Personvern i digitalisering av forvaltningen
En varde av ettertanke «Slik kan man ( ) tenne en varde av ettertanke ved den stadig sterkere automatiseringen innen offentlig forvaltning. Hvordan kontrollerer vi kvaliteten på programmene? Hvordan sikrer vi at de faktisk gjengir rettigheter og plikter på en adekvat måte? Hvem har risikoen for eventuelle feil i de databaser som benyttes?» Jon Bing Fremtidens fortid, Gyldendal 2016 2
Side 3
Digitalisering og personvern avliving av myter Digitalisering og personvern er ikke motsatte størrelser Datatilsynet er ikke motstander av å utvikle gode tjenester til innbyggerne Inklusive gjenbruk av offentlige data Riktig bruk av teknologi kan også gi bedre personvern 4
Personvernprinsippene Rettslig grunnlag (samtykke m.m) Proporsjonalitet Formålsbestemthet Relevans og minimalitet Kvalitet Informasjon og innsyn Informasjonssikkerhet
Respekt for innbyggeren Data innsamlet til et formål blir brukt til det formålet Gjenbruk til nye formål? Godt rettslig grunnlag Bygge interaksjon slik at innbyggeren er med i prosessen Bidra til kontroll med egne personopplysninger Samtykke, trekke samtykke, reservasjon, informasjon, innsyn Dataminimalisering (relevans)
Digitalisering og personvern Data kan deles i samspill med innbyggeren og det kan i noen tilfeller gi bedre personvern Innbyggeren kan bli informert på nett (det er ingen unnskyldning til å ikke informere lengre) utøve sine rettigheter på nett (innsyn, retting, sletting) Mulighet for å spisse tilgang til personopplysninger -kun relevante data blir delt -tilgang til bestemte personer i bestemt tidsrom
Er det for vanskelig å spille på lag med innbyggeren? så må dere ha Stortinget i ryggen Forsvarlig utredet Lovhjemmel Demokratisk og transparent
Ansvar og regulering God e-forvaltning trenger god regulering Felleskomponenter er utfordrende mht ansvar Når personopplysningsloven ikke gjelder (private formål) trenger vi robuste regler for sikkerhet og ansvar
Ny personvernlovgivning kommer
Bakgrunn Arbeidet startet i 2012 Vedtatt i 2016 og trer i kraft i 2018 Felles regelverk for personvern i Europa Styrke den europeiske borgers rettigheter Gjøre det lettere å utveksle personopplysninger over landegrenser Styrke tilliten til digitale tjenester Sikre samarbeid mellom personvernmyndigheter 11
Alle databehandlere får nye plikter Egne rutiner for behandling av personopplysninger Si ifra om instrukser er i strid med loven Underleverandører skal godkjennes Melde avvik til behandlingsansvarlig Kan bli erstatningspliktige 12
Alle skal ha en forståelig personvernerklæring Informasjonen skal være lett tilgjengelig Klart språk som er tilpasset leserens nivå Stilles krav til hvilke opplysninger som skal gis 13
Alle skal vurdere risiko og personvernkonsekvenser I tillegg til en risikovurdering skal man utrede tiltak med stor personvernrisiko Ved høy risiko, som ikke kan begrenses, skal vi involveres i forhåndsdrøftelser Forordningen stiller krav til vår behandlingstid Vi kan veilede eller forby behandlingen 14
Alle skal bygge personvern inn i nye løsninger Nye krav til løsninger, tiltak og systemer Skal utarbeides på mest mulig personvernvennlig måte Den mest personvernvennlige innstilingen som standard 15
Alle bør samarbeide i egne nettverk og følge bransjenormer Sektorvis utforming av retningslinjer Sikrer at de viktigste rutinene er på plass Flere fordeler ved å følge disse Datatilsynet skal godkjenne bransjenormer 16
Alle får nye krav til avvikshåndtering Strengere regler enn i dag Melde avvik innen 72 timer Stilles krav til innholdet i avviksmeldingen De berørte skal varsles i klart språk 17
Alle må kunne oppfylle borgernes nye rettigheter Retten til å bli glemt Rett til at personopplysninger begrenses Systemer må oppfylle krav til dataportabiliet Strengere regler for automatiserte avgjørelser Håndtere henvendelser fra borgere innen 1 måned 18
Personvernombud - Fra frivillig til obligatorisk offentlige virksomheter (unntatt domstolene) virksomheter hvis kjerneaktivitet består i å regelmessig og systematisk overvåke personer i stort omfang virksomheter som behandler sensitive personopplysninger i stort omfang 19
Krav til kompetanse Skal velges på grunnlag av faglig kompetanse: Kunnskap om personvernregelverk og praksis Evne til å gjennomføre oppgavene spesifisert i regelverket 20
Ombudets oppgaver informere og gi råd til virksomheten og de ansatte i saker som handler om personvern bidra til etterlevelse av forordningen og virksomhetens personvernpolitikk gi råd om og delta i vurderinger av personvernkonsekvenser fungere som kontaktpunkt mellom Datatilsynet og virksomheten 21
Datatilsynet.no/forordning
Enkelt oppsummert Digitaliseringen er en kjempemulighet for forvaltningen og personvernet Design morgendagens løsninger med personvern innebygd Skaffe egne personvernombud (ikke bare for forskning)
En siste pekefinger «Selvangivelsen åpnet på en måte regelverket for borgeren. Vi må sikre oss at IT-løsninger ikke lukker reglene inne i en svart, blank boks som bare viser borgerens eget speilbilde når han eller hun forsøker å forstå hva som egentlig skjer.» Jon Bing Fremtidens fortid, Gyldendal 2016 25