norsk lovgivning påvirkes av EU s Grete Alhaug, 6. februar 2014 Seminar om registerforskning, Litteraturhuset



Like dokumenter
Revisjon av EUs personverndirektiv - hva innebærer forslagene?

Vår referanse (bes oppgitt ved svar) Dato 12/ /CBR 4. juli Høringsuttalelse EU-kommisjonens forslag til nye personvernregler

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Nye personvernregler

Nye personvernregler

GDPR - viktige prinsipper og rettigheter

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

GDPR Ny personvernforordning

Implementering av det nye personvernregelverket ved UiB

Hvilken betydning har personvernforordningen på helseområdet

Nye personvernregler Gullik Gundersen juridisk rådgiver

Nye personvernregler fra mai 2018, hva nå?

OM PERSONVERN TRONDHEIM. Mai 2018

Nye personvernregler

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

PERSONVERN OG DELING FRA KVALITETSREGISTRE

Personvernperspektivet og oppbevaring av intervjumateriale

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Nye personvernregler

Ny forordning om behandling av personopplysninger. Hvordan går det med pasienten?

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

GDPR og PSD2 - særlig om håndtering av samtykke. Rolf Riisnæs Advokat dr. juris BITS seminar PSD2 11. oktober 2017

Rettslig regulering av helseregistre

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

EUs personvernforordning (GDPR)

Personvernforordningen og utfordringer i dagens helsetjeneste

Nytt personvernregelverk på 1-2-3

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

Juridisk regulering av helseregistre brukt til kvalitetssikring og forskningsformål

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Helsedatautvalget. Marta Ebbing, leder. HelseOmsorg21-rådet, 23. januar 2017

Krav til informasjonssikkerhet i nytt personvernregelverk

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Personvern-rett H2016

Nye personvernregler fra mai 2018, hva nå?

Perspektiver og planer ved Universitetet i Oslo

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Personvern - vurdering av personvernkonsekvenser - DPIA

Personvernforordningen

Nye personvernregler fra mai 2018

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Rettslig regulering av helseregistre. Dana Jaedicke juridisk rådgiver E-post:

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Personvernkonsekvensvurderinger

EUs nye forordning for personvern

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Personvern i praksis, GDPR personvernforordningen erfaringer

Stiftelser og GDPR - noen vesentlige endringer i kravene til personvern?

Høring om utkast til ny personopplysningslov gjennomføring av personvernforordningen i norsk rett

Høring om utkast til ny personopplysningslov gjennomføring av personvernforordningen i norsk rett

Nye personvernregler fra 2018 hva betyr det for din virksomhet?

Rollefordeling og begrepsforståelse ved UiO etter nytt personvernregelverk

Ny personvernlov. Hilde Lange, personvernombud Troms fylkeskommune

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

[start kap] Innholdsoversikt

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Personvernmessige utfordringer ved sammenslåing av kommuner Den nye personvernforordningen

Fagkurs for kommuner Personvern og taushetsplikt (75 minutter)

Kommentarer til mørketallsundersøkelsen og visjoner for Datatilsynet

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

EUs nye forordning for personvern

Nye personvernregler fra mai 2018, hva nå?

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Utviklingen av framtidas elektroniske forvaltning hvor går grensen

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Personopplysningsloven (GDPR) 5. desember 2017

Lagringsbegrensning. Cecilie L. B. Rønnevik, advokat Personvernkonferansen

NORID - Registrarseminar 26. april 2017

Det juridiske rammeverket for helseregistre

Grunnleggende personvern. Fagsamling 1: Personvern 18. januar 2017

GDPR i et nøtteskall

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Etikk skal ikke være noe ved siden av -

NINAs personverndokument

Saksnr. 18/ Høringsnotat - adgang for Skatteetaten og Tolletaten til å bruke personopplysninger ved utvikling og testing av itsystemer

Barn og unges personopplysninger: Veiledning for innhenting og bruk

REK-vurderinger etter GDPR

Samfunnsnytte og belastninger for den registrerte

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Nye personvernregler fra 2018

Nye personvernregler fra mai 2018

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

I POLITIET. Politidirektoratet Postboks 8051 Dep OSLO HØRINGSSVAR OM MANDAT TIL PERSONVERNKOM MISJON

Nye personvernregler (GDPR)

I 2018 innføres ny personvernlovgivning i Norge og Europa. Hva blir annerledes? Opplysninger skal ikke brukes til nye, uforenlige formål

Hvilke muligheter og begrensninger gir den nye personvernlovgivingen? Universitetet i Oslo 3. Mai 2019

PERSONVERN TIL HINDER FOR BRUK AV BIG DATA? Advokat Therese Fevang, Bisnode Norge

EUs personvernforordning- Betydningen av den registrertes samtykke

Forslag til ny lov om behandling av personopplysninger

Transkript:

Registerforskning og personvern -Vil norsk lovgivning påvirkes av EU s personvernforordning? Grete Alhaug, 6. februar 2014 Seminar om registerforskning, Litteraturhuset

Hva er registerforskning? Forskning på data (personopplysnigner)som allerede er samlet inn (registrert) for et formål. Det opprinnelige formålet kan være forskning, men det forskes også på data fra registre som ikke har forskning som primærformål. Registerforskning kan i prinsippet gjennomføres uten at den registrerte involveres og det gjøres også ofte i praksis. NAV, Skattedirektoratet, Helsetilsynet, Arbeidstilsynet, Kriminalomsorgen. Obligatoriske helseregistre (sentrale), samtykkebaserte helseregistre, helseundersøkelser, befolkningsundersøkelser Offentlige tilgjengelige g g data, Big Data 07.02.2014 Side 2

Det man ikke vet, har man ikke vondt av! Innebærer registerforskning egentlig et inngrep i de registrertes personvern? Opplysningene er jo allerede registrert Forskningsprosjektet innebærer ingen ulemper for forskningsdeltakerne (utvalget, de registrerte.) Opplysningene er allerede samlet inn. Samfunnsnytten ved prosjektet er (i følge søknaden)større enn (den personvernmessige)ulempen for de registrerte. Riktig helsehjelp er også godt personvern! 07.02.2014 Side 3

Når kan registerforskning innebære en ulempe for den registrerte? Ingen fysisk kontakt, ingen kommunikasjon, intet inngrep eller intervensjon, ingen forsøk, ingen risiko, ingen bivirkning, ikke en gang g kjennskap til at forskningen gjennomføres eller hva resultatet ble. Dermed heller ingen etiske utfordringer? Ingen ulemper. Den personvernrelaterte ulempen for den registrerte handler om at det skjer et inngrep i enkeltindividets rett til å bestemme over opplysninger om seg selv. Rettigheten er grunnlovsfestet, følger av EMK, EU s personverndirektiv og ligger til grunn for personopplysningsloven l med forskrifter. 07.02.2014 Side 4

Selvbestemmelsesretten Avgjørende for enkeltindividets mulighet til å ivareta sine egne interesser: Retten til et privatliv, retten til å ivareta sin egen integritet og retten til å selv å bestemme hva opplysninger om en selv skal brukes til Personopplysningsvern Innskrenkes bl.a. ved bruk av offentlige tjenestetilbud. Innskrenkes også gjennom private avtaler, men da frivillig. Selvbestemmelsesretten ligger til grunn for hovedregel om samtykke ved behandling av personopplysninger. Registerforskning gjennomføres som hovedregel uten den registrertes samtykke fordi man etter en helhetlig l vurdering finner at ulempen for den registrerte er mindre enn fordelen med at forskningen tillates. 07.02.2014 Side 5

Samtykke er den enkleste måten å dokumentere at selvbestemmelsesretten er ivaretatt Forutsetter at samtykket er informert, frivillig og uttrykkelig Formålet må fremgå av informasjonen Begrensninger i formålet Ny bruk: i tråd med det opprinnelige formålet? Brede samtykker Når må det innhentes nytt samtykke. Rekkevidden av samtykket i forhold til bruk av opplysninger som er avgitt (mer eller mindre) frivillig. Avgjørende spørsmål som har betydning for registerforskningen. Har skapt bekymring i forskningsmiljøer. 07.02.2014 Side 6

Nødvendige tiltak som bidrar til at ulempen blir mindre eller liten nok til at behandlingen kan tillates Identitetsforvaltning Anonyme opplysninger ikke personopplysninger Avidentifisering, pseudonymisering Direkte personidentifikasjon Indirekte identifisering Informasjonssikkerhet Ekstern eller intern kryptering Tiltrodd tredjepart Pseudonymforvalter Tilgangskontroll Kommunikasjonsformer Lav risiko for at personopplysninger kommer på avveie =lite inngrep i personvernet, liten ulempe i forholdt til formålet. Side 7

Påvirkes norsk regelverk av den nye personvernforordningen? Ja, norsk regelverk vil bli påvirket i stor grad fordi forordningen skal erstatte personverndirektivet (95/46) som i dag er implementert i personopplysningsloven. Forordningen skal ta over og gjelde som den er, ord for ord. Viktig mål med endringen at det etableres enhetlig praktisering av regelverket. Tilpasning nåtidens teknologiske utfordringer, muligheter og risikobilde. Færre muligheter for nasjonal tilpasning av regelverket Uvisst enn så lenge hva dette vil bety for norske særlover som for eksempel helseregisterlov og helseforskningslov 07.02.2014 Side 8

Kommisjonens forslag Forenkle regelverket ved tilpasning til ny teknologi (internett) mer kostnadseffektivt for virksomheter i EU å etterleve regelverket Innføring av nye begreper: biometriske opplysninger genetiske opplysninger samtykke: consent statement/clear affirmative action Utelukker passivt samtykke Utfordrende samtykkekrav til ny bruk i tråd med opprinnelig formål? 07.02.2014 Side 9

Viktige forskjeller Økt makt til kommisjonen Vide forskriftshjemler Nye tilsynsordninger European Data Protection Board kun for medlemslandene Kraftigere sanksjonsmuligheter One-stop-shop Nye rettigheter: Retten til å bli glemt (art 17)-styrket sletteplikt Retten til dataportabilitet (art 18)-styrket eiendomsrett til egne data, betydning for konkurranse mellom tilbydere 07.02.2014 Side 10

Utfordringer Umulig per i dag å overskue alle konsekvenser av det fremlagte forslaget Åpnes for etablering av nasjonale regelverk, og kommisjonen gis kompetanse til å etablere utfyllende europeisk regelverk Bestemmelsene i forordningen er detaljerte, vage og skjønnsmessige og gir derfor mange tolkningsmuligheter Mange unntak for forskning, fleksibilitet Norske tilsynsmyndigheters påvirkningskraft som ikke EU- medlem Svært omfattende virkeområde. De forskjellige sektorer må vurdere hvilke konsekvenser regelverket får i de ulike sektorer. 07.02.2014 Side 11

Datatilsynets uttalelse så langt Positive til et nytt, oppdatert personvernregelverk Økt beskyttelsesnivå harmonisering- økt rettsikkerhet Flere av de sentrale bestemmelsene i det fremlagte forslaget er en kodifisering av gjeldende norsk rett Grunntanken videreføres og vurderingstemaene er de samme som vi forholder oss til i dag Krever fullverdig medlemskap i European data Protection Board For mye makt til kommisjonen Overstyring av nasjonale tilsynsmyndigheter, art 62. 26 artikler med forskriftskompetanse til kommisjonen, og mange essensielle deler som er overlatt til delegerende og implementerende rettsakter i regi av kommisjonen 07.02.2014 Side 12

Konkrete bestemmelser som DT har kommentert Utvidet geografisk virkeområde, art 3 Positive til utvidet virkeområde, stiller spm ved mulighet til håndhevelse Definisjoner, artikkel 4 Mindreårige, artikkel 8 13 år nettsamfunn praksis i dag Sensitive personopplysninger, art 9 Mistenkt, siktet, tiltalt Genetiske opplysninger Retten til å bli glemt, art 17 Dataportabilitet, art 18 07.02.2014 Side 13

Konkrete bestemmelser som DT har kommentert Innebygget personvern, art 23 Felles behandlingsansvarlig, art 24 Dokumentasjonskrav, art 28 Databrudd, art 31 og 32 Konsekvensutredning, art 33 Personvernombud, art 35-37 Samarbeid og konsistens, art 55-62 EDPB, art 64-72 Administrative sanksjoner, art 79 Delegering og implementering, art 86-87 07.02.2014 Side 14

Gjeldende rett Personopplysningsloven Grunnkrav til behandling av personopplysninger Hovedregel: samtykke, formålsbestemthet, tillatt med hjemmel i lov Sensitive personopplysninger: krever konsesjon Alltid en interesseavveining: hensynet til privatlivets fred vs formålet med behandlingen Alltid krav om å begrense inngrepet i individets integritet mest mulig, derfor minst mulig grad av identifiserende d opplysninger. Jo større risiko jo strengere krav til sikkerhet og andre nødvendige tiltak for å sikre den enkeltes integritet, selvbestemmelsesrett. 07.02.2014 Side 15

Bekymring i forskningsmiljøet, brev fra Danmarks Forskningspolitiske Råd til Uddannelsesminister Morten Østergaard, 23. september 2013 Ved de pågående forhandlinger af EU-kommissionens forordning om databeskyttelse, er det viktigt, at danske interesser i forhold til fortsat at kunne udføre og udvikle forskning med utgangspunkt i registre sikres. Der er fare for, at en vedtakelse af forodningen. Som foreslået, kan få alvorlige, mærkbare og langtidsvirkende negative konsekvenser for dansk forskning, dansk erhverv og for samfundet. Vedtages forodningen kan det blant andet føre til, at man inden der udføres (en forskningsmæssig) behandling av personopplysninger, skal have et; specifikt, informeret og udtrykkeligt samtykke til den efterfølgende behandling af de relevante personopplysnigner. I værste tilfælde vil det betyde, at dansk registerforskning vil blive umuliggjort. Danmarks forskningspolitiske Råd finder dette alarmerende, og det er afgørendeviktigt, at man fra dansk side hindrer at det sker. 07.02.2014 Side 16

Albrecht rapporten et av mange innspill -status uviss Bekymring i det norske forskningsmiljøet, brev fra NSD. dansk rett praktiserer gjeldende rett annerledes enn vi gjør i Norge. Ikke foreslått endringer som er vesentlig annerledes enn det som gjelder i dag i Norge. Art. 29 gruppen: rapport om forbud mot ny bruk uforenelig med opprinnelig samtykke Konkrete forslag til endringer i den foreslåtte forordningen Særlig fokus på kravene til samtykket/formålet/uforenelighet Høyesterett januar 2013: avgjørelse om ny bruk uforenelig med opprinnelig samtykke (Avfallsservice-GPS) Dommen skjerper kravet til formålsbestemthet 07.02.2014 Side 17

Aktuelle utfordringer for personvernet og fokus fremover Big Data store mengder «anonyme» data kan bidra til identifisering av individer og få konsekvenser for enkeltindivider Tilgjengeliggjøring av offentlige data Identitetsforvaltning anonymisering, avidentifisering, indirekte identifiserbarhet Informert samtykke Innebygd personvern Registerforskningen vil i større grad måtte fokusere på identitetsforvaltning og andre nødvendige tiltak og kanskje må det legges ned innsats i å tilrettelegge for gode løsninger til fordel for personvernet 07.02.2014 Side 18

Grete Alhaug gral@datatilsynet.no Følg oss: datatilsynet.no personvernbloggen.no Twitter.com/datatilsynet 07.02.2014 Side 19