Personvern. Behandling av personopplysninger om attføringsdeltakere: Advokat Terje Hovet Oktober/november 2008

Like dokumenter
AB konferansen Utvalgte juridiske utfordringer ved advokat Terje Hovet

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

DRI1010 Emnekode. Oppgave Kandidatnummer Dato

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

BEHANDLING AV PERSONOPPLYSNINGER

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjon om bruk av personnummer i Cristin-systemet

Personvern og informasjonssikkerhet

Kriminalomsorgen. Taushetserklæring

Personopplysninger og opplæring i kriminalomsorgen

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

T E I E P L I K T. .., den.. underskrift

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Taushetsplikt. Kommuneadvokat Camilla Selman Januar 2019

Begrensninger i innsynsrett. DRI mars 2011 Jon Berge Holden

Nye personvernregler

Brukerinstruks Informasjonssikkerhet

REGLER FOR SAKSBEHANDLING

Andreas Heffermehl, Taushetsplikt og personvern

Proplan Attføring. Personalsystemet for attføringsbedrifter

GDPR Ny personvernforordning

Personvern og CAT. Thomas Marti - Salgsjef, Proplan AS Per Haraldsen - Løsningsarkitekt, Proplan AS

Internkontroll og informasjonssikkerhet lover og standarder

Personopplysningsloven: Formål og grunnleggende begreper. DR1010 Personvern i offentlig forvaltning Vår 2011 Seniorrådgiver Mona Naomi Lintvedt, Difi

Taushetsplikt og andre begrensinger i tilgang til personopplysninger. DRI mars 2014 Jon B. Holden

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Forvaltningsloven og Offentlighetslovens. krav om taushetsplikt ved håndtering av personopplysninger. og noen ord om god forvaltningsskikk

Personvern-rett H2016

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Oppsummering og råd til eksamen. DR1010 Personvern i offentlig forvaltning Vår 2011 Mona Naomi Lintvedt

L Lov om behandlingsmåten i forvaltningssaker (forvaltningsloven).

Taushetsplikt og andre begrensinger i tilgang til personopplysninger. DRI mars 2015 Jon B. Holden

Retningslinjer for databehandleravtaler

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Taushetsplikt og andre begrensinger i tilgang til personopplysninger. DRI mars 2016 Jon B. Holden

Bedre Tverrfaglig Innsats (BTI)

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Taushetserklæring for medarbeidere i Tromsø kommune

Policy for personvern

Endelig kontrollrapport

Databehandleravtale etter personopplysningsloven

Er din bedrift klar for ny personopplysningslov?

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Særavtale om lønns- og personalregistre

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Innsynsbestemmelser og taushetsplikt

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

VIRKE. 12. mars 2015

GDPR - Personvern

GDPR HVA ER VIKTIG FOR HR- DATA

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Personopplysningslovens formål, grunnbegreper og virkeområde. Dag Wiese Schartum, AFIN

Personvern eller vern av personopplysninger. Hvem vet hva om oss

Personvern overvåking og kontrolltiltak i arbeidslivet. Paratkonferansen, 16. november 2010 Bjørn Erik Thon

Forsikringssvindel og personvern. Møte i Den norske Forsikringsforening 27. november 2013 Øystein Flagstad

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Utfylt skjema sendes til personvernombudet for virksomheten. 1 INFORMASJON OM SØKEREN 2 PROSJEKTETS NAVN/TITTEL

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

NAV-evaluering. - behandling av personopplysninger. Voksenåsen, Oslo. Personvernombudet for forskning. 23.oktober 2007

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Prosedyre for personvern

Endelig kontrollrapport

Oppgave 1. DRI1010 Emnekode 7464 Kandidatnummer Dato SIDE 1 AV 6

Internkontroll i mindre virksomheter - introduksjon

Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17.

Databehandleravtaler

PERSONVERN I FINANSSEKTOREN

NINAs personverndokument

1.6 Sentrale lover og forskrifter

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Endelig kontrollrapport

EUs personvernforordning (GDPR)

OM PERSONVERN TRONDHEIM. Mai 2018

Planlegging og gjennomføring av brukerundersøkelser

Ny personvernlov. Hilde Lange, personvernombud Troms fylkeskommune

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Offentleglova og åpne data

Arbeidsgivers personvernplikter

Personopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson.

Taushetsplikt og kommunikasjonsadgang

Endelig kontrollrapport

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Personopplysningslovens formål og grunnleggende begreper. Dag Wiese Schartum, AFIN

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale for NLF-medlemmer

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Taushetsplikt og konfidensialitet

GDPR - PERSONVERN. Advokat Sunniva Berntsen

PERSONVERNSERKLÆRING AVANTI RYFYLKE.

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Transkript:

Personvern Behandling av personopplysninger om attføringsdeltakere: Advokat Terje Hovet Oktober/november 2008

NHO Service NHO Service er tilsluttet NHO. organiserer over 1100 servicebedrifter med til sammen 57 000 årsverk; herunder facility service, bemanning, sikkerhet/vektere, renhold, bedriftshelsetjeneste, ambulanse og arbeidsmarkedsbedriftene (110). NHO Service medlemsbedifter spenner fra de helt små med få ansatte til den største med over 14 000 ansatte.

NHO Service Arbeidsliv Administrerende direktør Petter Furulund Viseadministrerende direktør Anne Jensen Direktør Laila Windju (slutter 01.12.08) Advokat Stein Johnsen. Advokat Linda Leiro Egseth Advokat Camilla Therese Lannem Advokat Terje Hovet Advokat Camilla Bernhoftsen

Program 0900 1200 1200 1240 1240 1430 1430 1445 1445 1600 Kurs Lunsj Kurs Kaffepause Kurs

Formål med kurset Økt fokus på personvern. Datatilsynet har på grunnlag av henvendelser fra attføringsdeltakere etterspurt redegjørelser fra attføringsbedrifter. Bransjeforeningen har ønsket å sette fokus på problemstillingen for å redusere risiko for mangelfull personvernhåndtering.

P4 14.01.2008 NAV slurver med personvernet. Datatilsynet forlanger bedre systemer, av frykt for at sensitive personopplysninger skal komme på avveie.

Arbeids- og velferdsdirektoretat, brev av 01.09.08 1/2 behov for klarare retningsliner for kva tid det kan vere aktuelt for ein tiltaksarrangør på sjøvstendig grunnlag å innhente medisinske opplysninger i samband med tiltaksgjennomføringa og då utifrå kva som er formålet med tiltaket.

Brev 01.09.08 2/2 Det er behov for en gjennomgang og avklaring av avtalereguleringa av tilhøvet mellom NAV og tiltaksarrangørane. Det er difor sett i gang eit samarbeid med bransjeorganisasjonen Attføringsbedriftene som er tilslutta NHO.Målet er å utarbeide tydelege retningsliner for samhandling og infomasjon når det gjeld medisinske opplysningar og andre typar personopplysningar som er nødvendige for individuelt tilpassa og hensiktsmessig gjennomføring av tiltak. Det er i denne samanheng vesentleg å sikre at informasjon om personvern og teieplikt er godt ivareteke.

Personvernutvalg Det har vært nedsatt et personvernutvalg personalsjef Ketil Wigestrand personalsjef i Fretex Norge AS Nestleder Bjørn Bergersen, AS Rehabil Advokat Terje Hovet, NHO Service

Personverndokument Utvalget har utarbeidet dokumentet Retningslinjer for håndtering av personopplysninger om attføringsdeltakere Dokumentet danner utgangspunktet for kurset. Kurset setter imidlertid konkret fokus på utvalgte personvernutfordringer i attføringsbedriftene.

Formål med personvern Å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Å verne om privatlivets fred, den personlige integritet og sørge for tilstrekkelig kvalitet på personopplysninger.

Rettslig rammeverk Personopplysningsloven Personopplysningsforskriften Noe rettspraksis Datatilsynets og personvernnemdas praksis

Lovens saklige virkeområde, 3 Loven gjelder for a)behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, og b)annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister. Loven gjelder ikke behandling av personopplysninger som den enkelte foretar for rent personlige eller andre private formål.

Forskriftens 2-1 2-1. Forholdsmessige krav om sikring av personopplysninger Reglene i dette kapittelet gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler der det for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet er nødvendig å sikre konfidensialitet, tilgjengelighet og integritet for opplysningene. Der slik fare er til stede skal de planlagte og systematiske tiltakene som treffes i medhold av forskriften, stå i forhold til sannsynligheten for og konsekvens av sikkerhetsbrudd.

Praktiske utfordringer: Attføringsdeltakeres krav på personvern vs. Bedriftens behov for praktisk behandling av personopplysninger. Hjemmel og grenser for behandling av personopplysninger.

Styrende personvernhensyn Konfidensialitet Vern mot uautorisert innsyn i pers.oppl. Integritet Vern mot uautorisert endring av pers.oppl. Tilgjengelighet Vern mot utilsiktet sletting av pers.oppl.

Sentrale begreper, 2: 1/2 Personopplysning Opplysninger og vurderinger som kan knyttes til en enkeltperson. Sensitiv personopplysning Opplysninger om a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold d) seksuelle forhold e) medlemsskap i fagforeninger

Sentrale begreper 2: 2/2 Behandling av personopplysninger Enhver bruk av personopplysninger, som f.eks innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter. Personregister Registre, fortegnelser mv der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen. Samtykke Frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv.

Grunnvilkår for behandling pol 11 Tillatt etter 8 eller 9 Nyttes til uttrykkelig angitte (saklige) formål Opplysningene må være relevante for formålet med behandlingen Opplysningene må være tilstrekkelige og relevante Korrekte og oppdaterte (begrense lagring)

Behandling av personopplysninger, 8 Krav om samtykke, lovhjemmel eller nødvendig ut fra oppgitte alternativer i bokstav a til f

Sensitive personopplysninger, 9 Krav om å oppfylle et av vilkårene i 8 og for øvrig oppfyller et av oppgitte alternativer i bokstav a til h.

Nærmere om samtykke

Diskusjonsoppgave: Hvordan kan man sikre at attføringsdeltakere avgir et frivillig, uttrykkelig og informert samtykke?

Utvalgte problemstillinger: Hva kan behandles av attføringsbedriften? Hvem skal ha tilgang til registrerte opplysninger? Taushetsplikt Epost og faks Hvor lenge kan opplysninger lagres? Krav til innsyn? Melde og konsesjonsplikt

Hva vet man om attføringsdeltakeren?

Hva kan behandles? Ses i lys formål av attføringstiltaket Personopplysninger om attføringsdeltakeren. Personopplysninger om andre?

Diskusjonsoppgave En attføringsdeltaker har gitt utleverende opplysninger om sin ektefelles helsetilstand (bipolar lidelse/manisk depressiv). Dere finner opplysningene som viktige for å forstå deltakerens utfordringer og for å kunne legge til rette for et hensiktsmessig attføringstiltak. Hva gjør dere med opplysningene om ektefellen?

Hvem skal ha tilgang? Tjenestlig behov Ulike former for tilgang Reell vurdering av hvem som bør ha tilgang. Den enkelte attføringskonsulent Team gruppering Ansvarsområder Andre? Arbeidsledere

Diskusjonsoppgave: Hvem bør ha tilgang til personopplysninger om attføringsdeltakeren? Bør attføringsdeltakere være i en stilling hvor det er tilgang til personopplysninger om andre attføringsdeltakere?

Diskusjonsoppgave: En attføringsdeltaker er tidligere dømt for seksuelle overgrep mot barn. Vedkommende skal ha arbeidstrening på et lager sammen med ordinært ansatte og andre attføringsdeltakere. På lageret er det imidlertid en annen attføringsdeltaker som tidligere har vært utsatt for seksuelle overgrep som barn. Hva gjør dere?

Taushetsplikt Forvaltningslovens 13 Taushetserklæring

Fvl. 13 13. (taushetsplikt). Enhver som utfører tjeneste eller arbeid for et forvaltningsorgan, plikter å hindre at andre får adgang eller kjennskap til det han i forbindelse med tjenesten eller arbeidet får vite om: 1)noens personlige forhold, eller 2)tekniske innretninger og fremgangsmåter samt drifts- eller forretningsforhold som det vil være av konkurransemessig betydning å hemmeligholde av hensyn til den som opplysningen angår. Som personlige forhold regnes ikke fødested, fødselsdato og personnummer, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted, med mindre slike opplysninger røper et klientforhold eller andre forhold som må anses som personlige.

Diskusjonsoppgave Som attføringskonsulent får du gjennom samtaler med attføringsdeltaker vite at det kan foregå straffbare forhold i hjemmet (mishandling av barn og ektefelle). Hva gjør du?

Unntak fra taushetsplikt 13b. (begrensninger av taushetsplikten ut fra private eller offentlige interesser). Taushetsplikt etter 13 er ikke til hinder for: 6. at forvaltningsorganet anmelder eller gir opplysninger (jfr. også nr. 5) om lovbrudd til påtalemyndigheten eller vedkommende kontrollmyndighet, når det finnes ønskelig av allmenne omsyn eller forfølging av lovbruddet har naturlig sammenheng med avgiverorganets oppgaver, og 7. at forvaltningsorganet gir et annet forvaltningsorgan opplysninger (samordning) som forutsatt i lov om Oppgaveregisteret.

Barnevernloven 6-4 annet ledd 6-4. Innhenting av opplysninger. Offentlige myndigheter skal av eget tiltak, uten hinder av taushetsplikt, gi opplysninger til kommunens barneverntjeneste når det er grunn til å tro at et barn blir mishandlet i hjemmet eller det foreligger andre former for alvorlig omsorgssvikt, jf. 4-10, 4-11 og 4-12, eller når et barn har vist vedvarende alvorlige atferdsvansker, jf. 4-24.

E-post og faks Retningslinjer for bruk av epost. Retningslinjer for bruk av faks. Forholdet til NAV vs forholdet til attføringsdeltakere.

Lagring av personopplysninger. 28 Forbud mot lagring av unødvendige personopplysninger Hvor lenge er lagring nødvendig? Unødvendige personopplysninger skal slettes.

Diskusjonsoppgave Saksbehandler i NAV tar kontakt for å få tilsendt opplysninger om en person som var i et attføringstiltak for 10 år siden. Saksbehandler ønsker tilsendt kopier av opplysningene. Dere sitter på opplysningene. Hva gjør dere?

Arkiv Krav ved oppbevaring av mapper løse notater med personopplysninger Makuleringsrutiner Krav til arkivet

Rett til innsyn 18: Dersom den som ber om innsyn er registrert, skal den behandlingsansvarlige opplyse om a) hvilke opplysninger om den registrerte som behandles og b) sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten Unntak - 23 Utilrådelig av hensyn til helse Interne notater elektronisk personlogg?

Diskusjonsoppgave En attføringsdeltaker er uenig i sluttrapporten. Vedkommende ønsker innsyn i personalloggen/journalen i CAT/Pro personal eller tilsvarende samt i evt. notater i personalmappen. Hva gjør dere?

Melde- og konsesjonsplikt Hovedregel og utgangspunkt: Meldeplikt ved behandling av personopplysninger. Konsesjonsplikt ved behandling av sensitive personopplysninger. Forholdet til NAV

Overordnede forhold Informasjonssikkerhet Internkontroll Risikovurdering Sikkerhetstiltak Datasikkerhet

Informasjonssikkerhet Krav om informasjonssikkerhet ift styrende personvernhensyn KIT Sikkerhetsmål Sikkerhetsstrategi Sikkerhetsorganisasjon

Internkontroll Krav om strukturert og planmessig arbeid for å sikre at kravene til personvern ivaretas under attføringsbedriftenes behandling av personopplysninger. Oversikt over hvilke og hvordan personopplysninger behandles i virksomheten. Rutiner for risikovurdering, kartlegging, sikkerhetsorganisering m.m.

Risikovurdering Systematisk risikovurdering naturlig del av internkontrollen. Vurdering ift akseptabel eller ikke-akseptabel risiko for brudd på personvern. Vurdering av elektronisk og manuell behandling

Sikkerhetstiltak Hvis bedriften finner en ikke-akseptabel risiko for krenkelse av personvern under ett eller flere ledd av behandlingen av personopplysninger, så krav om tiltak for å bøte på risikoen, Fastsette rutiner for: Behandling av personopplysninger Opplæring av ansatte Taushet og konfidensialitet Personvernombud

Diskusjonsoppgave: Hvordan kan attføringsbedriften gjennomføre tiltak for å sikre attføringsdeltakeres personvern, jf de styrende personvernhensyn KIT?

Krav til IT systemet - datasikkerhet Åpen/sikker sone-løsning foretrekkes av DT, spesielt hvor det er tale om sensitive personopplysninger. Sikre opplysningenes konfidensialitet, integritet og tilgjengelighet Vern mot uautorisert tilgang, endring og sletting logg, backup Krav om vurdering av bedriftens dataverktøy Utarbeide rutiner og prosedyrer for elektronisk behandling av personopplysninger.

Kontaktinfo NHO Service 23 08 86 50 www.nhoservice.no Terje Hovet 23 08 86 54 terje.hovet@nhoservice.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding