Sjekkliste/kartlegging for næringsdrivende leger

Det er viktig at virksomheten ser på egen behandling av personopplysninger. Vi har laget en kort (ikke uttømmende) sjekkliste for hva dere må gjøre og tenke på før mai 2018.

1. Kartlegg bruk av personopplysninger 
Virksomheten må skaffe oversikt over hvilke personopplysninger de sitter på. For mindre virksomheter kan dette for eksempel gjøres i et Excel-ark. For eksempel:

  • Hvem behandler virksomheten personopplysninger om? For eksempel ansatte
  • Hvilke type opplysninger har dere om ansatte? For eksempel: navn, adresse, telefonnummer, kontonummer, pårørendeinformasjon, referat fra medarbeidersamtaler, advarsler, annet i personalmappen.
  • Når brukes opplysningene og for hvilket formål? For eksempel kontonummer brukes i forbindelse med lønnsutbetaling eller referat fra medarbeidersamtaler brukes i forbindelse med oppfølging og utvikling av ansatte.

Vi har laget et eksempel på et kartleggingsskjema som du kan bruke for å kartlegge din behandling av personopplysninger her.

2. Har du lov til å bruke opplysningene? 
For å behandle personopplysninger kreves en hjemmel. Dette kan være en lovhjemmel, samtykke eller nødvendighetsgrunn. I arbeidsforhold vil et eksempel på en nødvendighetsgrunn være at man har kontonummer med det formål å utbetale lønn til de ansatte 

3. Sletting av informasjon
Det er et generelt prinsipp at informasjon skal slettes når det ikke lenger er nødvendig for formålet det var innhentet for. Det skal likevel lagres lenger når det er pålagt i lov, for eksempel bokføringsloven. Det er viktig å ha rutiner for sletting av informasjon. Har dere nå lagret mer informasjon enn nødvendig? For eksempel om tidligere ansatte. 

4. Rutiner for informasjonssikkerhet og internkontroll
Det er viktig å sørge for at virksomheten har god informasjonssikkerhet, og at det er rutiner for internkontroll. Dette innebærer at virksomheten må ha rutiner som sikrer at virksomheten har tilfredsstillende informasjonssikkerhet og at virksomheten overholder reglene om personvern. Rutinene må dokumenteres. Legeforeningen jobber for tiden med å få på plass samarbeidsavtaler med leverandører som vil kunne lette dette arbeidet.

Legeforeningen har allerede en samarbeidsavtale med TrinnVis som er et kvalitets-/internkontrollsystem laget av leger for å forenkle driften og forbedre pasientsikkerheten ved legekontoret. Som medlem i Legeforeningen får du 30 prosent på et abonnement hos TrinnVis og kan prøve tjenesten gratis i én måned. Link til medlemsinfo.
 
Les mer om Trinnvis på Trinnvis.no

5. Bruker dere en databehandler? Dersom dere bruker en leverandør som behandler opplysninger på virksomhetens vegne er dette en databehandler, og det kreves en databehandleravtale. Dette kan for eksempel være dersom man har satt utbetalingen av lønn til en ekstern leverandør, eller leverandør av pasientjournalsystemet. Tilbydere av systemer har gjerne ulike standard databehandleravtaler som benyttes for kunder. Legeforeningen vil i løpet av våren være i dialog med de ulike tilbydere av journalsystemer for å se på vilkårene i deres standard databehandleravtaler for bedre å kunne ivareta medlemmenes interesse her.