Ny personopplysningslov Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018
Det det handler om: Personvernforordningen, fortalen, pkt 1 «Vern av fysiske personer i forbindelse med behandling av personopplysninger er en grunnleggende rettighet. I artikkel 8 nr. 1 i Den europeiske unions pakt om grunnleggende rettigheter (heretter kalt «pakten») og i artikkel 16 nr. 1 i traktaten om Den europeiske unions virkemåte (TEUV) er det fastsatt at enhver person har rett til vern av personopplysninger om vedkommende selv.»
Ny lov og forordning GDPR General Data Protection Regulation Personvernforordningen I kraft i EU 25. mai 2018 Ny Personopplysningslov I kraft i Norge 20. juli 2018 Forordning: Rettsakt (lov) som får bindende virkning i alle medlemsstater fra et bestemt tidspunkt. Ikke nødvendig med eget lovvedtak i medlemsland Norge bindes ikke automatisk men gjennom endringer i EØS avtalen Ny personopplysningslov 1: EØS avtalen vedlegg XI nr. 5e (forordning (EU) 2016/679) om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike ( ) gjelder som lov med de tilpasningene som følger av vedlegg XI, protokoll 1 og avtalen for øvrig.
Hva er nytt? Nye plikter et ledelsesansvar Forståelig personvernerklæring Vurdere risiko og personvernkonsekvenser Innebygget personvern Nye regler om personvernombud Nye plikter for databehandlere Samarbeid i nettverk og bransjenormer Avvikshåndtering tidsfrister og bøter «Retten til å bli glemt» Mange prinsipper fra gjeldende lov og direktiv videreføres
Forholdet mellom ny lov og helselovgivningen Elisabeth Vigerust, e helsedirektoratet
Forholdet mellom ny lov og helselovgivningen
Overordnede personvernprinsipper artikkel 5 Lovlighet, rettferdighet og gjennomsiktighet Formålsbegrensning Dataminimering Riktighet Lagringsbegrensning Integritet og fortrolighet Ansvarlighet Artikkel 5 er «innholdsfortegnelsen» til forordningen.
Ikke bare helse Ulike formål: Pasientbehandling Forskning Opplæring Personaladministrasjon Post og arkiv Forordningen, artikkel 5, 1 b: Personopplysninger skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål.
Vurdering av personvernkonsekvenser (DPIA) Vurdering nødvendig dersom behandling av opplysninger vil medføre høy risiko for personers rettigheter og plikter Vurderingen skal gjennomføres før behandlingen Behandlingsansvarlige har ansvaret Kobler på PVO, databehandler, registrerte og andre interessenter Nye behandlinger Ny/endret risiko Organisatoriske endringer DPIA = Data Protection Impact Assessment DPIA erstatter langt på vei konsesjon
Innebygget personvern Tas hensyn til personvern i utvikling og anskaffelse av system eller løsning Brukerne forventer personvern Sjekkliste i sju punkter https://www.datatilsynet.no/regelverk og skjema/lagenye losninger/innebygd personvern/
Personvernombudets (PVO) rolle Flere må ha PVO Skal sikres involvering i personvernsaker Skal støttes i sine oppgaver og få tilstrekkelige ressurser Skal ikke motta instrukser om utførelsen av sine oppgaver De registrerte skal kunne kontakte PVO angående alle personvernspørsmål PVO har taushetsplikt Informasjon og rådgivning Kontrollere Samarbeide med Datatilsynet Kontaktpunkt Forordningens avsnitt 4 omhandler personvernombudet
Protokoll artikkel 30 Navn og kontaktopplysninger til den behandlingsansvarlige Formålene med behandlingen Kategorier registrerte og kategorier av personopplysninger Kategorier av mottakere av opplysninger Eventuell overføring av opplysninger til tredjestat eller internasjonal organisasjon Planlagte tidsfrister for sletting av opplysninger Generell beskrivelse av sikkerhetstiltak Artikkel 30: Hver behandlingsansvarlig ( ) skal føre en protokoll over behandlingsaktiviteter som utføres under deres ansvar.
Hva gjør vi i UNN? Etablert et team for å jobbe med personvern og informasjonssikkerhet (PVO, sikkerhetsfolk og jurist) Informasjon til direktørens ledergruppe I gang med å lage protokoll etter artikkel 30 Ny personvernerklæring Skal gjennomgå hele forordningen for å sikre samsvar med egne prosedyrer Informasjon og opplæring
Norm for informasjonssikkerhet i helsesektoren
Utveksling av informasjon I pasientbehandling Support/Vedlikehold Lovkrav (POL, HPL, PASJL, PBRL, HRL mm Virksomhet vurdere risiko ved bruk aktuell leverandør DPIA? Aktiv beslutte at leverandør kan nyttes
Krav til mottaker Dokumentasjon Styringssystem Internkontroll Organisering og løsning for ivaretakelse informasjonssikkerhet Innenfor EU/EØS Anerkjent at stater behandler personoppl. forsvarlig Forutsatt at krav til dokumentasjon er oppfylt Utafor EU/EØS (enkelte stater er forhåndsgodkjent av EU kommisjonen) Kan kun skje til stater som behandler personoppl. Forsvarlig Tillatelse fra Datatilsynet EUs standardkontrakt
USA Privacy Shield Databehandleravtale og hovedavtale
Det er resultatene for pasienten som teller! Vi gir den beste behandling