1. Samtykke
Før man starter behandling av helseopplysninger heter det at man "må innhente pasientens samtykke" (personopplysningsloven § 8 og § 9a)). Samtykket skal være informert, hvilket betyr at man skal gi pasienten opplysninger om hvem som vil ha tilgang til opplysningene, hva de skal brukes til, at det er frivillig å gi fra seg opplysningene, de rettigheter pasienten har og hvor lenge opplysningene vil bli oppbevart. Samtykket skal være frivillig og uttrykkelig. Et muntlig samtykke er like godt som et skriftlig, men det må komme klart frem hva man samtykker i. I praksis foregår dette vanligvis i form av muntlig informasjon pasient og behandler imellom. Dersom pasienten ser at behandleren fører journal, er dette også normalt tilstrekkelig.

2. Pasientrettigheter
Pasienten har videre en rekke rettigheter i forhold til disse opplysningene og behandleren. Dersom pasienten ber om det, har han/hun:

• Rett til innsyn i de opplysningene behandleren oppbevarer.
  
• Rett til informasjon når det samles inn opplysninger (om hvem som har adgang til opplysningene, formålet med innsamlingen og at det er frivillig).
  
• Rett til informasjon når det samles inn opplysninger fra andre enn pasienten, dvs. at behandleren skal informere pasienten om hvilke opplysninger som er samlet inn. Behandleren er imidlertid forpliktet til å gi pasienten denne informasjonen på eget initiativ.
  
• Rett til å kreve retting og/eller sletting av mangelfulle personopplysninger. Behandleren er imidlertid forpliktet til også å gjøre dette på eget initiativ. Dette gjøres ved at opplysningene tydelig markeres og suppleres med korrekte opplysninger.
  

3. Forbud mot innsamling av unødvendige opplysninger
Man har ikke lov til å samle inn personopplysninger som ikke nødvendige. Innsamlingen/behandlingen av personopplysninger skal ha et uttrykkelig formål som er saklig begrunnet i virksomheten. Opplysningene kan som hovedregel ikke benyttes til annet formål senere. Eksempelvis er det ikke tillatt å samle inn fødselsnummer dersom dette ikke er nødvendig for å sikre identifisering. Man skal heller ikke lagre personopplysninger lengre enn nødvendig.
I følge Forskrift om pasientjournal § 14 så skal journal oppbevares i 10 år etter siste innføring i denne. Forskriften kan tolkes utvidende til også å gjelde annen behandling av personopplysninger (dvs. at man behandler personopplysninger på annen måte enn ved journalføring), fordi det gjerne er de samme hensyn som ligger bak.

4. Hva man må gjøre i praksis: Meldeplikt
Man må melde fra til Datatilsynet før slik behandling av personopplysninger tar til (min. 30 dager før). Egne meldeskjema finnes på Datatilsynets hjemmesider www.datatilsynet.no/. Her kan man foreta elektronisk melding. For de som ikke har anledning til dette finnes skjemaet også i papirformat (på hjemmesiden, eller man kan få det tilsendt ved å kontakte Datatilsynet). Man må gi ny melding hvert 3. år, eller før dersom behandlingen endres slik at den går ut over rammene for det som allerede er blitt meldt.

5. Informasjonssikkerhet
Personopplysningene må altså behandles og oppbevares på en sikker måte. Hvordan dette skal skje må ansvarlig behandler utarbeide en gjennomtenkt skriftlig plan for. Denne planen skal oppbevares i 5 år og kunne fremvises ved kontroll fra Datatilsynet. Eventuelle andre ansatte (sekretær, andre terapeuter og medhjelpere) skal settes inn i planen/sikkerhetstiltakene. Man skal dokumentere både informasjonssikkerhet og rutiner for internkontroll. Nedenfor følger utfyllende informasjon om hva dette innebærer.

5 a) Informasjonssikkerhet:

A) - sikkerhetsmål: beslutninger om til hva, og hvordan informasjonsteknologi skal benyttes i virksomheten

• sikre 1) konfidensialitet, 2) tilgjengelighet eller 3) integritet
• ad 1): hindre uautorisert innsyn i både personopplysningene, informasjon om informasjonssystemet og om sikkerhetstiltakene
• ad 2): eks. ta "backup" av personopplysningene og sikkerhetsinformasjon
• 3): hindre utilsiktet endring av personopplysninger, beskytte mot "datavirus" ol.
  risikonivå, sikkerhetsbehov. Risikonivået må kartlegges og bestemmes, altså hvilket nivå vil man legge seg på og hvor stor er risikoen for at noe man ikke ønsker skal skje. Deretter må sikkerhetsbehovene settes i forhold til dette

.
B) - sikkerhetsstrategi: grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeid

• hvordan nå sikkerhetsmålet?
• si noe om organiseringen – hvem er behandlingsansvarlig, eventuelle andre som har tilgang til personopplysningene
• rutiner for bruk av systemet – eventuelle krav til at konfidensielle personopplysninger behandles i informasjonssystem uten tilkopling til eksterne datanett, fysisk sikring
• sikkerhetstiltak – hvilke tiltak skal man iverksette for å oppnå det målet man har satt seg.

C) - egenkontroll og avviksbehandling

• rutiner for internkontroll og rutiner for behandling av uforutsette/uønskede hendelser i informasjonssystemet

5 b) Internkontroll

• hvem gjør hva
• hvorfor innsamling av personopplysninger
• etter hvilken hjemmel behandler man personopplysninger (pof § 7-23)
• meldeplikt
• sikkerhetsrevisjon
• rutiner for sletting
• rutiner for innhenting av samtykke
• vurdering av personopplysningenes kvalitet
• rapport for resultat av internkontroll

Dette er punkter man må gjennomgå med seg selv og eventuelt personal med jevne mellomrom.

Det finnes mer utfyllende beskrivelser av hva man bør tenke på både når det gjelder informasjonssikkerhet og internkontroll. Iverksetting av tiltak skal stå i forhold til den virksomhet man driver. Deler man kontor med andre, og oppbevarer personopplysninger på data tilknyttet Internett og e-post, så blir listen over hva man bør tenke på ved informasjonssikkerhet lengre enn dersom man har kontor alene og ikke har personopplysninger på PC. Enhver behandler plikter å selv sette seg inn i hvilke regler som gjelder. Sentrale dokumenter er Lov om behandling av personopplysninger, Forskrift om behandling av personopplysninger (kap. 2 og 3), i tillegg ligger det endel "hjelpedokumenter" på Datatilsynets nettsider på www.datatilsynet.no. (Særlig anbefales "Risikovurdering av informasjonssystem" og "Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer".)

For helsepersonell

Når det gjelder den gruppen behandlere som også er helsepersonell, så har disse journalplikt, hvilket innebærer en del krav til innholdet i denne som ikke er gjennomgått her. Når det gjelder oppbevaring av personopplysninger er reglene og retningslinjene imidlertid stort sett de samme. De eneste forskjellene av betydning i forhold til dette dokumentet er 1) at journalen må oppbevares hos behandler i minst 10 år, og 2) at de er pliktige til å samle inn tilstrekkelige opplysninger til at pasienten kan identifiseres – bl.a. fødselsnr. (se forskrift om pasientjournal § 8).