GDPR Personvernforordningen General Data Protection Regulation

Harmoniserer regelverket slik at rettigheter og ansvar ikke forsvinner ved landegrensene Lovverket forsøker å tette gapet mellom den teknologiske utviklingen og europeisk lov

Personvernforordningen Trer i kraft 25. mai Felles regelverk for hele Europa Inkorporeres i sin helhet i norsk lov Ny personopplysningslov med konkrete nasjonale bestemmelser

Sentrale endringer Det opprettes et europeisk personvernråd (EDPB) De registrertes rettigheter styrkes på flere punkter Melde- og konsesjonsplikt bortfaller Vesentlig høyere overtredelsesgebyr

Bøter Opptil 20 000 000 euro eller, dersom det dreier seg om et foretak, på opptil 4 % av den samlede globale årsomsetningen i forutgående regnskapsår 17.02.2019

Hva handler det om- Egentlig? Evnen til å dokumentere kunnskap om – og tiltak knyttet til: HVA er personopplysninger? HVILKE personopplysninger lagres/brukes? HVOR befinner opplysningene seg? HVORFOR behandles opplysningene? HVORDAN behandles opplysningene? GRUNNLAG for behandlingen av opplysningene?

Sentrale begrep Den registrerte (Data)Behandling Den som en personopplysning kan knyttes til (Data)Behandling Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger (Data)Behandlingsansvarlig Den som bestemmer formålet med behandlingen av helseopplysninger og hvilke hjelpemidler som skal brukes

Sentrale begrep (2) Databehandler Personvernombud/personvernrådgiver Den som behandler personopplysninger på vegne av den behandlingsansvarlige. (F.eks. Hemit) Personvernombud/personvernrådgiver Sikre at den behandlingsansvarlige i hele eller nærmere avgrensede deler av virksomheten følger lover og forskrifter om personvern  Tilsynsmyndighet En uavhengig offentlig myndighet; Datatilsynet

Personopplysninger «Personopplysninger» er enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte») Navn, identifikasjonsnummer, lokaliseringsopplysninger, online-identifikator, etc. Ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet

Sensitive personopplysninger Benevnes som «særlige kategorier av personopplysninger» i artikkel 9 Rasemessig eller etnisk opprinnelse Politisk oppfatning, religion, eller overbevisning Helseopplysninger Fagforeningsmedlemskap Genetiske og biometriske opplysninger Seksuelle forhold eller orientering

Straffbare forhold Vil ikke lenger defineres som sensitive personopplysninger som i dag Defineres som «personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak» Får egne bestemmelser (i artikkel 10)

Økt ansvar Melde- og konsesjonsplikt erstattes med at behandlingsansvarlig pålegges en risikobasert tilnærming Innebærer en plikt til vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøftelser med Datatilsynet Ansvarsbyrden til behandlingsansvarlig skal sikre bedre personvern gjennom internkontroll og gode styringssystemer Ansvarsbyrden til behandlingsansvarlig tydeliggjøres for å sikre bedre personvern gjennom internkontroll, «innebygd personvern», og «personvern som standardinnstilling»

Den registrertes rettigheter Informasjonsrett Innsynsrett Rett til korrigering Rett til sletting – «retten til å bli glemt» Rett til begrensning av behandling Rett til dataportabilitet Rett til å protestere Rett til å ikke være gjenstand for automatiserte avgjørelser

Den registrertes rettigheter (2) Informasjonsretten Kortfattet, åpen, forståelig og lett tilgjengelig måte Klart og enkelt språk 17.02.2019

Den registrertes rettigheter (3) Informasjonsretten Kontaktdetaljer (behandlingsansvarlig og PVO) Formålet med behandlingen Behandlingsgrunnlag (jf, artikkel 6 og 9) Eventuelle mottagere av opplysningene Tredjeland/internasjonalt og tilhørende sikkerhetstiltak Den registrertes rettigheter 17.02.2019

Den registrertes rettigheter (4) Innsynsretten Innsyn i hvorvidt den registrertes opplysninger behandles Innsyn i behandlede opplysninger (lagret, etc.) Informasjon om behandlingen Rett til en kopi av personopplysningene 17.02.2019

De registrertes rettigheter (5) Retten til å bli glemt Opplysningene skal slettes når Formålet med behandlingen er oppnådd Personopplysningene er behandlet ulovlig Det er nødvendig for å oppfylle en rettslig forpliktelse

De registrertes rettigheter (6) Retten til å bli glemt Opplysningene skal slettes når samtykket trekkes tilbake (jf, art. 6 nr. 1 a); den registrerte motsetter seg behandlingen (jf, art. 21 nr. 1 og 2); opplysningene er samlet inn ifm barns bruk av informasjonssamfunnstjenester (jf, 8 nr. 1) 17.02.2019

De registrertes rettigheter (7) Rett til å ikke være gjenstand for automatiserte avgjørelser Gjelder behandling som utelukkende er automatisert Vil i utgangspunktet innebære at automatisert behandling er forbudt Gjøres unntak Hjemmel i norsk rett Samtykke Avtale 17.02.2019

Helseforetakene Sørge for og sikre: Tilstrekkelig kompetanse, kapasitet og struktur for å ivareta ansvaret for informasjonssikkerhet og personvern Ha en korrekt oversikt over behandlinger av personopplysninger Videreutvikle sitt eget styringssystem for informasjonssikkerhet Helhetlige risikovurderinger for alle IKT-tjenester, slik at den totale risikoen kommer frem og fungerer som et godt beslutningsunderlag for ledelsen Opplæring i informasjonssikkerhet og personvern Personvernombud og operative systemeiere

Regionalt prosjekt Understøtte helseforetakene i arbeidet med å etterleve kravene til ny personvernforordning Forutsetter samhandling mellom helseforetak og prosjektet - personvernombud Etablere oversikt over hvilke personopplysninger som behandles hvor (IKT-systemer, MTU og skytjenester) Avklare endringsbehov i styringssystem for informasjonssikkerhet Utarbeide veileder for etterlevelse av GDPR Tiltaksområder videre