Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

3.2. Samtykke

Virksomheten kan behandle helse- og personopplysninger dersom den registrerte har samtykket til behandlingen, jf. personvernforordningen Artikkel 6. nr. 1 bokstav a (lovdata.no).

Det er viktig å være oppmerksom på at et samtykke etter personvernforordningen er noe annet enn et samtykke til å motta helsehjelp etter særlovgivningen for helse- og omsorgssektoren.

Et samtykke til å motta helsehjelp vil vanligvis ikke være et samtykke til også å behandle helse- og personopplysninger i forbindelse med helsehjelpen (se mer i Engelschiøn og Vigerust (2021) lovkommentar til pasientjournalloven § 6).

Behandling av helse- og personopplysninger i forbindelse med at det gis helsehjelp vil som regel være en plikt som er fastsatt i særlovgivningen for helse- og omsorgssektoren. Det aktuelle behandlingsgrunnlaget vil derfor være rettslig forpliktelse som er beskrevet i kapittelet Rettslig forpliktelse.

Dersom virksomheten skal behandle helse- og personopplysninger uten at det er regulert i lovgivning, kan samtykke være et relevant behandlingsgrunnlag. Samtykke kan særlig være relevant som behandlingsgrunnlag dersom virksomheten ønsker å benytte helse- og personopplysninger til forskningsformål.

For å kunne bruke samtykke som behandlingsgrunnlag, må virksomheten sørge for at samtykket er gyldig.

For at et samtykke skal være gyldig må det i samsvar med Personvernforordningen artikkel 4 nr. 11 være:

  • Frivillig: Samtykket må være gitt uten at det ligger noe press på den registrerte eller uten at det oppstår negative konsekvenser hvis den registrerte ikke samtykker.
     
  • Spesifikt: Formålet må være klart og tydelig formulert slik at den registrerte forstår hva hun samtykker til. Ett samtykke kan ikke dekke flere formål.
     
  • Informert: Virksomheten har en plikt til å informere den registrerte om behandlingen når den ber om samtykke. Virksomheten må informere om hva det samtykkes til, hvilke opplysninger som skal behandles og hva som er formålet med behandlingen (se Skullerud (2021) lovkommentar til personvernforordningen artikkel 6).

    Virksomheten må i tillegg informere om at registrerte kan trekke tilbake samtykket sitt. Dette er en egen informasjonsplikt som ikke må forveksles med den registrertes generelle rett til informasjon.
     
  • Utvetydig gjennom en aktiv handling: Den registrerte må utføre en handling for at et samtykke skal være gyldig. Det må ikke være tvil om at den registrerte har samtykket.
     
  • Dokumentert: Virksomheten må kunne dokumentere at samtykke har blitt gitt og at dette ble gitt på en gyldig måte, jf. personvernforordningen Artikkel 7. Vilkår for samtykke nr. 1 (lovdata.no).
     
  • Mulig å trekke tilbake: For at samtykke skal være gyldig, må den registrerte ha mulighet til å trekke tilbake samtykket sitt uten negative konsekvenser. Tilbaketrekking av samtykke påvirker ikke lovligheten av virksomhetens behandling av opplysningene før det trekkes tilbake, jf. personvernforordningen Artikkel 7. nr. 3 (lovdata.no).
    Hvis den registrerte trekker tilbake samtykket sitt, så skal personopplysningene i utgangspunktet slettes. Dette gjelder imidlertid ikke hvis det finnes andre rettslige grunnlag for behandlingen, jf. personvernforordningen Artikkel 17. Rett til sletting nr. 1 bokstav b (lovdata.no).

Normen

Faktaark til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 01. desember 2021