Personvernarbeid i Helse Sør-Øst

Til forskjell fra den uavhengige og kontrollerende rollen til personvernombudet kan personvernlederen være tettere på helseforetakets operasjonelle gjennomføring av personvernarbeid.

Personvernlederne vil i praksis kunne svare ut de fleste daglige spørsmål, og ikke minst spørsmål knyttet til de lokale forholdene i helseforetaket når det gjelder personvernrettigheter og helseforetakets lokale systemer.

Personvernlederen skal være en ressursperson, pådriver og tilrettelegger for etablering og gjennomføring av helseforetakets samlede internkontroll innen personvern.

Personvernledernes arbeidsoppgaver

Oppgavene er tydeliggjort i NO4, og til rollen hører det blant annet å: 

• Bidra til kontroller av virksomhetens arbeid med personvern i linja, bl.a. relevante deler av helseforetakets internkontrollsystem.  

• Rapportere planer og resultater gjennom helseforetakets etablerte kanaler for øvrig revisjonsaktivitet. 

• Bidra til tilstrekkelig kunnskap om store risikoer og sårbarheter på personvernområdet, bl.a. tilrettelegge for oppfølging av rapporterte avvik og meddele avvik til virksomhetens ledelse i samsvar med helseforetakets etablerte rutiner for avviksbehandling. 

• Drive opplysningsvirksomhet i foretaket om personvern. 

• Utvikle og vedlikeholde overordnede styrende dokumenter innen ansvarsområdet. 

• Rådgi og støtte linja i å gjennomføre personvernvurderinger og personvernkonsekvensvurderinger. 

• Delta i Regionalt personvernråd. 

• Støtte virksomhetsledelsen i spørsmål om personvern, bl.a. 
• ha ansvar for faglig rapportering til helseforetakets ledelse innen fagområdet personvern 
• forberede ledelsens årlige gjennomgang av personvernområdet  

Fagsjef for personvern sitter i Helse Sør-Øst RHF og skal bidra til å effektivisere samarbeidet mellom helseforetakene på personvernområdet.

Fagsjefen leder Regionalt personvernråd, koordinerer arbeidet med harmoniserte vurderinger, koordinerer beslutningsgrunnlag om like forhold og skal ellers bidra til å løfte personvern på agendaen i regionens helseforetak.

Fagsjefen har ellers tilsvarende rolle som personvernlederne i helseforetakene.

Det er laget en veileder som beskriver den regionale prosessen for gjennomføring av personvernkonsekvensvurderinger (DPIA) i Helse Sør-Øst. Den gir en oversikt over roller, ansvar og steg i arbeidet fra oppstart av prosjekt til ferdigstilt vurdering. Den er særlig relevant for prosjekteiere, deltakere og personvernressurser som bidrar i prosessen.

Før personvernkonsekvensvurderingen kan gjennomføres må prosjektet være forankret i porteføljestyret og ved behov må foretaksgruppens felles syn på rettslig grunnlag sikres ved behandling i juridisk koordineringsnettverk.

Prosjektet skal i en tidlig fase informere Regionalt personvernråd om

• formål (med behandlingen av personopplysninger)
• rettslig grunnlag (hvorfor er dette lovlig/hvilken lovpålagt oppgave er det vi skal utføre)
• eventuelle forutgående personvernkonsekvensvurderinger
• prosjektets tidslinje
• hva prosjektet skal løse
• hvem som er dataansvarlig/databehandler

På grunnlag av denne informasjonen kan personvernrådet i samarbeid med prosjektet planlegge videre prosess.

Personvernombudet kan spørres om råd underveis i hele arbeidsprosessen med DPIA.

 

Formål

Formålet med denne veilederen er å tydeliggjøre prosessen for personvernkonsekvensvurderinger (DPIA) ved gjennomføring av regionale prosjekter i Helse Sør-Øst. Aktuelle brukere av veilederen kan være prosjekteiere og -deltakere, Regionalt personvernråd, personvernledere, Konsernfelles personvernombud, støttefunksjoner, tillitsvalgte og brukerutvalg (ikke uttømmende).

Avgrensning

Veilederen gjelder den regionale prosessen for personvernkonsekvensvurderinger (DPIA), og går ikke nærmere inn på tilstøtende prosesser som regional eller lokal porteføljestyring, lokale mottaksprosjekter på et enkelte helseforetak eller interne rutiner hos Sykehuspartner HF.

Prosessbeskrivelse (fra start til slutt)

Personvernombudet kan spørres om råd underveis i hele arbeidsprosessen med DPIA

1 Regionalt porteføljestyre beslutter oppstart av utviklingstiltak/prosjekt.

1.1. Formål og rettslig grunnlag bør være avklart før beslutning, og komme frem i saksunderlaget til Porteføljestyret.

1.2. Dersom det på noe tidspunkt er behov for å fastsette foretaksgruppens felles syn på rettslig grunnlag, kan prosjektet ta spørsmålet inn i juridisk koordineringsnettverk til beslutning iht. rutiner for dette nettverket. Rettslig grunnlag kan dermed bli justert i løpet av prosessen.

2. Prosjektet skal i en tidlig fase informere Regionalt personvernråd (PVR) om prosjektet

2.1. Det gjøres ved å oversende saksunderlag til sekretariatet for Personvernrådet (se praktisk informasjon nederst) med vurdering av

• formål
• rettslig grunnlag
• eventuelle forutgående personvernkonsekvensvurderinger
• prosjektets tidslinje
• hva prosjektet skal løse
• hvem som er dataansvarlig/databehandler

2.2. På grunnlag av denne informasjonen kan Personvernrådet i samarbeid med prosjektet planlegge videre prosess.

3. Prosjektet utarbeider en personvernkonsekvensvurdering (DPIA) versjon 0.4.

3.1. Vurderingen dokumenterer konsekvenser (risiko) for personvernet, og om personvernrisikoen er høy (behov for fullstendig personvernkonsekvensvurdering (DPIA)) eller lav (DPIA versjon 0.4/pre DPIA).

3.2. Vurderingen sendes til sekretariatet for Personvernrådet. Personvernrådet tar informasjonen til orientering, og kan gi skriftlig tilbakemelding dersom de mener det er nødvendig.

4. Dersom det vurderes å være lav personvernrisiko er personvernkonsekvensvurdering (DPIA) versjon 0.4 prosjektets dokumentasjon på denne vurderingen (også kalt “Pre-DPIA”).

5. Dersom det vurderes å være høy personvernrisiko skal det gjennomføres en fullstendig personvernkonsekvensvurdering (DPIA).

5.1. Prosjektet utarbeider personvernkonsekvensvurdering (DPIA) versjon 0.75.

5.2. Prosjektet avgjør sammen med helseforetakene hvilke helseforetak som skal ta i bruk løsningen først («utvalgte helseforetak»). De to eller tre første foretakene vil normalt være ansvarlige for å vurdere og gi tilbakemelding til prosjektet på utkastet til DPIA.

5.3. I forbindelse med utarbeidelse av DPIA versjon 0.75 konsulteres brukerutvalget og/eller tillitsvalgte i det regionale helseforetaket og/eller i de utvalgte helseforetakene jf. punkt 5.2 ovenfor. Prosjektet må også sørge for tilstrekkelig involvering i ansvarlig linje og lederforankring med tanke på risikovurderinger som må innarbeides i personvernkonsekvensvurderingen.

5.4. Prosjektet melder inn sak til Personvernrådet. Saksgrunnlaget gir oversikt og sammenheng i behandlingen av personopplysninger i prosjektet og risikobildet (høyeste risikoer og tilhørende risikoreduserende tiltak).

5.5. DPIA sendes til gjennomgang i Personvernrådet via sekretariatet. 

5.6. Prosjektet presenterer DPIA versjon 0.75 for Personvernrådet.

5.7. De utvalgte helseforetakene samarbeider om felles tilbakemelding til DPIA. Tilbakemeldingen gis på vegne av Personvernrådet.

6. Prosjektet tar imot tilbakemeldingen og behandler den før det utarbeides ny versjon av DPIA, som vil være versjon 0.8.

7. DPIA versjon 0.8 sendes tilbake til Personvernrådet for gjennomgang. Personvernrådet gir en felles anbefaling (v/de utvalgte helseforetakene) som tas inn i DPIA versjon 0.9.

8. Personvernombudets vurdering

8.1. Personvernombudet orienteres i egen oversendelse av DPIA versjon 0.9.

8.2. Dersom det er behov for det, vil personvernombudet gi ytterligere råd til DPIA 0.9. Ombudet vil prioritere å gi råd der ombudet vurderer at det er høyest personvernrisiko.

8.3. Personvernombudet dokumenterer sin vurdering og gir informasjon om den til prosjektet og Personvernrådet.

8.4. Personvernombudet har ikke myndighet til å beslutte eller akseptere personvernrisiko eller risikoreduserende tiltak på vegne av helseforetakene. Personvernombudet er heller ikke en del av helseforetakets saksbehandling av personvernkonsekvensvurderingene.

9. Personvernombudets vurdering tas inn i endelig versjon, som benevnes versjon 0.95.

10. DPIA versjon 0.95 sendes til helseforetakene som forslag til felles DPIA.

10.1. DPIA-en er ferdig som felles vurdering, men må anses som uferdig fordi den ikke omfatter vurdering av lokale risikoer.

10.2. Prosjektet oversender DPIA 0.95 til helseforetakene via P360. Følgende roller adresseres direkte med lokal personvernleder på kopi:

• lokal systemeier og systemansvarlig
• eventuelt faglig leder som eier prosessen (f.eks. fagdirektør eller forskningsdirektør)

10.3. Det enkelte helseforetaket må vurdere om det er lokale risikoer og ev. tiltak som gjør det nødvendig med lokale tilpasninger. I vurderingen av lokale forhold kan sannsynlighet for at risikoen oppstår variere ut fra lokale forhold i det enkelte foretaket.

10.4. Personvernleder konsulteres og gir en uttalelse som dokumenteres i den lokale versjonen av DPIAen.

11.  Helseforetakene utarbeider lokale 1.0 versjoner

11.1 Helseforetaket sender sin endelige versjon 1.0 tilbake til det regionale prosjektet via P360. Endelig versjon skal være signert (elektronisk) av lokal systemeier, eventuelt faglig leder som eier prosessen. Dersom det viser seg at lokale forhold medfører en høy rest-risiko etter gjennomføring av lokale tiltak, informeres personvernombudet.

11.2 Personvernombudet vil i utgangspunktet ikke uttale seg om endelige lokale versjoner, med mindre det ønskes eller er nødvendig med ny gjennomgang spesielt knyttet til høye lokale risikoer.

12. Etterfølgende endringer må vurderes med tanke på behov for å oppdatere personvernkonsekvensvurderingen.

12.1. Dersom det er avklart at endringen innebærer økt personvernrisiko er det nødvendig å gjennomføre en ny DPIA med tilhørende gjennomgang i Personvernrådet.