Nye personvernregler Rollen som tillitsvalgt Akademikerforeningenes tillitsvalgtkurs Soria Moria 15. og 16. januar 2018 Ellen Røyneberg, Legeforeningen
Agenda Grunnleggende om personvern Personvernforordningen hva er nytt? Noen utvalgte spørsmål Sensitive opplysninger Håndtering av personopplysninger, f eks medlemslister, kursinformasjon, informasjon fra enkeltsaker m.v. Fysisk og teknisk sikring 16.01.2018 Ellen Røyneberg
1. Grunnleggende om personvern
Definisjoner Personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson alle opplysninger om medlemmer eller andre Sensitive personopplysninger: blant annet fagforeningsmedlemskap Behandling: enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering Behandlingsansvarlig: den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes Databehandler: den som behandler personopplysninger på vegne av den behandlingsansvarlige Den registrerte: den som personopplysninger kan knyttes til Samtykke: Frivillig, uttrykkelig og informert
Noen utvalgte personvernprinsipper Forholdsmessighet opplysningene skal være tilstrekkelig og relevant ikke mer enn nødvendig Krav til rettslig grunnlag, personopplysningsloven 8 og 9 - samtykke, lov, avtale, interesseavveining vær særlig varsom i forbindelse med utlevering Formålsprinsippet Bare behandles for uttrykkelig angitte formål, og ikke senere formål som er uforenlig med det opprinnelige Informasjonssikkerhet (konfidensialitet, integritet og tilgjengelighet og med forordningen, krav til «state of the art» teknologi for å ivareta sikkerheten)
Informasjon og innsyn Informasjon uoppfordret Om den behandlingsansvarlige, formålet med behandlingen, informasjon om utlevering, om det er frivillig å gi fra seg opplysningene og annet som gjør den registrerte i stand til å ivareta sine rettigheter. Poenget: du skal vite hva som skjer med dine personopplysninger Innsyn etter innsynsforespørsler Den behandlingsansvarlige og dennes representant har rett til informasjon om formål, typen personopplysninger som behandles, hvor opplysningene er hentet fra og om personopplysningene vil bli utlevert/hvem som er mottaker
Utlevering, sletting og tilgangskontroller Utlevering krever et grunnlag - alltid vurdere utlevering opp mot formålskravet og kravet til rettslig grunnlag Har medlemmet avgitt et frivillig, uttrykkelig og informert samtykke? Er det for å ivareta en rettslig forpliktelse? Er det innenfor formålet med medlemskapet? Her bør man vise varsomhet. Aldri utlever informasjon om medlemmer ukritisk! Dersom du er i tvil, er det bedre å undersøke nærmere/spørre. Lagring: Personopplysninger skal "ikke lagres lenger enn det som er nødvendig ut i fra formålet med behandlingen" Tilgang: Sørg for at ikke fler enn nødvendig har tilgang til opplysningene
2. PERSONVERNFORORDNINGEN
GDPR og ny norsk personvernlov Vedtatt i mai 2016 Skal tre i kraft i EU 25. mai 2018 Direkte EØS-relevant Norge er forpliktet til å implementere den Forordning dvs. lite nasjonalt spillerom Noen endringer, men det innebærer ingen revolusjon!
GDPR og ny norsk personvernlov - noen hovedpunkter Harmonisering MEN mye er Regelstruktur likt! Betydelig høyere bøtenivå Styrking av de registrertes/individets rettigheter Fler må ha personvernombud, og styrking av denne rollen Nye samtykkekrav Bortfall av melde- og konsesjonsplikt innføring av forhåndsdrøftelser, vurdering av personvernkonsekvenser Innebygget personvern Betydningen av bransjenormer Databehandlerens rolle endres Hovedendringen for dere: større fokus på personvern Viktig å ha et bevisst forhold til regelverket!
Noen særlige problemstillinger i rollen som tillitsvalgt
Sensitive personopplysninger Blant annet: fagforeningsmedlemskap, helseforhold, seksuelle forhold, rasemessig eller etnisk bakgrunn, eller politisk filosofisk eller religiøs oppfatning Særlige krav stilles til behandlingen Skal som utgangspunkt ikke sendes på e-post uten at det er kryptert Usikkert hvordan det blir med opplysningen om fagforeningsmedlemskap fremover Flere fagforeninger jobber sammen om å få til en særskilt bransjenorm
Medlemslister og annen medlems-/saksinformasjon Tillitsvalgte kan få tilgang til lister over egne medlemmer Oversendelse av listene skal ikke gjøres med ordinær e-post Innholdet på listene karakteriseres som sensitive personopplysninger, og det bør vises stor varsomhet Oppbevaring og lagring Utlevering Begrensning i informasjon som sendes dere Ikke nødvendig at legen oversender informasjon som inneholder opplysninger om pasienter informer om dette før de sender informasjon Oppbevaring av dokumenter Deling av informasjon- samtykke fra medlemmet Når kan dette slettes?
Fysisk og teknisk sikring Vis varsomhet med hvordan du behandler fysiske dokumenter Sikre, låse inn? Makulere? Fysisk tilgang til lokaler? Sending av informasjon på e-post Helseopplysninger og andre sensitive opplysninger bør i størst mulig grad anonymiseres Kryptering