Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Transkript

1 Ny personopplysningslov Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

2 Ny lov og forordning GDPR General Data Protection Regulation Personvernforordningen I kraft i EU 25. mai 2018 Ny Personopplysningslov I kraft i Norge tidligst 1. juli 2018 Forordning: Rettsakt (lov) som får bindende virkning i alle medlemsstater fra et bestemt tidspunkt. Ikke nødvendig med eget lovvedtak i medlemsland Norge bindes ikke automatisk men gjennom endringer i EØS-avtalen Ny personopplysningslov 1: EØS-avtalen vedlegg XI nr. 5e (forordning (EU) 2016/679) om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike ( ) gjelder som lov med de tilpasningene som følger av vedlegg XI, protokoll 1 og avtalen for øvrig.

3 Hva er nytt? Nye plikter et ledelsesansvar Forståelig personvernerklæring Vurdere risiko og personvernkonsekvenser Innebygget personvern Nye regler om personvernombud Nye plikter for databehandlere Samarbeid i nettverk og bransjenormer Avvikshåndtering tidsfrister og bøter «Retten til å bli glemt» Mange prinsipper fra gjeldende lov og direktiv videreføres

4 Forholdet mellom ny lov og helselovgivningen Elisabeth Vigerust, e-helsedirektoratet

5 Forholdet mellom ny lov og helselovgivningen

6 Overordnede personvernprinsipper artikkel 5 Lovlighet, rettferdighet og gjennomsiktighet Formålsbegrensning Dataminimering Riktighet Lagringsbegrensning Integritet og fortrolighet Ansvarlighet Artikkel 5 er «innholdsfortegnelsen» til forordningen.

7 Ikke bare helse Ulike formål: Pasientbehandling Forskning Opplæring Personaladministrasjon Post og arkiv Forordningen, artikkel 5, 1 b: Personopplysninger skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål.

8 Vurdering av personvernkonsekvenser (DPIA) Vurdering nødvendig dersom behandling av opplysninger vil medføre høy risiko for personers rettigheter og plikter Vurderingen skal gjennomføres før behandlingen Behandlingsansvarlige har ansvaret Kobler på PVO, databehandler, registrerte og andre interessenter Nye behandlinger Ny/endret risiko Organisatoriske endringer DPIA = Data Protection Impact Assessment DPIA erstatter langt på vei konsesjon

9 Innebygget personvern Tas hensyn til personvern i utvikling og anskaffelse av system eller løsning Brukerne forventer personvern Sjekkliste i sju punkter

10 Personvernombudets (PVO) rolle Flere må ha PVO Skal sikres involvering i personvernsaker Skal støttes i sine oppgaver og få tilstrekkelige ressurser Skal ikke motta instrukser om utførelsen av sine oppgaver De registrerte skal kunne kontakte PVO angående alle personvernspørsmål PVO har taushetsplikt Informasjon og rådgivning Kontrollere Samarbeide med Datatilsynet Kontaktpunkt Forordningens avsnitt 4 omhandler personvernombudet

11 Protokoll artikkel 30 Navn og kontaktopplysninger til den behandlingsansvarlige Formålene med behandlingen Kategorier registrerte og kategorier av personopplysninger Kategorier av mottakere av opplysninger Eventuell overføring av opplysninger til tredjestat eller internasjonal organisasjon Planlagte tidsfrister for sletting av opplysninger Generell beskrivelse av sikkerhetstiltak Artikkel 30: Hver behandlingsansvarlig ( ) skal føre en protokoll over behandlingsaktiviteter som utføres under deres ansvar.

12 Hva gjør vi i UNN? Etablert et team for å jobbe med personvern og informasjonssikkerhet (PVO, sikkerhetsfolk og jurist) Informasjon til direktørens ledergruppe I gang med å lage protokoll etter artikkel 30 Ny personvernerklæring Skal gjennomgå hele forordningen for å sikre samsvar med egne prosedyrer Informasjon og opplæring

13 Det er resultatene for pasienten som teller! Vi gir den beste behandling