EUs nye personvernforordning (GDPR) gir innbyggerne sterkere rettigheter og kommunene nye plikter. Den skal bidra til sterkere personvern og informasjonssikkerhet ved behandling av personopplysninger. Hver virksomhet som behandler personopplysninger har ansvar for at dette til enhver tid skjer i henhold til gjeldende regelverk.

Må kunne dokumentere

De nye personvernreglene vil åpenbart få konsekvenser for kommunalt psykisk helsearbeid gjennom Feedback-informerte tjenester (FIT), BrukerPlan og andre kartleggingsverktøy som genererer sensitive personopplysninger. Her er det viktig at kommunene har utarbeidet et godt rammeverk for dokumentasjon for å synliggjøre at man faktisk etterlever de nye kravene til personvern og datasikkerhet.

• Datatilsynet: Hva betyr de nye personvernreglene for din virksomhet?

Regelbrudd svir

Dersom din virksomhet allerede følger gjeldende regelverk er du godt rustet i forkant av den nye personvernforordningen. Dette gjelder også det mye omtalte bøtenivået. Virksomhetene må virkelig sette seg inn i hvilke data man lagrer om ansatte og kunder bosatt i EU eller EØS. De får omfattende lovfestede rettigheter man må være i stand til å imøtekomme. Alternativet er bøter på opptil fire prosent av virksomhetens omsetning. 

Oppgaven med å øke bevisstheten rundt personvern og informasjonssikkerhet er hele organisasjonens ansvar. Det betyr at både ledelsen og ansatte må ta personvern og informasjonssikkerhet på alvor.

Hva som endres

Borgere skal ha mer kontroll over egne opplysninger, og enklere tilgang til dem. Personopplysninger må beskyttes - uansett hvor de behandles, lagres eller er sendt fra. Reglenes virkeområde er dermed betraktelig utvidet, slik at reglene også omfatter virksomheter etablert utenfor EU som tilbyr varer eller tjenester til EU-borgere. De nye reglene omfatter bestemmelser om:

• Retten til å bli glemt: en styrket sletteplikt
• Retten til å få informasjon om sikkerhetsbrudd
• Retten til å overføre personopplysninger til annen tjenestetilbyder
• Retten til å få behandlingen begrenset
• Retten til å motsette seg en behandling
• Retten til å motsette seg profilering og automatiserte avgjørelser
• Vilkår for samtykke og vilkår som gjelder barns samtykke
• Strengere krav til internkontroll
• Innebygd personvern: personvern bygges inn i tjenester og løsninger fra tidligste fase av utviklingen, personvernvennlige standardinnstillinger vil bli normen
• Gjennomføring av risiko- og konsekvensutredninger: databehandlingsansvarlige har større ansvar for å gjøre selvstendige vurderinger av personvernkonsekvenser, og identifisere risikoreduserende tiltak

      (Direktoratet for e-helse, 2018)

Verktøy for implementering

Direktoratet for e-helse har utviklet ulike maler for hvordan GDPR på best mulig måte kan implementeres. Her finnes ulike maler for kartlegging, GAP-analyser og rapportering. Sjekk ut verktøyene for implementering.