3 minute read
Reelle hensyn
HOVEDHENSIKTEN MED REGLER OM PERSONVERN
Personvernreglene skal, helt overordnet, sikre og fremme tre prinsipper eller hensyn:
›1 Konfidensialitet Dataene om deg og meg skal ikke komme på avveier. De skal bare ses og brukes av dem som har rett til det. La oss si at et legekontor sitter på pasientjournalen til Marte Kirkerud. Her er det private og sensitive opplysninger om Marte Kirkerud. Kravet til konfidensialitet innebærer at opplysningene ikke skal deles med uvedkommende, fordi de er private. Dette er kjernen i personvernet. Prinsippet om konfidensialitet bidrar til at retten til privatliv blir respektert. › 2 Tilgjengelighet Reglene som gjelder personvern, skal imidlertid også sørge for at opplysningene er tilgjengelige når det er bruk for dem. Hvis vi hadde «overdrevet» punkt nr. 1, konfidensialitet, kunne vi for eksempel sagt at absolutt alle pasientopplysninger bare skal skrives på papir og ikke på data, og at papirene skal være låst inn i en fjellhall til enhver tid. Det hadde blitt veldig god konfidensialitet. Men det hadde vært svært upraktisk – og dessuten farlig. Legene og annet helsepersonell har et faglig begrunnet behov for å ha rask tilgang til opplysningene. Dette er til den registrertes fordel.
Slik er det også i alle andre bransjer og samfunnsområder: Personopplysningene skal være tilgjengelige for regnskapsføreren som kjører lønn, for hjemmehjelpen som skal gi pleie, for advokaten som jobber med en sak, og for læreren som gir undervisning til elevene. Økt tilgjengelighet gir naturligvis økt risiko for at opplysninger kan komme på avveier. Det gjelder å finne gode rutiner og systemer som avveier konfidensialitet og tilgjengelighet på en god og praktisk måte. Som vi ser, må hensynet til personvernet veies opp mot andre hensyn. › 3 Riktighet Det tredje hensynet eller prinsippet er at personopplysninger skal være korrekte. Eksempel: Hvis Marte har astma og dessuten nøtteallergi, skal det ikke stå i pasientjournalen at Marte har diabetes og ryggproblemer. Hvis Fariha har karakteren 5 i engelsk muntlig, skal det ikke være registrert at hun har 3, osv. Det som en virksomhet har lagret om en person, skal være riktig.
Det er virksomheten som skal passe på at disse hensynene blir ivaretatt.
Prinsippet om konfidensialitet Prinsippet om tilgjengelighet Prinsippet om riktighetIkke korrekturlest 175 | 4 menneskerettigheter og personvern
RETTIGHETER OG PLIKTER ETTER GDPR
Hvilke personvernrettigheter har du? Og hvilke plikter har den virksomheten som sitter på opplysningene om deg? For å svare på det må vi se kort på fire sentrale begreper i GDPR, nemlig:
1. Den behandlingsansvarlige 2. Den registrerte 3. Behandling 4. Personopplysninger Poenget med GDPR er å sette plikter for den behandlingsansvarlige om at behandling av personopplysninger om den registrerte skal skje på en god og riktig måte som fremmer personvern. Den behandlingsansvarlige Den behandlingsansvarlige er virksomheten som samler inn og bruker opplysningene om oss, og som bestemmer formålet med å lagre opplysningene. GDPR artikkel 4, nr. 7 sier det slik: «behandlingsansvarlig»: en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes […]. Organisasjonsformen har ingenting å si. Både aksjeselskaper, enkeltmannsforetak, statsforetak osv. er omfattet. Nedenfor står det noen eksempler på virksomheter som er behandlingsansvarlige: - Tannlege Silje Halvorsen. Har helseopplysninger om 1 800 pasienter. - Regnskapsfirmaet Tallhåndtering AS. Har skatte- og lønnsopplysninger om 6 200 mennesker. - Lillevik kommune. Har gjennom skoler, NAV, hjemmetjenester osv. detaljerte og sensitive personopplysninger om 36 000 mennesker. Det er virksomheten som bestemmer «hvilke midler som benyttes», det vil blant annet si hvilke datasystemer (for eksempel Word eller OpenOffice) og lagringsmedier som «omgir» opplysningene. Det er den behandlingsansvarlige som har ansvar og plikter etter regelverket. Den registrerte GDPR art. 4, nr. 7 Ikke korrekturlest Det heter i GDPR artikkel 4, nr. 1:
176 | 4 menneskerettigheter og personvern
