INFORMASJON om den nye personopplysningsloven til kunder av Sanimalis Norge AS

Transkript

1 INFORMASJON om den nye personopplysningsloven til kunder av Sanimalis Norge AS Copyright: Dette dokumentet er omfattet av copyright og kan ikke kopieres eller overlates til 3. part uten samtykke fra Sanimalis Norge AS Hva er GDPR? EUs forordning for personopplysninger (populært kalt personopplysningsloven) blir norsk og europeisk lov i mai Formålet er å gjøre behandlingen av folks personopplysninger mer helhetlig i hele EU/EØS. Det nye regelverket gir virksomheter nye plikter og enkeltpersoner nye rettigheter. Dette gjelder også for bedrifter som er etablert utenfor EU/EØS, men som leverer varer eller tjenester til EU/EØS borgere (eks. Nettbutikker) og behandlingsansvarlige som behandler data om eller overvåker EU/EØS borgeres nettbruk (eks. Amerikanske selskaper). Loven gjelder også overførsel av personopplysninger til tredjeland. Forordningen blir ofte omtalt bare som GDPR basert på forkortelsen av det engelske navnet: General Data Protection Regulation. Forordningen trer i kraft 25. mai 2018 i EU og for Norge i form av EØS-avtalen som vil bli oppdatert umiddelbart etterpå. I Norge vil den avløse dagens personopplysningslov (Lov om behandling av personopplysninger, fra år 2000). På visse punkter vil annen nasjonal lovgiving gå foran (eks regnskapsloven, veterinærloven/journalforskriften, se nedenfor). Generelle krav bransjenormer Bransjenorm (adferdsnorm): I EU-forordningens innledning punkt framgår det at: Sammenslutninger eller andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere, bør oppmuntres til å utarbeide adferdsnormer innenfor rammen av denne forordning for å fremme en effektiv anvendelse av denne forordning... Emnet er mer omtalt i artikkel Vi har spurt Den Norske Veterinærforening (DNV) om de kan komme med en veiledning som vi kan støtte oss på i forståelsen av de nye reglene, men det har vi foreløpig ikke fått. DNV har tidligere laget Oppdragsbekreftelse del 1 og 2 (finnes på Dette er anbefalte forslag til en kontrakt mellom dyreeier og veterinær/klinikk om pris og behandling (del 1) og en beskrivelse av generelle vilkår for behandling hos veterinær (del 2). Denne siste omtaler grunnlaget for lovlig behandling hos veterinæren/klinikken, men ingen av disse omtaler personopplysningsloven direkte. Vi er i dialog med DNV om hvordan disse oppdragsbekreftelsene antakelig bør oppdateres med tanke på GDPR, og vi vil ta 1

2 disse inn i Sanimalis etterhvert. Vi ser likevel behovet for en ren samtykkeregistrering og en personvernbeskrivelse som vi tar inn i første omgang. Dette gjøres bare i programmet Sanimalis. Vår tolkning av den nye loven er basert på at flere personer i vårt firma (Sanimalis Norge AS) og i vår allianse (Trofast AB og Sanimalis DK ApS) har deltatt på kurs om GDPR. Vi har studert og diskutert lovutkastet, også med jurister, og vi har sendt spørsmål til Datatilsynet og Mattilsynet om avklaringer i forhold til journalforskriften. Ingen av disse har kunnet svare på våre spørsmål og vi må avvente behandlingen i stortingsproposisjonen. Vår tolkning er likevel uten ansvar og vi oppfordrer alle våre brukere til å selv søke informasjon om emnet. Her er en nyttig link til Datatilsynets nettsider: Først noen definisjoner (Artikkel 4: Definisjoner) Det brukes en del begreper som er nyttig å kunne, her beskrevet i kortform av oss: Personopplysninger = se eget avsnitt nedenfor Den registrerte = den fysiske personen det er lagret personopplysninger om Behandle = enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke. Behandlingsansvarlig = en fysisk eller juridisk person, m.m som bestemmer formålet med behandlingen av personopplysningene, i dette tilfellet veterinæren/klinikken, oftest er det utpekt en person på klinikken. Databehandler = en fysisk eller juridisk person, m.m. som behandler personopplysningene på vegne av den behandlingsansvarlige, i dette tilfelle Sanimalis AS gjennom programmet/verktøyet Sanimalis, Microsoft gjennom programmene Outlook, Excel og Word, Regnskapsfører X gjennom regnskapsprogrammet Y som får data fra Sanimalis A. Omfang og unntak. Reglene gjelder alle forretningsmessige virksomheter, mens enkeltpersoners private, personlige, sosiale eller familiemessige fortegnelser ikke er omfattet av loven. Vær oppmerksom på at det er opplysninger om personer dette gjelder, ikke bare kunder, men også brukere, personale, henvisende veterinær eller kontaktpersoner hos leverandører. Nedenfor bruker vi ordet dyreeier fordi dette er de viktigste personene i denne sammenheng. Personopplysningslovens Artikkel 2 punkt 2 B. Registre også manuelle. Reglene gjelder ikke bare journalsystemet eller andre IT-systemer, men også for manuelle arkiver (utskrifter), hvis disse er ordnet som et register. Dette kan f.eks. være fakturakopier, håndskrevne journalkort, mapper med prøvesvar og røntgenbilder som har navn på eier. Personopplysningslovens Artikkel 2 punkt 1 2

3 Personopplysningslovens Artikkel 4, definisjon av register C. Personopplysninger. Dette er opplysninger som kan identifisere en person (den registrerte). De personopplysninger som en veterinær/klinikk normalt har om en dyreeier er: Navn, adresse, poststed, telefonnummer, e-post, eventuelle organisasjonsnummer eller produsentnummer, og dyrets ID (chipnummer) (da disse indirekte kan identifisere eieren). Opplysninger om dyret og dyrets journal er ikke personopplysninger. Veterinærer/dyreklinikker bør ha en nedskrevet politikk om at personopplysninger ikke må skrives i journalens fritekstfelt. Det skal således ikke skrives opplysninger om hvor en person har ferdes (f.eks. hvor en ting har hendt) og heller ikke personens holdning til et gitt emne. Det må heller ikke stå slik informasjon i kundearkivet. Personopplysningslovens Artikkel 4, definisjon av personopplysninger D. Personvernerklæring. Alle virksomheter må ha en behandlingsansvarlig og en personvernerklæring som er lett tilgjengelig på veterinærens/klinikkens nettside, som oppslag i venterommet og som det refereres til i utskrifter/e-post svar fra veterinæren/klinikken. Denne skal beskrive formålet og hvordan persondata blir håndtert av veterinæren/klinikken og disse må oppdateres i henhold til kravene i den nye personopplysningsloven (eksempel finnes nedenfor). Prinsipper for behandling av personopplysninger er hele GDPR, men spesielt artikkel 5, 6, 13, 17 og 24 er interessante. E. Rettslig grunn - regnskapsloven. Personopplysninger på dokumenter, som inngår i bokføringen, skal oppbevares i 5 år etter regnskapsårets avslutning. Bokføringsloven 13 F. Rettslig grunn - Lov om veterinærer, inkludert journalforskiften. Journalforskriften i Norge er tydelig på at journalen skal innholde nødvendige personopplysninger for å identifisere dyret. Journalen kan også inneholde resept, kopi av etterbehandlingsråd, forsikringsattester m.m. som del av dyrehelsehjelpen. Lov om veterinærer omhandler også retten til innsyn for flere dyrehelsepersonell og retten til å henvise pasienten. Journalen skal oppbevares i minst 10 år eller så lenge dyret er forventet å leve. Journalforskriften 4b (dyreeier) Journalforskriften 4b (dyrehelsepersonell) Journalforskriften 6 (oppbevaringsplikten) Journalforskriften 7 (om innsyn i journalen) Lov om veterinærer og annet dyrehelsepersonell 23 og 24 (om henvisning og innsyn i journalen) 3

4 OBS: På flere punkter er kravene i journalforskriften i konflikt med personopplysningsloven. Mest sannsynlig skal kravene i journalforskriften gå foran GDPR, men vi har likevel tatt kontakt med Datatilsynet og Mattilsynet for å få en avklaring her. Svaret fra Datatilsynet var at forespørselen må sendes til Mattilsynet, som ble gjort. Mattilsynet svarer nå at de heller ikke kan svare og at vi må vente på stortingsproposisjonen. På denne bakgrunn anbefaler vi våre veterinærer/klinikker om å vente med å slette personopplysninger for kunder som har dyr med journaler. G. Samtykke eller ikke fra dyreeier. Veterinæren/klinikken har lovlig grunn til å behandle dyreeierens personopplysninger utfra kravene i journalforskriften og bokføringsloven, og trenger derfor ikke dyreeiers samtykke til å bli registrert for at journal eller regning skal kunne føres. Det skal imidlertid opplyses om registreringen (se nedenfor). Det trengs eget samtykke for å kunne foreta direkte markedsføring mot en dyreeier (se nedenfor). Personsopplysningslovens Artikkel 5 angir prinsippene for behandling av personopplysningene, at de bare skal lagres for å oppfylle et formål og ikke lenger enn nødvendig, og at de skal være sikkert lagret. Personsopplysningslovens Artikkel 6 angir behandlingens lovlighet, og i punkt 1 b står det at behandling av personopplysninger er lovlig, hvis den er nødvendig for å oppfylle en avtale som den registrerte er part i... Avtalen er i dette tilfelle en avtale om undersøkelse og behandling av dyret. Personsopplysningslovens Artikkel 6 punkt 1 c angir at lagringen kan være nødvendig for å oppfylle en rettslig forpliktelse. Personsopplysningslovens Artikkel 6 punkt 1 e angir at allmenn interesse er lovlig behandlingsgrunn (sammenholdt med innledningens punkt 47) H. Informasjon til dyreeier. Veterinæren/klinikken skal informere dyreeieren ved registrering av hans/hennes personopplysninger om at registrering er skjedd og hva som er registrert (i form av mulighet for utskrift) og samtidig informere om hvordan opplysningene behandles (dette kan gjøres i personvernerklæringen som også skal kunne skrives ut). Personsopplysningslovens Artikkel 13 omhandler opplysningsplikten. I. Dyreeieren har rett til å bli glemt. Veterinæren/klinkken skal slette/anonymisere alle personopplysninger, som ikke lenger er nødvendige. Det vil si at de rettslige grunner (ref. Punkt E, F eller G) ikke lenger finnes. Her er det to muligheter som ikke er helt avklart, om det skal foretas 1) fullstendig sletting, som vil si at personen ikke er sporbar i ettertid eller 2) kryptering (pseudonymisering) som vil si at persondata kan finnes igjen via egen tabell/verktøy/tilgang (helseovervåking, politisaker, m.m.) 4

5 Ingen legitim interesse = kunden er ikke kunde lenger. Dette kan veterinæren/klinikken selv definere, f.eks. kunden har ikke hatt dyr til behandling i løpet av de siste 5 årene. Ingen rettslig forpliktelse vedr. journal = journalen > 10 år gammel eller så lenge dyret forventes å leve i praksis: hvis alle dyr er døde og det har gått mer enn 10 år, så slettes personopplysningene. Ingen rettslig forpliktelse vedr. bokføring = ingen posteringer på kunden i regnskapet de siste 5 hele regnskapsår. Artikkel 17 punkt 1 a. J. Generelt infoskriv. Senest den 25. mai 2018 skal veterinæren/klinikken informere alle dyreeierne, som er registrert om dette og også hvordan personopplysningene behandles. Dette kan gjøres via SMS, e-post eller brev og som oppslag på klinikkens hjemmeside. Personsopplysningslovens Artikkel 13 punkt 1. K. Innsynsretten. Veterinæren/klinikken skal kunne vise dyreeier hvilke personopplysninger som er registrert på ham/henne. Dette kan gjøres via en utskrift fra kundearkivet. Personsopplysningslovens Artikkel 15 punkt 1 og 3. L. Aktiv markedsføring. Elektronisk direkte markedsføring er omtalt i GDPR som gir den behandlingsansvarlige en delvis rett til slik aktivitet. Men som hovedregel skal den registrerte gi samtykke til dette og skal når som helst kunne trekke samtykket tilbake. Det skal være enkelt å trekke tilbake et samtykke. Personsopplysningslovens Artikkel 6.1.f, om berettiget interesse Personsopplysningslovens Artikkel 21 punkt 1-4, om innsigelse mot berettigede grunner og direkte markedsføring. K. Bøter. Ved brudd på forordningen kan man bli pålagt bøter på opptil 20 millioner Euro. Personsopplysningslovens Artikkel 83. Personvernerklæring for Sanimalisprogrammet - se oppdatert hjelpefil I hjelpefilen til Sanimalis ligger beskrivelse av hvordan personopplysninger registreres og lagres i Sanimalis, hvilke opplysninger som lagres og med hvilket formål. 5

6 OBS! ProfVet Clinic og ProfVet Practice disse programmene blir ikke oppdatert til å oppfylle kravene i personopplysningsloven og brukerne må selv sørge for at de oppfyller kravene. OBS! Smådyr, Hest og Praksis disse programmene blir ikke oppdatert til å oppfylle kravene i personopplysningsloven og brukerne må selv sørge for at de oppfyller kravene. Hva gjør vi i Sanimalis? Oppdaterer masseutsendelsesfunksjonen slik at informasjon enkelt kan sendes ut til alle kunder Legger tilrette for at samtykke skal kunne registreres på kunden på to nivåer: 1. registrering av personopplysninger og 2. bruk av personopplysninger i aktiv markedsføring Legger tilrette for at klinikken skal kunne definere og vedlikeholde sin personvernspolicy. Gir kunden/dyreeier innsyn i og utskrift av sine persondata og sine samtykker. Tilpasser masseutsendelse til å ta hensyn til om kunden har gitt tillatelse til aktiv markedsføring eller ikke. Hva må du gjøre før loven trer i kraft? Sende ut informasjon (som masseutsendelse) om hvordan du/din klinikk vil etterkomme personvernloven. I denne informasjonen be alle kundene om å gi sitt samtykke til å være registrert og tillate aktiv markedsføring (hvis dette benyttes) Informere ettertrykkelig om at de som ikke gir sitt positive samtykke heretter ikke vil få kundebrev (unntak: innkallinger). Slette (eller anonymisere) data der lovlig grunn til lagring har gått ut på tid eller kunden ikke har gitt samtykke til at dataene fortsatt kan lagres. Med vennlig hilsen Agnetha L. Herstrøm Supportleder Sanimalis Norge AS 6