Innsyn i og håndtering av sensitiv personinformasjon v/ Kirsti Torbjørnson og Gerd Smedsrud
2
Nye personvernregler i 2018 En forordning og to direktiver om personvern fra 2016 trer i kraft i norsk lovgivning i mai 2018 Blant annet krav om personvernombud Råd fra Datatilsynet: Ha oversikt over hvilke personopplysninger dere behandler Sørg for å oppfylle dagens lovkrav Sett dere inn i nytt regelverk Lag/juster rutinene for å følge de nye reglene 3
Krav til revisjonen ved behandling av personopplysninger Meldeplikt og internkontroll Kunnskap om reglene Oversikt over hvilke personopplysninger vi behandler Risikovurdering Rutiner og tiltak 4
Personvernombud Frivillig ordning hos Datatilsynet gir enkelte lettelser - meldeplikt Antagelig pålagt fra 2018 Fører oversikt over behandlinger av personopplysninger Ressursperson på personvern 5
Personopplysningsloven formål og virkeområde Personopplysningslovens formål er å beskytte den enkelte mot at personvernet blir krenket ved behandlingen av personopplysninger, jf. 1 Personopplysningsloven gjelder for: - Behandling helt eller delvis med elektroniske hjelpemidler - når personopplysninger inngår eller skal inngå i et personregister 6
Grunnprinsipper for personvern Privatlivets fred og personlig integritet Samtykke Proporsjonalitet Formålsbestemt Minimum av relevante opplysninger Fullstendighet og kvalitet Informasjonssikkerhet Ekstra vern for sensitive opplysninger 7
Personopplysninger ( 2) opplysninger og vurderinger som kan knyttes til en enkeltperson navn adresse yrke fødsels- og personnummer 8
Sensitive personopplysninger a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e) medlemskap i fagforeninger (Jf. personopplysningsloven 2 nr. 8) 9
Behandling Hva er å behandle personopplysninger? behandling av personopplysninger er enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter ved hjelp av digitale hjelpemidler eller personregister Behandling på pc og digitalt opptak av lyd Behandling krever hjemmelsgrunnlag 10
Hjemmelsgrunlag - personopplysninger Personopplysningsloven 8 (vanlige po) Lovhjemmel eller samtykke eller interesseavveining Personopplysningsloven 9 (sensitive) Lovhjemmel eller samtykke eller særskilt behandlingsgrunn Samtykke: informert, skriftlig og uttrykkelig Kommunens revisor har lovhjemmel: Kommuneloven 78 nr. 6:» Revisor kan uten hinder av taushetsplikt, kreve enhver opplysning som revisor finner nødvendige for å gjennomføre oppgavene. 11
Situasjoner som krever vår oppmerksomhet Når vi bruker opplysninger om og vurderinger fra enkeltpersoner til vår saksbehandling, revisjon, vurdering osv. Når vi mottar og behandler dokumenter som inneholder personopplysninger fra kommunen eller andre Når vi leser eller henter informasjon i kommunens ITsystem Når vi leser dokumenter og mapper hos kommunen Når vi gjennomfører og dokumenterer intervju 12
13
Når behandler vi personopplysninger? Regnskapsrevisjon: Lønnsinformasjon (kan inneholde sensitive po) Attestasjon av ressurskrevende brukere (sensitive po) MVA-komp på tilrettelagte boliger (sensitive po) Forvaltningsrevisjon Intervjureferat (kan ha sensitive po avhengig av innhold) Digitalt lydopptak av intervju* Dokumentasjon av mappegjennomgang i barnevern, helse, PPT (sensitivt) 14
Grunnkrav 11 Den behandlingsansvarlige skal sørge for at personopplysningene som behandles a) bare behandles når dette er tillatt etter 8 og 9, b) bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, c) ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker, d) er tilstrekkelige og relevante for formålet med behandlingen, og e) er korrekte og oppdatert, og ikke lagres lenger enn det som nødvendig ut fra formålet med behandlingen, jf. 27og 28. Personopplysninger som gjelder barn, skal ikke behandles på en måte som er uforsvarlig av hensyn til barnets beste. 15
Internkontroll Risikovurdering Tiltak (rutiner og retningslinjer) for å redusere risiko Avvikssystem Tillegg: Ha oversikt over hvilke (sensitive) personopplysninger selskapet behandler, personvernombud 16
Internkontroll 17
Internkontrollen konfidensialitet integritet tilgjengelighet 18
Tilgang til informasjon Måter vi får tilgang til informasjon Tilgang til kommunens IT-systemer? Gå gjennom dokumentasjon i kommunens lokaler? Få informasjonen på cd-rom eller minnepinne? Få dokumenter på e-post? Få dokumenter i posten? 19
Sletting 28 Den behandlingsansvarlige skal ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes. 20
Dokumentasjonskrav i revisjon vs personvern Revisorlov og -forskrift Arkivloven RSK 001 ISA 230 - Revisjonsdokumentasjon Tiltak for å etterleve personopplysningsloven 21
ISA 230 A3 Eksempler på revisjonsdokumentasjon er: Revisjonsprogrammer. Analyser. Problemnotater. Sammendrag av viktige forhold. Bekreftelser og uttalelser. Sjekklister. Korrespondanse (inkludert e-post) som gjelder viktige forhold. 22
ISA 230 A3 «Revisor kan inkludere sammendrag eller kopier av enhetens dokumenter (for eksempel viktige og spesifikke kontrakter og avtaler) i revisjonsdokumentasjonen. Revisjonsdokumentasjon er imidlertid ikke en erstatning for enhetens regnskapsmateriale». 23
RSK 001 42) Forvaltningsrevisjon skal dokumenteres på en måte som er tilstrekkelig til å gi en totalforståelse av utførelsen av prosjektet, og til å underbygge revisors vurderinger og konklusjoner. Rapporten beskriver metode Rapporten beskriver funn Funnene skal være tilstrekkelig dokumentert Intervjureferater Dokumentasjon av saksgjennomgang lydopptak 24
Arkiv vs personvern Kan vi bli flinkere til å vise til dokumentasjon i kommunen? sladde dokumenter? slette/makulere dem når vi har gjort vår kontroll? 25
Et nummer er også personlig Brukernummer Pasientnummer Klientnummer Hvis noe informasjon er knyttet til et nummer som er knyttet til en person så er det personopplysninger 26
Lydopptak Digitalt lydopptak Internkontroll Aktivt samtykke Kassettspiller og «gammeldagse» opptakere Ikke regulert 27
Ledelsesansvar 28