For leger og tannleger eller andre behandlere
Personvernerklæring for gjennomgang av personvernbrudd i Behandlermappen
I denne personvernerklæringen finner du informasjon om hvordan Nav behandler dine personopplysninger i forbindelse med personvernbruddet i Behandlermappen i saksbehandlingssystemet Arena.
Om personvernerklæringen
Personvernerklæringen gjelder hvordan vi vurderer hvem som er omfattet av personvernbruddet, og hvordan vi varsler de som er omfattet av bruddet.
Informasjon om dine overordnede rettigheter, som for eksempel innsyn, kontaktinformasjon til personvernombudet og informasjon om hvem som er ansvarlig for ditt personvern finner du på våre generelle sider om personvern i Nav.
Informasjon om arbeidsprosessene knyttet til personvernbruddet
For å finne ut om det har vært brudd på personopplysningssikkerheten og hvem som skal varsles om bruddet, har Nav gjennomgått fritekstfelt i Notatfanen i Behandlermappen.
Rent praktisk har dette foregått ved at informasjon fra Notatfanen i Behandlermappen har blitt trukket ut til et vurderingsskjema, som en liten gruppe ansatte har fått ansvar for å gjennomgå. Den ansatte har sett gjennom alle fritekstfelt knyttet til én behandler, og vurdert alvorlighetsgraden i det som står der.
Det er vurdert om innholdet i notatene utgjør en høy risiko for brudd på den enkeltes rettigheter og friheter, slik dette er formulert i personvernforordningen. Denne vurderingen er gjort med utgangspunkt i fem kriterier:
- Om notatet er opprettet utenfor formål og mangler behandlingsgrunnlag
- Om notatet inneholder særlige kategorier av personopplysninger
- Om det er brudd på dataminimeringsprinsippet
- Om notatet inneholder opplysninger som er taushetsbelagt etter forvaltningsloven
- Om notatet avslører særlige forhold som tilsier høy risiko
I de tilfellene hvor vi har vurdert at det er høy risiko for den enkeltes rettigheter og friheter, må vi gi beskjed til den som er berørt. Dette kan både være en behandler, en bruker, eller andre som er omtalt i notatet, for eksempel en i behandlers familie.
Fritekstfeltet i Notatfanen har i utgangspunktet blitt brukt til kontroll og oppfølging av behandlere. Det kan imidlertid også ha blitt skrevet mer informasjon enn det som har vært nødvendig i fritekstfeltet, for eksempel informasjon om behandlers pasienter eller personlig informasjon om behandler. Dette betyr at alle typer personopplysninger har kunnet forekomme i behandlingen av fritekstfeltene som ble gjennomgått.
I forbindelse med varsling, vil også kontaktopplysninger og fødselsnummer til den som skal varsles bli behandlet for å sikre at riktig person blir kontaktet.
Det er en gruppe på åtte personer som har gjennomgått og vurdert om det foreligger et personvernbrudd. Sakene har blitt fordelt mellom gruppen, og det er som hovedregel bare én person som vurderer hver sak.
Det er to personer som skal varsle berørte behandlere. Disse har tilgang til vurderingene som er gjort knyttet til det enkelte notat, men har ikke tilgang til innholdet i notatet. Sakene er fordelt mellom disse to. De har ikke tilgang til notater eller vurderinger knyttet til andre berørte, som for eksempel brukere.
Videre er det er en gruppe på tre personer som skal varsle andre berørte enn behandlere, for eksempel brukere. Disse tre har tilgang til de notatene som er vurdert å utgjøre en høy risiko for den enkelte og til vurderingene knyttet til disse notatene. Sakene er fordelt mellom disse tre. Denne gruppen har ikke tilgang til notater eller vurderinger knyttet til behandlere.
I tillegg er det fire personer som bidrar med teknisk bistand.
For å minimere risikoen for at de som skal gjennomgå sakene, kjenner igjen den personen de vurderer, ligger det i utgangspunktet ingen direkte identifiserende opplysninger om behandler i vurderingsskjemaet, som for eksempel fødselsnummer, helsepersonellnummer eller navn.
Fordi personvernbruddet har skjedd i et fritekstfelt, har det likevel kunnet forekomme direkte identifiserende opplysninger om både behandler og tredjepersoner i løsningen. Selv om det er en risiko for at både behandler og andre berørte kunne identifiseres av den som gjennomgikk den enkelte saken, har denne risikoen vært begrenset til så få personer som mulig.
I de sakene som er plukket ut til varsling, vil fødselsnummeret og navnet på den som skal varsles være synlig for den som skal varsle. Den som skal varsle må ta stilling til om vedkommende kjenner igjen navnet til den som skal varsles, før de leser informasjonen som er knyttet til personvernbruddet. På den måten minimeres risikoen for at sensitive opplysninger om en person, blir synlig for noen de kjenner.
Vurderingen vi gjør knyttet til om det er et personvernbrudd eller ikke, skal arkiveres. Opplysningene lagres til saken er ferdig og til tiden for kassasjon (sletting) er kommet. Det vil i praksis si når alle frister knyttet til den berørtes rettigheter er utløpt. Når vurderingene er gjort, og personer som skal varsles har blitt varslet, vil informasjonen lagres i et arkiv, og ikke lenger være tilgjengelig i vurderingsløsningen.
For å kunne behandle personopplysninger på nytt i forbindelse med vurdering av om det foreligger personvernbrudd, må vi ha et rettslig grunnlag. Vi er forpliktet etter personvernregelverket å vurdere hvilke berørte som skal varsles.
Gjennomgang og vurdering er en rettslig forpliktelse etter GDPR artikkel 6 nr. 1 bokstav c, og etter GDPR artikkel 34 jf. artikkel 33. Når vi behandler særlige kategorier i forbindelse med gjennomgangen, gjør vi det med grunnlag i viktige allmenne interesser etter GDPR artikkel 9 nr. 2 bokstav g.
Så lenge vi behandler personopplysninger om deg, er vi også pliktig til å ivareta din rett til innsyn i egne personopplysninger som følger av GDPR artikkel 15.
Når vurderingen er gjort, blir sakene som innebærer et brudd på personopplysningssikkerheten med høy alvorlighetsgrad, sortert ut, og overført til den personen som skal gi et varsel til den berørte.
Før den som varsler får informasjonen, kobles vurderingen sammen med den berørtes personnummer, for å kunne identifisere den som opplysningene er knyttet til. Den som skal varsle den berørte søker opp personen vårt saksbehandlingssystem. Her finner vi riktige kontaktopplysninger, og ser om personen som skal kontaktes er markert med sikkerhetstiltak.
Dersom personen er markert med sikkerhetstiltak, kontaktes personens veileder på det lokale Nav-kontoret.
Behandlere som skal varsles, vil få et brev.
Andre berørte, for eksempel brukere, vil i utgangspunktet bli ringt opp. De som ringes vil bli spurt om å svare på noen sikkerhetsspørsmål, slik at vi er sikre på at vi snakker med riktig person. Dersom vi ikke får tak i vedkommende etter tre forsøk, vil vi sende et brev.
Den som ringer vil se personopplysningene som er knyttet til personvernbruddet, og informerer den berørte om dette. Det skrives et referat av samtalen som leses opp for den berørte og legges tilgjengelig for brukeren på «Min side». Referatet skal ikke inneholde spesifikk informasjon om personvernbruddet
Du kan be om innsyn i hvilke personopplysninger som blir behandlet om deg i forbindelse med gjennomgangen av personvernbruddet, samt innsyn i hvordan din sak er blitt vurdert når det gjelder risikoen.
Dersom du er behandler, kan du ringe lege- og behandlertelefonen på telefonnummer 55 55 33 36 og taste 2. Telefonen er betjent hverdager mellom klokken 09.00–15.00. De vil opprette en innsynssak på dine vegne. Når du ringer, er det fint om du har brevet du har mottatt og dato for det eller de notatene du ønsker innsyn i, tilgjengelig.
Hvis du er bruker eller en annen som er berørt av personvernbruddet, og ønsker innsyn i disse opplysningene, sender du innsynsforespørsel via tjenesten Skriv til oss eller ved å kontakte Nav på telefon 55 55 33 33. Du kan også fremme innsynskrav i telefonsamtalen hvor du blir varslet om personvernbruddet. Skriv gjerne hvilke opplysninger du ønsker innsyn i.
Du kan lese mer om retten til innsyn på våre personvernsider.
For å kunne følge opp personvernbruddet i Behandlermappen, er vi nødt til å ta vare på personopplysningene i en viss periode. Så lenge Nav behandler personopplysninger om deg, har du også rett til innsyn i dine personopplysninger. Du kan derfor be om innsyn i dine personopplysninger som er omfattet av personvernbruddet i Behandlermappen.
For å kunne oppfylle din rett til innsyn, og behandle innsynskravene innen forsvarlig saksbehandlingstid, er det noen få ansatte i Nav med tjenstlig behov som har tilgang til Behandlermappen. Det er bare den som behandler innsynskravet ditt som har mulighet til å gjøre oppslag på deg.
For at vi skal kunne oppfylle din rett til innsyn i hvordan vi har vurdert risikoen i et konkret notat, og for at vi skal kunne behandle dette innsynskravet innen forsvarlig saksbehandlingstid, har vurderingen av notatene i Behandlermappen blitt trukket ut til et eget skjema. Det er kun noen få Nav-ansatte med tjenstlig behov som får tilgang til skjemaet. I utgangspunktet er det kun den som behandler innsynskravet ditt som har mulighet til å gjøre oppslag på deg.
Den ansatte som behandler innsynskravet ditt vil vurdere om det kan gis innsyn i opplysningene, eventuelt om det skal gjøres unntak fra innsyn. Dersom det blir gjort unntak fra innsyn, vil du få en begrunnelse for dette. Svar på innsynskravet vil bli sendt skriftlig per brev.
Oppdatert 28.03.2025