Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

3.4. Rettslig forpliktelse

Behandling av personopplysninger er tillatt hvis behandlingen er nødvendig for å oppfylle en rettslig plikt som dataansvarlig er underlagt, jf. personvernforordningen Artikkel 6. Behandlingens lovlighet nr. 1 bokstav c (lovdata.no)

For å kunne bruke dette behandlingsgrunnlaget må det i tillegg finnes et supplerende rettsgrunnlag i norsk rett som pålegger dataansvarlig å behandle personopplysningene, jf. personvernforordningen Artikkel 6. Behandlingens lovlighet nr. 3 (lovdata.no)

Når virksomheten behandler helseopplysninger i forbindelse med helsehjelp, er det plikten til å gi forsvarlig helsehjelp i helsepersonelloven § 4, helse- og omsorgstjenesteloven § 4-1 og/eller spesialisthelsetjenesteloven § 2-2 som er supplerende rettsgrunnlag.

Når helsepersonellet oppfyller dokumentasjonsplikten, er det helsepersonelloven §§ 39 og 40 og/eller pasientjournalloven § 8 jf. pasientjournalforskriften §§ 4 til 8 og 25 som er supplerende rettsgrunnlag. Når virksomheten behandler helseopplysninger, så må den også sikre at kravene i personvernforordningen Artikkel 9. Behandling av særlige kategorier av personopplysninger nr. 1 jf. nr.2 er oppfylt.

Disse kravene er beskrevet i kapittel 4 Særlige krav ved behandling av helseopplysninger. Det er viktig at virksomheten ikke bruker samtykke som behandlingsgrunnlag for denne behandlingen av personopplysninger. 

Helselovgivningen kan likevel stille krav om at pasienten må samtykke til medisinsk behandling (og ikke selve bruken av personopplysninger). Dette må ikke forveksles med samtykke etter personvernforordningen. Dette er nærmere beskrevet i kapittelet om samtykke.

Dette kan i så fall gi den registrerte et misvisende inntrykk av hvilke rettigheter som gjelder. Når behandlingen er basert på rettslig plikt, er det ikke mulig for virksomheten å slette personopplysningene hvis den registrerte trekker tilbake et samtykke.

Å yte forsvarlig helsehjelp vil være formålet med mange av behandlingene av helse- og personopplysninger som virksomheter utfører i forbindelse med medisinsk behandling og oppfølging av pasienter.

Oppfyllelse av en rettslig forpliktelse jf. helsepersonelloven § 4, helse- og omsorgstjenesteloven § 4-1 og/eller spesialisthelsetjenesteloven § 2-2, er derfor et behandlingsgrunnlag som kan dekke et bredt spekter av aktiviteter i virksomheten.

Se faktaarkets siste kapittel for flere eksempler på når det kan være aktuelt å bruke dette formålet og behandlingsgrunnlaget.


Normen

Faktaark til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 01. desember 2021