Personvernombud

Personvernombudet jobber på regionsnivå og kan se ting mer på tvers. Det gjør at arbeidet kan bli mer strategisk og sette helseforetakene i regionen i stand til å gi et enda bedre personvern til pasienter og ansatte.

Ordningen er muliggjort gjennom avtaler mellom helseforetakene i regionen og det regionale helseforetaket (Helse Sør-Øst RHF). 

Rapportering

Personvernombudet er ansatt i det regionale helesforetaket og rapporterer administrativt til administrerende direktør, Terje Rootwelt. 

På personvernområdet rapporteres det  direkte til øverste ledelse i helseforetakene og personvernombudet vil rådgi de administrerende direktørene i helseforetakene og deres ledergrupper når det gjelder  personvernspørsmål og beslutninger som innebærer personvernvurderinger.

Personvernombudets arbeidsoppgaver

Personvernombudsets arbeidsoppgaver er fastsatt i loven:

• Informere og gi råd om personvernforpliktelser 

• Kontrollere overholdelse av personvernforpliktelser, bl.a. gjennomføringen av personvernkonsekvensutredninger (DPIA) 

• Gi råd om vurderinger av personvernkonsekvenser når helseforetakene ber om det

• Være kontaktpunkt for ansatte og innbyggere som hører til helseforetakene i regionen 

• Samarbeide med og være kontaktpunkt for Datatilsynet, bl.a. ved å rådføre seg med tilsynet ved behov og være kontaktpunkt ved forhåndsdrøftinger. 

Les mer om ansvar og roller for personvern og informasjonssikkerhet i Helse Sør-Øst.  

Det er også lovbestemt  at personvernombudet skal prioritere sin innsats sett opp mot risikonivået for personvern i virksomheten. (Personvernforordningen art. 39, nr. 2: “Personvernombudet skal ved utførelsen av sine oppgaver ta behørig hensyn til risikoene forbundet med behandlingsaktivitetene, idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i.” )

Samarbeid med personvernlederne

Personvernlederne og personvernombudet kommer til å jobbe sammen om mer strategiske og overordnede personvernspørsmål, og skal sammen med den nye fagsjefen samarbeide i  Regionalt personvernråd. De kan selvfølgelig også ta kontakt fra sak til sak, og blant annet om personvernkonsekvensvurderinger (DPIA). 

Den nye personvernlederrollen forsterker helseforetakenes mulighet til å bruke fagkompetansen på personvern på en enda bedre måte.

Til forskjell fra den uavhengige rollen til personvernombudet kan personvernlederen være tettere på helseforetakets gjennomføring av personvernarbeid, siden personvernlederen ikke lenger vil stå i spennet mellom å utføre arbeid for så å måtte kontrollere sitt eget arbeid.  

Personvernlederne vil i praksis kunne svare ut de fleste daglige spørsmål, og ikke minst spørsmål knyttet til de lokale forholdene i helseforetaket når det gjelder personvernrettigheter og helseforetakets lokale systemer. Det vil si at personvernlederne skal fortsette å jobbe omtrent som før.  

Personvernlederen skal være en ressursperson, pådriver og tilrettelegger for etablering og gjennomføring av helseforetakets samlede internkontroll innen personvern.

Personvernledernes arbeidsoppgaver

Oppgavene er tydeliggjort i NO4, og til rollen hører det blant annet å: 

• Bidra til kontroller av virksomhetens arbeid med personvern i linja, bl.a. relevante deler av helseforetakets internkontrollsystem.  

• Rapportere planer og resultater gjennom helseforetakets etablerte kanaler for øvrig revisjonsaktivitet. 

• Bidra til tilstrekkelig kunnskap om store risikoer og sårbarheter på personvernområdet, bl.a. tilrettelegge for oppfølging av rapporterte avvik og meddele avvik til virksomhetens ledelse i samsvar med helseforetakets etablerte rutiner for avviksbehandling. 

• Drive opplysningsvirksomhet i foretaket om personvern. 

• Utvikle og vedlikeholde overordnede styrende dokumenter innen ansvarsområdet. 

• Rådgi og støtte linja i å gjennomføre personvernvurderinger og personvernkonsekvensvurderinger. 

• Delta i Regionalt personvernråd. 

• Støtte virksomhetsledelsen i spørsmål om personvern, bl.a. 
  • ha ansvar for faglig rapportering til helseforetakets ledelse innen fagområdet personvern 
  • forberede ledelsens årlige gjennomgang av personvernområdet  

Helse Sør-Øst RHF har ansatt en fagsjef for personvern som skal bidra til å effektivisere samarbeidet mellom helseforetakene på personvernområdet.

Den nye fagsjefen vil etter planen være på plass ved årsskiftet, og vil da lede Regionalt personvernråd, koordinere arbeidet med harmoniserte vurderinger, koordinere beslutningsgrunnlag om like forhold og ellers være med og løfte personvern på agendaen i helseforetakene i regionen.

Helseforetakene har ansvar for å gjøre personvernarbeidet. Det er stort potensiale for å forbedre dette ved mer samarbeid og bedre utnyttelse av personvernekspertisen i regionen.

Helse Sør-Øst RHF vil ta en tydelig rolle med å samordne personvernarbeidet for bl.a. å oppnå  

• Harmoniserte vurderinger for felles løsninger 

• Like beslutninger for like forhold 

• Effektivisering av prosessene rundt regionale prosjekters personvernarbeid, bl.a. knyttet til personvernkonsekvensvurderinger 

Personvernlederne og personvernombudet kommer til å jobbe sammen om mer strategiske og overordnede personvernspørsmål, og skal sammen med den nye fagsjefen samarbeide i  Regionalt personvernråd. De kan selvfølgelig også ta kontakt fra sak til sak, og blant annet om personvernkonsekvensvurderinger (DPIA). 

Forskning vil gå sin gang i helseforetakene og vil ikke merke så mye til omorganiseringen.

Forskningsrådgivere vil jobbe som før. Personopplysningsloven åpner for at personvernledere og/eller forskningsrådgivere vil fortsette å gi råd og veiledning til forskningsmiljøene som før, og at dette ikke trenger å gå innom personvernombudet. Dette fremgår av det regionale styrende dokumentet NO-4: 

«Helseforetakene som utfører forskning som omfattes av personopplysningsloven §§ 9 og 10 skal etterleve den særnorske rådføringsplikten innen forskningsområdet, jamfør nevnte bestemmelser, ved bruk av alternativet rådføring med «en annen» kvalifisert og uavhengig rådgiver.» 

Dette skjer ikke på vegne av personvernombudet, men i kraft av rollen som beskrives i loven. 

I de tilfellene det gjøres personvernkonsekvensvurderinger i form av DPIA vil forskerne gjennom personvernlederne kunne rådføre seg med personvernombudet på samme måte som for DPIA på områder utenfor forskning. 

Noen foretak har personvernrådgiver for kvalitet, og rutiner for kvalitetsprosjekter som sier at prosjekter må ha tilrådning fra personvernombudet. Det er lokale forhold som bestemmer hvordan rådgivning om personvern gjøres, men ofte vil det være personvernleder eller personvernrådgiver for kvalitet som vil skrive slike tilrådninger. 

Regionalt personvernråd (tidligere PVO-forum) har et nytt mandat som er beskrevet her: Regionalt personvernråd - Helse Sør-Øst RHF. 

Endringen er en del av styrkingen av personvernarbeidet i Helse Sør-Øst, og innebærer en tydeliggjøring av at det er et samarbeidsorgan og et fagforum som er viktig for å finne felles retning i personvernarbeidet. 

Personvernrådet skal: 

• bidra til at mål og føringer innen personvern forbedres og etterleves  

• bidra til et systematisk og samordnet arbeid med personvern, gjennom sin faglige kompetanse og representasjon fra helseforetakene i regionen  

• fremme samarbeid mellom helseforetakene for å harmonisere personvernarbeidet 

Målet med arbeidet i Personvernrådet er at rådet skal bidra til eller med: 

• at de registrertes rettigheter og friheter beskyttes i tråd med personvernlov­givningens krav 

• forutsigbarhet og effektivitet innen personvernområdet 

• rådgivning for å unngå ubegrunnet forskjellsbehandling i helseregionen 

• helhetlige og kunnskapsbaserte personvernvalg i helseforetakene og regionen gjennom faglige råd 

• at personvernarbeidet i foretaksgruppen ivaretas og forbedres 

• å skape en kultur der personvern inngår som en naturlig del av foretaksgruppens aktiviteter og prosesser 

Vil du ha innsyn i journalen din kan du ta kontakt med helseforetaket

Vil du vite hvem som har sett på journalen din kan du logge deg inn på Helsenorge ved å trykke her og logge inn øverst til høyre på siden. Du kan også få hjelp til dette ved å kontakte Helsenorge Veiledning på telefon 23 32 70 00

Her finner du lenke til de ulike helseforetakenes informasjonssider om personvern og kontaktinformasjon:

Personvern - Oslo universitetssykehus HF

Personvern - Akershus universitetssykehus HF

Personvern - Vestre Viken HF

Personvern - Sykehuset Telemark HF

Personvern - Sykehuset i Vestfold HF

Personvern - Sykehuset Østfold HF

Personvern - Sørlandet sykehus HF

Personvern - Sykehuset Innlandet HF

Personvern - Sykehuspartner HF

Personvernombudene har gjort en solid jobb med personvern. Noen går tilbake til andre roller som de har hatt, mens mange fortsetter i en rolle som på regionsnivå kalles personvernleder. Det betyr at de har fagansvar for personvern i helseforetaket. Det viktigste er at de stort sett skal gjøre nesten samme jobb og fortsatt være det lokale kontaktpunktet om personvernspørsmål i det enkelte helseforetaket. 

Nei, det er helseforetakets ledelse som tar beslutninger som innebærer personvernvurderinger. 

Personvernombudet vil likevel fremme synspunkter og gi råd i beslutningsprosessen.

Graden av personvernrisiko vil være førende for arbeidet. Nye måter å jobbe på, nye systemer og graden av kompleksitet i en sak vil for eksempel være noen ting ombudet vil legge vekt på for å gå inn i saker. 

Nei, det er helseforetakene som har ansvar for at de har et godt personvern for pasienter og ansatte, og det er helseforetakets ledelse som må sørge for gjennomføringen. Helseforetaket bestemmer om og hvordan noe skal gjøres. 

Sett opp mot de andre helseforetakene vil Sykehuspartner i de fleste sammenhenger være databehandler for helseforetakene når det gjelder regionale løsninger. 

Selv om Sykehuspartner er databehandler vil de få et større ansvar for å gjøre gode personvernvurderinger som gjør det lettere og tydeligere for helseforetakene som skal ta nye løsninger i bruk og gjøre sine vurderinger som dataansvarlige.  

Sykehuspartner er likevel selv behandlingsansvarlig for sine egne ansattes opplysninger, så de er ikke alltid databehandler.  

Personvernledere og/eller personvernrådgivere og forskningsrådgivere vil bistå linja med å gjøre personvernkonsekvensvurderinger. Når helseforetakene har ferdigstilt DPIA-er sendes de til personvernombudet for uttalelse. Siden personvernombudet skal vurdere sin innsats[1] ut fra risikoene i helseforetakene vil også arbeidet med DPIA-er prioriteres i samsvar med risikoen i det som skal vurderes.  

Regionalt personvernråd vil samtidig jobbe med samordning av regionale DPIA-prosesser for å gjøre dem mer hensiktsmessige for helseforetakene, og for å innrette DPIA-arbeidet på en måte som gjenspeiler personvernrisikoen på en mer omforent måte på tvers av helseforetakene i regionen. 

[1] Personvernforordningen art. 39, nr. 2: “Personvernombudet skal ved utførelsen av sine oppgaver ta behørig hensyn til risikoene forbundet med behandlingsaktivitetene, idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i.”