EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere Personvern GDPR - Hva er nytt og hva må du gjøre? Maryke Silalahi Nuth Primærmedisinsk uke 22.10.2018
Bakgrunn General Data Protection Regulation (GDPR) ble formelt vedtatt av EU i april 2016 GDPR er direkte gjeldende i EU-land og erstatter nasjonal lovgivning EØS-land: Norge GDPR må inntas i norsk rett «som den er» Kan ikke omformuleres Kan ikke fastsette strengere eller lempeligere nasjonale regler uten grunnlag i GDPR selv Departementet eller Stortinget kan ikke bestemme hvordan forordningen skal forstås Uklarheter må avklares gjennom praksis (tilsynsmyndighetene, nasjonale domstoler og EU-domstolen) Den nye personopplysningsloven trådte i kraft 20.7.2019 Prop. 56 LS Side 2
GDPR blir hovedloven om personvern Alle som behandler helseopplysninger må følge GPDR Mange av de viktigste reglene vil bare stå i GDPR Lov og forskrift kommer i tillegg utfyller, presiserer, skjerper kravene eller gjør unntak fra GDPR Side 3
GDPR-prosjektet i Direktoratet for e-helse Side 4
GDPR-prosjektets scope Internt (inkl. de nasjonale e-helseløsningene) Normen Kommunikasjon mot sektoren Side 5
Nærmere om scopet Internt Normen Kommunikasjon mot sektor De nasjonale e-helseløsningene Kjernejournal E-resept Helsenorge (29 tjenester) Grunndata Internt i direktoratet: HR Økonomi Arkiv Kommunikasjon Intern IT Normens rolle som rettskilde Oppdatering av Normen (hoveddokumentet) Kommunikasjonsplan er utarbeidet i dialog med Helse- og omsorgsdepartementet Veiledning og informasjon til sektoren Publisering på e-helse.no og normen.no Foredrag i etablerte kanaler Møter og foredrag for videreformidlere i sektoren GDPR-seminar GDPR turnè Side 6
Innholdet i GDPR hva er nytt?
Essensen i GDPR Gi innbyggerne tilbake kontrollen over sine personlige data, både hvordan dataene blir behandlet og hva de blir brukt til Beskytte innbyggerne mot personvernkrenkelser og informasjonssikkerhetsbrudd i et stadig mer datadrevet samfunn Side 8
Hva er nytt i forordningen? Prinsipper for behandling av personopplysninger er nå nedfelt som egen bestemmelse i GDPR Styrking av den registrertes rettigheter Nye krav til samtykke Krav til innebygd personvern og personvern som standardinnstilling Krav til vurdering av personvernkonsekvenser DPIA Flere plikter for databehandleransvarlig og databehandler Avvikshåndtering Side 9
Prinsippene for vern av personopplysninger GDPR art. 5 Lovlighet, rettferdighet og åpenhet Formålsbegrensning Dataminimering Riktighet Lagringsbegrensning Integritet og fortrolighet Side 10
Prinsippene for vern av personopplysninger GDPR art. 5 Lovlighet, rettferdighet og gjennomsiktighet Personopplysninger skal behandles på en lovlig, rettferdig og gjennomsiktig måte med hensyn til den registrerte Strengere dokumentasjonskrav også ved muntlig samtykke Formålsbegrensning Personopplysninger skal samles inn for spesifikke formål og ikke viderebehandles på en måte som er uforenlig med disse formålene Dataminimering Personopplysninger skal være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for Side 11
Prinsippene for vern av personopplysninger GDPR art. 5 Riktighet Personopplysninger skal være korrekte og om nødvendig oppdaterte Lagringsbegrensning Personopplysninger skal lagres kun i perioder der de er nødvendige for formålene Begrensninger settes av formålsbeskrivelsen Integritet og fortrolighet Personopplysninger skal behandles på en måte som sikrer tilstrekkelig sikkerhet Side 12
Styrking av den registrertes rettigheter Informasjon Utvidet informasjonsplikt: nye informasjonselementer i art. 13 og art. 14 Innsyn Utvidet innsyn: detaljerte krav i art. 15 Unntak i den nye personopplysningsloven: Retten til informasjon og innsyn etter GDPR artikkel 13, 14 og 15 omfatter ikke opplysninger som i lov eller i medhold av lov er underlagt taushetsplikt Side 13
Styrking av den registrertes rettigheter forts. Retting Retting må skje uten ugrunnet opphold Utfordrende når en annen kilde er masterkilde Sletting Sletting må skje uten ugrunnet opphold Unntak fra den registrertes rettigheter om sletting Rett til sletting gjelder ikke dersom behandling av opplysningene er nødvendig av hensyn til offentligheten når det gjelder folkehelse eller for arkiv, forskning eller statistikk Helsepersonells dokumentasjonsplikt etter helsepersonelloven Side 14
Hva må du gjøre?
STEG 1: Få orden i eget hus
Hva må du gjøre i din virksomhet? Få oversikt over alle behandlinger av helse- og personopplysninger Gjøre en vurdering av hvilke krav i GDPR som ennå ikke er oppfylt og beslutte tiltak Gjennomføre tiltak for å oppfylle krav i GDPR, f.eks. anskaffe eller videreutvikle løsning, oppdatere informasjon til den registrerte osv. Side 17
Prosessen steg for steg Kartlegging GAP-analyse Tiltak Side 18
Maler utviklet i GDPR-prosjektet Kartlegging Mal for kartlegging av behandling av helse- og personopplysninger Rapportmal for kartlegging GAP-analyse Mal for GAP-analyse Rapportmal for GAP-analyse Tiltak Side 19
STEG 2: Få orden på forhold utenfor eget hus Viktig med databehandleravtale!
Hva må du gjøre hvis du bruker databehandler? Hvis du ikke har databehandleravtale Inngå databehandleravtale Hvis du har databehandleravtale Oppdatere databehandleravtale i tråd med kravene i GDPR Side 21
Hvor finner jeg malene fra GDPR-prosjektet? Mal for kartlegging og GAP-analyse (https://ehelse.no/personvern-oginformasjonssikkerhet/eus-personvernforordning/verktoy-for-implementering-av-gdpr) Mal for kartlegging av behandling av personopplysninger Rapportmal for kartlegging Mal for GAP-analyse Rapportmal for GAP-analyse Mal for DPIA Mal for databehandleravtale (https://ehelse.no/mal-for-databehandleravtale) Malene er tilpasset Direktoratet for e-helses behandling av personopplysninger, men kan etter konkret tilpasning brukes i andre virksomheter. Side 22
Huskeliste Få orden i eget hus Skaff deg oversikt over alle behandlinger av personopplysninger i din virksomhet Sett deg inn i kravene i GDPR og hva de betyr for din virksomhet Jobb med å øke bevisstheten om personvern og informasjonssikkerhet i din virksomhet Involvere ledelsen i arbeidet med personvern og informasjonssikkerhet Få orden på forhold utenfor huset Inngå eller oppdatere databehandleravtaler