Om personopplysningslovens betydning for systemutvikling -grunnkrav Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, AFIN.

Slides:



Advertisements
Liknende presentasjoner
Personopplysningsloven: -innhold, styrker og svakheter
Advertisements

Krav til rettslig grunnlag for behandling av personopplysninger
Etikk og nettvett i barnehagen
Rettsregler vedrørende Internett og betydningen for informasjonsfriheten Prof. Dag Wiese Schartum, AFIN.
Hvilke rettsregler gjelder for norske nettsteder? Prof. Dag Wiese Schartum, AFIN.
Krav til samtykke og informasjon.
Personvern Rune V. Bråthen.
Eksempler på Rettskildestudier (“annen rettskildeforskning”) Dag Wiese Schartum, AFIN.
Rettslig regulering av identitet og identifisering i Norge Dag Wiese Schartum, AFIN.
Prof. Dag Wiese Schartum, AFIN
Personopplysningslovens formål, grunnbegreper og virkeområde
Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.
Grunnleggende begreper i personopplysningsloven (legaldefinisjoner)
Personopplysningslovens formål og grunnleggende begreper
Om forholdet mellom rettssikkerhet og personvern i elektronisk forvaltning Dag Wiese Schartum, AFIN.
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
Vibeke Bjarnø, Avdeling for lærerutdanning og internasjonale studier
Oppgave 2. Oppgave 2 a) De sentrale paragrafene her er §§ 2 og 31 i personopplysningsloven (herretter forkortet til p.o. loven) og § 7-16 i forskriften.
Personopplysningsloven
Dag Wiese Schartum, AFIN
Krav til rettslig grunnlag for behandling av personopplysninger
Dokumentasjon av rettslige beslutningssystemer Dag Wiese Schartum, AFIN.
Krav til rettslig grunnlag for behandling av personopplysninger Dag Wiese Schartum.
Dag Wiese Schartum, AFIN
Dag Wiese Schartum, AFIN
Risikovurdering i UDI; DRI 3001 Dag Wiese Schartum, AFIN
Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum.
Gjennomgang av gruppearbeid til bolk A - DRI Dag Wiese Schartum, AFIN.
Arbeidsgivers behandling av personopplysninger Personopplysningsloven av 14.april 2000 nr. 31 (popplyl.)
Om personopplysningslovens betydning for systemutvikling Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO.
Oversikt over personopplysningslovens bestemmelser om fjernsynsovervåking Prof. Dag Wiese Schartum, AFIN.
Dokumentasjon av rettslige beslutningssystemer Dag Wiese Schartum, AFIN.
Konsesjons- og meldeplikt Datatilsynets og Personvernnemndas oppgaver og myndighet Prof. Dag Wiese Schartum, AFIN.
Retting og sletting mv av personopplysninger Dag Wiese Schartum, AFIN.
Konsesjons- og meldeplikt Datatilsynets og Personvernnemndas oppgaver og myndighet Prof. Dag Wiese Schartum.
Taushetsplikt og andre begrensninger i tilgangen til personopplysninger Dag Wiese Schartum, AFIN.
Grunnleggende begreper i personopplysningsloven (legaldefinisjoner)
Krav til formål, utredning og opplysningskvalitet Dag Wiese Schartum, AFIN.
Diskusjon av mulig fremtidig regulering av biometri i Norge Dag Wiese Schartum, AFIN.
Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, AFIN.
Krav til sikring av personopplysninger Prof. Dag Wiese Schartum, AFIN.
Krav til sikring av personopplysninger i hht pol § 13 og pof kap. 2 Prof. Dag Wiese Schartum, AFIN.
Gjennomgang av eksamensoppgaven for 2005 og oppsummering av emnet Dag Wiese Schartum.
Oversikt over personopplysningslovens bestemmelser om fjernsynsovervåking Prof. Dag Wiese Schartum, AFIN.
Personopplysningslovens virkeområde og grunnleggende begreper Dag Wiese Schartum, AFIN.
Krav til rettslig grunnlag for behandling av personopplysninger («behandlingsgrunnlag») Dag Wiese Schartum.
Personopplysningslovens formål, grunnbegreper og virkeområde
Grunnleggende begreper i person-opplysningsloven og lovens virkeområde
Dag Wiese Schartum, AFIN
Krav til sikring av personopplysninger
Krav til formål, utredning og opplysningskvalitet
Brukerorientering og rettigheter i elektronisk forvaltning
Personvern som del av enkeltsaksbehandling i offentlig forvaltning
Dokumentasjon av rettslige beslutningssystemer
Dag Wiese Schartum, AFIN
Prof. Dag Wiese Schartum, AFIN
Krav til rettslig grunnlag for behandling av personopplysninger
Dag Wiese Schartum, AFIN
Registrerte personers rettigheter
Krav til rettslig grunnlag for behandling av personopplysninger
Dag Wiese Schartum, AFIN
Spesielt om personvern og krav til sikring av personopplysninger
Prof. Dag Wiese Schartum
Krav til sikring av personopplysninger i hht pol § 13 og pof kap. 2
Interessen i opplysnings- og behandlingskvalitet
Krav til rettslig grunnlag for behandling av personopplysninger
Personvern Opplysningskvalitet Informasjonssikkerhet og internkontroll
Dag Wiese Schartum, AFIN
Dag Wiese Schartum, AFIN
Prof. Dag Wiese Schartum, AFIN
Utskrift av presentasjonen:

Om personopplysningslovens betydning for systemutvikling -grunnkrav Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, AFIN

Generelt Personopplysningsloven er (nesten) alltid relevant ved utvikling av informasjonssystemer som skal behandle “personopplysninger” Loven er basert på EU-direktiv om personvern som er mønster for lovgivningen i de 25 EU-landene + 3 EØS-land Kan du hovedtrekkene i personopplysningsloven (peol), kan du hovedtrekkene i “all” europeisk persovernlovgivning! Personopplysningslovens (pol) § 1 er en formålsbestemmelse som definerer personvern og som skal brukes aktivt ved fortolkning av loven. Store deler av loven er av interesse i tilknytning til utvikling av informasjonssystemer som skal behandle personopplysninger. I denne og neste forelesning behandles deler av loven som må vurderes; andre deler av loven kan med fordel vurderes.

“Personopplysning” Person_opplysning (PO) –Gjelder opplysninger som kan knyttes til en fysisk person –Identifiseringen kan være direkte eller indirekte –Det er nok at en person kan knyttes til opplysningen –Identifiseringen kan være usikker (men grense) –Det må ikke være knyttet slike praktiske eller økonomiske innsatser til identifiseringen at det er usannsynelig at identifisering vil skje

Sjekkliste, trinn 1 Gjelder loven for mitt informasjonssystem? –Hvis jeg er etablert i Norge (hovedregel) –Hvis PO blir behandlet elektronisk Behandling = “alt” du kan gjøre med data Helt eller delvis elektronisk behandling Uansett tekst, bilde, lyd mv Spesielle regler gjelder for videoovervåking –Hvis PO behandlingen er manuell og opplysningene behandles i et personregister, eller opplysningene skal inn i et personregister

Sjekkliste, trinn 2 Har jeg lovlig adgang til de opplysningene jeg ønsker å behandle (eller kan jeg skaffe det?) Mulige rettslige grunnlag –Lovhjemmel Eksplisitt Implisitt? –Samtykke Frivillig Informert Uttrykkelig –Nødvendig (slik det er angitt i peol §§ 8 og 9)

Sjekkliste, trinn 3 Hva skal jeg benytte PO til? –All behandling av PO må skje for ett eller flere bestemte formål –Formålene må være angitt før behandling begynner –Formålet spiller en viktig rolle bl.a i forhold til krav til opplysningskvalitet og info.sikkerhet –Formålet kan endres, men det er begrensninger

Sjekkliste, trinn 4 Er personene tilstrekkelig sikkert identifiserte? –Begrensninger i adgang til å benytte “entydige identifikasjonsmidler”: fødselsnummer biometriske identifikasjonsmetoder –Må være saklig behov for sikker identifisering og nødvendig å benytte slike identifikasjonsmidler –Datatilsynet kan gi pålegg om bruk av entydige identifikasjonsmidler

Sjekkliste, trinn 5 Hva er tilfredsstillende sikkerhetstiltak? –Skal sikre konfidensialitet integritet tilgjengelighet –Skal vurdere behov for og iverksette tiltak –Tiltakene må være planlagte systematiske dokumenterte –Tiltakene kan være av et hvilket som helst slag –Detaljerte regler finnes i forskriftens kap. 2

Sjekkliste, trinn 6 Er jeg sikker på at jeg vil komme til å etterleve loven? –Internkontroll må gjennomføres for å sikre etterlevelse av krav i: lov og forskrift konsesjoner og andre enkeltvedtak –Internkontrolltiltakene må være planlagte systematiske dokumenterte

Sjekkliste, trinn 7 Kan jeg starte behandlingen? –Melding skal sendes minst 30 dager før hvis meldepliktig –Konsesjon må søkes hvis sensitive PO Sensitive opplysningstyper er definert i loven Kan ikke starte behandlingen før konsesjon er gitt og kan etterleves (jf evt. vilkår som stilles)

For videre informasjon om personvern, se (AFINS sider “Personvern på nettet”) med videre pekere