Kjære kollega

Siste nytt: Personvernloven (GDPR) blir forsinket til minst 1. juli 2018. Se www.rett24.no.
Selv om GDPR blir utsatt, vil NLH fortsette å arbeide hardt for å få klar en bransjenorm innen 17. mai.

En viktig dato er 25. mai 2018, det er datoen som er satt for innføring av den nye personopplysningsloven. Loven som er behandlet ved stortingsvedtak 23. mars 2018 og vedtatt samme dag heter Prop. 56 LS (2017-2018). Proposisjonen er på hele 337 sider. Den kalles i forkortet tekst for GDPR.

NLH hadde tenkt å kunne lage en «Bransjenorm» som ville være et regelverk for alle medlemmer som skal godkjennes av datatilsynet, så enkelt er det tydeligvis ikke.

NLH har engasjert NLHs advokat som er en del av et større nasjonalt advokatkontor. En av advokatene der har spesialisert seg på GDPR, han sitter i Bergen. NLH har forelagt ham en del spørsmål og her kommer noe av det han foreløpig har svart:

Slik jeg forstod ønsket foreningen en overordnet mal/retningslinje som kunne benyttes for foreningens medlemmer for å tilpasse seg de krav som stilles i GDPR. Jeg forstod det også slik at foreningens medlemmer i dag har rutiner for å etterleve krav i dagens personvernlovgivning, men at det nok er lite skriftlighet på slike rutiner/retningslinjer rundt omkring. Uansett gjør denne bevisstheten, som er «der ute» på personvernfeltet, det mye enklere med tanke på å få på plass det lille ekstra som trengs. Etter GDPR må alle ha egne skriftlige rutiner som er tilpasset den enkelte medlems behandling av personopplysninger. Dette er viktig for å dokumentere etterlevelse av GDPR.

Det vil ikke være mulig å lage en helt ferdig rutine som den enkelte medlemsbedrift kun kan sette navnet sitt på, blant annet av grunner jeg nevner under. Men jeg er i ferd med å utarbeide en NLH retningslinje og en NLH mal for rutinen og de vedlegg/dokumenter som medlemmene bør ha på plass. NLH eller jeg kan deretter, basert på retningslinjen, ved minimalt med tidsbruk, gjøre de vurderinger og justeringer som tilpasser rutine og dokumentasjonen som GDPR krever til det enkelte medlem.

Grunnen til at rutinen og skjemaene må tilpasses det enkelte medlem er blant annet følgende:

1. GDPR stiller krav til at det enkelte medlem selv lager en kort oversikt over hvilke personopplysninger som behandles og hvordan disse behandles. Dette vil ofte være litt forskjellig for den enkelte medlem.

2. GDPR krever en individuell vurdering av risikoen for at personopplysninger skal komme på avveier, eller at de ikke vil bli behandlet slik det er krav om. Risikoen vil være avhengig av hvilket databehandlingssystem det enkelte medlem bruker, hvordan IT-sikkerheten er lagt opp. Dette kan gjøres kort og enkelt, men må være tilpasset den enkelte.

3. GDPR krever at systemet for å registrere og lagre personopplysninger beskrives helt konkret for den enkelt bedrift/behandler. Dette vil variere for den enkelte medlem, og i forhold til hvordan IT-sikkerheten er ivaretatt. Informasjonssikkerheten er viktig når helseopplysninger behandles.

4. For de medlemmer som har egne ansatte, vil det også måtte sies noe om håndteringen av personalopplysninger. Sitat slutt.

Advokaten har stilt NLH flere spørsmål som NLH har svart på. I skrivende stund 23. april venter vi på svar og hva som blir løsningen for NLHs medlemmer.

Det som i hvert fall blir nytt for oss alle er at vi må ha skriftlige rutiner som er tilpasset det enkelte medlem for behandling av personopplysninger. Det kan være egne regler for de av dere som har automatisk timebestilling, og det vil bli egne regler for de av dere som har egne ansatte for å nevne noe.

Dette er ikke noe NLH medlemmer skal ta lett på. Det å ikke følge opp eller holde seg til de nye personvernregler kan gi svært høye bøter.

NLH vil gjøre alt vi kan og bruke den bistand som er nødvendig for å få dette på plass for alle våre medlemmer.

Det kommer etter hvert mye informasjon fortløpende på NLHs nettsider og i Homøopraktikeren.

John Hetlelid
Leder NLH