Slik lagrer vi data i Helse Midt-Norge
Hemit følger med på den politiske situasjonen i USA, og hvilken betydning dette vil ha for lagring av data i USA.
Som følge av den politiske situasjonen, kan det bli en omgjøring av adekvansbeslutningen for USA, som betyr at overføring av personopplysninger til USA kan bli betydelig vanskeligere.
Adekvansbeslutning for USA
- En adekvansbeslutning er en beslutning fra EU-kommisjonen om at en stat eller en sektor i et land gir tilstrekkelig beskyttelse av personvernet.
- En slik beslutning medfører at man enkelt kan overføre opplysninger til områder omfattet av beslutningen.
For USA ble det gitt en adekvansbeslutning i 2023, basert på et rammeverk inngått mellom USA og EU (Data Privacy Framework).
Adekvansbeslutningen ble gitt basert på en rekke forhold, blant annet at USA hadde Privacy and Civil Liberties Oversight Board (PCLOB), som førte tilsyn med amerikanske etterretningsmyndigheter og sørget for at personers rettigheter ikke ble krenket.
President Trump har avsatt flere av medlemmene i PCLOB uten å erstatte dem. PCLOB er per dags dato derfor ikke beslutningsdyktig, og dersom det tar lang tid å få på plass nye medlemmer, kan det ha en innvirkning på adekvansbeslutningen.
Hvor er dataene lagret
Hemit har flere hundre avtaler med forskjellige leverandører som lagrer data, både kliniske og administrative. I de aller fleste tilfeller lagrer vi dataene selv, og da behandles de i Norge.
I tilfeller der data behandles hos leverandøren, eller der leverandøren har fjerntilgang til våre systemer, behandles dataene fortsatt primært i Norge, og noen ganger i EØS-området. For noen systemer har vi datasentre i Norge, men med backup i EØS.
Innholdsdata (det vil si filer, bilder, dokumenter, chat-meldinger, e-post osv.) lagres også i all hovedsak i Norge og EØS-området. Dette gjelder både for kliniske (pasientdata) og administrative systemer.
Det er likevel slik at metadata og påloggingsdata (for ansatte) i flere tilfeller kan være tilgjengelig utenfor EØS.
Hemit har etablerte rutiner som sikrer at slike tilganger utenfor EØS, fortsatt er i tråd med personvernregelverket. Påloggingsdata og metadata er ikke sensitive personopplysninger eller pasientopplysninger.
Noen leverandører har også tilgang til data som er fysisk lagret i EØS gjennom en fjerntilgang. I enkelte situasjoner kobler disse leverandørene seg til fra land utenfor EØS.
Også i disse tilfellene har vi gode prosedyrer der vi sørger for at personopplysningene blir godt ivaretatt i tråd med personvernforordningen, GDPR.
Kartleggingsarbeid
I 2020 ble overføring av data til USA ulovlig, og i den forbindelsen gjennomførte Hemit en grundig kartleggingsjobb for å sørge for at vi hadde oppdaterte lister over våre overføringer til land utenfor EU/EØS.
Grunnet den geopolitiske situasjonen knyttet til USA, har Hemit startet en ny gjennomgang.
I den forbindelse sender Hemit et brev til alle våre leverandører som behandler personopplysninger på våre vegne.
I brevet ber vi om en oppdatert bekreftelse på hvor personopplysninger behandles, og hvilke underleverandører de benytter seg av.
For dem som behandler personopplysninger i USA, ber vi i tillegg om at de redegjør for om de har en strategi på plass dersom adekvansbeslutningen blir omgjort.