Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Utredning av personvernkonsekvenser

PublisertCarina Berge Endret for 6 år siden

Liknende presentasjoner

Presentasjon om: "Utredning av personvernkonsekvenser"— Utskrift av presentasjonen:

1 Utredning av personvernkonsekvenser
Dag Wiese Schartum

2 Privacy Impact Assessment (PIA) (utredning av personvernkonsekvenser, her: UPK)
Noen definisjoner av PIA: New Zealand: "a systematic process for evaluating a proposal in terms of its impact upon privacy" Canada: "provide a framework to ensure that privacy is considered throughout the design or re-design of a programme...[and to] identify the extent to which it complies with all appropriate statutes". This is done to "mitigate privacy risks and promote fully informed policy" Australia: "assessment of actual or potential effects on privacy, and how they can be mitigated" Definisjonene varierer men har en felles kjerne PIA er en generell tilnærming som ikke primært er knyttet til offentlige myndigheter PIA er ikke del av lovkravet i personopplysningsloven, men følger delvis av Utredningsinstruksen

3 Grunnleggende definisjon i denne forelesningen
“… a privacy impact assessment is a methodology for assessing the impacts on privacy of a project, policy, programme, service, product or other initiative which involves the processing of personal information and, in consultation with stakeholders, for taking remedial actions as necessary in order to avoid or minimise negative impacts.” (Wright and De Hert, 2012)

4 of a project, policy, programme, service, product or other initiative
«Alt» av relevans for personvern kan i utgangspunktet gjøres til gjenstand for UPV Særlig relevant for System-/teknologiutviklingsprosjekter Politikkutforming på statlig og kommunalt nivå eller i virksomheter I Norge kan det stilles krav til UPK i tilknytning til utredninger (jf. Utredningsinstruksen) Omfatter bl.a. utredning av personvernkonsekvenser av lover og forskrifter

5 involves the processing of personal information
Husk det vide personopplysningsbegrepet

6 privacy impact assessment is a methodology
Ingen fast metode, men varierer mellom land og virksomheter Heller ikke artikkel 25 «om Data protection impact assessment» stiller direkte metodiske krav Det er rimelig og nødvendig at metoden må kunne variere avhengig av hva som konkret skal vurderes (lov, systemløsning, ny teknologi mv) Eksempel på britisk metodeanvisning («code of practice») fra Information Commissionair’s Office Det er nylig utviklet en standard: ISO/IEC DIS 29134(en) Information technology — Security techniques — Privacy impact assessment — Guidelines (omhandler forberedelse, gjennomføring og rapportering) Som for innebygget personvern er det viktig at UPK skjer så tidlig som mulig i et utviklingsprosjekt, lovforarbeid e.l.

7 assessing the impacts on privacy
Flere typer systematiske beskrivelser av personvern kan benyttes: Personvernprinsippene, se personvernforordningen art. 5 Personverninteressene, se Schartum og Bygrave 2016, kap. 2 Håndbøker og andre metodebeskrivelser bruker imidlertid mer konkrete lister over mulige trusler, se eksempel på neste side Hvis vurderingen skjer opp mot lovgivningen, vil den langt på vei tilsvare internkontroll (jf «compliance») Også andre mulige virkninger av negative konsekvenser for personvern kan tas med, f.eks.: fare for staffe- og erstatningsansvar, omdømmetap, kundeflukt mv

8

9 for taking remedial actions as necessary in order to avoid or minimise negative impacts
Forebygging må forutsettes å kunne gjelde hele spekteret fra kansellering av det som blir vurdert til ingen effekt av UPK Forebygging vil typisk skje på grunnlag av en «risikovurdering», dvs en vurdering av sannsynligheten for at en uønskede virkninger for personvernet og mulige konsekvenser av disse Normalt vil forebygging imidlertid innebære justeringer ift til det som ellers ville ha blitt resultatet Tiltakene kan være av enhver art: Teknologisk, juridisk, organisatorisk, pedagogisk, økonomisk mv. Innebygging av personvern (jf. forrige forelesning) er et typisk og forventet eksempel på teknologisk tiltak

10 UPK i Norge Etter Utredningsinstruksen skal utredninger bl.a. gi svar på: hvem som blir berørt av tiltaket, herunder virkninger for enkelt-personer hva som er forutsetningene for en vellykket gjennomføring av tiltaket Utredningen skal være så omfattende og grundig «som nødvendig», og denne vurderingen er bl.a. avhengig av om tiltaket reiser viktige prinsipielle spørsmål (personvern vil lett regnes som prinsipielt) hvor vesentlige tiltakets virkninger forventes å bli (jf risikovurderingen i UPK) Det er utarbeidet en veileder vedrørende Vurdering av personvern-konsekvenser som er tilgjengelig i tilknytning til Utredningsinstruksen Veilederen er klart inspirert av PIA, men brukes ikke mye (og er ikke særlig god)

11 «Data protection impact assessment» etter personvernforordningen art
“… assessment of the impact of the envisaged processing operations on the protection of personal data” [skal gjennomføres før behandlingen begynner] “where a type of processing in particular using new technologies, […], is likely to result in a high risk to the rights and freedoms of natural persons …” Særlig aktuelt når behandlingen gjelder a systematic and extensive evaluation of personal aspects relating to natural persons which is based on automated processing, including profiling, and on which decisions are based that produce legal effects concerning the natural person or similarly significantly affect the natural person; processing on a large scale of special categories of data [dvs sensitive opplysninger] a systematic monitoring of a publicly accessible area on a large scale

12 «Data protection impact assessment» etter personvernforordningen art
Krav til innhold av UPV a systematic description of the envisaged processing operations and the purposes of the processing, … an assessment of the necessity and proportionality of the processing operations in relation to the purposes; an assessment of the risks to the rights and freedoms of data subjects referred to in paragraph 1 [rights and freedoms of natural persons]; and the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation ... Konsultasjoner skal gjennomføres med registrete personer eller deres representanter og eventuell personvernombud

Laste ned ppt "Utredning av personvernkonsekvenser"

Liknende presentasjoner

Prof. Dag Wiese Schartum, AFIN

Prof. Dag Wiese Schartum, AFIN
Personopplysningslovens formål, grunnbegreper og virkeområde

Personopplysningslovens formål, grunnbegreper og virkeområde
Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.

Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.
Statens kommunikasjonspolitikk Dag Wiese Schartum, AFIN.

Statens kommunikasjonspolitikk Dag Wiese Schartum, AFIN.
Personopplysningslovens formål og grunnleggende begreper

Personopplysningslovens formål og grunnleggende begreper
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.

Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
Innføring i teorien om personverninteressene Dag Wiese Schartum, AFIN.

Innføring i teorien om personverninteressene Dag Wiese Schartum, AFIN.
Innføring i teorien om personverninteressene

Innføring i teorien om personverninteressene
ISA-ene kan bli forskrifter - hva er utfordringene? ISA-ene kan bli forskrifter - hva er utfordringene? v/ avdelingsdirektør Anne Merethe Bellamy DnR-dagen.

ISA-ene kan bli forskrifter - hva er utfordringene? ISA-ene kan bli forskrifter - hva er utfordringene? v/ avdelingsdirektør Anne Merethe Bellamy DnR-dagen.
Dag Wiese Schartum, AFIN

Dag Wiese Schartum, AFIN
Risikovurdering i UDI; DRI 3001 Dag Wiese Schartum, AFIN

Risikovurdering i UDI; DRI 3001 Dag Wiese Schartum, AFIN
Om personopplysningslovens betydning for systemutvikling Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO.

Om personopplysningslovens betydning for systemutvikling Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO.
Personvernkonsekvenser av lover og innebygget personvern Dag Wiese Schartum.

Personvernkonsekvenser av lover og innebygget personvern Dag Wiese Schartum.
DRI2020 Rettskilder og informasjonssøking -oppsummering Dag Wiese Schartum.

DRI2020 Rettskilder og informasjonssøking -oppsummering Dag Wiese Schartum.
DRI2020 Rettskilder og informasjonssøking -oppsummering Dag Wiese Schartum.

DRI2020 Rettskilder og informasjonssøking -oppsummering Dag Wiese Schartum.
Trender og verden rundt oss - Tanker fra bla Educause 2014 Kristian Rikvold-Jess.

Trender og verden rundt oss - Tanker fra bla Educause 2014 Kristian Rikvold-Jess.
Juridisk interoperabilitet, spesielt om begrepsbruk og definisjoner i lover Dag Wiese Schartum.

Juridisk interoperabilitet, spesielt om begrepsbruk og definisjoner i lover Dag Wiese Schartum.
Sikkerhetsmomenter Konfidensialitet Integritet Tilgjengelighet Autentisering Non-Repudiation (Uomtvistelig) Sporbarhet.

Sikkerhetsmomenter Konfidensialitet Integritet Tilgjengelighet Autentisering Non-Repudiation (Uomtvistelig) Sporbarhet.
Om personopplysningslovens betydning for systemutvikling -grunnkrav Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, AFIN.

Om personopplysningslovens betydning for systemutvikling -grunnkrav Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, AFIN.
Krav til sikring av personopplysninger Prof. Dag Wiese Schartum, AFIN.

Krav til sikring av personopplysninger Prof. Dag Wiese Schartum, AFIN.

Liknende presentasjoner

Annonser fra Google