Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Like dokumenter
Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

GDPR Ny personvernforordning

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Nye personvernregler

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Personvern og informasjonssikkerhet

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Databehandleravtale etter personopplysningsloven

Personopplysninger og opplæring i kriminalomsorgen

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

DRI1010 Emnekode. Oppgave Kandidatnummer Dato

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Ny personvernlov. Hilde Lange, personvernombud Troms fylkeskommune

Policy for personvern

Personopplysningsloven: Formål og grunnleggende begreper. DR1010 Personvern i offentlig forvaltning Vår 2011 Seniorrådgiver Mona Naomi Lintvedt, Difi

OM PERSONVERN TRONDHEIM. Mai 2018

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

BEHANDLING AV PERSONOPPLYSNINGER

Særavtale om lønns- og personalregistre

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Prosedyre for personvern

Etikk- og personvernshensyn i brukerundersøkelser

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

GDPR for HR. En praktisk tilnærming til hva Sopra Steria har gjort for å møte de nye kravene

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Brukerinstruks Informasjonssikkerhet

Personvern. Behandling av personopplysninger om attføringsdeltakere: Advokat Terje Hovet Oktober/november 2008

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Personvern i offentlig forvaltning, DRI 1010

Forsikringssvindel og personvern. Møte i Den norske Forsikringsforening 27. november 2013 Øystein Flagstad

Er din bedrift klar for ny personopplysningslov?

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Endelig kontrollrapport

Saksframlegg til styret

Ny personvernforordning trer i kraft i mai 2018

Personvern-rett H2016

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Ny personvernforordning hva betyr reglene for deg og din virksomhet?

EUs personvernforordning (GDPR)

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Hva er en behandling av personopplysning Alle handlinger som utføres med personopplysninger. Eksempel på handlinger: *lagring av opplysninger

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

4. Hvilke personopplysninger vi behandler, hvordan vi bruker personopplysningene, samt formålet med opplysningene

VIRKE. 12. mars 2015

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Personvernperspektivet og oppbevaring av intervjumateriale

Om personopplysningslovens betydning for systemutvikling. Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

PERSONVERN I FINANSSEKTOREN

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Personvern - sjekkliste for databehandleravtale

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen.

Retningslinjer for databehandleravtaler

Om personopplysningslovens btdi betydning for systemutvikling. Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO

Personvern overvåking og kontrolltiltak i arbeidslivet. Paratkonferansen, 16. november 2010 Bjørn Erik Thon

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Personvern i skolen. Skolelederkonferansen 24. oktober Leder forretningsjuridisk/ advokat Hege Stensland Sveen

GDPR og PSD2 - særlig om håndtering av samtykke. Rolf Riisnæs Advokat dr. juris BITS seminar PSD2 11. oktober 2017

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Hvordan være lur. Ståle Askerød Johansen - UiO-CERT Espen Grøndahl IT-sikkerhetssjef

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Personvern eller vern av personopplysninger. Hvem vet hva om oss

GDPR HVA ER VIKTIG FOR HR- DATA

PERSONVERN TIL HINDER FOR BRUK AV BIG DATA? Advokat Therese Fevang, Bisnode Norge

Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Utfylt skjema sendes til personvernombudet for virksomheten. 1 INFORMASJON OM SØKEREN 2 PROSJEKTETS NAVN/TITTEL

NAV-evaluering. - behandling av personopplysninger. Voksenåsen, Oslo. Personvernombudet for forskning. 23.oktober 2007

Lydopptak og personopplysningsloven

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Implementering av det nye personvernregelverket ved UiB

PERSONVERNSERKLÆRING AVANTI RYFYLKE.

Nytt personvernregelverk på 1-2-3

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

DEL I TILRÅDING ELLER KONSESJON?

Grunnleggende personvern. Fagsamling 1: Personvern 18. januar 2017

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Bilag 14 Databehandleravtale

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Personvern og velferdsteknologi

Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17.

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Transkript:

Innsyn i og håndtering av sensitiv personinformasjon v/ Kirsti Torbjørnson og Gerd Smedsrud

2

Nye personvernregler i 2018 En forordning og to direktiver om personvern fra 2016 trer i kraft i norsk lovgivning i mai 2018 Blant annet krav om personvernombud Råd fra Datatilsynet: Ha oversikt over hvilke personopplysninger dere behandler Sørg for å oppfylle dagens lovkrav Sett dere inn i nytt regelverk Lag/juster rutinene for å følge de nye reglene 3

Krav til revisjonen ved behandling av personopplysninger Meldeplikt og internkontroll Kunnskap om reglene Oversikt over hvilke personopplysninger vi behandler Risikovurdering Rutiner og tiltak 4

Personvernombud Frivillig ordning hos Datatilsynet gir enkelte lettelser - meldeplikt Antagelig pålagt fra 2018 Fører oversikt over behandlinger av personopplysninger Ressursperson på personvern 5

Personopplysningsloven formål og virkeområde Personopplysningslovens formål er å beskytte den enkelte mot at personvernet blir krenket ved behandlingen av personopplysninger, jf. 1 Personopplysningsloven gjelder for: - Behandling helt eller delvis med elektroniske hjelpemidler - når personopplysninger inngår eller skal inngå i et personregister 6

Grunnprinsipper for personvern Privatlivets fred og personlig integritet Samtykke Proporsjonalitet Formålsbestemt Minimum av relevante opplysninger Fullstendighet og kvalitet Informasjonssikkerhet Ekstra vern for sensitive opplysninger 7

Personopplysninger ( 2) opplysninger og vurderinger som kan knyttes til en enkeltperson navn adresse yrke fødsels- og personnummer 8

Sensitive personopplysninger a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e) medlemskap i fagforeninger (Jf. personopplysningsloven 2 nr. 8) 9

Behandling Hva er å behandle personopplysninger? behandling av personopplysninger er enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter ved hjelp av digitale hjelpemidler eller personregister Behandling på pc og digitalt opptak av lyd Behandling krever hjemmelsgrunnlag 10

Hjemmelsgrunlag - personopplysninger Personopplysningsloven 8 (vanlige po) Lovhjemmel eller samtykke eller interesseavveining Personopplysningsloven 9 (sensitive) Lovhjemmel eller samtykke eller særskilt behandlingsgrunn Samtykke: informert, skriftlig og uttrykkelig Kommunens revisor har lovhjemmel: Kommuneloven 78 nr. 6:» Revisor kan uten hinder av taushetsplikt, kreve enhver opplysning som revisor finner nødvendige for å gjennomføre oppgavene. 11

Situasjoner som krever vår oppmerksomhet Når vi bruker opplysninger om og vurderinger fra enkeltpersoner til vår saksbehandling, revisjon, vurdering osv. Når vi mottar og behandler dokumenter som inneholder personopplysninger fra kommunen eller andre Når vi leser eller henter informasjon i kommunens ITsystem Når vi leser dokumenter og mapper hos kommunen Når vi gjennomfører og dokumenterer intervju 12

13

Når behandler vi personopplysninger? Regnskapsrevisjon: Lønnsinformasjon (kan inneholde sensitive po) Attestasjon av ressurskrevende brukere (sensitive po) MVA-komp på tilrettelagte boliger (sensitive po) Forvaltningsrevisjon Intervjureferat (kan ha sensitive po avhengig av innhold) Digitalt lydopptak av intervju* Dokumentasjon av mappegjennomgang i barnevern, helse, PPT (sensitivt) 14

Grunnkrav 11 Den behandlingsansvarlige skal sørge for at personopplysningene som behandles a) bare behandles når dette er tillatt etter 8 og 9, b) bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, c) ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker, d) er tilstrekkelige og relevante for formålet med behandlingen, og e) er korrekte og oppdatert, og ikke lagres lenger enn det som nødvendig ut fra formålet med behandlingen, jf. 27og 28. Personopplysninger som gjelder barn, skal ikke behandles på en måte som er uforsvarlig av hensyn til barnets beste. 15

Internkontroll Risikovurdering Tiltak (rutiner og retningslinjer) for å redusere risiko Avvikssystem Tillegg: Ha oversikt over hvilke (sensitive) personopplysninger selskapet behandler, personvernombud 16

Internkontroll 17

Internkontrollen konfidensialitet integritet tilgjengelighet 18

Tilgang til informasjon Måter vi får tilgang til informasjon Tilgang til kommunens IT-systemer? Gå gjennom dokumentasjon i kommunens lokaler? Få informasjonen på cd-rom eller minnepinne? Få dokumenter på e-post? Få dokumenter i posten? 19

Sletting 28 Den behandlingsansvarlige skal ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes. 20

Dokumentasjonskrav i revisjon vs personvern Revisorlov og -forskrift Arkivloven RSK 001 ISA 230 - Revisjonsdokumentasjon Tiltak for å etterleve personopplysningsloven 21

ISA 230 A3 Eksempler på revisjonsdokumentasjon er: Revisjonsprogrammer. Analyser. Problemnotater. Sammendrag av viktige forhold. Bekreftelser og uttalelser. Sjekklister. Korrespondanse (inkludert e-post) som gjelder viktige forhold. 22

ISA 230 A3 «Revisor kan inkludere sammendrag eller kopier av enhetens dokumenter (for eksempel viktige og spesifikke kontrakter og avtaler) i revisjonsdokumentasjonen. Revisjonsdokumentasjon er imidlertid ikke en erstatning for enhetens regnskapsmateriale». 23

RSK 001 42) Forvaltningsrevisjon skal dokumenteres på en måte som er tilstrekkelig til å gi en totalforståelse av utførelsen av prosjektet, og til å underbygge revisors vurderinger og konklusjoner. Rapporten beskriver metode Rapporten beskriver funn Funnene skal være tilstrekkelig dokumentert Intervjureferater Dokumentasjon av saksgjennomgang lydopptak 24

Arkiv vs personvern Kan vi bli flinkere til å vise til dokumentasjon i kommunen? sladde dokumenter? slette/makulere dem når vi har gjort vår kontroll? 25

Et nummer er også personlig Brukernummer Pasientnummer Klientnummer Hvis noe informasjon er knyttet til et nummer som er knyttet til en person så er det personopplysninger 26

Lydopptak Digitalt lydopptak Internkontroll Aktivt samtykke Kassettspiller og «gammeldagse» opptakere Ikke regulert 27

Ledelsesansvar 28

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding