GDPR og personvernet skal ikke stoppe viktig forskning, bruk av (ny) teknologi eller effektiv helsebehandling. Men det skjer hele tiden! Og det skyldes ofte feil bruk av personvernreglene.
Bouvet ASA har kommet med en rapport på Arendalsuka (nei, jeg var ikke der, og det virker som jeg var den eneste her på LinkedIn som ikke var der 🤔) som viser at personvernet ofte går foran pasientrettigheter. Sistnevnte er bl.a. at man har krav på en riktig behandling. Det fører til at helsepersonell ikke får den informasjonen de trenger for å gi riktig behandling. Hele 86 % av leger i kommuner opplever at de ikke får nødvendig informasjon.
Jeg har skrevet om dette tidligere (bl.a. for fem år siden her), men det er grunn til å minne om det igjen:
Personvernregelverket skal være til støtte for personvernet, og IKKE stoppe fornuftig og viktige tiltak og arbeid. Det meste lar seg gjøre, bare det gjøres riktig innenfor regelverket. Og regelverket har et stor handlingsrom bare man bruker det.
Man må alltid ta risiko ved behandling av personopplysninger. Ifølge rapporten er det imidlertid en forventning om at det skal være ingen risiko. Det er en fullstendig feil forståelse av personvernregelverket, og fører til viktige tiltak og arbeid stanses.
Jeg opplever nesten ukentlig at det kreves at det gjennomføres omfattende risikovurderinger (DPIA) ofte med den forventning at det ikke skal være noen eller ekstrem liten risiko. Dette gjelder spesielt offentlige virksomheter som i stat og kommune, og skyldes kanskje «ansvarsfrykt» som ofte rår der.
Dette kan stanse viktig forskning, innføring av it-løsninger til det beste for helsepersonell og pasienter, at det gis informasjon som kan bedre behandling osv. Dette fordi man opplever at gjennomføring av risikovurderinger er for omfattende og krevende, og det er ikke ressurser til arbeidet. Ofte aksepteres ikke risikovurderinger gjort av andre, som leverandører, siden vurderingen skal «gjøres selv». Eller så er det et personvernombud som stritter imot, ofte uten nærmere begrunnelse.
Konsekvensen er at viktig forskning, hjelpemidler gjennom (ny) teknologi, eller informasjon ikke kommer til nytte. Og da ofte basert på en feil forståelse av personvernregelverket. Regelverket er ikke så strengt, og det meste går. Har noen gjort en rimelig god risikovurdering, bør man kunne stole på denne uten å gjøre fullstendig ny vurdering selv. Og det må aksepteres risiko, når man har forsøkt å redusere denne mest mulig og vurdert risikoen mot fordelene ved aktiviteten. Det er veldig sjelden at behandlingen av personopplysninger er så krevende at nødvendige tiltak ikke kan gjøres. Så her må noen trekke pusten dypt, og revurdere.
Rapporten er bra lesing med mange gode eksempler.