utfordrende å ta i bruk fullmaktsløsningen. Ahus må i slike tilfeller vurdere verge og andre rettslige grunnlag. Både personvernforordningen artikkel 6 nr. 3 og artikkel 9 nr. 2 krever i noen tilfeller et supplerende rettsgrunnlag i nasjonal lovgivning. Dette innebærer at den dataansvarlige må kunne påvise et rettslig grunnlag for den aktuelle behandlingen av personopplysninger både i personvernforordningen artikkel 6 og 9, og i nasjonal rett.
For personer uten samtykkekompetanse vil det som hovedregel også være etablert en vergeløsning, og man må vurdere om dette inkluderer ivaretakelse av pasientrettigheter.