Fikk orientering fra Thon om ny personvernlovgivning
Fra mai neste år blir ny europeisk personvernlovgivning del av norsk lovverk. Foretaksgruppen er i gang med forberedelsene til å møte de nye kravene. Torsdag 14.12 orienterte direktør i Datatilsynet Bjørn Erik Thon styret for Helse Sør-Øst RHF om den nye personvernlovgivningen og om forberedelser.
Den nye europeiske personvernlovgivningen, General Data Protection Regulation (GDPR), vil gjelde for alle EUs medlemsland fra 25. mai og vil bli innlemmet i EØS-avtalen. Den gjennomføres i norsk rett gjennom en ny personopplysningslov som henviser til GDPR.
Norge er et av landene som allerede har sterk personvernlovgivning. Likevel vil den nye loven innebære tydeligere krav enn det som gjelder i dag. Blant annet skal alle IKT-løsninger har innebygget personvern, det blir skjerpede krav for varsling av avvik til Datatilsynet og rettighetene til personer som berøres tydeliggjøres og økes. Personvernombudets rolle styrkes og virksomhetene får et skjerpet ansvar for å etterleve personvernloven.
Eventuelle bøter for brudd på GDPR kan bli betraktelig større enn med dagens lovverk.
I gang med forberedelser
Helseforetaksgruppen er i gang med å forberede seg på GDPR, blant annet gjennom følgende tiltak:
- Oppdragsdokumentet for 2017 forutsetter at helseforetakene forbereder seg på å møte kravene i personvernlovgivning.
- Målrettet oppdatering av regionalt styringssystem for informasjonssikkerhet i regionen. Fagfolk fra både Datatilsynet og Direktoratet for e-helse er invitert inn for å informere om sitt arbeid.
- Sykehuspartner har fått oppdrag knyttet til oppdateringer av regionalt styringssystem for informasjonssikkerhet, blant annet forbedre metoden for risikovurdering, utarbeide forslag til hvordan personvernkonsekvensvurdering best kan gjøres som tillegg til risikovurderingen og å utarbeide en oppdatert mal for databehandleravtaler.
- Alle helseforetakene har fått i oppdrag å oversende oversikt over alle registre med personopplysninger, slik at Sykehuspartner kan gjennomføre nødvendige sikkerhetstiltak.
- Dette er et svært viktig område for oss å følge opp. Arbeidet med informasjonssikkerhet og personvern må gjøres som en del av alle endringsprosesser, og er ikke en engangsjobb. Arbeidet er et lederansvar. Vi kommer til å ha en særskilt oppfølging av helseforetakene for å forsikre oss om at kravene til informasjonssikkerhet og personvern er oppfylt, sier administrerende direktør Cathrine M. Lofthus.
Les mer