Hva er særlige kategorier personopplysninger? (helse m.m.)
Hva er særlige kategorier personopplysninger?
En personopplysning, etter GDPR, personvernforordningen, er en opplysning eller vurdering som kan knyttes til deg som enkeltperson. Begrepet tolkes svært bredt, men noen typiske personopplysninger er navn, e-postadresser, bilregistreringsnummer, bilder, mobilnummer, IP-adresser og kjøpshistorikk.
I tillegg til typiske og kanskje mer «ufarlige» personopplysninger, er det noe som heter «særlige kategorier personopplysninger». Disse personopplysningene har et særskilt vern i GDPR, og hvis du behandler noen slike, må du ta GDPR ekstra på alvor.
Her kan du lese hva Datatilsynet skriver om særlige kategorier personopplysninger.
✋ Forbudt å behandle særlige kategorier personopplysninger
Særlige kategorier personopplysninger har faktisk et så sterkt vern i GDPR, at det i første setning i lovteksten står at de er forbudt å behandle.
Det aller første du må gjøre, er derfor å finne ut om dette er relevant for deg. Særlige kategorier personopplysninger er opplysninger om:
- alt relatert til helse
- medlemskap i fagforeninger
- religiøst eller politisk standpunkt
- rase eller etnisitet
- seksuell legning
- seksuelle forhold
Hvis du ser at du trolig behandler noen av disse opplysningene, da må du lese og forholde deg til GDPR artikkel 9.
Ofte relevant i ansattforhold
Alle bedrifter med ansatte må regne med å bli omfattet av denne artikkelen, siden sykemeldinger er helseopplysninger. Større bedrifter må også ta høyde for behandling av opplysninger knyttet til fagforeningsmedlemskap.
Opplysninger om allergier, matintoleranser eller til og med matpreferanser, kan anses som særlige kategorier personopplysninger. Det må du tenke på når du inviterer til konferanser, teambuilding eventer og julebord.
👉 Spørsmål du må stille deg, er: «Kan denne opplysningen eller vurderingen si noe om personens [sett inn særlig kategori her]?»
For eksempel om matpreferanser; kan denne opplysningen vi har fått, si noe om Marits helse, eller kanskje politiske standpunkt? Hvis det gjør det, må du sørge for at du behandler opplysningen etter artikkel 9.
Driver du som personlig trener, tannlege, psykolog og i mange tilfeller coach, eller bygger en ny treningsapp som måler puls, behandler du særlige kategorier personopplysninger. Eller apper som Grindr, som er klaget inn både til Datatilsynet og til Forbrukertilsynet for brudd på behandling av særlige kategorier personopplysninger.
Behandle særlige kategorier personopplysninger lovlig
Du kan aldri behandle personopplysninger uten et behandlingsgrunnlag (rettslig grunnlag) etter GDPR artikkel 6 (som du må ha i tillegg til et kriterie under artikkel 9).
Men i artikkel 9 står det i klartekst at behandling av særlige kategorier personopplysninger, er forbudt. ✋ Dette er for å understreke hvor vernet disse personopplysningene er.
For å ha lov til å behandle særlige kategorier personopplysninger må du også oppfylle et av kriteriene i artikkel 9-2.
Og for behandling av særlige kategorier av personopplysninger i arbeidsforhold kan en se til personopplysningsloven § 6 jfr. GDPR artikkel 9-2-b).
I andre situasjoner vil uttrykkelig, eller eksplisitt samtykke etter bokstav a), være et riktig og praktisk valg. Uansett hvilket vilkår du velger, må du dokumentere det en plass, og det gjør du selvsagt i behandlingsprotokollen din.
Du bør dokumentere denne vurderingen. Noe av det sentrale Datatilsynet ser på i en tilsynskontroll, er hvordan du har tenkt rundt personvernarbeidet ditt. Skandalen med Helse-Sør-Øst handlet ikke bare om lagring av personopplysninger i utlandet, men om mangel på gode risikovurderinger og refleksjoner rundt personvernarbeidet.
Hva skjer hvis du bryter artikkel 9? 💸
Bryter du GDPR-reglene risikerer du bot fra Datatilsynet, omdømmetap og mer. Men bryter du behandlingen av særlige kategorier personopplysninger, er risikoen betydelig høyere for heftigere bøter og verre skader på omdømmet ditt.
Tenk deg selv reaksjoner på personopplysninger på avveie som e-postadresser, sammenlignet med snoking i helsejournalen din eller mappen din hos NAV.
Og risikoen for en tilsynskontroll ligger ikke i at Datatilsynet på eget initiativ kommer på besøk. De fleste saker skyldes klager fra enkeltpersoner, som Datatilsynet skriver i årsmeldingen sin for 2019:
Særlige kategorier personopplysninger har som sagt et særskilt vern i lovverket. Fordi dette er spesielt sensitive personopplysninger, skal de tas bedre vare på. Dette skal følge av risikovurderingen du skal ha gjort etter å ha fylt ut behandlingsprotokollen din.
I risikovurderingen for personopplysninger skal du ha definert en høyere beskyttelse for disse personopplysningene.
Gå derfor gjennom neste del nedenfor og sørg for at du forstår hva du må gjøre, og få dette raskt på plass (om du ikke allerede har det). ⏰
Risikovurdering og sikring av særlige kategorier personopplysninger
Hvis du ser at du behandler noen form for særlige kategorier personopplysninger, må du definere sikkerhetstiltak som er høyere enn ved behandling av andre typer personopplysninger.
Selv om det egentlig bare er to kategorier av personopplysninger etter GDPR, «standard» og «særlige», anbefaler jeg at du gjør risikovurderingen i tre nivåer, for:
- Standard personopplysninger, som navn, IP-adresse, e-postadresse
- Sensitive personopplysninger: fødselsnummer, kortdetaljer, passnummer, kredittvurdering*
- Særlige kategorier personopplysninger: alt på listen i artikkel 9
Du må vurdere risiko for alle nivåene, men risikoen øker jo lenger ned på listen du kommer, og det betyr også at du må ha bedre sikring.
Risiko er en kombinasjon av sannsynligheten for og konsekvensen av at en uønsket hendelse oppstår. Sannsynligheten for at noe skjer, kan være lik for alle nivåene, men ikke nødvendigvis.
* Kredittopplysninger om et ENK anses som personopplysninger fordi eieren kan identifiseres direkte med foretaket, som igjen er direkte knyttet til eierens privatøkonomi. Selskaper som har kredittsjekket personer uten gyldig behandlingsgrunnlag har fått bøter på 300 000,-.
Hvilke databehandlere og systemer bør (kan) du bruke?
Et system som er utviklet for å håndtere særlige kategorier personopplysninger, har trolig sterkere personvern og sikkerhet i bunn (innebygd personvern), enn et system som ikke er laget for det, fra bunnen av. Da vil sannsynligheten for et databrudd, trolig være lavere i det førstnevnte systemet.
Konsekvensen av et databrudd, derimot, vil nesten alltid være større for særlige kategorier personopplysninger, enn for andre typer personopplysninger.
Tenk bare selv hva konsekvensen for deg personlig er, om helsejournalen din kom på avveie, sammenlignet med e-postadressen din.
Kan (bør) du bruke Zoom? Eller overføre til USA?
Zoom, et amerikansk system utviklet for raske og enkle videomøter, er mye brukt både av coacher og konsulenter. Jeg ser også at bedrifter som behandler særlige kategorier personopplysninger, bruker Zoom.
Zoom har hatt flere store og alvorlige personvern- og sikkerhetsbrudd de siste par årene, og ble trolig ikke bygget med personvern som standard.
Vi kan sammenligne med videokonferanseverktøyet Confrere. Systemet ble utviklet for fastleger og psykologer, og har dermed hatt personvern og sikkerhet i høy fokus fra første dag. De oppfyller også kravene i Norm for informasjonssikkerhet i helse- og omsorgstjenesten.
Zoom er nå ekstra problematisk fordi Privacy Shield-ordningen ble kjent ugyldig 16. juli 2020. Det betyr at det enkleste rettslige grunnlaget for å overføre og lagre personopplysninger til USA, nå ikke lenger kan brukes. Men, det gjelder også Confrere, som bruker AWS som lagringssted. Her må du sjekke nøye hvilket rettslig grunnlag som foreligger for slik lagring.
Velg (svært) sikre systemer med innebygd personvern
📢 Uansett, hvis du skal kommunisere med pasienter og andre med særlige kategorier personopplysninger, bør du velge (svært) sikre kanaler.
Vanlig tekstmelding (SMS) er ikke det, og jeg utfordrer de som mener at Whatsapp er et godt valg. De har riktignok ende-til-ende kryptering, men de er også eid av Facebook, som i seg selv bør være et stort rødt flagg.
På generelt grunnlag vil jeg ikke anbefale eller fraråde bruk av systemer (men du kan gjerne spørre meg om min mening direkte 😉).
Du må selv vurdere hvilke systemer som passer til ditt bruk, og hvor mye risiko du er villig til å ta.
Hvis du kun deler e-postadresser med databehandleren, kan Zoom være helt greit. Men hvis du skal dele sensitive eller særlige kategorier personopplysninger, bør du velge en databehandler og et system som er bygget for dette.
Får du en tilsynskontroll, må du dokumentere hvilke systemer du bruker, hvordan du har vurdert sikkerhet og risiko, og hvordan du planlegger å håndtere databrudd (avvikshåndtering).
Min viktigste anbefaling er at du dokumentere alt arbeidet ditt, så du kan (be)vise hvordan du har tenkt. Da kan Datatilsynet gjerne være uenig, men risikoen for at du får GDPR-bot, vil være betydelig lavere.
Hvis du vil lære om GDPR, start med den store guiden til GDPR.