Nye personvernregler frokostseminar for MedTek

Transkript

1 Nye personvernregler frokostseminar for MedTek Espen Sandvik Partner Andreas Nordby Partner

2 2

3 Nedtellingen er i gang... 3

4 Det kommer til å gå bra! 4

5 Tema for dagen Hva er personopplysninger? Og hva er sensitive personopplysninger? Hvilke krav stilles til behandling av personopplysninger? Kunder/leverandører Ansatte Pasienter/brukere Hva slags dokumentasjon må utarbeides? Hva er risikoen dersom reglene overtres? Hvordan kan godt personvern (også) bli et konkurransefortrinn? 5

6 Status General Data Protection Regulation («GDPR») vedtatt 27. april 2016 Trer i kraft 25. mai 2018 i hele EU Sentralt formål: like regler i hele Europa (med noen unntak) Ikke vedtatt i Norge Lovforslag om gjennomføringen i Norge har vært på høring Legges opp til ikrafttredelse 25. mai 2018 Erstatter/endrer hvilke regler? 6

7 Nye regler...eller gamle? Delvis videreføring av loven fra 2001 Hovedprinsippene de samme Personvern er et gammelt prinsipp Filmen «To mistenkelige personer» forbudt i 1951 Lovgivningen drives av den teknologiske utviklingen 1990-tallet: Internett fører til første EU-direktiv 2017: Smartphones, Big Data, Internet of things Økt overvåkningsfare Økt spredningsfare 7

8 Hvorfor har vi regler om personvern? Retten til et privatliv, retten til ikke å bli sett/overvåket Personopplysninger kan misbrukes usanne personopplysninger kan ha store negative konsekvenser sanne personopplysninger kan ha stor økonomisk verdi summen av og sammenkoblingen av personopplysninger kan gi svært mye informasjon om en person Grunnleggende rettighet: Inntatt i EU-trakten, basert på EMKs bestemmelser om retten til et privatliv 8

9 Spredningspotensialet i ny teknologi 9

10 Overvåkningspotensialet i ny teknologi Artikkel på TV2.no, 9. mai 2017 Artikkel på fstoppers.com 7. juni

11 Hva er nytt med de nye reglene? Dramatisk økning i sanksjonsnivå: Euro 20 millioner eller 4 % av global årsomsetning Men hva blir sanksjonen i praksis? Mer detaljregulering og tilstramminger Regelverket øker fra 20 til 88 sider Dokumentasjonskravene øker Noen nye prinsipper: Privacy by design og default Dataportabilitet (retten til å ta med seg sine egne personopplysninger) Mer omfattende ansvar for databehandlere Meldeplikten til Datatilsynet faller bort 11

12

13 Hva er en «personopplysning»? Definisjonen: «enhver opplysning om en identifisert eller identifiserbar fysisk person - Konkrete faktiske opplysninger (alder, kjønn osv.) - Oppfatninger og preferanser - Uttalelser - Adferd og adferdsmønster - Prestasjoner og vurderinger Anonymiserte og pseudonymiserte opplysninger 13

14 Hva er «sensitive» personopplysninger? Sensitive personopplysninger («særlige kategorier») betyr: Rasemessig eller etnisk opprinnelse Politisk oppfatning Religion Fagforeningsmedlemskap Seksuelle forhold eller orientering Genetiske og biometriske opplysninger brukt for å identifisere noen Helseopplysninger opplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand 14

15 Virkeområdet for reglene Gjelder enhver «behandling» av «personopplysninger» Unntak når rent personlig (= ikke i jobb) Unntak når behandlingen ikke er «automatisert» (håndnotater og skrivemaskin) I praksis: - Gjelder det meste man gjør i jobbsammenheng med mobil eller PC - Alle virksomheter behandler personopplysninger (hver dag) 15

16 Hva er «behandling»? Definisjon: «enhver operasjon... som gjøres med personopplysninger... f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller annen former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring» Det vil si at reglene gjelder når personopplysninger kommer inn og går ut og alt som skjer med opplysningene i mellomtiden 16

17 «Persongalleriet» «Registrerte» - den personopplysningen gjelder «Behandlingsansvarlig» - den som behandler personopplysningene «Databehandler» - den som behandler personopplysninger på vegne av den behandlingsansvarlige («kontraktsmedhjelper») 17

18 Bruk av databehandlere «...en...som behandler personopplysninger på vegne av den behandlingsansvarlige» F.eks. outsourcing av IT-drift F.eks. ekstern HR-database I utgangspunktet tillatt, men: Behandlingsansvarlig forblir ansvarlig Kan ikke velge hvem som helst Må inngå databehandleravtale (med div. krav til innhold) Skal opptre etter instruks + hjelpe til å overholde loven Databehandleren har i tillegg egne plikter 18

19 Hovedprinsippene i reglene 1) «Lovlighet» 2) «Rettferdighet» 3) «Gjennomsiktighet» 4) «Formålsbegrensning» 5) «Dataminimering» 6) «Riktighet» 7) «Lagringsbegrensning» 8) «Integritet og fortrolighet» 9) «Ansvar» Andre viktige prinsipper: Personvernet «innebygd» og «standardinnstilling» 19

20 Hva er lov og ikke lov? Utgangspunktet: Behandling av personopplysninger er forbudt! Må ha hjemmel/«behandlingsgrunnlag» Finnes grunnlag for mye... men ikke alt Hva betyr dette i praksis? Det du gjør må sjekkes opp mot hjemlene i loven Forutsetter kartlegging/bevissthet Alle har personopplysninger om kunder/leverandører og ansatte Noen har opplysninger om pasienter/brukere 20

21 Når gir loven hjemmel for behandling? Grunnleggende den registrerte kan samtykke til behandlingen av personopplysninger Samtykke «frivillig, spesifikk, informert og utvetydig viljesytring» Frivillig vurdering av «koblingshandel» Spesifikt alle aktiviteter og alle formål må være omfattet Informert Utvetydig Husk at samtykker kan trekkes tilbake 21

22 Når gir loven hjemmel for behandling? Oppfylle avtale: «nødvendig for å oppfylle en avtale som den registrerte er part i...» Oppfylle rettslig plikt «nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige» Interesseavveining: «nødvendig for...berettigede interesser som forfølges av den behandlingsansvarlige eller en tredjepart... med mindre den registrertes interesser eller...rettigheter...går foran» 22

23 Når gir loven hjemmel for behandling av sensitive personopplysninger? Kan ikke behandles ut fra interesseavveining, men blant annet ved Samtykke (som må være frivillig osv.) Opplysninger registrert selv (åpenbart) har offentliggjort Oppfylle arbeidsrettslige/sosialrettslige plikter eller som ledd i medisinsk behandling 23

24 Krav til angivelse av formålet med behandlingen 24

25 Gjenbruk av personopplysninger? 25

26 Overføringer av data til utlandet Eksempler: 1) Back-up lagring på servere i utlandet 2) Datalagring hos morselskapet i utlandet Overføring utenfor EU/EØS i utgangspunktet forbudt. Unntak: 1) Godkjente tredjeland, 2) Samtykke, 3) EU modellavtaler, 4) Binding Corporate Rules, 5) US privacy shield, 6) Adferdsnormer/sertifisering, 7) Tillatelse fra Datatilsynet, 8) Nødvendig oppfyllelse av kontrakt, 9) Rettskrav, 10) Berettigede interesser i enkelttilfeller m/melding Datatilsynet Praktisk tilnærming: 1) Kartlegg om faktisk overfører personopplysninger til utlandet, 2) Skaff om nødvendig grunnlag 26

27

28 Når loven først får anvendelse... Regler om hva som er lov og ikke lov - Må ha en form for grunnlag (=rettferdiggjøring) - Formålet setter begrensninger Papirmølla: - Dokumentasjon påvise at overholder loven - Formålsangivelser - Informasjon til registrerte - Samtykkeerklæringer - Avtaler med databehandlere - Avtaler om overføring til utlandet Krav til sikkerhetstiltak basert på risikovurderinger Ennå mer dokumentasjon Overholdelse av registrertes rettigheter - Innsynsrett, krav på sletting, retting, dataportabilitet, osv. 28

29 Risikovurderinger og sikkerhetstiltak Plikt til «egnede tekniske og organisatoriske tiltak» Hvorfor sikkerhet? - Prinsipper om riktighet, integritet og konfidensialitet - Uautorisert tilgang eller utlevering, tap/skade mm Forutsetter risikovurdering/kjennskap til hva har/gjør Hvor god må sikkerheten være? - «...for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen» Hva betyr det? Hva slags tiltak er aktuelle? IT-sikkerhet, fysiske tiltak, pseudonymisering. Dokumentasjonskrav 29

30 Men husk at det (også) handler om mennesker... 30

31 Organisatoriske krav Plikter å: «gjennomføre egnede...organisatoriske tiltak for å sikre og påvise»... at loven overholdes Lite konkret angitt hvilke tiltak som er nødvendige Forholdsmessighetsprinsipp Ansvarsfordeling/plassering noen må ta seg av dette! Personvernombud (rådgiver)? Instrukser/policies og rutiner for oppfølgning Opplæring? Tilgangskontroll/regler 31

32 Plikten til å overholde registreres rettigheter Plikt til å gi informasjon Eks. «employee privacy notice» Privacy policy på nettside Krav på innsyn Krav på retting Krav på sletting (retten til å bli glemt) Krav på begrensning/innsigelse Krav på dataportabilitet Krav på «menneskelig» inngripen ved automatiserte avgjørelser Hvordan håndtere dette? 32

33 Dataportabilitet Hvis behandlingen skjer basert på avtale eller samtykke Den registeret har rett til å motta opplysninger om seg selv og overføre disse til en annen databehandler Skal være i et strukturert, alminnelig anvendt og maskinlesbart format Kan kreve overføring direkte til en ny databehandler hvis det er teknisk mulig 33

34 Vit hva du har hvor... 34

35 Personvern for leverandører/kunder Relevant for alle virksomheter Leverandøren/kunden er typisk en juridisk person som består av fysiske personer (som det er knyttet personopplysninger til) Reguleringen ikke like gjennomtenkt... 35

36 Personvern på arbeidsplassen Relevant for enhver enten som arbeidsgiver eller arbeidstaker Arbeidsgiver er behandlingsansvarlig: må overholde de generelle reglene, i tillegg til enkelte særregler Arbeidsgiver bør ha særlig fokus på: Begrenset bruk av samtykke fra ansatte Informasjon til de ansatte Tilgangsbegrensninger Kontrolltiltak og overvåkning på arbeidsplassen Innsyn i epostkasse Rutiner ved opphør av ansettelsesforhold 36

37 Personvern for pasienter/brukere Velg den minst inngripende løsningen Begrens mengden data som lagres Velg sanntidsløsning (hvis mulig) Lagre lokalt (hvis mulig). Det vil si er det behov for lagring i skyen? La brukeren ha kontroll over løsningen. Slett data etter bruk Begrens tilgangen til informasjon Innsyn i egne data Dataene bør krypteres Anonymisering av data 37

38

39 Meldeplikt ved brudd på personopplysningssikkerheten Omfatter utilsiktet/ulovlig tilintetgjøring, tap, endring eller spredning av personopplysninger Plikt til å melde fra til tilsynsmyndigheten innen 72 timer Nærmere krav til innholdet i meldingen (karakteren av bruddet, hvem som er berørt osv.) Hvis bruddet vil medføre «en høy risiko for fysiske personer rettigheter og friheter», også plikt til å melde fra til de registrerte... 39

40 Hva er risikoen? Risikoen for bøter Risikoen for erstatningskrav Risikoen for stans/omlegging av virksomhet Risiko for svekket omdømme/tap av tillit 40

41 Hvorfor etterstrebe «godt personvern» Konkurransefortrinn i alle fall i noen land Vektlegges av forbrukere i valg mellom tilbydere Relevant i oppkjøps- og salgssituasjoner Gode (og gjennomtenkte) samtykkeerklæringer kan utnytte muligheter i regelverket og skape inntekter 41

42 Hva nå? Hvordan klare å overholde alt dette? Erkjenn at noe må gjøres Plasser ansvar - sett ned team Kartlegg hva bedriften har og gjør med tanke på behandling av personopplysninger og hvorfor. Kartlegg og vurder risiko, sikkerhetstiltak, tilganger og slettingsrutiner. Bør noe endres? Utarbeid nødvendig dokumentasjon Ha systemer for oppfølgning. Personvern = løpende forhold, ikke engangstiltak! 42

43 Sjekkliste Hva slags personopplysninger behandler vi? Hvorfor har vi de personopplysningene vi har? Hvordan behandler vi personopplysningene? Har vi tilstrekkelig sikkerhet? Hvor lenge lagrer vi personopplysninger? Overfører vi personopplysninger ut av EU? Har vi informert det de gjelder? Har vi rutiner for å håndtere henvendelse fra de det gjelder? 43

44 Personvernhåndbok/bruk av maler? Alt-i-ett løsning? Veileder for hva man skal lete etter når kartlegger hva man (faktisk) gjør Gir utgangspunkt for prinsipper og tiltak som kan implementeres Fungerer som dokumentasjon for overholdelse 44

45 45

46