Personvern i offentlige anskaffelser - rettslige problemstillinger

f.v.: Adm. direktør Atle Hunstad, Melanor, Advokatene Andreas Nordby og Espen Bakken, Arntzen de Besche og Advokat Tore Flaatrud, Melanor.

f.v.: Adm. direktør Atle Hunstad, Melanor, Advokatene Andreas Nordby og Espen Bakken, Arntzen de Besche og Advokat Tore Flaatrud, Melanor.

Nylig arrangerte vi seminar sammen med vår nettverkspartner Arntzen de Besche. Her satte vi søkelyset på ulike rettslige problemstillinger i grenselandet mellom offentlige anskaffelser og personvern med bruk av databehandleravtaler, betydningen av pasientens samtykke, tilgang til helsedata og ansvarsfordeling mellom pasient, leverandør og sykehus.

Foredraget ble innledet med en generell innføring om GDPR og personvern. Deretter gikk advokatene Andreas Nordby og Espen Bakken mer inn i de praktiske problemstillingene.

Hvordan ivareta personvernet i den enkelte anskaffelse?

Det stilles strenge krav til leverandørene om personvern. – Helsesektoren har i tillegg mye sektorspesifikk regulering, for eksempel mht. journal og annen helseinformasjon om pasienter. I en anskaffelse bør personvern være standard og en del av den tekniske løsningen. Selve konkurransegrunnlaget bør derfor inneholde informasjon om databehandleravtaler og personvern der det er relevant.

-Leverandører må implementere personvern i organisasjonens rutiner og i produktutviklingen. Dette er avgjørende for å vinne konkurranser. For øvrig bør leverandørene benytte muligheten til å påvirke konkurransen i forkant, blant annet ved å ha markedsdialog før de ulike anskaffelsene. Det er viktig å få frem uklarheter i konkurransen og stille spørsmål om databehandleravtaler underveis i anskaffelsesprosessen, sa Bakken til de fremmøtte.

Hvem eier helseopplysningene og hvem er behandlingsansvarlig?

Er det pasienten, helseforetaket eller leverandøren som eier helseopplysningene?
- Hvem som kan bruke helseopplysningene og hvordan kan disse brukes, er det sentrale spørsmålet. Ikke eierskapet til dataene, sa Nordby.

Samme data kan være gjenstand for behandling av flere, for eksempel både en leverandør og helseforetaket. Vedkommende som bestemmer formålet med behandlingen av personopplysninger er behandlingsansvarlig. Helseforetaket kan være behandlingsansvarlig, men andre kan også bruke dataene til behandlingen. Den som er behandlingsansvarlig må ivareta de pliktene de har overfor pasienten.

-Sørg for at rollefordelingen mellom leverandør og helseforetak er godt beskrevet. Ønsker leverandøren å behandle pasientens eller brukerens helsedata, er det viktig og nødvendig å innhente pasientens/brukerens samtykke. Dette samtykket skal være frivilling, uttrykkelig, informert og utvetydig, presiserte Nordby.

Hva når pasienten samtykker og helseforetaket nekter?

-Offentlige oppdragsgivere frykter å gjøre feil og har i mange tilfeller taushetsplikt. Derfor opererer de med strenge personvernregler. Dette er ikke vanskelig å forstå. Vi mener likevel at helseforetakene har feil perspektiv når de tenker at pasienten selv ikke kan bestemme over sine data, forklarte Nordby.

-Når pasienten er klar over hva han/hun samtykker til og kjenner til formålet med å oppgi data, bør det ikke være noe i veien for at leverandører kan bruke deres data til viktig forskning, utvikling og produktutvikling. Vi bør bruke muligheten skybaserte løsninger åpner opp for. Ved å gi leverandører tilgang til helsedata, kan man forbedre helse- og pasienttilbudet.

Manglende standarder på databehandleravtaler

Flere leverandører fortalte at de møter ulike avtaler innen de ulike helseforetakene, fra sykehus til sykehus og til og med ulike avtaler fra avdeling til avdeling innen samme sykehus. -Vi mottar nye og gamle versjoner med ulikt innhold. Derfor er det viktig å sjekke nøye, lese og forstå «hvilke konsekvenser har dette for meg». Bruk juridisk hjelp til å lese og tolke databehandleravtalene, hvis nødvendig, rådet en av deltagerne de andre.

Sensitive data

Det er viktig å ha gode avtaler. Vi mener man kan bruke databehandleravtaler også for sensitive data. Regler om personvern må etterleves, men vi mener dette er løsbart innenfor personvernlovgivningen, sa Nordby.

Serviceavtaler – vedlikehold på avstand

Serviceavtaler hvor leverandør har behov for å reparere eller oppgradere utstyret på avstand, kan være svært ressursbesparende for leverandøren og for kunden. Ny teknologi kan gjøre service enklere. Det er imidlertid viktig å regulere hvordan vedlikehold, oppgradering, reparasjon med mer skal foregå i kontrakten. Dersom slik service kan gi leverandøren tilgang til persondata, er det viktig å sikre seg gjennom en databehandleravtale, svarte Nordby.

Hva kan Melanor gjøre?

-Vi vil gjøre det vi kan for at det blir flere standardiserte databehandleravtaler i vår bransje, sier adm. direktør Atle Hunstad. Vi ønsker derfor å løfte problemstillingen opp på et høyere nivå i samtaler med helseforetakene og myndighetene.