torsdag 9. november 2017 · smartphones, big data, internet of things Økt overvåkningsfare Økt...

Nye personvernregler – frokostseminar for MedTek

torsdag 9. november 2017

Andreas Nordby Partner

Espen Sandvik Partner


2

https://www.google.no/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwiQ3LbXwYnXAhWINpoKHVqgDdUQjRwIBw&url=https://capture2point0.wordpress.com/2017/02/25/gdpr-and-compliance-are-documents-the-enterprise-minefield/&psig=AOvVaw0Jgxe_GQ2n5fo86pkFYaKB&ust=1508943063698828

https://www.google.no/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwj05NSFwonXAhWiKJoKHZwhDDYQjRwIBw&url=https://www.mercurytide.co.uk/blog/article/introduction-to-the-gdpr/&psig=AOvVaw0Jgxe_GQ2n5fo86pkFYaKB&ust=1508943063698828

Nedtellingen er i gang...


3

Det kommer til å gå bra!


4

Tema for dagen

• Hva er personopplysninger? – Og hva er sensitive personopplysninger?

• Hvilke krav stilles til behandling av personopplysninger? – Kunder/leverandører – Ansatte – Pasienter/brukere

• Hva slags dokumentasjon må utarbeides? • Hva er risikoen dersom reglene overtres? • Hvordan kan godt personvern (også) bli et konkurransefortrinn?


5

Status • General Data Protection Regulation («GDPR») vedtatt 27. april 2016

• Trer i kraft 25. mai 2018 i hele EU

• Sentralt formål: like regler i hele Europa (med noen unntak)

• Ikke vedtatt i Norge

– Lovforslag om gjennomføringen i Norge har vært på høring – Legges opp til ikrafttredelse 25. mai 2018

• Erstatter/endrer hvilke regler?


6

Nye regler.....eller gamle?

• Delvis videreføring av loven fra 2001 – Hovedprinsippene de samme

• Personvern er et gammelt prinsipp

– Filmen «To mistenkelige personer» forbudt i 1951

• Lovgivningen drives av den teknologiske utviklingen

– 1990-tallet: Internett fører til første EU-direktiv

– 2017: Smartphones, Big Data, Internet of things

Økt overvåkningsfare Økt spredningsfare


7

Hvorfor har vi regler om personvern?

• Retten til et privatliv, retten til ikke å bli sett/overvåket

• Personopplysninger kan misbrukes

– usanne personopplysninger kan ha store negative konsekvenser – sanne personopplysninger kan ha stor økonomisk verdi – summen av og sammenkoblingen av personopplysninger kan gi svært mye

informasjon om en person

• Grunnleggende rettighet: – Inntatt i EU-trakten, basert på EMKs bestemmelser om retten til et privatliv


8

Spredningspotensialet i ny teknologi


9

Overvåkningspotensialet i ny teknologi

Artikkel på TV2.no, 9. mai 2017 Artikkel på fstoppers.com 7. juni 2017


10

Hva er nytt med de nye reglene?

• Dramatisk økning i sanksjonsnivå: – Euro 20 millioner eller 4 % av global årsomsetning – Men hva blir sanksjonen i praksis?

• Mer detaljregulering og tilstramminger – Regelverket øker fra 20 til 88 sider – Dokumentasjonskravene øker

• Noen nye prinsipper: – Privacy by design og default – Dataportabilitet (retten til å ta med seg sine egne personopplysninger) – Mer omfattende ansvar for databehandlere

• Meldeplikten til Datatilsynet faller bort


11

Hva er en «personopplysning»?

• Definisjonen: «enhver opplysning om en identifisert eller identifiserbar fysisk person

- Konkrete faktiske opplysninger (alder, kjønn osv.) - Oppfatninger og preferanser - Uttalelser - Adferd og adferdsmønster - Prestasjoner og vurderinger

• Anonymiserte og pseudonymiserte opplysninger


13

Hva er «sensitive» personopplysninger?

• Sensitive personopplysninger («særlige kategorier») betyr: – Rasemessig eller etnisk opprinnelse – Politisk oppfatning – Religion – Fagforeningsmedlemskap – Seksuelle forhold eller orientering – Genetiske og biometriske opplysninger brukt for å identifisere noen – Helseopplysninger – opplysninger om en fysisk persons fysiske eller psykiske

helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand


14

Virkeområdet for reglene

• Gjelder enhver «behandling» av «personopplysninger» – Unntak når rent personlig (= ikke i jobb) – Unntak når behandlingen ikke er «automatisert» (håndnotater og skrivemaskin)

• I praksis: - Gjelder det meste man gjør i jobbsammenheng med mobil eller PC - Alle virksomheter behandler personopplysninger (hver dag)


15

Hva er «behandling»?

• Definisjon: «enhver operasjon... som gjøres med personopplysninger... f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller annen former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring» • Det vil si at reglene gjelder når personopplysninger kommer inn – og går

ut – og alt som skjer med opplysningene i mellomtiden


16

«Persongalleriet»

• «Registrerte» - den personopplysningen gjelder • «Behandlingsansvarlig» - den som behandler personopplysningene

• «Databehandler» - den som behandler personopplysninger på vegne av

den behandlingsansvarlige («kontraktsmedhjelper»)


17

Bruk av databehandlere

• «...en...som behandler personopplysninger på vegne av den behandlingsansvarlige»

– F.eks. outsourcing av IT-drift – F.eks. ekstern HR-database

• I utgangspunktet tillatt, men:

– Behandlingsansvarlig forblir ansvarlig – Kan ikke velge hvem som helst – Må inngå databehandleravtale (med div. krav til innhold)

Skal opptre etter instruks + hjelpe til å overholde loven

• Databehandleren har i tillegg egne plikter


18

Hovedprinsippene i reglene

1) «Lovlighet» 2) «Rettferdighet» 3) «Gjennomsiktighet» 4) «Formålsbegrensning» 5) «Dataminimering» 6) «Riktighet» 7) «Lagringsbegrensning» 8) «Integritet og fortrolighet» 9) «Ansvar»

– Andre viktige prinsipper: • Personvernet «innebygd» og «standardinnstilling»


19

Hva er lov – og ikke lov?

• Utgangspunktet: – Behandling av personopplysninger er forbudt!

• Må ha hjemmel/«behandlingsgrunnlag» – Finnes grunnlag for mye... men ikke alt

• Hva betyr dette i praksis? – Det du gjør må sjekkes opp mot hjemlene i loven – Forutsetter kartlegging/bevissthet

• Alle har personopplysninger om kunder/leverandører og ansatte • Noen har opplysninger om pasienter/brukere


20

http://www.google.no/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwiNzaa9-YvXAhWhO5oKHQ-OBXEQjRwIBw&url=http://norsksonen.blogspot.com/2012/04/kardemommeloven-et-norsk-kulturbegrep.html&psig=AOvVaw2KUDYTkP1qrEeS8bZZF2IR&ust=1509026918076579

Når gir loven hjemmel for behandling?

• Grunnleggende – den registrerte kan samtykke til behandlingen av personopplysninger

• Samtykke – «frivillig, spesifikk, informert og utvetydig viljesytring»

– Frivillig – vurdering av «koblingshandel» – Spesifikt – alle aktiviteter og alle formål må være omfattet – Informert – Utvetydig

• Husk at samtykker kan trekkes tilbake


21

Når gir loven hjemmel for behandling?

• Oppfylle avtale: «nødvendig for å oppfylle en avtale som den registrerte er part i...»

• Oppfylle rettslig plikt

«nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige»

• Interesseavveining: «nødvendig for...berettigede interesser som forfølges av den behandlingsansvarlige eller en tredjepart... med mindre den registrertes interesser eller...rettigheter...går foran»


22

Når gir loven hjemmel for behandling av sensitive personopplysninger?

• Kan ikke behandles ut fra interesseavveining, men blant annet ved

– Samtykke (som må være frivillig osv.)

– Opplysninger registrert selv (åpenbart) har offentliggjort

– Oppfylle arbeidsrettslige/sosialrettslige plikter eller som ledd i medisinsk behandling


23

http://www.google.no/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwiUwqu0gYzXAhUpAZoKHR3bBBMQjRwIBw&url=http://www.istockphoto.com/photos/classified-ad&psig=AOvVaw3akjvgJmFNI5Z4NMQbKFC8&ust=1509029027300092

Krav til angivelse av formålet med behandlingen


24

Gjenbruk av personopplysninger?


25

Overføringer av data til utlandet

• Eksempler: 1) Back-up lagring på servere i utlandet 2) Datalagring hos morselskapet i utlandet

• Overføring utenfor EU/EØS i utgangspunktet forbudt. – Unntak:

1) Godkjente tredjeland, 2) Samtykke, 3) EU modellavtaler, 4) Binding Corporate Rules, 5) US privacy shield, 6) Adferdsnormer/sertifisering, 7) Tillatelse fra Datatilsynet, 8) Nødvendig oppfyllelse av kontrakt, 9) Rettskrav, 10) Berettigede interesser i enkelttilfeller m/melding Datatilsynet

• Praktisk tilnærming: 1) Kartlegg om faktisk overfører personopplysninger til utlandet, 2) Skaff om nødvendig grunnlag


26

Når loven først får anvendelse... • Regler om hva som er lov og ikke lov

- Må ha en form for grunnlag (=rettferdiggjøring) - Formålet setter begrensninger

• Papirmølla:

- Dokumentasjon – påvise at overholder loven - Formålsangivelser - Informasjon til registrerte - Samtykkeerklæringer - Avtaler med databehandlere - Avtaler om overføring til utlandet

• Krav til sikkerhetstiltak basert på risikovurderinger – Ennå mer dokumentasjon

• Overholdelse av registrertes rettigheter

- Innsynsrett, krav på sletting, retting, dataportabilitet, osv.


28

Risikovurderinger og sikkerhetstiltak • Plikt til «egnede tekniske og organisatoriske tiltak» • Hvorfor sikkerhet?

- Prinsipper om riktighet, integritet og konfidensialitet - Uautorisert tilgang eller utlevering, tap/skade mm

• Forutsetter risikovurdering/kjennskap til hva har/gjør • Hvor god må sikkerheten være?

- «...for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen» Hva betyr det?

• Hva slags tiltak er aktuelle?

– IT-sikkerhet, fysiske tiltak, pseudonymisering.

• Dokumentasjonskrav


29

Men husk at det (også) handler om mennesker....


30

Organisatoriske krav • Plikter å:

«gjennomføre egnede...organisatoriske tiltak for å sikre og påvise»... at loven overholdes – Lite konkret angitt hvilke tiltak som er nødvendige – Forholdsmessighetsprinsipp

• Ansvarsfordeling/plassering – noen må ta seg av dette! • Personvernombud (rådgiver)? • Instrukser/policies og rutiner for oppfølgning • Opplæring? • Tilgangskontroll/regler


31

Plikten til å overholde registreres rettigheter

• Plikt til å gi informasjon – Eks. «employee privacy notice» – Privacy policy på nettside

• Krav på innsyn • Krav på retting • Krav på sletting (retten til å bli glemt) • Krav på begrensning/innsigelse • Krav på dataportabilitet • Krav på «menneskelig» inngripen ved automatiserte avgjørelser

• Hvordan håndtere dette?


32

Dataportabilitet


33

• Hvis behandlingen skjer basert på avtale eller samtykke – Den registeret har rett til å motta opplysninger om seg selv og overføre disse til

en annen databehandler

– Skal være i et strukturert, alminnelig anvendt og maskinlesbart format

– Kan kreve overføring direkte til en ny databehandler hvis det er teknisk mulig

Vit hva du har hvor...


34

Personvern for leverandører/kunder

• Relevant for alle virksomheter • Leverandøren/kunden er typisk en juridisk person – som består av fysiske

personer (som det er knyttet personopplysninger til) • Reguleringen ikke like gjennomtenkt...


35

Personvern på arbeidsplassen

• Relevant for enhver – enten som arbeidsgiver eller arbeidstaker • Arbeidsgiver er behandlingsansvarlig: må overholde de generelle reglene,

i tillegg til enkelte særregler • Arbeidsgiver bør ha særlig fokus på:

– Begrenset bruk av samtykke fra ansatte – Informasjon til de ansatte – Tilgangsbegrensninger – Kontrolltiltak og overvåkning på arbeidsplassen – Innsyn i epostkasse – Rutiner ved opphør av ansettelsesforhold


36

Personvern for pasienter/brukere

• Velg den minst inngripende løsningen • Begrens mengden data som lagres • Velg sanntidsløsning (hvis mulig) • Lagre lokalt (hvis mulig). Det vil si er det behov for lagring i skyen? • La brukeren ha kontroll over løsningen. • Slett data etter bruk • Begrens tilgangen til informasjon • Innsyn i egne data • Dataene bør krypteres • Anonymisering av data


37

Meldeplikt ved brudd på personopplysningssikkerheten

• Omfatter utilsiktet/ulovlig tilintetgjøring, tap, endring eller spredning av personopplysninger

• Plikt til å melde fra til tilsynsmyndigheten innen 72 timer – Nærmere krav til innholdet i meldingen (karakteren av bruddet, hvem som er

berørt osv.)

• Hvis bruddet vil medføre «en høy risiko for fysiske personer rettigheter og friheter», også plikt til å melde fra til de registrerte...


39

Hva er risikoen?

• Risikoen for bøter • Risikoen for erstatningskrav

• Risikoen for stans/omlegging av virksomhet

• Risiko for svekket omdømme/tap av tillit


40

Hvorfor etterstrebe «godt personvern»

• Konkurransefortrinn – i alle fall i noen land – Vektlegges av forbrukere i valg mellom tilbydere – Relevant i oppkjøps- og salgssituasjoner

• Gode (og gjennomtenkte) samtykkeerklæringer kan utnytte muligheter i regelverket og skape inntekter


41

Hva nå? Hvordan klare å overholde alt dette?

• Erkjenn at noe må gjøres • Plasser ansvar - sett ned team • Kartlegg hva bedriften har og gjør med tanke på behandling av

personopplysninger – og hvorfor. • Kartlegg og vurder risiko, sikkerhetstiltak, tilganger og slettingsrutiner. • Bør noe endres? • Utarbeid nødvendig dokumentasjon • Ha systemer for oppfølgning. Personvern = løpende forhold, ikke

engangstiltak!


42

Sjekkliste

Hva slags personopplysninger behandler vi? Hvorfor har vi de personopplysningene vi har? Hvordan behandler vi personopplysningene? Har vi tilstrekkelig sikkerhet? Hvor lenge lagrer vi personopplysninger?

Overfører vi personopplysninger ut av EU? Har vi informert det de gjelder? Har vi rutiner for å håndtere henvendelse fra de det gjelder?


43

Personvernhåndbok/bruk av maler?

• Alt-i-ett løsning? • Veileder for hva man skal lete etter når kartlegger hva man (faktisk) gjør • Gir utgangspunkt for prinsipper og tiltak som kan implementeres • Fungerer som dokumentasjon for overholdelse


44


45

torsdag 9. november 2017 · smartphones, big data, internet of things Økt overvåkningsfare Økt...

Documents