Informasjon interesseorganisasjoner Behandling av personopplysninger ved gjennomføring av arbeidsrettede tiltak for NAV Implementering av databehandleravtale mellom tiltaksarrangør og NAV
Datatilsynet førte kontroll Datatilsynet førte kontroll i 2014 med NAV og 3 tiltaksenheter. Kartla praksis for å plassere behandlingsansvaret ved NAVs bruk av tiltaksarrangører Påla NAV å avklare ansvar og sikre behandlingen av personopplysninger. Tiltak for å lukke avvikene skal være gjennomført innen utgangen av 2016 Datatilsynets rapport og brev med vedtak: www.datatilsynet.no/regelverk/tilsynsrapporter/2015/kontroll-hos-arbeids--ogvelferdsdirektoratet-og-navs-tiltaksarrangorer/ NAV, 18.01.2016 Side 2
NAV må inngå databehandleravtaler med enkelte tiltaksarrangører 1. NAV har vurdert hvem som har behandlingsansvar for personopplysninger og hvem som har rollen som databehandler. 2. Avklart hvilke personopplysninger som er nødvendige og relevante å dele mellom NAV og tiltaksarrangør ved oppstart (innsøking og bestilling) gjennomføring (i kommunikasjonen) avslutning (sluttrapport) NAV, 18.01.2016 Side 3
Disse tiltakene krever databehandleravtale Tiltak NAV kjøper i henhold til lov om offentlige anskaffelser (anbud) Avklaring Oppfølging Opplæring (AMO) Arbeidsrettet rehabilitering Tiltak i skjermet virksomhet Arbeidspraksis i skjermet virksomhet Kvalifisering i arbeidsmarkedsbedrift Tilrettelagt arbeid i arbeidsmarkedsbedrift Varig tilrettelagt arbeid NAV, 18.01.2016 Side 4
Behandlingsansvar og databehandler NAV er i de fleste tilfeller behandlingsansvarlig for personopplysninger Tiltaksarrangør som behandler personopplysninger på vegne av NAV er databehandler Det må inngås en skriftlig databehandleravtale Avtalen gir tiltaksarrangøren rett til å behandle personopplysninger på vegne av NAV Plasseringen av ansvaret er avgjørende for å sikre personvernet til deltakere. NAV, 18.01.2016 Side 5
Personvern ved arbeidsmarkedstiltak Plasseringen av ansvaret er avgjørende for å sikre personvernet til deltakere. Ansvaret må være klart for alle involverte Brukeren må være trygg på at personopplysninger behandles korrekt, konfidensielt og sikkert. Brukeren er informert om sine personvernrettigheter som rett til innsyn, rett til å kunne få rettet eller slettet feilaktige og unødvendige personopplysninger. NAV har ansvaret for at personopplysningene behandles på en sikker måte at brukeren er informert om hvilke personopplysninger som skal brukes opplysningene når brukeren er i tiltaket NAV, 18.01.2016 Side 6
Hva betyr dette i praksis Kjøpsprosessen, anbudsdokumenter, kravspesifikasjoner og avtalemaler blir endret Databehandleravtale må inngå som del av nye avtaler eller som vedlegg til avtaler som varer lenger enn 1.januar 2017. Dette gjelder både forhåndsgodkjente leverandører og i anbudsmarkedet NAV må være nøye på hvilke personopplysninger som er nødvendige å oversende tiltaksarrangøren (ved innsøking, gjennomføring og rapportering) bruker involveres og gjøres kjent med hvilke opplysninger som sendes over og hvorfor, og at tiltaksarrangøren ivaretar opplysningene etter personvernsloven Kun relevante opplysninger sendes. Om det ikke vurderes som nødvendig med sensitive personopplysninger (helse, etnisitet, religion, straffedom) skal det ikke sendes. NAV, 18.01.2016 Side 7
Sjekkliste for NAV og for tiltaksarrangører er under arbeid: Databehandler skal sikre at all behandling av personopplysninger som er omfattet av denne avtalen utføres i samsvar med akseptabelt risikonivå definert av NAV. Sikkerhetskrav følger av de neste foilene: NAV, 18.01.2016 Side 8
Om databehandleravtalen Hensikten med avtalen å regulere rettigheter og plikter etter personopplysningsloven med forskrift. regulere ansvarsforholdet mellom behandlingsansvarlig og databehandler om hvordan opplysningene skal behandles og sikres. Databehandlers plikter: Skal oppfylle krav til sikkerhetstiltak som stilles etter personopplysningsloven 13 og 15 med forskrift Databehandler må definere sikkerhetsmål, -strategi, -organisering og ansvar, og følge dette opp i internkontrollsystem. Før avtalen inngås skal databehandler sende oversende dokumentasjon til NAV om sine mål og strategier for informasjonssikkerhet. Databehandler kan ikke behandle personopplysningene på andre måter enn det som følger av avtalen og kan heller ikke bruke opplysningene til egne formål. Ansatte hos databehandler skal være kjent med avtalen og vil være underlagt avtalens bestemmelser. NAV, 18.01.2016 Side 9
Innhold i databehandleravtaler (1) 1. Beskrivelse av oppdraget og hvordan opplysningene skal behandles 2. Krav til informasjonssikkerhet Sikring av personopplysninger Personopplysninger mottatt fra NAV skal holdes isolert fra databehandlers øvrige informasjonssystem. Krever teknisk og fysisk løsning. Databehandler skal ha et system for autorisasjon og tilgangskontroll ift systemer som behandler data og informasjon fra NAV. Årlige revisjon av autorisasjon og tilgang, og rutiner for logging av feil og avvik. Avviksbehandling Avviksmelding til NAV hvis hendelser som bryter med eller kan bryte med personvernet. Databehandler skal ha rutiner for logging av feil og avvik. Innsyn og revisjoner Databehandler er ansvarlig for å gjennomføre jevnlige(årlige) revisjoner av virksomheten NAV kan kreve tilgang til og innsyn til informasjon for å forsikre seg om at databehandler oppfyller vilkårene i avtalen. NAV, 18.01.2016 Side 10
Innhold i databehandleravtalen (2) Taushetsplikt Ansatte som opptrer på databehandlers vegne blir pålagt taushetsplikt og skal undertegne NAV sin taushetserklæring. Alle opplysninger om en tiltaksdeltaker vil være underlagt taushetsplikt. Taushetsplikten gjelder også etter avtalens opphør, og etter fratredelse i jobb hos databehandler. Bruk av underleverandør Databehandler er ansvarlig for utførelsen av denne tjenesten på samme måte som om databehandler selv var utfører. Bruk av underleverandør skal skriftlig godkjennes av NAV Endringshåndtering Rutiner for varsling Krav ved opphør av avtalen Alle personopplysninger mottatt på vegne av NAV skal levers tilbake. Alle personopplysninger som er elektronisk lagret skal slettes. At sletting er gjennomført skal dokumenteres NAV, 18.01.2016 Side 11
I databehandleravtalen vil NAV måtte kreve: God informasjonssikkerhet og sikring av person- opplysninger for brukere At leverandør (databehandler) har tilgangsstyring og kontroll med ansattes tilgang til personopplysninger. At leverandør har et tilfredsstillende system for tilgangslogging. At personopplysninger mottatt fra NAV skal holdes isolert fra databehandlers øvrige informasjonssystem. Krever teknisk og fysisk løsning. At sensitive personopplysninger behandles forsvarlig. Vil dette kreve oppdatering/utvikling av leverandørenes datasystemer? NAV, 18.01.2016 Side 12
NAV, 18.01.2016 Side 13