Personvern i digitaliseringens tid Kommuner og nytt regelverk

Like dokumenter
Nye personvernregler fra mai 2018, hva nå?

Vi blir "smartere og smartere", snart er nesten alt tilknyttet alt, alltid. Det stiller store krav til sikkerhet og personvern

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Nye personvernregler fra mai 2018, hva nå?

Nye personvernregler fra mai 2018, hva nå?

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Nye personvernregler

Hva gjør så KiNS og KS med GDPR?

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Nye personvernregler

NORID - Registrarseminar 26. april 2017

Informasjonssikkerhet i forordningen

Nye personvernregler fra 2018

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Nye personvernregler (GDPR)

Nye personvernregler fra mai 2018

EUs nye forordning for personvern

Underbygger lovverket kravene til en digital offentlighet

Nye personvernregler (GDPR)

Personvernmessige utfordringer ved sammenslåing av kommuner Den nye personvernforordningen

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Personvern i digitalisering av forvaltningen

Vi fikk ny personopplysningslov 20. juli 2018

Nye personvernregler Gullik Gundersen juridisk rådgiver

EUs nye forordning for personvern

Ny forordning om behandling av personopplysninger. Hvordan går det med pasienten?

Tilsyn med etterlevelse av personvernforordningen

Skytjenester og nytt personvernregelverk

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Ny personopplysningslov og personvernforordning mai 2018 Personalledersamling 7. og 8. november

Nye personvernregler fra 2018 hva betyr det for din virksomhet?

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

GDPR - viktige prinsipper og rettigheter

Nytt personvernregelverk på 1-2-3

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Nøkkelen til morgendagens personvern innebygd personvern

Nye personvernregler fra mai 2018

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Personopplysningsvern med ProFundo som databehandler

Nye personvernregler og innebygd personvern

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Nye personvernregler fra mai Mars 2017

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Personvern - Hva er det

OM PERSONVERN TRONDHEIM. Mai 2018

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Steinar Nørstebø, styreleder

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

I 2018 innføres ny personvernlovgivning i Norge og Europa. Hva blir annerledes? Opplysninger skal ikke brukes til nye, uforenlige formål

Krav til informasjonssikkerhet i nytt personvernregelverk

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Perspektiver og planer ved Universitetet i Oslo

Bakgrunn. EU har vedtatt ny personvernforordning

Ny personopplysningslov (GDPR) Etter snart 8 måneder, hva har skjedd?

Nye personvernregler fra mai 2018

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Personvernforordningen

Nye personvernregler

Personvern og informasjonssikkerhet ved anskaffelser

Personvernforordningen

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Nytt personvernregelverk GDPR e-kommunedagen Hordaland

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

REKRUTTERING OG GDPR

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

EUs personvernforordning (GDPR)

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Nye personvernregler fra mai 2018

SUSANNE HELLAND FLATØY PUBLIC & HEALTHCARE SOLUTIONS. Få oversikt og kontroll, sikre etterlevelse av kravene i GDPR

Personvern og informasjonssikkerhet i UH sektoren

Personopplysningsloven og annet «snacks»

Når barn og barnevernsaker eksponeres i media

Informasjons sikkerhet. Først en øvelse: Hva er det første du tenker på når jeg sier:

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Personvern-rett H2016

GDPR Ny personvernforordning

GDPR Prosjektgjennomføring Sjekkliste

Studieplan 2017/2018. PERSONVERN en grunnopplæring i personvernregelverk (2017) Studiepoeng: 15. Studiets nivå og organisering. Bakgrunn for studiet

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Big data i offentlig sektor og personvern

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Databehandleravtale for NLF-medlemmer

Endringer i universitets- og høyskoleloven og EUs nye personvernforordning

Nytt regelverk, nye muligheter og masse avviksmeldinger!

Innføring av nytt personvernregelverk ved UiO

Del 2. Fagdag GDPR - Arkiv Troms

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Transkript:

Personvern i digitaliseringens tid Kommuner og nytt regelverk

Agenda Litt om Datatilsynet Hva er personvern og personopplysninger? Hvordan ser det ut i norske kommuner? Bakgrunn for nye personvernregler De viktigste endringene fra i dag til 2018 Hva nå? våre forventninger og råd om veien videre 3

To ord om Datatilsynet Side 4

Datatilsynet Opprettet 1980, lokalisert i Oslo I underkant av 50 medarbeidere Særlig uavhengig forvaltningsorgan under KMD To roller forvaltning og ombud Regelverk: Personopplysningsloven Helseregisterloven Helseforskningsloven Politiregisterloven Lov om Schengen informasjonssystem Personvernnemnda er klageorgan for våre vedtak Direktør Fagavdeling 1 Fagavdeling 2 Administrasjonsavdeling Faggruppe 1 Faggruppe 2 Faggruppe 3 Faggruppe 4 Kommunikasjonsavdeling 5

Litt om person(opplysnings)vern og behandling av personopplysninger

Hva er person(opplysnings)vern? Den enkeltes rett til å ha kontroll med egne personopplysninger Selvbestemmelse rett til selv å bestemme hvilke opplysninger som skal brukes, av hvem og til hvilke formål. Informasjon hvis man ikke har rett til å samtykke, har man i det minste rett til å vite hvilke opplysninger som brukes, av hvem og til hvilke formål 7

Personopplysninger er mer enn du kanskje tror. 8

Personopplysninger hva er det? Hallstein Husand Sogstiveien 68B 1446 Drøbak Tlf 908 21 845 hhu@datatilsynet.no Oppvokst i Sømna, gift og 3 voksne barn Datatilsynet Tollbugata 3 0034 Oslo datatilsynet.no personvernbloggen.no Twitter.com/datatilsynet Fødselsnummer: 13087846271 Telefonnummer: 22396900 IP-adresse: 195.159.103.82 Bilnummer: BL 23456 Bluetooth MAC: 17:35:52:78:4B:CA Wi-Fi-adresse MAC: 12:44:32:45:7B:C9 Autpass-brikke-ID: 7483920983278394

10

Og utviklingen raser videre. 11

12

13

Hvordan er tilstanden i norske kommuner? 14

Virkemidler Kommuneundersøkelsen 2011 Brevkontroll Målrettet oppfølging Kontroller Råd og veiledning Samarbeider med KiNS (Kommunal Informasjonssikkerhet) Samarbeider med KS Samarbeider med KMD Tett og god dialog med øvrige premissgivere for kommuner Kartverket, Fylkesmenn, Riksarkivet, Difi, Altinn mf.fl. Side 15

Noen steder vi har vært? Side 22

Hvor trykker skoen? Manglende oversikt over egne behandlinger Manglende eller for dårlige risikovurderinger Hull i kunnskapen om innsyn og informasjon Usikkerhet knyttet til konfigurasjonsstyring Vertskommuner i regionale samarbeid er ikke alltid bevisst sin rolle som databehandler for de øvrige kommunene I noen tilfeller tror man behandlingsansvaret overføres til vertskommunen (Hvilket er riktig hvis samarbeidet er etter kommuneloven 27) Databehandleravtaler Side 17

Vanligste unnskyldning Vi har ikke kommet i gang ennå Vi har ikke kunnet prioritere dette, så lagt Dette med IT er vanskelig Økonomi Gjennomtrekk på ledernivå Personopplysningsloven er fra 2001 og nå kommer det en ny! Side 18

Hva er gjennomgående bra? Organisering og delegasjonsfullmakter Avviksbehandling internt Ønsket om å få det til Det er få som skylder på andre Humøret Side 19

Er det forskjell på store og små? I mindre grad eller man kanskje skulle tro Alle lever under samme regelverk uansett størrelse Store kommuner besitter i hovedsak mer og bedre IKT-kompetanse (ikke nødvendigvis kompetanse på personvern!) Små kommuner har gjennomgående bedre oversikt over sine behandlinger Små kommuner har større utfordringer med tilgangsstyring og er mer sårbare ift spisskompetanse Små kommuner er som oftest mer ydmyke Side 20

Regionale forskjeller? Ingen signifikante forskjeller Like mye forskjeller innenfor regioner Større utfordringer for kommuner med stor gjennomtrekk av ledere. (Er generelt for alle kommunens områder) Side 21

22

23

Litt om bakgrunnen for nye regler

Hvorfor nye regler for personvern, trenger vi det? 25

26

Nye rammer for behandling av personopplysninger! (EU 2016/679) Vedtatt i 2016 og vil tre i kraft 25.05.2018 Hvorfor? Styrke den europeiske borgers rettigheter Gjøre det lettere å utveksle personopplysninger over landegrenser Styrke tilliten til digitale tjenester Sikre samarbeid mellom personvernmyndigheter Hvordan? Gjennom en forordning Erstatter nasjonal lovgivning Direkte gjeldende i EU/EØS Begrenset spillerom for nasjonale tilpasninger 27

Hva skjer a (i Norge)?

29

Hva skjer hos myndighetene i Norge? Innlemmelse i EØS avtalen (Justisdepartementet/ EFTA) Innføring i norsk lov (Justisdepartementet/Kommunal og Moderniseringsdepartementet høringsfrist var 15. oktober) Ny personopplysningslov Forordningen i sin helhet som Annex (inkorporasjon) Endelig Norsk oversettelse Kommentar utgave Datatilsynet Eget internprosjekt IKT Juridisk WEB (nytt nettsted introdusert i sommer) Personvernombud Kommunikasjon Deltar i internasjonalt arbeid og bidrar til utredninger 30

Forordningen (GDPR), litt om hva og hvordan

Finne oversikt Artikkel 1 Formål og mål Artikkel 2 Materielt virkeområde Artikkel 3 Geografisk virkeområde Artikkel 4 Definisjoner Artikkel 5 Prinsipper for behandling av personopplysninger Artikkel 6 Behandlingens lovlighet 32

Alle norske virksomheter får nye plikter Alle må finne ut hva regelverket betyr Nye rutiner er et ledelsesansvar Alle ansatte skal følge nye rutiner «GDPR er ikke et nytt IKT prosjekt» Torgeir Waterhouse IKT-Norge 33

Skjerpede plikter for virksomhetene Tydeligere krav til informasjon og samtykke Innebygd personvern og personvern som standardinnstilling Vurdering av personvernkonsekvenser Forhåndsdrøftelser Obligatorisk med personvernombud Avvikshåndtering Bransjenormer og sertifisering Skjerpede plikter for databehandlere Dataportabilitet og automatiske avgjørelser Europeisk samarbeid 34

Samtykke Et samtykke skal være frivillig, spesifikt, informert og utvetydig erklært Det må ikke være tvil om at den som samtykker uttrykker sin vilje til å samtykke i behandlingen Inaktivitet/passivitet kan aldri kunne anses som et lovlig samtykke

Alle skal ha en forståelig personvernerklæring Informasjonen skal være lett tilgjengelig Klart språk som er tilpasset leserens nivå Stilles krav til hvilke opplysninger som skal gis 36

Krav om innebygd personvern Det minst personverninngripende alternativet som standard: mengde omfang lagringstid tilgjengelighet 37

Personvernombud Alle offentlige virksomheter (unntatt domstoler) Ja, man kan dele Ja, man kan kjøpe Krav til kompetanse Skal involveres og rapportere til høyeste ledelsesnivå Ombudet skal ikke instrueres eller straffes Oppgavene omfatter å gi råd, overvåke etterlevelse og være kontaktpunkt 38

Alle får nye krav til avvikshåndtering Strengere regler enn i dag Melde avvik innen 72 timer Stilles krav til innholdet i avviksmeldingen De berørte skal varsles i klart språk 39

Bransjenormer

Databehandlere får nye plikter (art 28) Egne rutiner for behandling av personopplysninger dokumentere etterlevelse Si ifra om instrukser er i strid med loven Underleverandører skal godkjennes Melde avvik til behandlingsansvarlig Behandle personopplysninger ihht databehandleravtale Kan bli erstatningspliktige 41

Dataportabilitet (art. 20) Retten til dataportabilitet gjelder ikke for behandlinger som er nødvendige for å gjennomføre oppgaver i samfunnets interesse eller under offentlig myndighetsutøvelse.

Automatiserte avgjørelser og profilering Automatiserte avgjørelser (herunder profilering) som «har rettsvirkning eller på tilsvarende vis betydelig påvirker han/hun», er kun tillatt: når det er nødvendig for å inngå eller for å gjennomføre en avtale med det registrerte, når det er hjemlet i lov som samtidig stadfester tilfredsstillende garantier for personvernet når det er basert på samtykke.

Saksjoner - overtredelsesgebyr I dag Inntil 10G = ca. 910.000 kroner Med ny lov (fra 25. mai2018) Inntil 20 millioner euro, eller 4% av årlig global omsetning avhengig av lovbrudd og alvorlighetsgrad Vil også kunne ilegge offentlige myndigheter gebyrer

Hva nå da, er det for seint eller kanskje for tidlig?

Om de nye reglene PERSONVERN Dersom man følger dagens lov, er veien til etterlevelse av forordningen kortere. Dersom man ikke følger dagens lov, har man et problem Personopplysningsloven Personvernforordningen 46

Datatilsynets forventninger til virksomheter 1. At man vet noe om hva personvern er 2. At man vet hvem «sine registrerte» er 3. At man vet hvilke opplysninger man har om de registrerte og hvor disse opplysningene kommer fra 4. At man vet hvorfor dere trenger akkurat disse opplysningene om de registrerte 5. Om man vet om man kan gjennomføre oppgavene med færre opplysninger? 6. At man vet hvem i organisasjonen som beslutter om opplysninger skal slettes/rettes Vet man hvem som teknisk sett kan gjennomføre endringene? Vet man hvor lang tid det tar å endre eller slette? 7. At man vet hvor alle i organisasjonen finner informasjon om internkontrollsystem og rutiner for informasjonssikkerhet og hvordan dette kan hjelpe i arbeidshverdagen 47

Hallstein Husand fagdirektør hhu@datatilsynet.no Følg oss: datatilsynet.no personvernbloggen.no Twitter.com/datatilsynet 48

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding