KRAV OM INNSYN I DOKUMENTER

Transkript

1 Vår dato Vår referanse / Vår saksbehandler Deres dato Deres referanse Gunvor Skaar Kulseng, Monica Stensrud KRAV OM INNSYN I DOKUMENTER Norsk Helsenett har mottatt din anmodning om innsyn i dokumenter i epost Vi svarte ut anmodningen i epost samme dag, med vedlegg av 4 dokumenter. Vi har senere mottatt 2 eposter hhv og , med kommentarer til Norsk Helsenetts svar og en presisering av din opprinnelige bestilling. Ditt innsynskrav var slik: Alle dokumenter og all korrespondanse som omhandler hvilke forberedelser Norsk Helsenett gjør for å etterkomme kravene i personvernforordningen (GDPR). Vi sendte deg deretter på e-post 4 dokumenter registrert i vårt arkivsystem som gjelder forberedelse til GDPR, og opplyste at en del dokumenter er under arbeid og ikke ferdigstilt for innsyn. Samtidig ba vi deg presisere følgende i ditt innsynskrav, herunder hvilke krav og eposter det siktes til:..ber jeg organet vurdere om det er nødvendig med en gjennomgang med aktuelle ansatte for å identifisere epost og dokumenter som kan være omfattet av kravet, men som ikke er korrekt journalført eller ikke underlagt journalføringsplikt, men allikevel omfattet. I epost svarer du slik: I deres besvarelse av mitt innsynskrav kan jeg ikke se at det foreligger korrespondanse. Jeg minner om at det ikke er adgang til å kun utlevere en rekke ferdige, pene dokumenter; dere må innsynsvurdere korrespondansen deres ansatte har hatt i forbindelse med utarbeidelsen av disse dokumentene og arbeidet med GDPR, slik jeg ber om. Dere må innsynsvurdere råmaterialet, ikke bare de pene, ferdige dokumentene PR-konsulentene deres er stolte av. Slik er dessverre loven. Dersom denne korrespondansen ikke er korrekt journalført, er det opp til dere å vurdere om det er nødvendig med en gjennomgang med aktuelle ansatte for å bedre dokumentfangsten post facto i forbindelse med mitt innsynskrav, noe som kan være betimelig å gjøre i lys av veiledningsplikten som foreskrives i forvaltningsloven. Årsaken til at jeg nevner Riksrevisjonen er at sistnevnte i sitt dokument 3:10 i fjor rettet skarp kritikk mot forvaltningen for generelt mangelfull journalføring. Om dette er tilfellet i deres organ, bør dere ta en gjennomgang med dem som har vært involvert i saken. Minner forøvrig også om at det er rett til innsyn i materiale som ikke er underlagt journalføringsplikt og at Postadresse: Postboks 6123, 7435 Trondheim Besøksadresse: Abels gate 9, 7030 Trondheim Tlf.: Faks: E-post: post@nhn.no Foretaksregisteret NO MVA 1 av 3

2 Norsk Helsenett SF Vår dato Vår referanse / dokumentbegrepet er teknologinøytralt, altså er det innsynsrett i sms og Facebook Messenger. I epost svarer du på vårt foreløpige svar fra samme dag, der vi har gjort oppmerksom på at saksbehandlingen kan bli noe forsinket på grunn av reisefravær. Du presiserer at saksbehandlers fravær ikke er gyldig tilstrekkelig grunn til at saken ikke behandles, med at du kan akseptere å få svar når vedkommende er tilbake, men at du da forventer at Norsk Helsenett følger opp snarest mulig og holder deg orientert om saksgangen. Norsk Helsenetts merknad: Etter offentleglova 28, 2. ledd må et innsynskrav gjelde en bestemt sak eller i rimelig utstrekning saker av en bestemt art, med mindre kravet gjelder innsyn i en journal eller liknende register. Et dokument er opprettet og offentlig tilgjengelig når det er sendt ut av organet eller ellers er ferdigstilt, jf offentleglova 4, 2. ledd; fra det tidspunkt kan det kreves innsyn i dokumentet. I dette tilfellet er det krevd innsyn i alle dokumenter som angår en sak av en bestemt art, nemlig Norsk Helsenetts forberedelse til ny personopplysningslov. Kravet er generelt formulert, og vi oppfatter det fortsatt slik at du ønsker innsyn i interne og eksterne dokumenter som gjelder Norsk Helsenetts forberedelse til ny personopplysningslov. En ny gjennomgang av vårt arkiv viser følgende dokumenter, som kan anses som en del av Norsk Helsenetts forberedelse til ny lov. Disse vedlegges her: Saksnummer 18/00225, dokument 1 og 2: Ny personvernforordning - nye krav til digitale løsninger - spørsmål fra Hurum kommune Saksnummer 18/00945, dokument 1, 2 og 3: Vedrørende databehandleravtale innspill fra Vestby kommune Saksnummer 18/00878, dokument 1: Databehandleravtale mellom Tieto Norway AS og Norsk Helsenett SF Ut over dette har vi ikke registrert interne eller eksterne ferdigstilte saksdokumenter som handler om Norsk Helsenetts forberedelse til ny personopplysningslov. Vi har derved ikke andre dokumenter å gi deg innsyn i enn de du fikk og de som ligger ved dette brevet. Vi registrerer din oppfordring til en gjennomgang med våre ansatte for å få journalført eventuelle uregistrerte dokumenter, i samsvar med lovbestemte krav og våre egne rutiner. Norsk Helsenetts vedtak kan påklages til Helse- og omsorgsdepartementet innen 3 uker. Eventuell klage sendes Norsk Helsenett. 2 av 3

3 Norsk Helsenett SF Vår dato Vår referanse / Med hilsen Norsk Helsenett SF Synnøve Farstad Direktør HR og kommunikasjon Dette dokumentet er elektronisk godkjent og har derfor ingen signatur. 6 vedlegg 3 av 3

4 HURUM KOMMUNE Dokumentsenter og servicetorg NORSK HELSENETT SF Postboks TRONDHEIM Saksbeh: Dir.tlf.: Vår ref: Arkivkode: Vår dato: Nina Klausen / Ny personvernforordning - nye krav til digitale løsninger I mai 2018 blir ny personvernforordning, GDPR, en del av norsk lovgiving. Dette medfører en rekke nye plikter for norske virksomheter. Det medfører også at digitale løsninger hvor det behandles personopplysninger må omarbeides for å virke i overenstemmelse med kravene i forordningen. Hurum kommune har startet forberedelser til disse regelendringene, og jobber med interne prosesser og rutiner for å ha en praksis i tråd med kommende regelverk. Samtidig er vi avhengige av at dere som systemleverandør tilpasser deres system til kommende regelverk. I den anledning sender vi denne henvendelsen hvor vi ønsker svar på noen spørsmål: 1. Hvilken forståelse av ny personvernforordning legger dere til grunn i videre utvikling av deres system som dere leverer til Hurum kommune? Temaene innebygget personvern, dataportabilitet, rett til å bli glemt, samt innsyn er spesielt sentrale. 2. Hvordan tenker dere å løse dette i deres system: Helsenett 3. Hva er deres tidsplan for å sikre at deres systemer virker i tråd med nytt regelverk i mai 2018? Vi ber om svar på ovennevnte innen 14. februar Med hilsen Nina Klausen virksomhetsleder Dette dokumentet er elektronisk godkjent og sendes uten signatur. Hurum kommune Behandles av: Dokumentsenter og servicetorg Nordre Sætrevei 1 Besøksadresse: Nordre Sætrevei Sætre Postadresse: Nordre Sætrevei 1 Tlf: Telefon: E-post adresse xxxxxxxxxx@xxxxx.xxxxxxx.xx Org.nr.: Bankgiro:

5 Vår dato Vår referanse / Vår saksbehandler Deres dato Deres referanse Gunvor Skaar Kulseng, Hurum kommune NY PERSONVERNFORORDNING - NYE KRAV TIL DIGITALE LØSNINGER Vi viser til brev fra Hurum kommune datert , med spørsmål om hvordan Norsk Helsenett forbereder og tilpasser sine tjenester til nye personvernregler. Helsenettet er en lukket og sikret kommunikasjonsarena som består av alle tilknyttede virksomheter, de tjenestene de benytter, samt de kommunikasjonselementene og - systemene som binder dem sammen og muliggjør utveksling av personopplysninger innenfor rammen av "Norm for informasjonssikkerhet i helse- og omsorgstjenesten". Norsk Helsenett drifter og forvalter Helsenettet på oppdrag fra vår eier Helse- og omsorgsdepartementet og på vegne av de tilknyttede virksomhetene. Medlemskap i Helsenettet gir tilgang til en rekke tjenester, som for eksempel elektronisk meldingsutveksling, adresseregisteret, videotjenesten, samband mm. Alle medlemstjenestene, med unntak av videotjenesten, eies av Direktoratet for e-helse. I tillegg drifter NHN en del tjenester for sentrale, regionale og lokale helseaktører. Norsk Helsenett er i liten utstrekning databehandlingsansvarlig, utenom behandling av personopplysninger for egne ansatte mv. Vi er i stor utstrekning databehandler, og utfører oppgaven på grunnlag av databehandleravtaler gitt av databehandlingsansvarlige. Det er databehandlingsansvarlige som må ha rutiner for å oppfylle de registrertes rettigheter. Opplysninger i vår kundeportal for kommunene kan omfatte personopplysninger som navn, telefonnummer og epostadresse på kontaktpersoner, men i realiteten gjelder dette bare et fåtall av kommunene. De fleste kommuner er registrert i vår kundeportal uten personopplysninger. Norsk Helsenett er i gang med tilpasninger til den nye personopplysningsloven og GDPR. Dette gjelder blant annet kravet om innebygd personvern, vurdering av personvernkonsekvenser og kravene som vil gjelde til oss som arbeidsgiver for våre ansatte. Vi legger også til grunn at nye driftsoppgaver skal tilfredsstille det nye regelverket. Postadresse: Postboks 6123, 7435 Trondheim Besøksadresse: Abels gate 9, 7030 Trondheim Tlf.: Faks: E-post: post@nhn.no Foretaksregisteret NO MVA 1 av 2

6 Norsk Helsenett SF Vår dato Vår referanse / Norsk Helsenett er med i styringsgruppen og sekretariatet for Normen, og deltar der i arbeidet med tilpasning av Normen til nytt regelverk. Norsk Helsenett innfører i disse dager også en ny avtalestruktur som blant annet omfatter databehandleravtale med samtlige medlemmer av Helsenettet. Bakgrunnen for det er at de nye reglene definerer vår transport av krypterte personopplysninger i Helsenettet som "behandling av personopplysninger", noe som gjør Norsk Helsenett til en databehandler for medlemmene. For øvrig har vi som mål å være ferdig med våre tilpasninger til nye regler innen ikrafttredelsen 25. mai Med hilsen Norsk Helsenett SF Frode Johansen Direktør kunde- og tjenesteforvaltning Gunvor Skaar Kulseng Dette dokumentet er elektronisk godkjent og har derfor ingen signatur. 2 av 2

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27 From: Liss Edvardsen Sent: 25. april :43 To: NHN Post Subject: Vedr databehandleravtale Hei Vestby kommune med orgnr: Vi har mottatt deres databehandler avtale og signert den avtale er i hovedsak helt OK, men vår rådgiver har et punkt hvor han stusser på formuleringene: Side 3, pkt 4g Det er behandlingsansvarlige som etter forordningen er ansvarlig for at Datatilsynet blir varslet, innen 72 timer, ved sikkerhetsbrudd. Når NHN skriver at de er ansvarlig for å gjøre det er det OK, men det burde vært presisert i avtalen at databehandler skal informeres om dette samtidig med at Datatilsynet blir varslet. Pkt 4i, andre delestrek dekker for så vidt dette, men er etter mitt skjønn for rundt og ikke tidfestet. Med hilsen Liss Edvardsen Avdelingsleder for praktisk bistand og Systemansvarlig for Gerica/Visma Tlf: Mobil: Besøksadresse: Speiderveien 12 E-post: Vestby kommune Rådhusgata 1, 1540 Vestby Pb 144, 1541 Vestby Vestby kommune- Facebook - LinkedIn Vær oppmerksom på at dette ikke er en privat e-postadresse. Både inngående og utgående e-post blir vurdert for evt. journalføring i kommunens sak- og arkivsystem.

28 From: Gunvor Skaar Kulseng Sent: 25. april :16 To: Cc: Arkiv Subject: Databehandleravtale med Norsk Helsenett Norsk Helsenett har mottatt din epost datert 25. april Vi forstår at punktet du viser til kan virke uklart. Meningen er ikke å fravike forordningens og personopplysningslovens regler om ansvar for varsling og lovbestemte frister for dette. All oppfølging vil skje i samråd og forståelse med dataansvarlige (behandlingsansvarlige), og selvfølgelig skal vi bidra til at dataansvarlige kan overholde 72-timers fristen. Forholdet vil være godt ivaretatt gjennom Norsk Helsenetts avviksrutiner: Varsling til Datatilsynet og dataansvarlig Sikkerhetsleder vurderer om avviket skal varsles Datatilsynet og/eller dataansvarlig. Sikkerhetsleder Informerer i så fall Personvernombudet som tar det videre til: o Datatilsynet hvis avviket er knyttet til Norsk Helsenett som dataansvarlig. o Dataansvarlig hvis avviket er knyttet til tjenester der NHN er databehandler. Varslingsfrist til Datatilsynet er 72 timer etter at bruddet ble avdekket. Dataansvarlig må derfor varsles umiddelbart! Vi håper dette var et tilfredsstillende svar for Vestby kommune til å kunne akseptere avtalen. Vennlig hilsen Gunvor Skaar Kulseng Juridisk rådgiver norskhelsenett

29 From: Gunvor Skaar Kulseng Sent: 26. april :22 To: Arkiv Subject: VS: Databehandleravtale med Norsk Helsenett Videresender svar fra innsender i sak 18/00945 for arkivering. Fra: Liss Edvardsen [mailto:liss.edvardsen@vestby.kommune.no] Sendt: onsdag 25. april Til: Gunvor Skaar Kulseng <Gunvor.Skaar.Kulseng@nhn.no> Emne: Re: Databehandleravtale med Norsk Helsenett Takk for rask svar. Med hilsen Liss Edvardsen 25. apr :16 skrev Gunvor Skaar Kulseng <Gunvor.Skaar.Kulseng@nhn.no>: Norsk Helsenett har mottatt din epost datert 25. april Vi forstår at punktet du viser til kan virke uklart. Meningen er ikke å fravike forordningens og personopplysningslovens regler om ansvar for varsling og lovbestemte frister for dette. All oppfølging vil skje i samråd og forståelse med dataansvarlige (behandlingsansvarlige), og selvfølgelig skal vi bidra til at dataansvarlige kan overholde 72-timers fristen. Forholdet vil være godt ivaretatt gjennom Norsk Helsenetts avviksrutiner: Varsling til Datatilsynet og dataansvarlig Sikkerhetsleder vurderer om avviket skal varsles Datatilsynet og/eller dataansvarlig. Sikkerhetsleder Informerer i så fall Personvernombudet som tar det videre til: o Datatilsynet hvis avviket er knyttet til Norsk Helsenett som dataansvarlig. o Dataansvarlig hvis avviket er knyttet til tjenester der NHN er databehandler. Varslingsfrist til Datatilsynet er 72 timer etter at bruddet ble avdekket. Dataansvarlig må derfor varsles umiddelbart! Vi håper dette var et tilfredsstillende svar for Vestby kommune til å kunne akseptere avtalen. Vennlig hilsen Gunvor Skaar Kulseng Juridisk rådgiver norskhelsenett Denne e-post er kun bestemt for mottakeren nevnt over. Hvis du ved en feil skulle motta denne meldingen, må du ikke sende den videre eller kopiere den. Vennligst informer avsender og slett meldingen og eventuelle vedlegg fra din PC. Norsk Helsenett SF påtar seg ikke ansvar for endringer av innholdet etter at meldingen er sendt. Overføring av e-post er ikke garantert å være sikker, konfidensiell eller feilfri, fordi informasjon kan avbrytes, forvrenges, tapes, ødelegges, bli forsinket, være ufullstendig eller inneholde skadelig kode. E- posten ble sjekket for skadelig kode før utsendelse fra Norsk Helsenett SF.