Behandling av personopplysninger om attføringsdeltakere: Personvern Behandling av personopplysninger om attføringsdeltakere: Advokat Terje Hovet Oktober/november 2008

NHO Service NHO Service er tilsluttet NHO. organiserer over 1100 servicebedrifter med til sammen 57 000 årsverk; herunder facility service, bemanning, sikkerhet/vektere, renhold, bedriftshelsetjeneste, ambulanse og arbeidsmarkedsbedriftene (110). NHO Service’ medlemsbedifter spenner fra de helt små med få ansatte til den største med over 14 000 ansatte.

NHO Service Arbeidsliv Administrerende direktør Petter Furulund Viseadministrerende direktør Anne Jensen Direktør Laila Windju (slutter 01.12.08) Advokat Stein Johnsen. Advokat Linda Leiro Egseth Advokat Camilla Therese Lannem Advokat Terje Hovet Advokat Camilla Bernhoftsen

Program 0900 – 1200 Kurs 1200 – 1240 Lunsj 1240 – 1430 Kurs 1430 – 1445 Kaffepause 1445 – 1600 Kurs

Formål med kurset Økt fokus på personvern. Datatilsynet har på grunnlag av henvendelser fra attføringsdeltakere etterspurt redegjørelser fra attføringsbedrifter. Bransjeforeningen har ønsket å sette fokus på problemstillingen for å redusere risiko for mangelfull personvernhåndtering.

P4 14.01.2008 ”NAV slurver med personvernet. Datatilsynet forlanger bedre systemer, av frykt for at sensitive personopplysninger skal komme på avveie.”

Arbeids- og velferdsdirektoretat, brev av 01.09.08 1/2 …behov for klarare retningsliner for kva tid det kan vere aktuelt for ein tiltaksarrangør på sjøvstendig grunnlag å innhente medisinske opplysninger i samband med tiltaksgjennomføringa og då utifrå kva som er formålet med tiltaket.

Brev 01.09.08 2/2 …Det er behov for en gjennomgang og avklaring av avtalereguleringa av tilhøvet mellom NAV og tiltaksarrangørane. Det er difor sett i gang eit samarbeid med bransjeorganisasjonen Attføringsbedriftene som er tilslutta NHO….Målet er å utarbeide tydelege retningsliner for samhandling og infomasjon når det gjeld medisinske opplysningar og andre typar personopplysningar som er nødvendige for individuelt tilpassa og hensiktsmessig gjennomføring av tiltak. Det er i denne samanheng vesentleg å sikre at informasjon om personvern og teieplikt er godt ivareteke.

Personvernutvalg Det har vært nedsatt et personvernutvalg personalsjef Ketil Wigestrand personalsjef i Fretex Norge AS Nestleder Bjørn Bergersen, AS Rehabil Advokat Terje Hovet, NHO Service

Personverndokument Utvalget har utarbeidet dokumentet ”Retningslinjer for håndtering av personopplysninger om attføringsdeltakere Dokumentet danner utgangspunktet for kurset. Kurset setter imidlertid konkret fokus på utvalgte personvernutfordringer i attføringsbedriftene.

Formål med personvern Å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Å verne om privatlivets fred, den personlige integritet og sørge for tilstrekkelig kvalitet på personopplysninger.

Rettslig rammeverk Personopplysningsloven Personopplysningsforskriften Noe rettspraksis Datatilsynets og personvernnemdas praksis

Lovens saklige virkeområde, § 3 Loven gjelder for a)behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, og b)annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister.        Loven gjelder ikke behandling av personopplysninger som den enkelte foretar for rent personlige eller andre private formål. …     

Forskriftens § 2-1 § 2-1. Forholdsmessige krav om sikring av personopplysninger        Reglene i dette kapittelet gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler der det for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet er nødvendig å sikre konfidensialitet, tilgjengelighet og integritet for opplysningene.        Der slik fare er til stede skal de planlagte og systematiske tiltakene som treffes i medhold av forskriften, stå i forhold til sannsynligheten for og konsekvens av sikkerhetsbrudd.

Praktiske utfordringer: Attføringsdeltakeres krav på personvern vs. Bedriftens behov for praktisk behandling av personopplysninger. Hjemmel og grenser for behandling av personopplysninger.

Styrende personvernhensyn Konfidensialitet Vern mot uautorisert innsyn i pers.oppl. Integritet Vern mot uautorisert endring av pers.oppl. Tilgjengelighet Vern mot utilsiktet sletting av pers.oppl.

Sentrale begreper, § 2: 1/2 Personopplysning Sensitiv personopplysning Opplysninger og vurderinger som kan knyttes til en enkeltperson. Sensitiv personopplysning Opplysninger om a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold d) seksuelle forhold e) medlemsskap i fagforeninger

Sentrale begreper §2: 2/2 Behandling av personopplysninger Enhver bruk av personopplysninger, som f.eks innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter. Personregister Registre, fortegnelser mv der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen. Samtykke Frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv.

Grunnvilkår for behandling – pol § 11 Tillatt etter §§ 8 eller 9 Nyttes til uttrykkelig angitte (saklige) formål Opplysningene må være relevante for formålet med behandlingen Opplysningene må være tilstrekkelige og relevante Korrekte og oppdaterte (begrense lagring)

Behandling av personopplysninger, §8 Krav om samtykke, lovhjemmel eller nødvendig ut fra oppgitte alternativer i bokstav a til f

Sensitive personopplysninger, § 9 Krav om å oppfylle et av vilkårene i § 8 og for øvrig oppfyller et av oppgitte alternativer i bokstav a til h.

Nærmere om samtykke

Diskusjonsoppgave: Hvordan kan man sikre at attføringsdeltakere avgir et frivillig, uttrykkelig og informert samtykke?

Utvalgte problemstillinger: Hva kan behandles av attføringsbedriften? Hvem skal ha tilgang til registrerte opplysninger? Taushetsplikt Epost og faks Hvor lenge kan opplysninger lagres? Krav til innsyn? Melde og konsesjonsplikt

Hva vet man om attføringsdeltakeren?

Hva kan behandles? Ses i lys formål av attføringstiltaket Personopplysninger om attføringsdeltakeren. Personopplysninger om andre?

Diskusjonsoppgave En attføringsdeltaker har gitt utleverende opplysninger om sin ektefelles helsetilstand (bipolar lidelse/manisk depressiv). Dere finner opplysningene som viktige for å forstå deltakerens utfordringer og for å kunne legge til rette for et hensiktsmessig attføringstiltak. Hva gjør dere med opplysningene om ektefellen?

Hvem skal ha tilgang? ”Tjenestlig behov” Ulike former for tilgang Reell vurdering av hvem som bør ha tilgang. Den enkelte attføringskonsulent Team gruppering Ansvarsområder Andre? Arbeidsledere Arbeidsledere i større grad inkludert i attføringsarbeidet: - Eksterne samarbeidspartnere:

Diskusjonsoppgave: Hvem bør ha tilgang til personopplysninger om attføringsdeltakeren? Bør attføringsdeltakere være i en stilling hvor det er tilgang til personopplysninger om andre attføringsdeltakere?

Diskusjonsoppgave: En attføringsdeltaker er tidligere dømt for seksuelle overgrep mot barn. Vedkommende skal ha arbeidstrening på et lager sammen med ordinært ansatte og andre attføringsdeltakere. På lageret er det imidlertid en annen attføringsdeltaker som tidligere har vært utsatt for seksuelle overgrep som barn. Hva gjør dere?

Taushetsplikt Forvaltningslovens § 13 Taushetserklæring

Fvl. § 13 § 13. (taushetsplikt).        Enhver som utfører tjeneste eller arbeid for et forvaltningsorgan, plikter å hindre at andre får adgang eller kjennskap til det han i forbindelse med tjenesten eller arbeidet får vite om: 1)noens personlige forhold, eller 2)tekniske innretninger og fremgangsmåter samt drifts- eller forretningsforhold som det vil være av konkurransemessig betydning å hemmeligholde av hensyn til den som opplysningen angår.        Som personlige forhold regnes ikke fødested, fødselsdato og personnummer, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted, med mindre slike opplysninger røper et klientforhold eller andre forhold som må anses som personlige.

Diskusjonsoppgave Som attføringskonsulent får du gjennom samtaler med attføringsdeltaker vite at det kan foregå straffbare forhold i hjemmet (mishandling av barn og ektefelle). Hva gjør du?

Unntak fra taushetsplikt § 13b. (begrensninger av taushetsplikten ut fra private eller offentlige interesser). Taushetsplikt etter § 13 er ikke til hinder for: 6. at forvaltningsorganet anmelder eller gir opplysninger (jfr. også nr. 5) om lovbrudd til påtalemyndigheten eller vedkommende kontrollmyndighet, når det finnes ønskelig av allmenne omsyn eller forfølging av lovbruddet har naturlig sammenheng med avgiverorganets oppgaver, og 7. at forvaltningsorganet gir et annet forvaltningsorgan opplysninger (samordning) som forutsatt i lov om Oppgaveregisteret.

Barnevernloven § 6-4 annet ledd § 6-4. Innhenting av opplysninger.       Offentlige myndigheter skal av eget tiltak, uten hinder av taushetsplikt, gi opplysninger til kommunens barneverntjeneste når det er grunn til å tro at et barn blir mishandlet i hjemmet eller det foreligger andre former for alvorlig omsorgssvikt, jf. §§ 4-10, 4-11 og 4-12, eller når et barn har vist vedvarende alvorlige atferdsvansker, jf. § 4-24.

E-post og faks Retningslinjer for bruk av epost. Retningslinjer for bruk av faks. Forholdet til NAV vs forholdet til attføringsdeltakere.

Lagring av personopplysninger. §28 Forbud mot lagring av unødvendige personopplysninger Hvor lenge er lagring nødvendig? Unødvendige personopplysninger skal slettes. Hva er nødvendige opplysninger? Som tiltaksarrangør/arbeidsgiver Må være relevant for avklaringen/arbeidstreningen Unngå hjelpekåthet Medisinks rehabilitering vs holistisk behandling Nødvendig med opplysninger om personlig økonomi når man er på avklaring pga medisinske forhold Overført sosialhjelpsoppfølging til attføringsbedriftene Medisinske forhold Tiltaksarrangør får vite flere forhold etter at man starter løpet. Doble diagnoser Bestillingen må utvides – utvider formålet med tiltaket Hvor lenge er opplysningene nødvendig? 3 års regel vs 2 til 3 mnd uttalelser fra saksbehandler fra Direktoratet Hvorfor oppbevares opplysningene Hensynet til attføringsdeltakere eller hensynet til bedriften

Diskusjonsoppgave Saksbehandler i NAV tar kontakt for å få tilsendt opplysninger om en person som var i et attføringstiltak for 10 år siden. Saksbehandler ønsker tilsendt kopier av opplysningene. Dere sitter på opplysningene. Hva gjør dere?

Arkiv Krav ved oppbevaring av mapper Makuleringsrutiner løse notater med personopplysninger Makuleringsrutiner Krav til arkivet

Rett til innsyn § 18: Dersom den som ber om innsyn er registrert, skal den behandlingsansvarlige opplyse om a) hvilke opplysninger om den registrerte som behandles og b) sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten Unntak - § 23 Utilrådelig av hensyn til helse Interne notater – elektronisk personlogg?

Diskusjonsoppgave En attføringsdeltaker er uenig i sluttrapporten. Vedkommende ønsker innsyn i personal-loggen/journalen i CAT/Pro personal eller tilsvarende samt i evt. notater i personalmappen. Hva gjør dere?

Melde- og konsesjonsplikt Hovedregel og utgangspunkt: Meldeplikt ved behandling av personopplysninger. Konsesjonsplikt ved behandling av sensitive personopplysninger. Forholdet til NAV

Overordnede forhold Informasjonssikkerhet Internkontroll Risikovurdering Sikkerhetstiltak Datasikkerhet

Informasjonssikkerhet Krav om informasjonssikkerhet ift styrende personvernhensyn – KIT Sikkerhetsmål Sikkerhetsstrategi Sikkerhetsorganisasjon

Internkontroll Krav om strukturert og planmessig arbeid for å sikre at kravene til personvern ivaretas under attføringsbedriftenes behandling av personopplysninger. Oversikt over hvilke og hvordan personopplysninger behandles i virksomheten. Rutiner for risikovurdering, kartlegging, sikkerhetsorganisering m.m.

Risikovurdering Systematisk risikovurdering naturlig del av internkontrollen. Vurdering ift akseptabel eller ikke-akseptabel risiko for brudd på personvern. Vurdering av elektronisk og manuell behandling

Sikkerhetstiltak Hvis bedriften finner en ikke-akseptabel risiko for krenkelse av personvern under ett eller flere ledd av behandlingen av personopplysninger, så krav om tiltak for å bøte på risikoen, Fastsette rutiner for: Behandling av personopplysninger Opplæring av ansatte Taushet og konfidensialitet Personvernombud

Diskusjonsoppgave: Hvordan kan attføringsbedriften gjennomføre tiltak for å sikre attføringsdeltakeres personvern, jf de styrende personvernhensyn KIT?

Krav til IT systemet - datasikkerhet Åpen/sikker sone-løsning foretrekkes av DT, spesielt hvor det er tale om sensitive personopplysninger. Sikre opplysningenes konfidensialitet, integritet og tilgjengelighet Vern mot uautorisert tilgang, endring og sletting logg, backup Krav om vurdering av bedriftens dataverktøy Utarbeide rutiner og prosedyrer for elektronisk behandling av personopplysninger.

Kontaktinfo NHO Service 23 08 86 50 www.nhoservice.no Terje Hovet 23 08 86 54 terje.hovet@nhoservice.no