Helt siden jeg i 2006 ringte banken min for å få høre om forsikring på min nyinnkjøpte moped, og får kontrollspørsmålet “hva er fødselsdatoen til moren din” (flere år etter at jeg fylte 18 år, og banken skulle ha slettet den informasjonen…) for å identifisere meg, har jeg ønsket å bruke §18 i personopplysningsloven om rett til innsyn i lagret informasjon. På mandagskvelden som var tilbragte jeg noen timer på å sende ut brev (som da havnet hos Posten på tirsdag) til endel bedrifter/offentlige institusjoner som jeg ved en eller annen anledning hadde vært i kontakt med. Dette inkluderer legekontorer og sykehuset, tidligere arbeidsgiver, helsestasjonen og skoleseksjonen i kommunen jeg vokste opp, banker/forsikringsselskaper, mobilselskapet jeg har vært kunde hos siden jeg var 14, m.m.

I dag, torsdag, fikk jeg de første tilbakemeldingene; fra begge legekontorene jeg sendte brev til. Den første telefonen (noe som ikke er helt pent å bruke når jeg sendte brev i posten) kom fra en jeg kjenner, som jobber på legekontoret, og hun kunne si at hun ikke skjønte hva jeg spurte om, og antok at det var noe datarelatert siden jeg jobber med data. Hun informerte om at de forholdt seg til loven for legekontorer (finnes det en egen lov for det?), uten å utdype dette noe mer (hey, jeg kan si at jeg forholder meg til veitrafikklovens bestemmelser om fartsgrenser, uten at vi behøver å si noe om hvor godt jeg oppfyller loven…), og ba om å få slippe å svare på brevet, noe jeg sa var greit (burde ikke ha gjort det, men).

Den andre telefonen fikk jeg fra min nåværende fastlege (endelig kom telefonen hun hadde lovet med oppfølging av de siste prøvene mine, og som jeg har purret på tre ganger de siste tre ukene), hvor hun “slengte på” brevet mitt på slutten av samtalen. Hun kunne fortelle at de ikke lagret mer informasjon enn det som var nødvendig i følge loven de forholdt seg til, og de slettet ikke opplysninger i journalen (lovpålagt å beholde det…), men metainformasjonen (navn, adresse, etc.) ble selvfølgelig endret når det var nødvendig. Vi hadde en 20 minutter lang samtale, som bl.a. handlet om tolkning av lovverket, og hun lovet å oversende utskrift av journalen min, og en skriftlig tilbakemelding på spørsmålene jeg etterlyste (hvem som er behandlingsansvarlig, rutiner for behandling av personopplysninger etc.), så jeg gleder meg til den tilbakemeldingen.

 

Det var de to første tilbakemeldingene jeg har fått, og selv om jeg har stor tro på at legekontorer er beviste på den informasjonen de forvalter på vegne av sine pasienter, så er jeg litt bekymret over det jeg mistenker er mangel på (skriftlige) rutiner. I et lite miljø som et legekontor er, så kan det nok virke byråkratisk å få slike ned skriftlig, men det er også ekstremt viktig at slike rutiner følges, og hvis det ikke finnes allerede, så burde noen lage en mal til hvordan slike rutiner kan skrives, slik at legekontorene er sikre på at de får laget alle de rutinene som er viktige å tenke på.