En behandlingsprotokoll skal gi kommunen kontroll på alle prosesser som omfatter personopplysninger, for eksempel om pasienter, brukere, ansatte og pårørende i helse- og omsorgstjenestene.
Foto: Heiko Junge / NTBSlik kan kommunen holde orden på personopplysningene
En god og oversiktlig behandlingsprotokoll vil gi nyttig styringsinformasjon om hva som bør prioriteres av arbeid innen personvern.
Sophia Greve
Hannah SimonsenKommunens plikt til å etterleve personvernlovgivningen er omfattende. En god behandlingsprotokoll er et nyttig verktøy for å holde orden i egen kommune. Vi forklarer hvorfor og hvordan ansvaret for denne kan organiseres i praksis.
Oversikten som en behandlingsprotokoll gir, skal bidra til orden i eget hus.
Alle som behandler personopplysninger, må ha en behandlingsprotokoll. Dette er en skriftlig oversikt over alle prosesser som omfatter personopplysninger. For de tjenester en kommune tilbyr sine innbyggere, er det kommunen selv som er behandlingsansvarlig, og som må etablere en behandlingsprotokoll.
Når kommunen for eksempel tilbyr helse- og omsorgstjenester, må det dokumenteres i behandlingsprotokollen hvilke personopplysninger som samles inn om pasienter, brukere, ansatte og pårørende (de registrerte), hvorfor disse personopplysningene må brukes for å tilby tjenesten (formålet), hvorfor kommunen har lov til å behandle personopplysningene (behandlingsgrunnlag) og når opplysningene skal slettes (lagringstid).
En behandlingsprotokoll skal gi kommunen kontroll på alle prosesser som omfatter personopplysninger. Oversikten som en behandlingsprotokoll gir, skal bidra til orden i eget hus. Behandlingsprotokollen sier nemlig noe om hvordan kommunen kan behandle opplysninger om de registrerte, blant annet formålet med behandlingen og behandlingsgrunnlaget.
Det er et krav at dette dokumenteres i protokollen for å etterleve personvernlovgivningen. Behandlingsprotokollen er derfor ofte det første Datatilsynet sjekker ved tilsyn.
Kommuner som ikke har en behandlingsprotokoll på plass, eller viser manglende kontroll på behandling av personopplysninger, kan straffes med bøter.
Protokollen skal være et «levende dokument» som reflekterer kommunens behandling av personopplysninger til enhver tid. Den må derfor oppdateres når det oppstår endringer, for eksempel når prosesser forandrer seg, opphører eller nye kommer til.
Slike oppdateringer gir likevel ingen garanti for at kommunen har full kontroll over alle personopplysninger de behandler, særlig fordi det kan være vanskelig å fange opp alle endringer.
En god og oversiktlig behandlingsprotokoll vil gi nyttig styringsinformasjon om hva som bør prioriteres av arbeid innen personvern – for eksempel hvilke risikovurderinger som må gjennomføres, og hvilke tiltak som bør iverksettes. Dette viser også at kommunen jobber aktivt og strukturert for å ivareta innbyggernes personvern.
Personvernlovgivningen sier ingenting om hvordan arbeidet med behandlingsprotokollen skal organiseres. Kommunen må derfor selv avgjøre hvem som har ansvar for å utarbeide og oppdatere protokollen. Dette spillerommet åpner for at arbeidet kan organiseres ulikt, og samsvarer godt med at kommuner har ulike styrings- og organisasjonsstrukturer.
Praksis viser likevel at ansvaret for behandlingsprotokollen ofte sentraliseres hos kommunens IT-avdeling, ikke avdelingen som faktisk behandler personopplysningene. Protokollen kan derfor fort bli mangelfull og utdatert.
Ved å fordele ansvaret for behandlingsprotokollen til de ulike avdelingene i kommunen, fremmes det i større grad et aktivt eierskap til den. For eksempel kan hver avdelingsleder – som kjenner sitt område og sine tjenester best – ha ansvar for å protokollføre sine prosesser.
Erfaringsmessig gir nærhet til prosessene en bedre forståelse av hva som skal inn i protokollen og hvordan arbeidet kan organiseres.
I mindre kommuner kan det være hensiktsmessig at øverste leder for skoletilbudet har ansvar for å protokollføre personopplysninger om elever, ansatte og foresatte.
For større kommuner kan en desentralisert ansvarsfordeling, basert på nærhet til prosessene, derimot innebære at det etableres flere behandlingsprotokoller. For eksempel slik at hver enkelt skole har sin egen protokoll, men at de ulike skolene samarbeider om utarbeidelsen og innholdet i protokollene.
For sikre at behandlingsprotokollen oppnår sin funksjon, må arbeidet prioriteres. Et tips er jevnlig å ta opp protokollarbeidet på avdelingsmøter og etablere gode rutiner for rapportering i linjen. Dette bidrar til at alle blir kjent med protokollens innhold, hvordan de skal forholde seg til personopplysningene og dokumentere arbeidet med protokollen.
Resultatet er at protokollen blir et tydeligere etterlevelsesdokument for personvernlovgivningen, og at kommunen får orden i eget hus.