Klar for ny personvernforordningen? Workshop RHF SØ Veronica Jarnskjold Buer senior ingeniør
|
|
- Edvin Jørn Dahle
- 6 år siden
- Visninger:
Transkript
1 Klar for ny personvernforordningen? Workshop RHF SØ Veronica Jarnskjold Buer senior ingeniør
2 Klar ferdig.. Stor oppgave foran oss, dårlig stilt i enkelte sektorer, inkl. off. sektor Utfordring: Evnen til etterlevelse og kunnskap om regelverket Optimistisk: - Konkurransefordel - kostbart omdømmemesig Svært stor interesse Stor vilje til å etterleve regelverket 2
3 Agenda Ny personvernforordning generelt Personvernombud Teknisk del Helse spesielt Eventuelt Test 3
4 Ny personvernforordning generelt
5 Oversikt Definisjoner Behandlingsansvarlig ( herunder delt behandlingsansvar) Databehandler Den behandlingsansvarliges plikter i forhold til de registrerte i forhold til databehandlere i forhold til ansvarlig tilsynsmyndighet i forhold til internkontroll (eget avsnitt) Databehandlerens plikter (hvis ulikt)
6 Definisjoner Personvernforordningen (PVF) viderefører personverndirektivets begrep Presiseringer i fortalen kan føre til endringer i praksis Behandlingsansvarlig (art 4(7)) den fysiske eller juridiske person, offentlige myndighet, byrå eller ethvert annet organ som alene eller sammen med andre bestemmer (bestemmer) formålet med behandlingen og hvilke virkemidler som skal benyttes Databehandler (art 4 (8)) den fysiske eller juridiske person, offentlige myndighet, byrå eller ethvert annet organ som behandler personopplysninger på vegne av en behandlingsansvarlig
7 Den behandlingsansvarliges plikter ovenfor de registrerte Utforme samtykkeerklæring (art. 7, 8 ) Utforme informasjonsskriv (art. 12 ) Ved tvil om identiteten til den som fremmer en forespørsel (art 15-22) Informere den registrerte om tiltak truffet på anmodning (art , 12(3)) Informere om behandlingen av personopplysninger (art. 13, 14) Gi innsyn (art 15) Rette unøyaktige eller supplere ufullstendige opplysninger (art. 16) Slette (art. 17, meldeplikt art 19 ) Begrense behandlingen av personopplysninger (art. 18) Overføre opplysninger til den registrerte (dataportabilitet), og hvis teknisk mulig, direkte til en evt ny behandlingsansvarlig (art. 20) Iverksette tiltak for å ivareta retten til å motsette seg behandling av personopplysninger etter art 6 (e) og (f), art 21 Forbud mot automatiserte avgjørelser basert på personprofiler (art 22) Plikt til å melde avvik til de registrerte etter art 34 7
8 Samtykke ( art. 7, 8 ) Samtykke = handling Anmodninger som fremlegges elektronisk må også være klare, konsise og ikke unødvendig forstyrrende for bruken av tjenesten Tekst for innhenting av samtykke skal være klart adskilt fra f.eks. de øvrige delen av avtalen Å trekke tilbake samtykket skal være like enkelt som det har vært å avgi det, jf art. 7(3) Bredere samtykke anerkjent i (fortalen nr. 33) - fleksibilitet men ikke uten grenser Prinsippet: Barn bør nyte særlig beskyttelse, jf. fortalen nr. 38 særskilte regler: Fra og med oppfylt 16 år, kan barn samtykke. Den behandlingsansvarlig skal sørge for at aldersgrensen ikke omgås
9 Informasjonsplikt Den behandlingsansvarlige skal iverksette egnede tiltak for å ivareta personvernet: Informasjonsplikt Når det samles inn opplysninger fra den registrerte (art. 13), fra andre enn den registrerte (art. 14), Registrertes rettigheter etter art , Om sikkerhetsbrudd til de berørte, jf. art. 34 Konsis, gjennomsiktig, forståelig og lett tilgjengelig form, i et klart og enkelt språk Uten vederlag - med mindre anmodningene fra de registrerte er åpenbart grunnløse eller overdrevne, spesielt hvis de gjentar seg over en viss periode, jf. 12(5) NÅR: uten ugrunnet opphold og ikke senest enn en måned etter anmodningen er mottatt kan forlenges med 2 måneder dersom nødvendig Dersom anmodningen er avslått, skal det informeres uten ugrunnet opphold og innen en måned om dette, og om muligheten til å inngi en klage til DT og innbringe saken for en rettsinstans.
10 Retting og sletting skjerpede krav Retting art(16 +19) Opplysninger: Unøyaktige Varsling av tredje part: Plikt dersom kravet er etterkommet Umulig/uforholdsmessig vanskelig Som en minimum, plikt til å oppgi identiteten til tredjepartsmottakere hvis den registrerte ber om det Når? uten ugrunnet opphold Sletting etter anmodning (art 17) Opplysninger: Ikke nødvendige Samtykket trekkes tilbake Registrerte motsetter seg.. Ulovlig behandling Lovhjemmel Ingen direkte adgang til å ta kostnadene med i beregningen Ingen behov for intervensjon fra Datatilsynet 10
11 Oppsummert: Den behandlingsansvarliges plikter ovenfor de registrerte Den BA er hoved pliktsubjekt for å sikre at den registrerte kan ivareta sine rettigheter Gi informasjon Besvare henvendelser Legge til rette for at den registrerte kan ivareta sine rettigheter Den BA har bevisbyrden for å bevise at anmodninger er åpenbart grunnløse eller overdrevne (art 12 (5))
12 Den behandlingsansvarliges plikter ovenfor databehandlere /Datatilsynet Plikt til å sjekke tekniske eller organisatoriske garantier som databehandleren gir, art. 28 (1) Plikt til å godkjenne underleverandører av databehandleren art 28 (2), (4) Plikt til å inngå bindende avtale etter art 28 (3) (databehandleravtale), skriftlig Generell plikt til å samarbeide med Datatilsynet (art 31) Plikt til å melde avvik til Datatilsynet (art 33) Plikt til å igangsette forhåndsdrøftelser (art 36) Plikt til å søke forhåndsgodkjennelse (hvis påkrevd i særlov, art 36 (5)) Plikt til å medvirke til tilsyn (art 58 (e) og (f)) 12
13 Internkontroll Internkontrollsystem art 24 Innebygd personvern/ personvern som standardinnstilling (art 25) Inngå avtale om delt behandlingsansvar (art 26) Oppnevne representant (art 27) Oversikt over behandlinger (art 30) Sikkerhet (art 32) Vurdering av personvernkonsekvenser (art. 35) Opprette personvernombud (art 37) Plikt til å etterleve adferdsnormer (art 40-41) Plikt til å etterleve kravene for sertifisering (art 42-43) 13
14 BA/ DB har identiske plikter på de fleste områdene: til å utnevne representant i EU (art 27) til å inngå databehandleravtale (art 28) til å samarbeide med Datatilsynet til å ha oversikt over behandlinger etter art 30 Innholdet i hva som skal dokumenteres er litt forskjellig ((BA) vs (DB)) til å sikre informasjonssikkerhet etter art 32 til å opprette personvernombud etter art 38 til å følge prinsipper for overføring til tredjeland etter art 44
15 Plikter KUN for BA Håndtere anmodninger fra de registrerte (art 12-22) Internkontrollsystem etter art 24 (1), (2) indirekte for DB etter art 28 (1) Følge prinsippene for innebygd personvern og personvern som standardinnstilling Inngå avtale om delt behandlingsansvar etter art 26 Plikt til å kun inngå avtale md DB som gir tilstrekkelige garantier for ivaretakelse av personvernet Sende avviksmelding til Datatilsynet etter art 33 Herunder dokumentere alle avvik etter art 33 (5) Herunder sende avviksmelding til de registrerte (plikt eller pålegg fra DT etter 34 (4)) Gjennomføre personvernvurderinger (art 35) og forhåndsdrøftelser (art 36) Herunder konsultere DPO Herunder konsultasjon med de registrerte etter art 35 (9) Herunder revisjon av PIA etter 35 (11)
16 Plikter KUN for DB Få tilfeller Dokumentere etterlevelse (art 28(1)) Søke forhåndsgodkjenning fra BA (art 28 (4)) Informere BA om spesiallovgivning som han er underlagt (eks: overføring) (28 3 a) Informere BA at instrukser er i strid med forordningen (art 28 (3) sist) Plikter ved tjenesteutsetting av databehandleroppdrag (art 28 (4)) Plikt til å ikke behandle personopplysninger utenom avtale med den behandlingsansvarlige (art 29 sanksjon i art 28 (10))
17 Personvernombud
18 Viktigste endringer Fremhevet og lovregulert Skjerpede krav Fra frivillig til obligatorisk 18
19 Hvem må ha ombud? 1. offentlige myndigheter og organer (unntatt domstolene) 2. virksomheter hvis hovedvirksomhet består i å regelmessig og systematisk overvåke personer i stor skala 3. virksomheter hvis hovedvirksomhet består i å behandle sensitive personopplysninger eller opplysninger om straffbare forhold i stor skala Art
20 Hvem må ha ombud? 1. offentlige myndigheter og organer (unntatt domstolene) 2. virksomheter hvis hovedvirksomhet består i å regelmessig og systematisk overvåke personer i stor skala 3. virksomheter hvis hovedvirksomhet består i å behandle sensitive personopplysninger eller opplysninger om straffbare forhold i stor skala Art
21 Når må private virksomheter må ha ombud? Alle tre må være oppfylt: 1. Behandling av personopplysninger er virksomhetens hovedaktivitet 2. Det skal behandles personopplysninger i stor skala 3. Behandlingen innebærer regelmessig og systematisk overvåking av personer eller behandling av sensitive personopplysninger eller opplysninger om straffbare forhold Art
22 Hva er «hovedvirksomhet»? «Hovedvirksomhet» er kjerneaktiviteter som er nødvendig for å oppnå virksomhetens mål. Skillelinje: Hvis behandling av personopplysninger er uløselig forbundet med virksomhetens produkt/tjeneste? Hvis ja: hovedvirksomhet. WP29 22
23 Eksempel på popl. som hovedvirksomhet Et sykehus sin hovedvirksomhet er å gjøre folk friske, men kunne ikke gjøre det uten å behandle personopplysninger. Et sikkerhetsselskap utfører videoovervåking på flere kjøpesenter. Å sørge for sikkerheten er hovedvirksomheten, men kan ikke skilles fra behandlingen av personopplysninger. WP29 23
24 Biaktiviteter Noen aktiviteter er standard i alle organisasjoner. Selv om disse er viktige, blir de i denne sammenheng sett på som biaktiviteter: Personaladministrasjon Standard IT-støtte WP29 24
25 Hva menes med «stor skala»? Følgende faktorer bør vurderes for om en behandling er i stor skala: Antallet personer det behandles data om Mengden data og/eller omfanget av dataen som blir behandlet Varigheten av behandlingen, og om den er permanent Det geografiske om fanget av behandlingen WP29 25
26 Eksempler på stor skala Stor skala: Sykehus Offentlig transportsystem i en by Bank Forsikringsselskap Søkemotor (for å gi tilpasset reklame) Ikke stor skala: Enkeltstående fastlege Advokat som jobber i enkeltmannsforetak WP29 26
27 «Regelmessig og systematisk» overvåking Regelmessig: Pågående eller skjer jevnlig i en bestemt periode Gjentakelse på faste tidspunkt Konstant eller periodisk Systematisk: Skjer etter et system Forhåndsbestemt, organisert eller metodisk Som en del av en generell plan for datainnhenting Som en del av en strategi WP29 27
28 Hva menes med «overvåking»? Begrepet på engelsk: monitoring «For å fastslå om en behandlingsaktivitet kan anses som overvåking av de registrertes atferd bør det bringes på det rene om det skjer sporing av fysiske personer på internett, herunder en mulig påfølgende bruk av teknikker for behandling av personopplysninger som innebærer profilering av en fysisk person, særlig med det formål å treffe beslutninger om vedkommende eller analysere eller forutsi vedkommendes personlige preferanser, atferd eller holdninger.» Fortalen, punkt 24 28
29 Hva menes med «overvåking»? WP29: internett er bare ett eksempel på sted man kan overvåke. Overvåking omfatter sporing, profilering, analyse eller overvåking av personer for å kartlegge for eksempel preferanser, adferd og holdninger. Eksempler: Drift av et telekommunikasjonsnettverk Målrettet e-postreklame Profilering og vurdering ifm kredittvurdering Location tracking i mobilapper Smarte biler 29
30 Sensitive opplysninger og straffbare forhold Sensitive opplysninger/særlige kategorier av personopplysninger (art. 9): rasemessig eller etnisk opprinnelse politisk oppfatning religiøs eller filosofisk overbevisning Fagforeningsmedlemskap behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person Helseopplysninger opplysninger om en fysisk persons seksuelle forhold eller seksuelle legning Straffbare forhold (art. 10): personopplysninger i forbindelse med straffedommer og straffbare forhold eller tilknyttede sikkerhetstiltak 30
31 Om utpeking av personvernombud Både behandlingsansvarlige og databehandlere Ett ombud kan representere flere virksomheter Kan utpeke ombud frivillig Norge kan gjøre det obligatorisk for andre Hvordan velge ombud? På grunnlag av faglige kvalifikasjoner og sakkunnskap om personvernlovgiving og praksis på området Samt evne til å utføre oppgavene Kan være ansatt eller ekstern Art
32 Ombudets stilling Må involveres Skal få ressurser og tilgang Skal ha mulighet til å opprettholde sakkunnskap Skal ikke motta instrukser eller straffes Skal rapportere til høyeste ledelsesnivå Må ikke ha andre oppgaver som fører til interessekonflikt Kan ikke ha stilling som innebærer at ombudet skal bestemme formålet og metode for behandling av personopplysninger Art
33 Oppgaver Informere og gi råd Overvåke etterlevelse av forordning og interne retningslinjer Gi råd om PIA Samarbeide med tilsynet Være kontaktpunkt for de registrerte og tilsynet Art
34 Datatilsynets rolle og planer Endelig veiledning fra WP29 Skal ikke behandle søknader Skal få beskjed om hvem som er ombud Arbeider med å etablere et registreringssystem Mål om å ha offentlig oversikt Tilpasset opplæring i 2017 og 2018(?) I kontakt med eksterne utdanningsaktører om fremtidig kursing Informasjon til ombud og virksomheter som må ha ombud Koordinator: kontaktperson, nyhetsbrev, fagdager mm. Kontrollere ombudsrollen? 34
35 Ny personvernforordning teknisk del
36 Oversikt over artiklene Retten til dataportabilitet (art. 20) Innebygd personvern (art. 25) Informasjonssikkerhet DPIA Oversikt over behandlinger (art. 30) Sikkerhet (art. 32) Avviksmeldinger (art. 33) Informasjon til berørte (art. 34) Vurdering av personvernkonsekvenser (art. 35) Forhåndsdrøftelse (art. 36) Adferdsnormer Normer (art. 40) Overvåking av normer (art. 41) Sertifisering Sertifisering (art. 42) Sertifiseringsorgan (art. 43) 36
37 Retten til dataportabilitet art. 20 Ny rettighet (som utfyller retten til innsyn) Gir den registrerte mulighet til å motta og gjenbruke sine data til egne formål og mellom tjenester Behandlingsansvarlig må kunne: Gi ut personopplysninger til den registrerte Overføre til ny behandlingsansvarlig der det er teknisk mulig I et strukturert, allment brukt og maskinlesbart format F.eks. ikke e-postdata som PDF Det må være strukturert nok til at metadata beholdes, og at f.eks. e-post kan gjenbrukes i et nytt verktøy 37
38 Retten til dataportabilitet art. 20 Retten gjelder når behandlingen er automatisk, og basert på samtykke eller en kontrakt (den registrerte må være part) Personopplysningene omhandler den registrerte og er gitt av den registrerte, som f.eks. Opplysninger avgitt i skjema på nett Opplysninger generert av og samlet inn fra brukerens aktiviteter Retten skal ikke påvirke andres rettigheter og friheter F.eks. en privatperson kan få sine e-poster med personopplysninger om andre, og bruke til private formål. Dersom data blir overført til annen behandlingsansvarlig, skal denne kun behandle disse opplysningene om det finnes rettslig grunnlag 38
39 Innebygd personvern og personvern som standard art. 25 Tekniske og organisatoriske tiltak F.eks. pseudonymisering Utformet for å ivareta personvernprinsipper F.eks. minimalisering Det minst personverninngripende alternativet som standard: mengde omfang lagringstid tilgjengelighet 39
40 Innebygd personvern og personvern som standard art. 25 Ny plikt for behandlingsansvarlige Knyttes til internkontrollpliktene i art. 24 Sertifisering kan bli brukt som element for å vise etterlevelse 40
41 Oversikt over behandlingsaktiviteter art. 30 Kontaktinformasjon til behandlingsansvarlig Formål Kategorier av registrerte og personopplysninger Kategorier av mottakere Evt. overføringer til tredjeland eller internasjonale organisasjoner, og dokumentasjon på tilstrekkelig beskyttelse Slettefrister Sikkerhetstiltak Databehandlere skal ha tilsvarende oversikt over det de gjør på vegne av ulike behandlingsansvarlige 41
42 Sikkerhet ved behandling art. 32 Risikovurdering Sikkerhetstiltak Pseudonymisering og kryptering av personopplysninger Sikre vedvarende K, I, T og robusthet Gjenoppretting av tilgjengelighet og tilganger ved hendelser Jevnlig testing, vurdering og evaluering Bransjenormer eller godkjent sertifiseringsordning Element for å vise etterlevelse Tiltak for å sørge for at behandling kun skjer på instruks fra behandlingsansvarlig 42
43 Avviksmeldinger art. 33 Skjerpende ihht til dagens praksis Behandlingsansvarlig må melde avvik innen 72 timer. Kan meldes trinnvis. Databehandler melder til behandlingsansvarlig Uklart: kan en databehandler melde inn på vegne av flere behandlingsansvarlige? Stilles krav til innholdet i avviksmeldingen. Vårt skjema i Altinn tar høyde for dette. Lanseres når Altinn har et «vindu» Finnes en uttalelse fra Artikkel 29-gruppen (2014) som skal oppdateres i løpet av året. Gjelder både artikkel 33 og
44 Informasjon til de berørte art. 34 Kravet finnes ikke i dagens regelverk, men ny praksis er gått opp med «GE-sakene» i Personvernnemnda (artikkel på datatilsynet.no) Berørte skal informeres så raskt som mulig, slik at de skal kunne foreta seg noe for å begrense skaden. Unntak i kravet om varsling: Eksisterende tiltak som gjør informasjonen uleselig, f.eks. kryptering Tiltak i ettertid som sikrer at den høye risikoen ikke lengre vil oppstå Uforholdsmessig innsats. Må i stedet informere offentlig eller tilsvarende. 44
45 Vurdering av personvernkonsekvenser art. 35 Vurdering av personvernkonsekvenser (DPIA) er en prosess for å bygge og demonstrere etterlevelse av regelverket. Av hvem? Behandlingsansvarlig. PVO kan bidra. Når? Før en behandling starter eller før utviklingsstart. Når skal den oppdateres? Ved endring av risiko eller kontekst. Når skal man be om en forhåndsdrøftelse av Datatilsynet? Når DPIA bekrefter at risikoene er høye. I hvilke tilfeller? Høy risiko for den enkelte og påkrevd i Art. 35 (3) 45
46 Vurdering av personvernkonsekvenser art. 35 Det er flere typetilfeller der det er nødvendig å utrede personvernkonsekvenser: systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser behandling av sensitive personopplysninger i stort omfang systematisk overvåking av offentlig område i stort omfang I tilfelle man er i tvil anbefaler vi å utføre en DPIA. Datatilsynet må publisere liste over når det er påkrevd. Datatilsynet kan publisere liste over når det ikke er påkrevd. 46
47 Vurdering av personvernkonsekvenser art. 35 Vurderingen skal som minimum inneholde: Systematisk beskrivelse av behandlingen, formål, og evt. hvilken berettiget interesse den ivaretar. Vurdering av nødvendighet og forholdsmessighet, sett opp mot formålet. Vurdering av risikoen for rettigheter og frihet til registrerte. Tiltak som skal iverksettes for å redusere risikoen. 47
48 Forhåndsdrøftelser Art. 36 Artikkelen baserer seg på at det er gjennomført en DPIA og at det er høy risiko som ikke kan reduseres. Det stilles krav til dokumentasjon som skal sendes inn til oss Forordningen stiller krav til vår behandlingstid 8 uker, kan forlenges innen én mnd (må begrunnes) til ytterligere 6 uker Vi kan veilede eller forby behandlingen Artikkel 36 (5) kan relateres til dagens konsesjonsbehandling. Nasjonal rett kan kreve at behandlingsansvarlig skal drøfte og innhente forhåndstillatelse - behandlinger i allmenn interesse, herunder social protection og public health. 48
49 Atferdsnormer art. 40 Artikkelen er en utvidelse av dagens regelverk - 42 pkt 6 Datatilsynet skal oppmuntre til utarbeidelse av normer, for å sikre effektiv etterlevelse av forordningen, særlig mht konkrete karakteristikker av behandlinger i ulike sektorer og av særlige behov for mikro, små og mellomstore virksomheter. I artikkel 40 (2) nevnes det eksempler på hva som kan spesifiseres i en norm, som blant annet: Rettferdig og åpen behandling, innsamling av personopplysninger, pseudonymisering, informasjon, varsling av avvik, overføring til tredjeland m.v. 49
50 Atferdsnormer art. 40 Utkast, endringer eller utvidelser av normer sendes til Datatilsynet for godkjenning. Vi registrerer og offentliggjør. Dersom flere land berøres av normen er det en prosess hvor kompetent myndighet sender til EDPB, som gir sin uttalelse til kommisjonen, som kan beslutte å godkjenne allmenn gyldighet. Offentliggjøres av kommisjonen. EDPB har register med godkjente normer. DTmå få på plass rutiner for håndtere prosessen med å godkjenne normer. 50
51 Kontroll av godkjente atferdsnormer art. 41 Vi kan akkreditere et organ som skal kontrollere at normen følges. Krav til at et organ kan akkrediteres: Vist at det er uavhengig og har sakkunnskap Etablert rutiner for å vurdere at behandlingsansvarlige og databehandlere oppfyller vilkår, overvåke overholdelse og regelmessig gjennomgang av reglenes virkemåte Etablert rutiner og struktur for klagehåndtering, og er åpen om rutiner og strukturer. Vist, på en måte som oppfyller Datatilsynets krav, at oppgavene eller pliktene ikke fører til en interessekonflikt. Uklart i artikkel 41 (6): Denne artikkel får ikke anvendelse på behandling utført av offentlige myndigheter og organer. Vi må få på plass rutiner for å akkreditere og kontrollere. 51
52 Sertifisering art. 42 Fortalen (100): For å øke åpenheten og overholdelsen av denne forordning bør det oppmuntres til opprettelse av sertifiseringsmekanismer og personvernsegl og -merker, slik at de registrerte raskt kan vurdere nivået for vern av personopplysninger som relevante produkter og tjenester omfattes av. Behandlingsansvarlige og databehandlere som forplikter seg til sertifisering, skal inngå bindende og håndhevbare forpliktelser om å anvende egnede garantier med hensyn til de registrertes rettigheter. 52
53 Sertifisering art. 42 Sertifiseringsorgan eller Datatilsynet må ha prosedyrer for å utstede sertifisering, basert på kriterier fra DT eller EDPB. EDPB skal ha et offentlig register over sertifiseringsmekanismer, segl og merker En sertifisering gjelder for maks tre år, men kan fornyes eller trekkes tilbake. Kommer veiledning fra Artikkel 29-gruppen 53
54 Sertifiseringsorganer art. 43 Sertifiseringsorgan akkrediteres av tilsynsmyndigheten og/eller et nasjonalt akkrediteringsorgan. Maks fem år, men kan fornyes. Krav til at et organ kan akkrediteres: Vist at det er uavhengig og har ekspertise Respektere kriterier i artikkel 42 (5) og godkjent av tilsynsmyndigheten eller EDPB Etablert rutiner for utstedelse, regelmessig revisjon og tilbaketrekking av sertifisering, segl og merker Etablert rutiner og struktur for klagehåndtering, og er åpen om rutiner og strukturer. Vist, på en måte som oppfyller Datatilsynets krav, at oppgavene eller pliktene ikke fører til en interessekonflikt. 54
55 Sertifiseringsorganer art. 43 Sertifiseringsorgan skal informere Datatilsynet om begrunnelse for sertifisering eller tilbaketrekking Datatilsynet skal offentliggjøre krav (art. 43 (3)) og kriterier (art. 42 (5)), og oversende til EDPB, som samler i et register og offentliggjør. Kommisjonen kan fastsette krav for sertifiseringsmekanismer og vedta gjennomføringsakter som bestemmer tekniske standarder for sertifiseringsmekanismer, segl og merker, samt ordninger som skal fremme og anerkjenne disse. Kommer veiledning fra Artikkel 29-gruppen 55
56 Helse spesielt
57 Generelt om helseopplysninger i forordningen Definisjoner: art 4: helseopplysninger (pkt 15), biometriske opplysninger (pkt 14), genetiske data (pkt 13) Medlemsland kan utarbeide eller videreføre særlige vilkår, herunder begrensinger fra rettigheter og plikter når behandlingen omhandler genetiske, biometriske eller helseopplysninger (art. 9.(4)) Hjemmel i lov (eller forskrift fortale 41) Særlovgivning bør være tydelig og presis og dens anvendelse forutsigbar for de det gjelder (jf rettspraksis) krav til innhold fremgår av art 6(3) Bør ikke hemme den frie utvekslingen av personopplysninger i EU, når disse betingelser angår grenseoverskridende behandling av helseopplysninger (fortale 53) 57
58 Spørsmål fram mot 2018 Er særlovgivningen forenelig med GDPR? Er det mulig å videreføre reglene til tross for uforenlighet? Ønsker vi å beholde særbestemmelsene? Hvordan? Hvem er initiativtaker? Når er spesiallovgivning til hinder for den frie flyten av opplysninger innen EU? 58
59 Primær bruk av opplysningene pasientjournal Generell forbud i art 9 (1), med minst ett av behandlingsgrunnlagene i art 9 (2) gjelder: (a) uttrykkelig samtykke (g) vesentlige samfunnsinteresser (i) forebyggende sykdomsbehandling, medisinsk diagnose, sykepleie eller pasientbehandling eller for forvaltning av helsetjenester, og opplysningene behandles av helsepersonell med taushetsplikt Tydeligere krav til informasjon: Alle opplysnigner som er nødvendige for at sikre en rimelig og gjennomsiktig behandling 59
60 Samtykke «iverksette egnede tiltak for at» Fortale 43: frivillighetskravet ikke oppfylt: hvis der er en klar skjevhet mellom den registrerte og den behandlingsansvarlige, særlig hvis den BA er en offentlig myndighet; hvis det ikke er mulig å gi særskilt samtykke til forskjellige behandlingsaktiviteter, selv om det er hensiktsmessig i det enkelte tilfelle. FORM Samtykke = handling Barna under myndighetsalder- skal ha mulighet til å autentisere «den voksne» Anmodninger som fremlegges elektronisk må også være klare konsise og ikke unødvendig forstyrrende for bruken av tjenesten Å trekke tilbake samtykket skal være like enkelt som det har vært å avgi det, jf 7 3.ledd Bredd samtykke lovfestes (fortale 33)- fleksibilitet 60
61 Sekundær bruk etter GDPR- forskning og kvalitetssikringsregistre Hovedregelen art 6(4) er at gjenbruk av helseopplysningene krever (gyldig) samtykke eller hjemmel i lov Foreligger ikke dette, kan opplysningene gjenbrukes kun til kompatible formål Forenlighetstest i art 6(4) Er formålet forenlig, kreves ikke ny behandlingsgrunnlag (fortale 50) Informasjonsplikten består (art 14) MEN: arkivformål i samfunnets interesse, vitenskapelige eller historiske forskningsformål eller statistiske formål er forhåndsdefinert som forenelige lovlige behandlingsaktiviteter (fortale 50) 61
62 «Blanco-fullmakt» til forskning på helseopplysninger? NEI Lovens øvrige vilkår for behandling av personopplysninger skal være oppfylt (proporsjonalitet, nødvendighet, nøyaktighet, formålsbestemthet osv) Taushetsplikt gjelder Etiske krav gjelder Grunnlovens 102 («respekt for sitt privatliv mm») Europarådets personvernkonvensjon (108/1981) EMK art 8 (respekt for privatlivet, inngrep av offentlig myndighet må ha hjemmel i lov, det må ha et relevant formål, og det må være nødvendig (forholdsmessig)) 62
63 Er forhåndskontroll mulig? hvis dette er påkrevd etter nasjonal særlovgivning (art 36 (5)): «i forbindelse med en behandling av personopplysninger for å utføre en oppgave i allmeninteresse, herunder behandling i forbindelse med samfunnssikring og folkehelse» påbud om vurdering av personvernkonsekvensene (art 35 (4)- Datatilsynet+ EDPB) «forsterket forhåndsdrøftelse» (art 36 (2))- mulighet for Datatilsynet til å stille ytterligere vilkår til behandlingen eller pålegge tiltak 63
64 Kapittel IX Art (89). forskning Forskning Samtykke Konsesjon? DT gitt høringssvar samt nedsatt arbeidsgruppe knyttet til dette 64
65 Mer om sletting Art (16-20) omhandler sletting og endring Art (17 (2)) sier at du plikter og informere 3dje part om endringer (disse har man stort sett kontroll på) Art (19) krever at du må gjøre det som står i din makt til å endre det som ligger på nett (som du ikke nødvendigvis har kontroll på) I helsesektoren Særlovgivingen vil mest sannsynlig gi føringer her, sånn som i dag 65
66 Testdata
67 Kan reelle data benyttes i testing? Personopplysningsloven gjelder også i testfasen. Dersom det brukes reelle data gjelder personopplysningslovens regler. Det er ikke alltid enkelt å se når man er i en testfase, når man er i en implementeringsfase og når man setter systemer i drift. Man unngår mange problemer ved å bruke anonyme data, men vi forstår at dette ikke alltid kan gjøres gjennom hele prosessen. 67
68 Formål og hjemmelsgrunnlag Behandling av personopplysninger skal ha et formål (jf. personopplysningsloven 11, bokstav b) Testformålet må være forenlig med behandlingsformålet (ansvar: databehandlingsansvarlig) Vilkår for behandling (personopplysningsloven 8): Samtykke fra den registrerte, Jf. personopplysningsloven 2 nr. 7, helseregisterloven 24 Den aktuelle behandlingen av opplysningene er regulert i lov Konsesjon, følger av de øvrige nødvendighetsgrunnene i personopplysningsloven 8 68
69 Testing av konfidensielle personopplysninger Konfidensielle personopplysninger kan omfatte opplysninger som er beskyttet etter forvaltningsloven 13, personopplysningsloven 8 og 9, helsesektorens taushetsbelagte informasjon, beskyttelsesinstruksen, se forskrift til informasjonssikkerhet 4. sikkerhetsloven, se forskrift til informasjonssikkerhet 4 For denne typen opplysninger er det viktig å se om testformål er forenlig med det opprinnelige behandlingsformålet. 69
70 Databehandleravtaler Personopplysningsloven 15: Gir databehandler et behandlingsgrunnlag Databehandleren kan ikke bruke personopplysninger på annen måte enn det som er skriftlig avtalt med den databehandlingsansvarlige. Minstekrav til en databehandleravtale: Angi formål. Beskrive hva databehandler skal gjøre med opplysningene. Bruk av underleverandør. Hvordan ivareta den registrertes rettigheter. Krav til informasjonssikkerhet. Avtalens varighet. Avvikshåndtering 70
71 Krav til testdata etter ny forordning Vurdering av personvernkonsekvenser ved bruk av opplysningene i testing. Gjennomføre en risikovurdering på blant annet: testprosedyre, taushetsplikt, testroller, autentisering, tilgangskontroll, sikring av fysisk medier / utstyr / nettverk /utskrifter, epost/filoverføring, logging og gjennomgang av loggene, hendelseshåndtering, sletting av testdata Sikring må tilfredsstille personopplysningslovens 13 eller andre krav som følger av særlovgivningen. For helse gjelder Normen NB! Det er viktig å huske den registrertes rettigheter, som blir sterkere i ny personvernforordning som gjelder fra mai (foruten formål, vilkår, evnt samtykke osv) 71
72 Eksempel 72
73 Bruk av pasientdata til utvikling av journalsystem Selskap som driftet og utviklet programvare for helsevesenet. Mr. NN hadde lovlig tilgang til journalene med formålet drifte og videreutvikle. Journalene på pasienter fordelt på 21 legekontorer på Vestlandet. Brakte med seg 21 legekontorers fullverdige pasientjournaler. To doktorgradsstipendiater ved NTNU testet i halvannet år sin programvare på pasientjournalene. Saken endte i retten der det kom uttalelser som har interesse for hvor langt man kan gå i å bruke personopplysninger som testdata. Systemutvikling skal baseres på «Donald Duck»-data. Reelle data kan brukes i siste fase i utvikling. Viser til Normen. Stipendiatene brukte basen for å testet vitenskapelige metoder på pasientdata. Grensen mellom helsehjelp, kvalitetsutvikling, systemutvikling og forskning har ulike formål etter loven. Skillet mellom de ulike formålene er langt fra klare. Det er viktig at man sjekker ut grensen mellom det lovlige og ulovlige, og sørger for klarering av sine prosjekter. 73
74 Bruk av pasientdata til utvikling av journalsystem Dom på overtredelse av å ha unnlatt å informere de registrerte om formål, behandling og utlevering, jf. helseregisterloven 24, samt for under særdeles skjerpede omstendigheter behandlet personopplysninger uten konsesjon, jf. personopplysingsloven
75 Normen har to faktaark om test: 75
76 Faktaark 43: Bruk av testdata i systemer som inneholder helse- og personopplysninger Formålet med faktaarket er å sikre konfidensialitet, integritet, tilgjengelighet og kvalitet når testdata brukes i utvikling og test av IT-systemer med helse- og personopplysninger. benytte relevante testdata slik at testene blir så nær opp til virkeligheten som mulig. Der det er mulig bør det benyttes anonymiserte testdata 76
77 Faktaark 48: Informasjonssikkerhet ved utførelse av testing (1) Prosedyre for utførelse av testing Taushetsplikt Egen testrolle (Personlig bruker) Tilfredsstillende autentisering ved ekstern tilgang Sikring av (bærbart utstyr, flyttbare lagringsmedier, WLAN, Utskrifter, fysisk område) Bruk av e-post Beskrivelse av feil og mangler Avviksrapportering 77
78 Datatilsynet.no/forordning
79 Takk for oppmerksomheten! Telefon: datatilsynet.no personvernbloggen.no
Personvernombudsordningen etter GDPR
Personvernombudsordningen etter GDPR Viktigste endringer Fremhevet og lovregulert Skjerpede krav og tydeligere rolle Fra frivillig til obligatorisk for mange Artikkel 37, 38 og 39 i forordningen Retningslinjer
DetaljerNye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017
Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017 Personvern - Hva er det 3 Hva er personopplysninger? Side 4 5 Viktig nytt i forordningen
DetaljerNye personvernregler fra mai 2018
Nye personvernregler fra mai 2018 Personvern Hva er det? Side 2 Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 3 Personopplysninger hvor er de? 4 5 Viktig nytt i forordningen
DetaljerPersonvernombudsordningen etter GDPR
Personvernombudsordningen etter GDPR Viktigste endringer Fremhevet og lovregulert Skjerpede krav og tydeligere rolle Fra frivillig til obligatorisk for mange Artikkel 37, 38 og 39 i forordningen Retningslinjer
DetaljerNye personvernregler fra mai Mars 2017
Nye personvernregler fra mai 2018 25. Mars 2017 Personvern Hva er det? Side 2 Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 3 Personopplysninger hvor er de? 4 5 Bakgrunn Arbeidet
DetaljerPersonvern - Hva er det
Personvern - Hva er det Nye personvernregler fra mai 2018 18. oktober 2017 Side 2 Side 3 5 Side 4 6 1 Viktig nytt i forordningen Materielle krav i regelverket: Innebygd personvern og personvern som standard
DetaljerNye personvernregler fra mai 2018
Nye personvernregler fra mai 2018 25. oktober 2017 Personvern - Hva er det Side 2 Side 3 30.10.2017 Side 4 30.10.2017 5 6 7 Viktig nytt i forordningen Materielle krav i regelverket: Innebygd personvern
DetaljerNye personvernregler fra mai 2018
Nye personvernregler fra mai 2018 27. September 2017 Personvern Hva er det? Side 2 Side 3 03.10.2017 Side 4 03.10.2017 Ny forordning Ny Grunnlovsbestemmelse 102 Personopplysningsloven av 14.4.2000 EU-direktiv
DetaljerNye personvernregler
Nye personvernregler Agenda Hva er personvern og personopplysninger Bakgrunn for nye personvernregler De viktigste endringene fra idag til 2018 Hva nå? - våre forventninger og råd om veien videre Innledning
DetaljerNye personvernregler
Nye personvernregler Nye personvernregler Personvernforordningen GDPR Regulation (EU) 2016/679 Hva er personvern? Beskyttelse av privatlivets fred Ivaretakelse av den personlige integritet Retten til
DetaljerHva betyr det for din virksomhet?
Nye personvernregler i 2018 Hva betyr det for din virksomhet? I 2018 får Norge nye regler for personvern, når EUs forordning erstatter dagens regelverk. Alle virksomheter som behandler personopplysninger
DetaljerNye personvernregler (GDPR)
Nye personvernregler (GDPR) 02.11.2017 Bakgrunn Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøftelse Innebygd personvern
DetaljerUansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018
Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018 Nye personvernregler Personvernforordningen GDPR Regulation (EU) 2016/679 3 Agenda Hva er personvern og personopplysninger Bakgrunn
DetaljerNye personvernregler fra 2018
Nye personvernregler fra 2018 Agenda Personopplysninger Bakgrunn for nye personvernregler Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Innebygd personvern og DPIA Personvernombud
DetaljerNye personvernregler Gullik Gundersen juridisk rådgiver
Nye personvernregler Gullik Gundersen juridisk rådgiver 19.10.2017 Nye personvernregler 1. Om de nye reglene 2. De nye reglene 3. Hva gjør vi nå? 2 Om de nye reglene 3 Om de nye reglene Kommer fra EU («forordning»)
DetaljerKiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg
KiNS seminar for fylkeskommunene 2019 Databehandleravtaler Datatilsynet ved seniorrådgiver Ragnhild Castberg Bakgrunn for nytt personvernregelverk Lik behandling innenfor hele EU/EØS Styrke de registrertes
DetaljerUansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018
Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018 21.09.2017 Agenda Bakgrunn for nye personvernregler De viktigste endringene fra i dag til 2018 Hva nå? våre forventninger og råd
DetaljerNye personvernregler fra mai 2018
Nye personvernregler fra mai 2018 27.04.2017 Datatilsynet Opprettet 1980, lokalisert i Oslo Ca 50 medarbeidere Uavhengig forvaltningsorgan under KMD To roller tilsynsorgan og ombud Regelverk: Personopplysningsloven
DetaljerUansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018
Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018 Nye personvernregler Personvernforordningen GDPR Regulation (EU) 2016/679 2 Agenda Hva er personvern og personopplysninger Bakgrunn
DetaljerNye personvernregler (GDPR)
Nye personvernregler (GDPR) 10.10.2017 Bakgrunn Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøftelse PVO, internasjonalt
DetaljerGDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse
GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse Bakgrunn General Data Protection Regulation (GDPR) ble formelt vedtatt av EU i april 2016 GDPR trer i kraft
DetaljerKrav til informasjonssikkerhet i nytt personvernregelverk
Krav til informasjonssikkerhet i nytt personvernregelverk 8. desember 2017 Informasjonsikkerhet er et ledelsesansvar Sikkerhetsledelse Klare ansvarsforhold Oversikt over det totale risikobildet og beslutte
DetaljerPersonvernforordningen
Personvernforordningen Hvitvaskingskonferansen Advokat Nils Henrik Heen Dagens regelverk EUs personverndirektiv 94/46/EU Personopplysningsloven med forskrift Særlovgivning 2 Personvernforordningen Teknologisk
DetaljerGDPR - viktige prinsipper og rettigheter
GDPR - viktige prinsipper og rettigheter 11.09.2017 Agenda Bakgrunn for nye personvernregler Viktige prinsipper i forordningen Registrertes rettigheter Hva nå? våre forventninger og råd om veien videre
DetaljerNye personvernregler fra 2018 hva betyr det for din virksomhet?
Nye personvernregler fra 2018 hva betyr det for din virksomhet? 11.06.2018 https://www.datatilsynet.no/globalassets/global/regelverk-skjema/forordningen/folder-innsynsplakat.pdf 2 Visste du at.dersom en
DetaljerRusmiddeltesting i arbeidslivet et personvernperspektiv
Rusmiddeltesting i arbeidslivet et personvernperspektiv 20.11.2018 Rusmiddeltesting regelverk Personopplysningsloven og personvernforordningen Generelt regelverk Regulerer all behandling av personopplysninger
DetaljerGDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm
GDPR og ny personvernlovgivning Advokat (H) Torbjørn Saggau Holm Presentasjon Foreleser Kursets innhold Tidsplan ALTA KOMMUNE 09.11.2018 2 Personvern i endring EU Kommisjonen: «Det europeiske personopplysningsregelverket
DetaljerInformasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning
Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning Senioradvokat (PhD) Thomas Olsen Normkonferansen 30. november 2017 www.svw.no GDPR viderefører personvernprinsippene Artikkel
DetaljerNytt personvernregelverk GDPR e-kommunedagen Hordaland
Nytt personvernregelverk GDPR e-kommunedagen Hordaland 2017 24.10.2017 Personopplysninger samles inn om oss, og aktører bruker det i salgs- og reklameøyemed, men også statlig aktører sorterer denne informasjonen.
DetaljerNytt personvernregelverk på 1-2-3
Nytt personvernregelverk på 1-2-3 Hva er en personopplysning? Alt som direkte eller indirekte kan knyttes til en person, for eksempel: navn og telefonnummer observert adferd sporingsdata og IP-adresser
DetaljerEUs nye forordning for personvern
EUs nye forordning for personvern Norsk Arkivråds høstseminar, 2. november 2016 Nye personvernregler 1. Om de nye reglene 2. De nye reglene 2 1. Om forordningen Arbeidet startet i 2012 Vedtatt i 2016 og
DetaljerGDPR - PERSONVERN. Advokat Sunniva Berntsen
GDPR - PERSONVERN Advokat Sunniva Berntsen Hvorfor personvern? Viktig i et demokratisk samfunn EMK artikkel 8 Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.
DetaljerPersonvernforordningen
Personvernforordningen Bankregulatorisk fagseminar Advokat Nils Henrik Heen Personvernforordningen Vedtatt i EU mai 2016 Trer i kraft mai 2018 Teknologisk utvikling Internasjonalisering Fullharmonisering
DetaljerNy EU-forordning: informasjonssikkerhet. Tommy Tranvik
Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling
DetaljerREKRUTTERING OG GDPR
REKRUTTERING OG GDPR Jan Sandtrø, DLA Piper 12. juni 2018 www.dlapiper.com 12. juni 2018 0 Hvor er vi nå? General Data Protection Regulation (GDPR) - "Personvernforordningen" Ny personopplysningslov -
DetaljerNye personvernregler fra mai 2018, hva nå?
Nye personvernregler fra mai 2018, hva nå? Agenda Hva er personvern og personopplysninger Bakgrunn for nye personvernregler De viktigste endringene fra i dag til 2018 Hva nå? våre forventninger og råd
DetaljerNye personvernregler
Nye personvernregler Agenda Nytt personvernregelverk noen viktige endringer Hvordan utfordrer gjenbruk av personopplysninger personvernprinsippene Hva er mulighetene for etterlevelse av det nye regelverket
DetaljerHva gjør så KiNS og KS med GDPR?
1 Hva er KiNS Foreningen Kommunal Informasjonssikkerhet KiNS 2003 Over 200 kommuner/fylkeskommuner Samarbeider nært med KS, Datatilsynet, DiFi, NSM, ehelse, Senter for IKT i undervisningen. KiNS arrangerer
DetaljerPersonopplysningsvern med ProFundo som databehandler
Personopplysningsvern med ProFundo som databehandler 09:00 - Registrering 09:15 - Ny personopplysningslov v/ Therese Fevang 10:00 - Personvernombudsrollen v/ Ove Skåra, fagdirektør, Datatilsynet 10:30
DetaljerGDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger
GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger ? PERSONVERN ANNO 2017 NOE HAR SKJEDD - Robotisering - Digitalisering - Kunstig intelligens VI MÅ GJØRE OSS FORTJENT TIL KUNDEDATAENE
DetaljerPersonvernforordningens krav til bruk av databehandlere
Personvernforordningens krav til bruk av databehandlere Dag Wiese Schartum, SERI/AFIN «behandlingsansvarlig» en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet
DetaljerNye personvernregler fra mai 2018, hva nå?
Nye personvernregler fra mai 2018, hva nå? Agenda Litt om personvern og personopplysninger Bakgrunn for nye personvernregler De viktigste endringene fra i dag til 2018 Hva nå? våre forventninger og råd
DetaljerDatabehandleravtale. Charlotte Lindberg Difi
Databehandleravtale Charlotte Lindberg Difi Hvorfor er denne avtalen så viktig? En databehandleravtale skal sikre at personopplysninger blir behandlet i samsvar med regelverket og setter en klar ramme
DetaljerSteinar Nørstebø, styreleder
1 Steinar Nørstebø, styreleder steinar@kins.no Hva er KiNS Foreningen Kommunal Informasjonssikkerhet KiNS 2003 Over 200 kommuner/fylkeskommuner Samarbeider nært med KS, Datatilsynet, DiFi, NSM, ehelse,
DetaljerOM PERSONVERN TRONDHEIM. Mai 2018
OM PERSONVERN TRONDHEIM Mai 2018 HVORFOR ER VI HER? Ny lovgivning Alle snakker om GDPR Rundreise i alle avdelinger Overordnet innføring i regelverket Hva skjer i NHN Hva skjer med Normen OVERSIKT OVER
DetaljerPersonvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen
Personvern nytt landskap i 2018 #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen Personvernforordningen (General Data Protection Regulation/GDPR) Personvernforordningen på overordnet
DetaljerArbeidsgiverens behandling av personopplysninger om sine ansatte. Personvernforordningen i det daglige. Dana Jaedicke juridisk seniorrådgiver
Arbeidsgiverens behandling av personopplysninger om sine ansatte Personvernforordningen i det daglige Dana Jaedicke juridisk seniorrådgiver Et nytt personvernregelverk er født! (EU 2016/679) PUBLISERT
DetaljerNy forordning om behandling av personopplysninger. Hvordan går det med pasienten?
Ny forordning om behandling av personopplysninger Hvordan går det med pasienten? 14.12.2015 Behovet for regelendringer 2 Idealer møter byråkrati Status 01.december: - 95% ferdig - Gjenstår noe dialog om:
DetaljerInformasjonssikkerhet i forordningen
Informasjonssikkerhet i forordningen 19.10.2016 Agenda Personopplysninger Bakgrunn om forordningen Dagens krav til informasjonssikkerhet Krav til informasjonssikkerhet i nytt regelverk Thinkstock.com 2
DetaljerJuridisk regulering av helseregistre brukt til kvalitetssikring og forskningsformål
Juridisk regulering av helseregistre brukt til kvalitetssikring og forskningsformål HEL-8020-1 Analyse av registerdata i forskning 25. april 2018 Seniorrådgiver/jurist Heidi Talsethagen, SKDE Formål med
DetaljerHva betyr GDPR for forskere. Livet etter GDPR. Camilla Nervik Seniorrådgiver, Datatilsynet
Hva betyr GDPR for forskere Livet etter GDPR Camilla Nervik Seniorrådgiver, Datatilsynet Hva betyr GDPR for forskere? Livet med GDPR Camilla Nervik Seniorrådgiver, Datatilsynet Hva betyr GDPR for forskere?
DetaljerUansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018
Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018 Nye personvernregler Personvernforordningen GDPR Regulation (EU) 2016/679 3 Litt om bakgrunnen for nye regler Hvorfor nye regler
DetaljerEUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye
EUs personvernforordning - hva kreves? #Oppdatert 2017 19. oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye Innhold 1. Personvernforordningen hva er det EU vil og hva er nytt? 2.
DetaljerPersonvern - vurdering av personvernkonsekvenser - DPIA
ID Nfk.4.6.1 Versjon 1.03 Gyldig fra 22.05.2018 Siste versjon 28.05.2018 Forfatter May Moursund Verifisert Jonny Brodersen Godkjent Stig Olsen Side 1 av 8 Se lenker til relevante rutinebeskrivelser til
DetaljerVurdering av personvernkonsekvenser, databehandleravtaler og avvik
Vurdering av personvernkonsekvenser, databehandleravtaler og avvik Personvernforordningen tre måneder inn Gullik Gundersen rådgiver Personvernforordningen i tall 931 avviksmeldinger i 2018, 461 etter 20.
DetaljerNy personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018
Ny personopplysningslov Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018 Det det handler om: Personvernforordningen, fortalen, pkt 1 «Vern av fysiske personer i forbindelse med behandling
DetaljerVurdering av personvernkonsekvenser (DPIA)
Vurdering av personvernkonsekvenser (DPIA) 05.06.2019 Lovlighet, rettferdighet og åpenhet Formålsbegrensning Art. 5 Riktighet Dataminimering Integritet og konfidensialitet Ansvar Lagringsbegrensning Borgernes
DetaljerNy personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter
Justis- og beredskapsdepartementet Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter 8. juni 2018 Anne Sofie Hippe og Jon Lunde Oversikt Kort
DetaljerDel 2. Fagdag GDPR - Arkiv Troms
For mer info, hjelp, opplæring, GDPR-prosjekt osv kan du kontakte meg på: Email: Ole.Mikalsen@itpartner.no, mobil: 99287081 Del 2 Fagdag GDPR - Arkiv Troms Fokus på ny personopplysningslov og personvern
DetaljerDatabehandleravtale for NLF-medlemmer
Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av
DetaljerSanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016
Sanksjoner ved overtredelse av personvernforordningen Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016 www.svw.no Oversikt Overblikk forordningen Klagemulighet til Datatilsynet
DetaljerPersonvern i digitalisering av forvaltningen
Personvern i digitalisering av forvaltningen En varde av ettertanke «Slik kan man ( ) tenne en varde av ettertanke ved den stadig sterkere automatiseringen innen offentlig forvaltning. Hvordan kontrollerer
DetaljerPersonvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)
Personvernerklæring 1. Om personverndokumentet Dette dokumentet skal bidra til at vi etterlever lov om personopplysninger fra 1.juli 2018. Dokumentet skal også bidra til å påvise at vår behandling av personopplysninger
DetaljerNormkonferansen 2017 (GDPR) Juridisk opplæring personvern
Normkonferansen 2017 (GDPR) Juridisk opplæring personvern 30. november 2017 Marit Larsen Haarr Juridisk rådgiver Direktoratet for e-helse Juridisk opplæring oversikt A Hva skjer på personvernområdet nå?
DetaljerNye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen
Nye personvernregler fra mai 2018 - Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen Bakgrunn Ny personvernforordning vedtatt i EU 14. april 2016 Trer i kraft
DetaljerPersonvernperspektivet og oppbevaring av intervjumateriale
Personvernperspektivet og oppbevaring av intervjumateriale Det 8. norske arkivmøte Maren Magnus Voll Personvernombud Personvern hva er det? Retten til privatliv en menneskerettighet Vi eier opplysninger
DetaljerSkytjenester og nytt personvernregelverk
Skytjenester og nytt personvernregelverk 15.02.2017 Agenda Personopplysninger Skytjenester Problemstillinger som må vurderes Nytt personvernregelverk Thinkstock.com 2 Personopplysninger Hva er person(opplysnings)vern?
DetaljerPersonvern - behandlingsgrunnlag etter personopplysningsloven
ID Nfk.4.14.1 Versjon 1.04 Gyldig fra 29.06.2018 Siste versjon 16.11.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Personvern - behandlingsgrunnlag etter personopplysningsloven Side 1 av 5
DetaljerEksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)
Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag 30.11.2012 Kl 10-16 (6 timer) Bokmål Oppgave 1. I regjeringens IKT-politikk og spesielt i Digitaliseringsprogrammet er bruk av felleskomponenter
DetaljerGDPR Hva, hvordan og når
GDPR Hva, hvordan og når General data protection regulation / EU forordning/direktiv 95/46/EC EØS avtalen pålegger Norge å sikre samsvar med norsk lov Inntas som norsk lov igjennom henvisning i nåværende
DetaljerDen nye personvernsforordningen. Kristin Sæther Bangsund, Seniorrådgiver, EFTAs Overvåkningsorgan (ESA)
1 2 3 4 5 Den nye personvernsforordningen Kristin Sæther Bangsund, Seniorrådgiver, EFTAs Overvåkningsorgan (ESA) Bakgrunn og tema Hovedtema: hva innebærer de nye reglene Norge/EØS? for bedrifter som opererer
DetaljerKunden er behandlingsansvarlig Unifaun er databehandler
DATABEHANDLERAVTALE Kunden er behandlingsansvarlig Unifaun er databehandler 1 FORMÅL OG GYLDIGHETSPERIODE 1.1 Denne databehandleravtalen er en integrert del av den avtalen, som når det er aktuelt, er komplettert
DetaljerFagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019
Fagseminar og nettverkssamling personvern Quality Hotel Leangkollen 28.-29. mai 2019 Vurdering av personvernkonsekvenser (DPIA) 28.05.2019 The Nagel s Hvilke behandlingsaktiviteter er omfattet av en DPIA?
DetaljerNytt regelverk, nye muligheter og masse avviksmeldinger!
Nytt regelverk, nye muligheter og masse avviksmeldinger! 06.11.2018 Agenda Bakgrunn Prinsipper og regelverkskrav Avviksmeldinger 2 Hva er person(opplysnings)vern? Hva er det vi forsøker å beskytte? Er
DetaljerPersonvern - sjekkliste for databehandleravtale
ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten
DetaljerDatabehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.
I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale mellom xxx (behandlingsansvarlig) og Eigersund kommune (databehandler) Innhold 1. Om
DetaljerNy personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018
Ny personopplysningslov Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018 Ny lov og forordning GDPR General Data Protection Regulation Personvernforordningen I kraft i EU 25. mai 2018 Ny Personopplysningslov
DetaljerAvtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)
Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig
DetaljerForum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim
Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse Personvernombud Marianne Seim Personvern Ny personvernlovgivning: Personopplysningsloven av 20. juli 2018. EUs personvernforordning (GDPR)
DetaljerGDPR. Status og veien videre. Inge V. Bakken. 12. April 2018
GDPR Status og veien videre Inge V. Bakken 12. April 2018 GDPR EUs personvernforordning (GDPR Generell Data Protection Regulations) Om arbeidet så langt ved SSHF. Noen hovedelementer i ny personvernlovgivning
DetaljerUniversitetet i Oslo Universitetsdirektøren
Universitetet i Oslo Universitetsdirektøren Til Fra Universitetsstyret Universitetsdirektøren Sakstype: Vedtakssak Møtesaksnr.: V-sak 8 Møtenr.: 7/2018 Møtedato: 23. oktober 2018 Notatdato: 2. oktober
DetaljerKliniske studier mars Nye personvernregler Camilla Nervik Seniorrådgiver, Datatilsynet
Kliniske studier 2018 14. mars 2018 Nye personvernregler Camilla Nervik Seniorrådgiver, Datatilsynet Veien gjennom GDPR til lovlig behandling 1) Prinsipper 2) Behandlingsgrunnlag 3) Unntak fra forbud
DetaljerSporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler
Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,
DetaljerPersonopplysningsloven (GDPR) 5. desember 2017
Personopplysningsloven (GDPR) 5. desember 2017 Advokat/partner Håkon Knudsen Advokatfullmektig Silje Fagerhaug www.svw.no Program 0945-1045 10.45-11.00 11.00-12.00 12.00-13.00 13.00-14.15 14.15-14.45 14.45-15.15
DetaljerNye personvernregler
Nye personvernregler Rollen som tillitsvalgt Akademikerforeningenes tillitsvalgtkurs Soria Moria 15. og 16. januar 2018 Ellen Røyneberg, Legeforeningen Agenda Grunnleggende om personvern Personvernforordningen
DetaljerAnsvarlighetsprinsippet og virksomhetens plikter
Ansvarlighetsprinsippet og virksomhetens plikter Ansvarlighet og internkontroll Nøkkelen til etterlevelse (accountability)? Artikkel 5 (2) accountability Den behandlingsansvarlige er ansvarlig for og skal
DetaljerDatabehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"
Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes
DetaljerAVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER
AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER (HERETTER OMTALT SOM «AVTALEN») Databehandleravtale for drift
DetaljerHvilken betydning har personvernforordningen på helseområdet
Helse- og omsorgsdepartementet Hvilken betydning har personvernforordningen på helseområdet Sverre Engelschiøn Oslo 7. desember 2018 Et eksempel - bivirkningsarbeid q Med bivirkning forstås skadelig og
DetaljerNORID - Registrarseminar 26. april 2017
NORID - Registrarseminar 26. april 2017 26.04.2017 Bakgrunn for ny personvernforordning Arbeidet startet i 2012 Vedtatt i 2016 og trer i kraft i 2018 Felles regelverk for personvern i Europa Styrke den
DetaljerInstruks for personvernombud ved OsloMet
Instruks for personvernombud ved OsloMet Instruks 01.02.2019 Fastsatt av: HR-direktøren Side 1 av 6 1. Innledning Instruks for personvernombudet ved OsloMet storbyuniversitetet, definerer rolle, ansvar
DetaljerDatabehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021
Kapittel 9 Versjon 1.0 24.05.2019 Databehandleravtale Side 1 av 10 Innhold Databehandleravtale... 3 1 Avtalens hensikt... 4 2 Definisjoner... 4 3 Formål og rettslig grunnlag... 4 3.1 Formål... 4 3.2 Rettslig
DetaljerGDPR General Data Protection Regulativ
GDPR General Data Protection Regulativ Still gjerne spørsmål underveis... Ingen fullstendig gjennomgang av GDPR... -R-R-R-R!!! GDPR EU: Gjeldende lov fra og med 25. mai Norge (EØS): Skal innkorporeres
DetaljerGDPR HVA ER VIKTIG FOR HR- DATA
GDPR HVA ER VIKTIG FOR HR- DATA Ane Wigers og Kjersti Hatlestad VÅRE MEDLEMMER DRIVER NORGE Forordningen stiller tydelige krav til fremgangsmåte ved behandling av personopplysninger Risikobasert tilnærming
DetaljerDatabehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden
Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden (behandlingsansvarlig) og Norsk Byggtjeneste AS ( databehandler) Revidert
DetaljerAVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)
AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016, Artikkel 28 og 29, jf. Artikkel
DetaljerPersonvern i EPD-Norge
Personvern i EPD-Norge Side 1 Innholdsfortegnelse 1. OM PERSONVERNDOKUMENTET... 3 2. ANSVAR FOR BEHANDLING AV PERSONOPPLYSNINGER HOS OSS... 3 3. KUNNSKAP OVER REGLENE OM PERSONOPPLYSNINGER... 3 4. KARTLEGGING
DetaljerCW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?
CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden? 26.04.2018 Hva er en smart verden? «Politikk er kunsten å hindre folk i å blande seg opp i det som angår dem» Paul Valéry
DetaljerHvordan ivareta personvernet ved skikkethetsvurderinger?
Hvordan ivareta personvernet ved skikkethetsvurderinger? 25.10.2018 Agenda Overblikk over relevante plikter og rettigheter etter personvernregelverket Behandling av personopplysninger i skikkethetsvurderinger
DetaljerDATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".
Denne Databehandleravtalen utgjør et vedlegg til Telia Bedriftsavtale, og omfatter all behandling av personopplysninger som Telia Norge AS utfører på vegne av Kunden som databehandler, med mindre annet
Detaljer