Hopp til hovedinnhold

En veileder for psykologvirksomheter

EUs personvernforordning, General Data Protection Regulation (GDPR), gjelder fra våren 2018. Reglene er en del av den nye personopplysningsloven som er på trappene. For psykologer som yter helsehjelp, vil ikke endringene ha stor betydning.

De nye reglene pålegger alt fra enkeltmannsforetak til store bedrifter nye plikter, og gir nye rettigheter til personene man behandler personopplysninger om. Dette medfører strengere krav til psykologvirksomheter ettersom de behandler personopplysninger.

Hovedformålet med det nye lovverket er at bruk av personopplysninger skal begrunnes og begrenses. Det vil ikke være lovlig å samle inn eller lagre personopplysninger man ikke trenger. Personopplysninger skal ikke brukes til andre formål enn det de er samlet inn for. Når behovet har falt bort, skal personopplysninger slettes.

Protokoll etter GDPR artikkel 30. For de som kun yter helsehjelp, er det bare de to øverste radene som er aktuelle.

Dagens lovverk stiller krav til at du har rutiner for å etterleve personopplysningsloven. Når loven endres, må du også endre disse rutinene.

I denne artikkelen med vedlegg finner du ut hvordan psykologer skal følge det nye regelverket. Vedlegget gjelder både psykologer som yter helsehjelp (tar pasienter i behandling) og psykologer som driver andre typer tjenester. For deg som yter andre tjenester enn helsehjelp/ i tillegg til helsehjelp, er det utarbeidet en mer omfattende redegjørelse under punkt nr. 3.

Artikkelen med vedlegg er ikke ment som en totaloversikt over det nye regelverket. Det er ment som utgangspunkt for at den enkelte psykologvirksomhet skal kunne drive i tråd med de nye reglene. Å følge rådene i denne veiledningen vil være et godt utgangspunkt for å etablere personvern i tråd med reglene. Den enkelte virksomhet er imidlertid selv ansvarlig for å følge personvernreglene og følge med på om og når denne veilederen oppdateres.

Ved spørsmål kan Datatilsynet, Direktoratet for e-helse, Fylkesmannen eller Psykologforeningen kontaktes. Foreningen kan kontaktes på forhandlingsavdelingen@psykologforeningen.no.

Personopplysning: Enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»)

  • Dette vil for eksempel kunne være et register over ulike samarbeidspartnere/ kunder/faktureringsgrunnlag

Sensitiv personopplysning: Personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering

  • Dette vil være opplysninger om pasienter som psykologer har i journalsystemet

Behandling: Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke. Eksempler er innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.

Dette innebærer nesten enhver befatning, typisk innhenting, lagring og bruk. For eksempel å sende en epost, å lagre telefonnumre og kontaktinformasjon på telefonen

  • Dette vil være registeringen av helseopplysningene til pasientene med hjemmel i pasientjournalloven i pasientens journal. Slike opplysninger skal ikke oppbevares andre steder.
  • Dette vil også kunne være andre register over kunder

Behandlingsansvarlig: En fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes. I helselovgivningen benyttes begrepet dataansvarlig for å ikke blandet dette sammen med den som er behandlingsansvarlig for helsehjelp.

  • Dette vil være psykologen eller firmaet

Databehandler: En fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige

  • For psykologer vil dette typisk være leverandøren av journalsystemet. Disse leverandørene må også gjøre en del endringer på grunnlag av det nye regelverket, og dette krever oppdatering av avtalene med dere.

Behandlingsgrunnlag: Rettslig grunnlag for å behandle personopplysninger.
Dette kan for eksempel være:

  • avtale med kunden eller
  • hjemmel i lov (for eksempel reglene om journalføring)

Det er ikke store faktiske endringer som følger av de nye personvernreglene.

Psykologer som yter helsehjelp gjennom private virksomheter må uansett følge eksisterende helselovgivning. Norge har flere lover og en rekke forskrifter som gir særregler om behandling av helseopplysninger. Disse reglene utfyller, og til dels skjerper, de generelle kravene etter personopplysningsloven.

Det er satt strenge vilkår for å kunne samle inn, lagre og behandle helseopplysninger, og strenge krav til konfidensialitet, informasjonssikkerhet, innsyn osv. Reglene om journalføring gir deg rett til å registrere pasientopplysninger (behandlingsgrunnlag). For deg som kun yter helsehjelp, vil det være tilstrekkelig å fylle ut de to øverste radene i vedlagte forslag til mal over aktuelle behandlingsgrunnlag etter forordningens artikkel 30.

Privatpraktiserende psykologer har altså allerede i dagens lovverk plikt til å gjøre mye av det de nye personvernreglene medfører. Dette følger både av helseregisterloven (regler om behandling av helseopplysninger til statistikk, forskning mv. i helse- og omsorgsektoren) og pasientjournalloven (regler om behandling av helseopplysninger når det ytes helsehjelp).

Pasientene har allerede rett til innsyn i journal, de må samtykke til helsehjelpen og det finnes detaljerte regler om retting og sletting av journalinnhold. Dette er regler som allerede eksisterer for deg som yter helsehjelp, og blir ikke endret med de nye personvernreglene.

Når psykologer yter helsehjelp er de underlagt taushetsplikt etter helsepersonelloven. Dette gjelder uavhengig av om opplysningene psykologen mottar er en personopplysning. Også i personvernforordningen finnes det slik taushetsplikt. Uautorisert tilgang eller utlevering av opplysninger vil derfor kunne utgjøre brudd på både lovbestemt taushetsplikt for helsepersonell og – dersom det gjelder personopplysninger – brudd på personvernforordningen.

Det nye regelverket forutsetter at alle virksomheter som behandler personopplysninger gjennom sitt internkontrollsystem, må kunne vise at virksomheten etterlever GDPR. Se vedlagt forslag til protokoll over behandlingsgrunnlag etter forordningen artikkel 30 og normen.no (lenke)for ytterligere informasjon.

Etter Helsepersonelloven og pasientjournalloven er det ikke et krav om at pasientens samtykke oppfyller vilkårene til samtykke i GDPR-forordningens forstand. Dette betyr at det fremdeles ikke vil være nødvendig med en erklæring eller tydelig bekreftelse om samtykke til behandling av helseopplysninger i forbindelse med helsehjelp. Derfor videreføres dagens regler om hvordan samtykke kan gis til helsehjelp og tilhørende behandling av helseopplysninger, jf. pasient- og brukerrettighetsloven §§ 4-1 flg.

Virksomheter som ikke er regulert av helselovgivningen må sørge for å ha behandlingsgrunnlag for oppbevaring av personopplysninger (se vedlagt mal for behandlingsprotokoll etter GDPR art. 30). Dersom virksomheten din yter bistand– eksempelvis til bedrifter med arbeidsmiljøproblemer, vil behandlingsgrunnlaget være avtale med det aktuelle firmaet og eventuelt samtykke fra de aktuelle ansatte.

Din virksomhet må alltid ha et behandlingsgrunnlag for å behandle en opplysning om en person.

Typiske behandlingsgrunnlag er når:

  • det følger av lov eller forskrift at bedriften må behandle opplysninger (for eksempel innrapportering av ansatte til skatteetaten og NAV)
  • det er nødvendig for å etterleve en avtale bedriften har med den registrerte (for eksempel et oppdrag om å kartlegge arbeidsmiljøproblemer i en annen bedrift)- GDPR art. 6 nr. 1 bokstav b
  • den registrerte selv har gitt bedriften samtykke til at opplysninger blir behandlet – GDPR art. 6 nr. 1 bokstav a
  • bedriften har en berettiget interesse i å behandle opplysningene – GDPR art. 6 nr. 1 bokstav f

Kan du ikke peke på et slikt grunnlag, så kan du heller ikke behandle opplysningene. Behandlingsgrunnlag for personopplysninger finnes i GDPR art. 6.

Hvis du i tillegg skal behandle sensitive personopplysninger (se definisjon under punkt 1), må bedriften ha eget behandlingsgrunnlag i GDPR art. 9 ved siden av de som nettopp er nevnt etter GDPR art. 6.

Mulige behandlingsgrunnlag er da blant annet:

  • Den registrerte har samtykke til at dere kan oppbevare slike opplysninger – art. 9 nr. 2 bokstav a
  • Behandlingen er nødvendig for at deres firma skal kunne oppfylle avtale med kunden (for eksempel ved kartlegging av arbeidsmiljø i en bedrift så må firmaet kunne oppbevare sensitiv informasjon om aktuell kunde og kundens ansatte med kartleggingen pågår) – art. 9 nr. 2 bokstav b
  • Slik registrering er nødvendig for å yte helsetjenester hvis dette er en del av oppdraget – art. 9 nr. 2 bokstav h

Hvis virksomheten har ansatt, registreres det personopplysninger om de ansatte. Registreringen må ikke gå lenger enn personvernreglene tillater. Her er imidlertid ikke reglene endret i forhold til gammel personvernlovgivning, men registreringen av personopplysninger om ansatte må inn i protokollen etter forordningens art. 30. Se informasjon fra Datatilsynet angående personvern på arbeidsplassen

Ta kontakt med forhandlingsavdelingen hvis du har spørsmål knyttet til behandling av informasjon om ansatte.

For det første må det utarbeides en personvernerklæring. Erklæringens skal blant annet sier noe om hvilke opplysninger du lagrer om kundene/ pasientene, hvordan sikkerheten/tilgangen sikres, retten til innsyn/retting/sletting og hvor lenge opplysningene lagres (det vil si oppfylle kravene til informasjonsplikt). Denne informasjonen må gjøres tilgjengelig for kunden/pasienten, for eksempel på  virksomhetens nettside.

Personvernerklæringen skal minst svare til listen i personvernforordningens artikkel 13 og 14. Dette kan for eksempel gjøres på følgende måte: 

  • Virksomhetens fulle navn og kontaktinformasjon.
  • Hva slags personopplysninger virksomheten behandler
  • Hvilke formål virksomheten bruker personopplysningene
  • Hva er det rettslige grunnlaget for virksomhetens behandling av personopplysninger (For psykologer som yter helsehjelp vil dette være GDPR art. 9 nr. 2 bokstav h – registeringen er nødvendig i forbindelse med yting av helsetjenester)
  • Hvem utleverer virksomheten eventuelt personopplysninger til (for eksempel domstoler, NAV, fastleger, henvisende instans og andre offentlige organer.)
  • Hvorvidt personopplysninger blir overført til tredjestater (for eksempel til leverandør i USA eller India) og hva som er overføringsgrunnlaget (for eksempel EUs standardavtale for overføring) Dette vil stort sett ikke være aktuelt for psykologbedrifter
  • Hvor lenge lagres personopplysningene, eller dersom dette ikke er mulig, kriteriene for å fastsette lagringstid. Her må det henvises til helselovgivningens regler om sletting.
  • Hvilke rettigheter har den registrerte (innsyn, korrigering, sletting, begrensning, protestere, rett til å klage til Fylkesmannen). Her kan det vises til reglene om pasientjournalinnsyn. Hvis den registrerte ber om innsyn i opplysninger om seg selv etter personvernforordningen, har virksomheten 30 dager på seg til å svare.

Videre må det etter forordningen art. 30 lages en protokoll (oversikt) over hvilke personopplysninger virksomheten registrerer og hjemmelen for slik behandling.  Se vedlagt forslag til protokoll. Dette kan inngå som en del av virksomhetens internkontrollsystem.

Det må inngås databehandleravtale med de som registrerer personopplysninger på vegne av virksomheten, for eksempel leverandøren av journalsystem. Ta kontakt med din tjenesteleverandør og sørg for å få dette på plass.

Bedriften må ha på plass avvikssystem i tråd med de nye reglene. Her er forslag til formulering:

Et sikkerhetsbrudd defineres som et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet

Ved avvik skal Datatilsynet varsles innen 72 timer etter at behandlingsansvarlig (psykologen) har fått kunnskap om avviket. De berørte parter (pasienten, kunden) skal gis et varsel med følgende innhold:

  • En beskrivelse av avviket
  • kontaktinformasjon til personvernombudet eller annet kontaktpunkt i firmaet
  • En beskrivelse av mulige konsekvenser av avviket
  • En beskrivelse av tiltak som er (planlagt) iverksatt for å lukke avviket og begrense konsekvensene

I følgende tilfeller kan firma imidlertid la være å varsle de berørte:

  • Dersom det er iverksatt beskyttelsestiltak for personopplysningene som er omfattet av sikkerhetsbruddet, særlig dersom tiltakene gjør opplysningene uleselige for uvedkommende, for eksempel ved kryptering.
  • Dersom det er iverksatt etterfølgende tiltak som gjør at risikoen sannsynligvis ikke lenger er reell.

Hvis det er uforholdsmessig vanskelig å varsle hver enkelt av de berørte. I slike tilfeller skal informasjonen i stedet offentliggjøres eller deles på annen måte, slik at de berørte likevel underrettes på en effektiv måte.