Helselovgivningen går foran GDPR
Nye personvernregler trådte nylig i kraft. Hva angår pasientrettigheter og pasientjournal er det nesten ingen endring i tannlegenes plikter. Hadde du alt i orden fra før, er alt fortsatt i orden, også etter de nye reglene. Og så er det noen nye krav, som alle trenger å sette seg inn i.
Ingen har vel gått glipp av at det er kommet en ny personvernlovgivning som følge av EU-direktivet General Data Protection Regulation (GDPR).
- At ingenting er endret i forholdet mellom tannlege og pasient er viktig for tannlegene å vite, sier NTFs advokat Tone Galaasen. Hun legger til at det er viktig at tannlegene er godt kjent med helselovgivningen. Kommersielle aktører som tilbyr tjenester i forbindelse med GDPR, kjenner ikke nødvendigvis helselovgivningen så godt, og kan komme med påstander som ikke er riktige for tannleger og annet helsepersonell.
Det er for eksempel ikke slik at pasienter kan kreve å få sin journal slettet. Snarere tvert imot. Journaler skal oppbevares, dette er like strengt regulert som tidligere. Og det er heller ikke slik at tannlegen trenger innhente samtykke fra pasienten for å føre journal, eller gi pasienten elektronisk tilgang til journal. Pasienten kan, som tidligere, be om innsyn i journal. En liten endring som sannsynligvis kommer, er at det ikke lenger gis anledning til å ta betalt for innsyn i og utskrift av journal, når pasienten ber om det.
- Kommer det mange henvendelser og spørsmål til NTFs sekretariat fra tannleger som lurer på ting i forbindelse med GDPR?
- Det kommer relativt få spørsmål om dette. Og de spørsmålene som kommer er som regel allerede besvart i informasjonspakken vi har laget, og som ligger på nettstedet tannlegeforeningen.no. Der ligger det blant annet en sjekkliste som kan være grei å gå igjennom for den som vil undersøke om alt er i orden hos seg.
Personvernerklæring er et nytt krav
Alle tannleger, som ikke allerede har gjort det, bør lage en oversikt over alle typer personopplysninger som samles inn i virksomheten og rutinene for hvordan disse behandles, og av hvem. Det er viktig å kunne dokumentere at rutinene er gjennomgått, og tilpasset det nye regelverket. Har du eksterne databehandlere, som eksempelvis leverandører av journalsystem og lønnssystem, trenger du å få på plass nye databehandleravtaler som er tilpasset GDPR. Alle virksomheter må ha en personvernerklæring. Alle virksomheter må også vurdere om de må ha et personvernombud. Dette er for øvrig noe de færreste tannlegepraksiser vil ha behov for. Samtidig skal det kunne dokumenteres at det har vært vurdert. Informasjon om disse tingene finnes i informasjonspakken om GDPR på NTFs nettsted.
- Det vil alltid kreve en del ekstra å være klinikkeier, drive en praksis og være arbeidsgiver. Og dette med GDPR er en ting som alle må forholde seg til nå. Hvis en driver næring må en også bruke tid på myndighetskrav, understreker Galaasen, som oppfordrer alle til å gå inn på tannlegeforeningen.no og lese sjekklisten og sette seg inn i det som står i informasjonspakken om GDPR.
Følg normen og lag gode rutiner
- Alle som følger normen (Norm for informasjonssikkerhet i helse- og omsorgssektoren), helsepersonelloven og pasientjournalloven har i utgangspunktet gjort det meste som kreves i henhold til GDPR-direktivet, sier Ralf Husebø. Han er leder av Sentralt næringsutvalg (SNU), hovedstyremedlem og medlem av arbeidsgruppen som har jobbet med GDPR i NTF.
- Har du selv måttet gjøre noe med rutinene i din praksis for å tilfredsstille de nye kravene? Eventuelt hva og hvordan?
- I vår klinikk har vi fulgt normen i alle år. Den er en del av vårt internkontrollsystem som revideres kontinuerlig. Når vi er ferdige med å gå igjennom hele permen vi har laget, med utgangspunkt i NTFs kvalitetshåndbok, begynner vi på kapittel 1 igjen. Noen ganger tar vi et helt kapittel på et klinikkmøte, noen ganger bare en liten del av et kapittel. Internkontrollsystemet er stadig i revisjon, og alle som jobber på klinikken eier systemet når vi jobber på denne måten.
Det meste er altså på plass hos oss, men noe arbeid kreves ennå. Vi har satt opp klinikkmøter der vi går gjennom de punktene vi må jobbe med. Disse punktene er godt definert i NTFs sjekkliste over hva som må være på plass når det gjelder GDPR. Denne finner dere på NTFs hjemmeside. En ny norm som er fullt tilpasset det nye GDPR- direktivet er også under arbeid, og NTFs medlemmer vil få beskjed når denne er klar.
- Har du noen formening om hvor langt andre privatpraktiserende tannleger, som du kjenner, har hørt om eller hørt fra, er kommet, og hva som eventuelt mangler?
- Veldig mange tannleger jobber godt med helse, miljø og sikkerhet (HMS) og kvalitetssikring, og har det meste på plass. Men noen synes nok dette er vanskelig, og sliter med å begynne. For de som ikke er kommet i gang ennå er nok hovedproblemet å prioritere dette arbeidet i en travel hverdag, mens andre er usikre på hvor de skal begynne.
- Har du et råd til tannleger som er usikre, er kommet sent i gang eller synes dette er vanskelig?
- For de som ikke er begynt ennå: Det er ikke for sent. Sett opp klinikkmøter, ta for dere NTFs sjekkliste og jobb dere gjennom ett dokument av gangen. Samlet er det ikke mer enn noen timers arbeid. Og når dere først er godt i gang, kan dere like gjerne fortsette med kvalitetshåndboken, som også ligger på NTFs nettsted, foreslår Husebø avslutningsvis.
NTFs sjekkliste for GDPR inneholder blant annet disse punktene:
* Har du oversikt over hvilke personopplysninger som behandles i din virksomhet?
* Har du gjennomgått og oppdatert virksomhetens rutiner for informasjonssikkerhet og internkontroll?
* Har du inngått nye databehandleravtaler, tilpasset GDPR?
* Har du laget en personvernerklæring for din virksomhet?
* Har du sjekket om du trenger personvernombud i din virksomhet?
Hva er GDPR?
GDPR handler om hvordan organisasjoner og virksomheter skal samle inn, lagre og bruke personlig identifiserbar informasjon. EU-forordningen, som også er blitt norsk lov, har som formål å gi personer større kontroll over hvordan og av hvem deres personlige data samles inn, lagres og brukes. Overordnet kan man si at forordningen ber organisasjoner og virksomheter om å:
* Behandle personopplysninger lovlig, rettferdig og åpent
* Innsamling av personopplysninger til et spesifikt, eksplisitt og legitimt formål
* Kun samle inn data som er nødvendig for det aktuelle formålet
* Gjøre det som er nødvendig for å sørge for at dataene er korrekte og holdes oppdaterte
* Oppbevare data på en slik måte at de kan identifiseres og ikke oppbevares lenger enn nødvendig
* Bruke passende tekniske eller organisatoriske tiltak for å sørge for at dataene er sikre
* Kunne demonstrere samsvar med prinsippene i GDPR
Tekst
Foto