Klar for ny personvernforordningen? Workshop RHF SØ Veronica Jarnskjold Buer senior ingeniør

Transkript

1 Klar for ny personvernforordningen? Workshop RHF SØ Veronica Jarnskjold Buer senior ingeniør

2 Klar ferdig.. Stor oppgave foran oss, dårlig stilt i enkelte sektorer, inkl. off. sektor Utfordring: Evnen til etterlevelse og kunnskap om regelverket Optimistisk: - Konkurransefordel - kostbart omdømmemesig Svært stor interesse Stor vilje til å etterleve regelverket 2

3 Agenda Ny personvernforordning generelt Personvernombud Teknisk del Helse spesielt Eventuelt Test 3

4 Ny personvernforordning generelt

5 Oversikt Definisjoner Behandlingsansvarlig ( herunder delt behandlingsansvar) Databehandler Den behandlingsansvarliges plikter i forhold til de registrerte i forhold til databehandlere i forhold til ansvarlig tilsynsmyndighet i forhold til internkontroll (eget avsnitt) Databehandlerens plikter (hvis ulikt)

6 Definisjoner Personvernforordningen (PVF) viderefører personverndirektivets begrep Presiseringer i fortalen kan føre til endringer i praksis Behandlingsansvarlig (art 4(7)) den fysiske eller juridiske person, offentlige myndighet, byrå eller ethvert annet organ som alene eller sammen med andre bestemmer (bestemmer) formålet med behandlingen og hvilke virkemidler som skal benyttes Databehandler (art 4 (8)) den fysiske eller juridiske person, offentlige myndighet, byrå eller ethvert annet organ som behandler personopplysninger på vegne av en behandlingsansvarlig

7 Den behandlingsansvarliges plikter ovenfor de registrerte Utforme samtykkeerklæring (art. 7, 8 ) Utforme informasjonsskriv (art. 12 ) Ved tvil om identiteten til den som fremmer en forespørsel (art 15-22) Informere den registrerte om tiltak truffet på anmodning (art , 12(3)) Informere om behandlingen av personopplysninger (art. 13, 14) Gi innsyn (art 15) Rette unøyaktige eller supplere ufullstendige opplysninger (art. 16) Slette (art. 17, meldeplikt art 19 ) Begrense behandlingen av personopplysninger (art. 18) Overføre opplysninger til den registrerte (dataportabilitet), og hvis teknisk mulig, direkte til en evt ny behandlingsansvarlig (art. 20) Iverksette tiltak for å ivareta retten til å motsette seg behandling av personopplysninger etter art 6 (e) og (f), art 21 Forbud mot automatiserte avgjørelser basert på personprofiler (art 22) Plikt til å melde avvik til de registrerte etter art 34 7

8 Samtykke ( art. 7, 8 ) Samtykke = handling Anmodninger som fremlegges elektronisk må også være klare, konsise og ikke unødvendig forstyrrende for bruken av tjenesten Tekst for innhenting av samtykke skal være klart adskilt fra f.eks. de øvrige delen av avtalen Å trekke tilbake samtykket skal være like enkelt som det har vært å avgi det, jf art. 7(3) Bredere samtykke anerkjent i (fortalen nr. 33) - fleksibilitet men ikke uten grenser Prinsippet: Barn bør nyte særlig beskyttelse, jf. fortalen nr. 38 særskilte regler: Fra og med oppfylt 16 år, kan barn samtykke. Den behandlingsansvarlig skal sørge for at aldersgrensen ikke omgås

9 Informasjonsplikt Den behandlingsansvarlige skal iverksette egnede tiltak for å ivareta personvernet: Informasjonsplikt Når det samles inn opplysninger fra den registrerte (art. 13), fra andre enn den registrerte (art. 14), Registrertes rettigheter etter art , Om sikkerhetsbrudd til de berørte, jf. art. 34 Konsis, gjennomsiktig, forståelig og lett tilgjengelig form, i et klart og enkelt språk Uten vederlag - med mindre anmodningene fra de registrerte er åpenbart grunnløse eller overdrevne, spesielt hvis de gjentar seg over en viss periode, jf. 12(5) NÅR: uten ugrunnet opphold og ikke senest enn en måned etter anmodningen er mottatt kan forlenges med 2 måneder dersom nødvendig Dersom anmodningen er avslått, skal det informeres uten ugrunnet opphold og innen en måned om dette, og om muligheten til å inngi en klage til DT og innbringe saken for en rettsinstans.

10 Retting og sletting skjerpede krav Retting art(16 +19) Opplysninger: Unøyaktige Varsling av tredje part: Plikt dersom kravet er etterkommet Umulig/uforholdsmessig vanskelig Som en minimum, plikt til å oppgi identiteten til tredjepartsmottakere hvis den registrerte ber om det Når? uten ugrunnet opphold Sletting etter anmodning (art 17) Opplysninger: Ikke nødvendige Samtykket trekkes tilbake Registrerte motsetter seg.. Ulovlig behandling Lovhjemmel Ingen direkte adgang til å ta kostnadene med i beregningen Ingen behov for intervensjon fra Datatilsynet 10

11 Oppsummert: Den behandlingsansvarliges plikter ovenfor de registrerte Den BA er hoved pliktsubjekt for å sikre at den registrerte kan ivareta sine rettigheter Gi informasjon Besvare henvendelser Legge til rette for at den registrerte kan ivareta sine rettigheter Den BA har bevisbyrden for å bevise at anmodninger er åpenbart grunnløse eller overdrevne (art 12 (5))

12 Den behandlingsansvarliges plikter ovenfor databehandlere /Datatilsynet Plikt til å sjekke tekniske eller organisatoriske garantier som databehandleren gir, art. 28 (1) Plikt til å godkjenne underleverandører av databehandleren art 28 (2), (4) Plikt til å inngå bindende avtale etter art 28 (3) (databehandleravtale), skriftlig Generell plikt til å samarbeide med Datatilsynet (art 31) Plikt til å melde avvik til Datatilsynet (art 33) Plikt til å igangsette forhåndsdrøftelser (art 36) Plikt til å søke forhåndsgodkjennelse (hvis påkrevd i særlov, art 36 (5)) Plikt til å medvirke til tilsyn (art 58 (e) og (f)) 12

13 Internkontroll Internkontrollsystem art 24 Innebygd personvern/ personvern som standardinnstilling (art 25) Inngå avtale om delt behandlingsansvar (art 26) Oppnevne representant (art 27) Oversikt over behandlinger (art 30) Sikkerhet (art 32) Vurdering av personvernkonsekvenser (art. 35) Opprette personvernombud (art 37) Plikt til å etterleve adferdsnormer (art 40-41) Plikt til å etterleve kravene for sertifisering (art 42-43) 13

14 BA/ DB har identiske plikter på de fleste områdene: til å utnevne representant i EU (art 27) til å inngå databehandleravtale (art 28) til å samarbeide med Datatilsynet til å ha oversikt over behandlinger etter art 30 Innholdet i hva som skal dokumenteres er litt forskjellig ((BA) vs (DB)) til å sikre informasjonssikkerhet etter art 32 til å opprette personvernombud etter art 38 til å følge prinsipper for overføring til tredjeland etter art 44

15 Plikter KUN for BA Håndtere anmodninger fra de registrerte (art 12-22) Internkontrollsystem etter art 24 (1), (2) indirekte for DB etter art 28 (1) Følge prinsippene for innebygd personvern og personvern som standardinnstilling Inngå avtale om delt behandlingsansvar etter art 26 Plikt til å kun inngå avtale md DB som gir tilstrekkelige garantier for ivaretakelse av personvernet Sende avviksmelding til Datatilsynet etter art 33 Herunder dokumentere alle avvik etter art 33 (5) Herunder sende avviksmelding til de registrerte (plikt eller pålegg fra DT etter 34 (4)) Gjennomføre personvernvurderinger (art 35) og forhåndsdrøftelser (art 36) Herunder konsultere DPO Herunder konsultasjon med de registrerte etter art 35 (9) Herunder revisjon av PIA etter 35 (11)

16 Plikter KUN for DB Få tilfeller Dokumentere etterlevelse (art 28(1)) Søke forhåndsgodkjenning fra BA (art 28 (4)) Informere BA om spesiallovgivning som han er underlagt (eks: overføring) (28 3 a) Informere BA at instrukser er i strid med forordningen (art 28 (3) sist) Plikter ved tjenesteutsetting av databehandleroppdrag (art 28 (4)) Plikt til å ikke behandle personopplysninger utenom avtale med den behandlingsansvarlige (art 29 sanksjon i art 28 (10))

17 Personvernombud

18 Viktigste endringer Fremhevet og lovregulert Skjerpede krav Fra frivillig til obligatorisk 18

19 Hvem må ha ombud? 1. offentlige myndigheter og organer (unntatt domstolene) 2. virksomheter hvis hovedvirksomhet består i å regelmessig og systematisk overvåke personer i stor skala 3. virksomheter hvis hovedvirksomhet består i å behandle sensitive personopplysninger eller opplysninger om straffbare forhold i stor skala Art

20 Hvem må ha ombud? 1. offentlige myndigheter og organer (unntatt domstolene) 2. virksomheter hvis hovedvirksomhet består i å regelmessig og systematisk overvåke personer i stor skala 3. virksomheter hvis hovedvirksomhet består i å behandle sensitive personopplysninger eller opplysninger om straffbare forhold i stor skala Art

21 Når må private virksomheter må ha ombud? Alle tre må være oppfylt: 1. Behandling av personopplysninger er virksomhetens hovedaktivitet 2. Det skal behandles personopplysninger i stor skala 3. Behandlingen innebærer regelmessig og systematisk overvåking av personer eller behandling av sensitive personopplysninger eller opplysninger om straffbare forhold Art

22 Hva er «hovedvirksomhet»? «Hovedvirksomhet» er kjerneaktiviteter som er nødvendig for å oppnå virksomhetens mål. Skillelinje: Hvis behandling av personopplysninger er uløselig forbundet med virksomhetens produkt/tjeneste? Hvis ja: hovedvirksomhet. WP29 22

23 Eksempel på popl. som hovedvirksomhet Et sykehus sin hovedvirksomhet er å gjøre folk friske, men kunne ikke gjøre det uten å behandle personopplysninger. Et sikkerhetsselskap utfører videoovervåking på flere kjøpesenter. Å sørge for sikkerheten er hovedvirksomheten, men kan ikke skilles fra behandlingen av personopplysninger. WP29 23

24 Biaktiviteter Noen aktiviteter er standard i alle organisasjoner. Selv om disse er viktige, blir de i denne sammenheng sett på som biaktiviteter: Personaladministrasjon Standard IT-støtte WP29 24

25 Hva menes med «stor skala»? Følgende faktorer bør vurderes for om en behandling er i stor skala: Antallet personer det behandles data om Mengden data og/eller omfanget av dataen som blir behandlet Varigheten av behandlingen, og om den er permanent Det geografiske om fanget av behandlingen WP29 25

26 Eksempler på stor skala Stor skala: Sykehus Offentlig transportsystem i en by Bank Forsikringsselskap Søkemotor (for å gi tilpasset reklame) Ikke stor skala: Enkeltstående fastlege Advokat som jobber i enkeltmannsforetak WP29 26

27 «Regelmessig og systematisk» overvåking Regelmessig: Pågående eller skjer jevnlig i en bestemt periode Gjentakelse på faste tidspunkt Konstant eller periodisk Systematisk: Skjer etter et system Forhåndsbestemt, organisert eller metodisk Som en del av en generell plan for datainnhenting Som en del av en strategi WP29 27

28 Hva menes med «overvåking»? Begrepet på engelsk: monitoring «For å fastslå om en behandlingsaktivitet kan anses som overvåking av de registrertes atferd bør det bringes på det rene om det skjer sporing av fysiske personer på internett, herunder en mulig påfølgende bruk av teknikker for behandling av personopplysninger som innebærer profilering av en fysisk person, særlig med det formål å treffe beslutninger om vedkommende eller analysere eller forutsi vedkommendes personlige preferanser, atferd eller holdninger.» Fortalen, punkt 24 28

29 Hva menes med «overvåking»? WP29: internett er bare ett eksempel på sted man kan overvåke. Overvåking omfatter sporing, profilering, analyse eller overvåking av personer for å kartlegge for eksempel preferanser, adferd og holdninger. Eksempler: Drift av et telekommunikasjonsnettverk Målrettet e-postreklame Profilering og vurdering ifm kredittvurdering Location tracking i mobilapper Smarte biler 29

30 Sensitive opplysninger og straffbare forhold Sensitive opplysninger/særlige kategorier av personopplysninger (art. 9): rasemessig eller etnisk opprinnelse politisk oppfatning religiøs eller filosofisk overbevisning Fagforeningsmedlemskap behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person Helseopplysninger opplysninger om en fysisk persons seksuelle forhold eller seksuelle legning Straffbare forhold (art. 10): personopplysninger i forbindelse med straffedommer og straffbare forhold eller tilknyttede sikkerhetstiltak 30

31 Om utpeking av personvernombud Både behandlingsansvarlige og databehandlere Ett ombud kan representere flere virksomheter Kan utpeke ombud frivillig Norge kan gjøre det obligatorisk for andre Hvordan velge ombud? På grunnlag av faglige kvalifikasjoner og sakkunnskap om personvernlovgiving og praksis på området Samt evne til å utføre oppgavene Kan være ansatt eller ekstern Art

32 Ombudets stilling Må involveres Skal få ressurser og tilgang Skal ha mulighet til å opprettholde sakkunnskap Skal ikke motta instrukser eller straffes Skal rapportere til høyeste ledelsesnivå Må ikke ha andre oppgaver som fører til interessekonflikt Kan ikke ha stilling som innebærer at ombudet skal bestemme formålet og metode for behandling av personopplysninger Art

33 Oppgaver Informere og gi råd Overvåke etterlevelse av forordning og interne retningslinjer Gi råd om PIA Samarbeide med tilsynet Være kontaktpunkt for de registrerte og tilsynet Art

34 Datatilsynets rolle og planer Endelig veiledning fra WP29 Skal ikke behandle søknader Skal få beskjed om hvem som er ombud Arbeider med å etablere et registreringssystem Mål om å ha offentlig oversikt Tilpasset opplæring i 2017 og 2018(?) I kontakt med eksterne utdanningsaktører om fremtidig kursing Informasjon til ombud og virksomheter som må ha ombud Koordinator: kontaktperson, nyhetsbrev, fagdager mm. Kontrollere ombudsrollen? 34

35 Ny personvernforordning teknisk del

36 Oversikt over artiklene Retten til dataportabilitet (art. 20) Innebygd personvern (art. 25) Informasjonssikkerhet DPIA Oversikt over behandlinger (art. 30) Sikkerhet (art. 32) Avviksmeldinger (art. 33) Informasjon til berørte (art. 34) Vurdering av personvernkonsekvenser (art. 35) Forhåndsdrøftelse (art. 36) Adferdsnormer Normer (art. 40) Overvåking av normer (art. 41) Sertifisering Sertifisering (art. 42) Sertifiseringsorgan (art. 43) 36

37 Retten til dataportabilitet art. 20 Ny rettighet (som utfyller retten til innsyn) Gir den registrerte mulighet til å motta og gjenbruke sine data til egne formål og mellom tjenester Behandlingsansvarlig må kunne: Gi ut personopplysninger til den registrerte Overføre til ny behandlingsansvarlig der det er teknisk mulig I et strukturert, allment brukt og maskinlesbart format F.eks. ikke e-postdata som PDF Det må være strukturert nok til at metadata beholdes, og at f.eks. e-post kan gjenbrukes i et nytt verktøy 37

38 Retten til dataportabilitet art. 20 Retten gjelder når behandlingen er automatisk, og basert på samtykke eller en kontrakt (den registrerte må være part) Personopplysningene omhandler den registrerte og er gitt av den registrerte, som f.eks. Opplysninger avgitt i skjema på nett Opplysninger generert av og samlet inn fra brukerens aktiviteter Retten skal ikke påvirke andres rettigheter og friheter F.eks. en privatperson kan få sine e-poster med personopplysninger om andre, og bruke til private formål. Dersom data blir overført til annen behandlingsansvarlig, skal denne kun behandle disse opplysningene om det finnes rettslig grunnlag 38

39 Innebygd personvern og personvern som standard art. 25 Tekniske og organisatoriske tiltak F.eks. pseudonymisering Utformet for å ivareta personvernprinsipper F.eks. minimalisering Det minst personverninngripende alternativet som standard: mengde omfang lagringstid tilgjengelighet 39

40 Innebygd personvern og personvern som standard art. 25 Ny plikt for behandlingsansvarlige Knyttes til internkontrollpliktene i art. 24 Sertifisering kan bli brukt som element for å vise etterlevelse 40

41 Oversikt over behandlingsaktiviteter art. 30 Kontaktinformasjon til behandlingsansvarlig Formål Kategorier av registrerte og personopplysninger Kategorier av mottakere Evt. overføringer til tredjeland eller internasjonale organisasjoner, og dokumentasjon på tilstrekkelig beskyttelse Slettefrister Sikkerhetstiltak Databehandlere skal ha tilsvarende oversikt over det de gjør på vegne av ulike behandlingsansvarlige 41

42 Sikkerhet ved behandling art. 32 Risikovurdering Sikkerhetstiltak Pseudonymisering og kryptering av personopplysninger Sikre vedvarende K, I, T og robusthet Gjenoppretting av tilgjengelighet og tilganger ved hendelser Jevnlig testing, vurdering og evaluering Bransjenormer eller godkjent sertifiseringsordning Element for å vise etterlevelse Tiltak for å sørge for at behandling kun skjer på instruks fra behandlingsansvarlig 42

43 Avviksmeldinger art. 33 Skjerpende ihht til dagens praksis Behandlingsansvarlig må melde avvik innen 72 timer. Kan meldes trinnvis. Databehandler melder til behandlingsansvarlig Uklart: kan en databehandler melde inn på vegne av flere behandlingsansvarlige? Stilles krav til innholdet i avviksmeldingen. Vårt skjema i Altinn tar høyde for dette. Lanseres når Altinn har et «vindu» Finnes en uttalelse fra Artikkel 29-gruppen (2014) som skal oppdateres i løpet av året. Gjelder både artikkel 33 og

44 Informasjon til de berørte art. 34 Kravet finnes ikke i dagens regelverk, men ny praksis er gått opp med «GE-sakene» i Personvernnemnda (artikkel på datatilsynet.no) Berørte skal informeres så raskt som mulig, slik at de skal kunne foreta seg noe for å begrense skaden. Unntak i kravet om varsling: Eksisterende tiltak som gjør informasjonen uleselig, f.eks. kryptering Tiltak i ettertid som sikrer at den høye risikoen ikke lengre vil oppstå Uforholdsmessig innsats. Må i stedet informere offentlig eller tilsvarende. 44

45 Vurdering av personvernkonsekvenser art. 35 Vurdering av personvernkonsekvenser (DPIA) er en prosess for å bygge og demonstrere etterlevelse av regelverket. Av hvem? Behandlingsansvarlig. PVO kan bidra. Når? Før en behandling starter eller før utviklingsstart. Når skal den oppdateres? Ved endring av risiko eller kontekst. Når skal man be om en forhåndsdrøftelse av Datatilsynet? Når DPIA bekrefter at risikoene er høye. I hvilke tilfeller? Høy risiko for den enkelte og påkrevd i Art. 35 (3) 45

46 Vurdering av personvernkonsekvenser art. 35 Det er flere typetilfeller der det er nødvendig å utrede personvernkonsekvenser: systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser behandling av sensitive personopplysninger i stort omfang systematisk overvåking av offentlig område i stort omfang I tilfelle man er i tvil anbefaler vi å utføre en DPIA. Datatilsynet må publisere liste over når det er påkrevd. Datatilsynet kan publisere liste over når det ikke er påkrevd. 46

47 Vurdering av personvernkonsekvenser art. 35 Vurderingen skal som minimum inneholde: Systematisk beskrivelse av behandlingen, formål, og evt. hvilken berettiget interesse den ivaretar. Vurdering av nødvendighet og forholdsmessighet, sett opp mot formålet. Vurdering av risikoen for rettigheter og frihet til registrerte. Tiltak som skal iverksettes for å redusere risikoen. 47

48 Forhåndsdrøftelser Art. 36 Artikkelen baserer seg på at det er gjennomført en DPIA og at det er høy risiko som ikke kan reduseres. Det stilles krav til dokumentasjon som skal sendes inn til oss Forordningen stiller krav til vår behandlingstid 8 uker, kan forlenges innen én mnd (må begrunnes) til ytterligere 6 uker Vi kan veilede eller forby behandlingen Artikkel 36 (5) kan relateres til dagens konsesjonsbehandling. Nasjonal rett kan kreve at behandlingsansvarlig skal drøfte og innhente forhåndstillatelse - behandlinger i allmenn interesse, herunder social protection og public health. 48

49 Atferdsnormer art. 40 Artikkelen er en utvidelse av dagens regelverk - 42 pkt 6 Datatilsynet skal oppmuntre til utarbeidelse av normer, for å sikre effektiv etterlevelse av forordningen, særlig mht konkrete karakteristikker av behandlinger i ulike sektorer og av særlige behov for mikro, små og mellomstore virksomheter. I artikkel 40 (2) nevnes det eksempler på hva som kan spesifiseres i en norm, som blant annet: Rettferdig og åpen behandling, innsamling av personopplysninger, pseudonymisering, informasjon, varsling av avvik, overføring til tredjeland m.v. 49

50 Atferdsnormer art. 40 Utkast, endringer eller utvidelser av normer sendes til Datatilsynet for godkjenning. Vi registrerer og offentliggjør. Dersom flere land berøres av normen er det en prosess hvor kompetent myndighet sender til EDPB, som gir sin uttalelse til kommisjonen, som kan beslutte å godkjenne allmenn gyldighet. Offentliggjøres av kommisjonen. EDPB har register med godkjente normer. DTmå få på plass rutiner for håndtere prosessen med å godkjenne normer. 50

51 Kontroll av godkjente atferdsnormer art. 41 Vi kan akkreditere et organ som skal kontrollere at normen følges. Krav til at et organ kan akkrediteres: Vist at det er uavhengig og har sakkunnskap Etablert rutiner for å vurdere at behandlingsansvarlige og databehandlere oppfyller vilkår, overvåke overholdelse og regelmessig gjennomgang av reglenes virkemåte Etablert rutiner og struktur for klagehåndtering, og er åpen om rutiner og strukturer. Vist, på en måte som oppfyller Datatilsynets krav, at oppgavene eller pliktene ikke fører til en interessekonflikt. Uklart i artikkel 41 (6): Denne artikkel får ikke anvendelse på behandling utført av offentlige myndigheter og organer. Vi må få på plass rutiner for å akkreditere og kontrollere. 51

52 Sertifisering art. 42 Fortalen (100): For å øke åpenheten og overholdelsen av denne forordning bør det oppmuntres til opprettelse av sertifiseringsmekanismer og personvernsegl og -merker, slik at de registrerte raskt kan vurdere nivået for vern av personopplysninger som relevante produkter og tjenester omfattes av. Behandlingsansvarlige og databehandlere som forplikter seg til sertifisering, skal inngå bindende og håndhevbare forpliktelser om å anvende egnede garantier med hensyn til de registrertes rettigheter. 52

53 Sertifisering art. 42 Sertifiseringsorgan eller Datatilsynet må ha prosedyrer for å utstede sertifisering, basert på kriterier fra DT eller EDPB. EDPB skal ha et offentlig register over sertifiseringsmekanismer, segl og merker En sertifisering gjelder for maks tre år, men kan fornyes eller trekkes tilbake. Kommer veiledning fra Artikkel 29-gruppen 53

54 Sertifiseringsorganer art. 43 Sertifiseringsorgan akkrediteres av tilsynsmyndigheten og/eller et nasjonalt akkrediteringsorgan. Maks fem år, men kan fornyes. Krav til at et organ kan akkrediteres: Vist at det er uavhengig og har ekspertise Respektere kriterier i artikkel 42 (5) og godkjent av tilsynsmyndigheten eller EDPB Etablert rutiner for utstedelse, regelmessig revisjon og tilbaketrekking av sertifisering, segl og merker Etablert rutiner og struktur for klagehåndtering, og er åpen om rutiner og strukturer. Vist, på en måte som oppfyller Datatilsynets krav, at oppgavene eller pliktene ikke fører til en interessekonflikt. 54

55 Sertifiseringsorganer art. 43 Sertifiseringsorgan skal informere Datatilsynet om begrunnelse for sertifisering eller tilbaketrekking Datatilsynet skal offentliggjøre krav (art. 43 (3)) og kriterier (art. 42 (5)), og oversende til EDPB, som samler i et register og offentliggjør. Kommisjonen kan fastsette krav for sertifiseringsmekanismer og vedta gjennomføringsakter som bestemmer tekniske standarder for sertifiseringsmekanismer, segl og merker, samt ordninger som skal fremme og anerkjenne disse. Kommer veiledning fra Artikkel 29-gruppen 55

56 Helse spesielt

57 Generelt om helseopplysninger i forordningen Definisjoner: art 4: helseopplysninger (pkt 15), biometriske opplysninger (pkt 14), genetiske data (pkt 13) Medlemsland kan utarbeide eller videreføre særlige vilkår, herunder begrensinger fra rettigheter og plikter når behandlingen omhandler genetiske, biometriske eller helseopplysninger (art. 9.(4)) Hjemmel i lov (eller forskrift fortale 41) Særlovgivning bør være tydelig og presis og dens anvendelse forutsigbar for de det gjelder (jf rettspraksis) krav til innhold fremgår av art 6(3) Bør ikke hemme den frie utvekslingen av personopplysninger i EU, når disse betingelser angår grenseoverskridende behandling av helseopplysninger (fortale 53) 57

58 Spørsmål fram mot 2018 Er særlovgivningen forenelig med GDPR? Er det mulig å videreføre reglene til tross for uforenlighet? Ønsker vi å beholde særbestemmelsene? Hvordan? Hvem er initiativtaker? Når er spesiallovgivning til hinder for den frie flyten av opplysninger innen EU? 58

59 Primær bruk av opplysningene pasientjournal Generell forbud i art 9 (1), med minst ett av behandlingsgrunnlagene i art 9 (2) gjelder: (a) uttrykkelig samtykke (g) vesentlige samfunnsinteresser (i) forebyggende sykdomsbehandling, medisinsk diagnose, sykepleie eller pasientbehandling eller for forvaltning av helsetjenester, og opplysningene behandles av helsepersonell med taushetsplikt Tydeligere krav til informasjon: Alle opplysnigner som er nødvendige for at sikre en rimelig og gjennomsiktig behandling 59

60 Samtykke «iverksette egnede tiltak for at» Fortale 43: frivillighetskravet ikke oppfylt: hvis der er en klar skjevhet mellom den registrerte og den behandlingsansvarlige, særlig hvis den BA er en offentlig myndighet; hvis det ikke er mulig å gi særskilt samtykke til forskjellige behandlingsaktiviteter, selv om det er hensiktsmessig i det enkelte tilfelle. FORM Samtykke = handling Barna under myndighetsalder- skal ha mulighet til å autentisere «den voksne» Anmodninger som fremlegges elektronisk må også være klare konsise og ikke unødvendig forstyrrende for bruken av tjenesten Å trekke tilbake samtykket skal være like enkelt som det har vært å avgi det, jf 7 3.ledd Bredd samtykke lovfestes (fortale 33)- fleksibilitet 60

61 Sekundær bruk etter GDPR- forskning og kvalitetssikringsregistre Hovedregelen art 6(4) er at gjenbruk av helseopplysningene krever (gyldig) samtykke eller hjemmel i lov Foreligger ikke dette, kan opplysningene gjenbrukes kun til kompatible formål Forenlighetstest i art 6(4) Er formålet forenlig, kreves ikke ny behandlingsgrunnlag (fortale 50) Informasjonsplikten består (art 14) MEN: arkivformål i samfunnets interesse, vitenskapelige eller historiske forskningsformål eller statistiske formål er forhåndsdefinert som forenelige lovlige behandlingsaktiviteter (fortale 50) 61

62 «Blanco-fullmakt» til forskning på helseopplysninger? NEI Lovens øvrige vilkår for behandling av personopplysninger skal være oppfylt (proporsjonalitet, nødvendighet, nøyaktighet, formålsbestemthet osv) Taushetsplikt gjelder Etiske krav gjelder Grunnlovens 102 («respekt for sitt privatliv mm») Europarådets personvernkonvensjon (108/1981) EMK art 8 (respekt for privatlivet, inngrep av offentlig myndighet må ha hjemmel i lov, det må ha et relevant formål, og det må være nødvendig (forholdsmessig)) 62

63 Er forhåndskontroll mulig? hvis dette er påkrevd etter nasjonal særlovgivning (art 36 (5)): «i forbindelse med en behandling av personopplysninger for å utføre en oppgave i allmeninteresse, herunder behandling i forbindelse med samfunnssikring og folkehelse» påbud om vurdering av personvernkonsekvensene (art 35 (4)- Datatilsynet+ EDPB) «forsterket forhåndsdrøftelse» (art 36 (2))- mulighet for Datatilsynet til å stille ytterligere vilkår til behandlingen eller pålegge tiltak 63

64 Kapittel IX Art (89). forskning Forskning Samtykke Konsesjon? DT gitt høringssvar samt nedsatt arbeidsgruppe knyttet til dette 64

65 Mer om sletting Art (16-20) omhandler sletting og endring Art (17 (2)) sier at du plikter og informere 3dje part om endringer (disse har man stort sett kontroll på) Art (19) krever at du må gjøre det som står i din makt til å endre det som ligger på nett (som du ikke nødvendigvis har kontroll på) I helsesektoren Særlovgivingen vil mest sannsynlig gi føringer her, sånn som i dag 65

66 Testdata

67 Kan reelle data benyttes i testing? Personopplysningsloven gjelder også i testfasen. Dersom det brukes reelle data gjelder personopplysningslovens regler. Det er ikke alltid enkelt å se når man er i en testfase, når man er i en implementeringsfase og når man setter systemer i drift. Man unngår mange problemer ved å bruke anonyme data, men vi forstår at dette ikke alltid kan gjøres gjennom hele prosessen. 67

68 Formål og hjemmelsgrunnlag Behandling av personopplysninger skal ha et formål (jf. personopplysningsloven 11, bokstav b) Testformålet må være forenlig med behandlingsformålet (ansvar: databehandlingsansvarlig) Vilkår for behandling (personopplysningsloven 8): Samtykke fra den registrerte, Jf. personopplysningsloven 2 nr. 7, helseregisterloven 24 Den aktuelle behandlingen av opplysningene er regulert i lov Konsesjon, følger av de øvrige nødvendighetsgrunnene i personopplysningsloven 8 68

69 Testing av konfidensielle personopplysninger Konfidensielle personopplysninger kan omfatte opplysninger som er beskyttet etter forvaltningsloven 13, personopplysningsloven 8 og 9, helsesektorens taushetsbelagte informasjon, beskyttelsesinstruksen, se forskrift til informasjonssikkerhet 4. sikkerhetsloven, se forskrift til informasjonssikkerhet 4 For denne typen opplysninger er det viktig å se om testformål er forenlig med det opprinnelige behandlingsformålet. 69

70 Databehandleravtaler Personopplysningsloven 15: Gir databehandler et behandlingsgrunnlag Databehandleren kan ikke bruke personopplysninger på annen måte enn det som er skriftlig avtalt med den databehandlingsansvarlige. Minstekrav til en databehandleravtale: Angi formål. Beskrive hva databehandler skal gjøre med opplysningene. Bruk av underleverandør. Hvordan ivareta den registrertes rettigheter. Krav til informasjonssikkerhet. Avtalens varighet. Avvikshåndtering 70

71 Krav til testdata etter ny forordning Vurdering av personvernkonsekvenser ved bruk av opplysningene i testing. Gjennomføre en risikovurdering på blant annet: testprosedyre, taushetsplikt, testroller, autentisering, tilgangskontroll, sikring av fysisk medier / utstyr / nettverk /utskrifter, epost/filoverføring, logging og gjennomgang av loggene, hendelseshåndtering, sletting av testdata Sikring må tilfredsstille personopplysningslovens 13 eller andre krav som følger av særlovgivningen. For helse gjelder Normen NB! Det er viktig å huske den registrertes rettigheter, som blir sterkere i ny personvernforordning som gjelder fra mai (foruten formål, vilkår, evnt samtykke osv) 71

72 Eksempel 72

73 Bruk av pasientdata til utvikling av journalsystem Selskap som driftet og utviklet programvare for helsevesenet. Mr. NN hadde lovlig tilgang til journalene med formålet drifte og videreutvikle. Journalene på pasienter fordelt på 21 legekontorer på Vestlandet. Brakte med seg 21 legekontorers fullverdige pasientjournaler. To doktorgradsstipendiater ved NTNU testet i halvannet år sin programvare på pasientjournalene. Saken endte i retten der det kom uttalelser som har interesse for hvor langt man kan gå i å bruke personopplysninger som testdata. Systemutvikling skal baseres på «Donald Duck»-data. Reelle data kan brukes i siste fase i utvikling. Viser til Normen. Stipendiatene brukte basen for å testet vitenskapelige metoder på pasientdata. Grensen mellom helsehjelp, kvalitetsutvikling, systemutvikling og forskning har ulike formål etter loven. Skillet mellom de ulike formålene er langt fra klare. Det er viktig at man sjekker ut grensen mellom det lovlige og ulovlige, og sørger for klarering av sine prosjekter. 73

74 Bruk av pasientdata til utvikling av journalsystem Dom på overtredelse av å ha unnlatt å informere de registrerte om formål, behandling og utlevering, jf. helseregisterloven 24, samt for under særdeles skjerpede omstendigheter behandlet personopplysninger uten konsesjon, jf. personopplysingsloven

75 Normen har to faktaark om test: 75

76 Faktaark 43: Bruk av testdata i systemer som inneholder helse- og personopplysninger Formålet med faktaarket er å sikre konfidensialitet, integritet, tilgjengelighet og kvalitet når testdata brukes i utvikling og test av IT-systemer med helse- og personopplysninger. benytte relevante testdata slik at testene blir så nær opp til virkeligheten som mulig. Der det er mulig bør det benyttes anonymiserte testdata 76

77 Faktaark 48: Informasjonssikkerhet ved utførelse av testing (1) Prosedyre for utførelse av testing Taushetsplikt Egen testrolle (Personlig bruker) Tilfredsstillende autentisering ved ekstern tilgang Sikring av (bærbart utstyr, flyttbare lagringsmedier, WLAN, Utskrifter, fysisk område) Bruk av e-post Beskrivelse av feil og mangler Avviksrapportering 77

78 Datatilsynet.no/forordning

79 Takk for oppmerksomheten! Telefon: datatilsynet.no personvernbloggen.no