Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Innebygget personvern

PublisertBenedikte Markussen Endret for 6 år siden

Liknende presentasjoner

Presentasjon om: "Innebygget personvern"— Utskrift av presentasjonen:

1 Innebygget personvern
Dag Wiese Schartum

2 Innebygget personvern (IbP) (Privacy by Design)
Innebygget personvern vil si at personvernregler mv nedfelles i selve systemløsningen slik at Løsninger som er gunstige for personvern er førstevalg Utførelse av personvernregler er automatisk eller understøttes av systemet Tekniske informasjonssikkerhetstiltak kan ses på som IbP, men her står en ganske fritt mht hva slags tiltak en skal iverksette Innebygget personvern kan være vanskelig å realisere hvis ikke personvernlovgivning legger til rette for det (f.eks. ved å være automatiseringsvennlig) Men grensen går vel når Datatilsynet bruker IKT til selv å bli Storebror?!

3 De syv prinsippene for innebygget personvern
Proactive not Reactive; Preventative not Remedial Privacy as the Default Setting Privacy Embedded into Design Full Functionality — Positive-Sum, not Zero-Sum End-to-End Security — Full Lifecycle Protection Visibility and Transparency — Keep it Open Respect for User Privacy — Keep it User-Centric Men gir egentlig liten veiledning om hva vi faktisk må gjøre

4 Personvernforordningen, artikkel 25(1): Innebygd personvern
1. Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene, behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter som behandlingen medfører, skal den behandlingsansvarlige, både på tidspunktet for fastsettelse av midlene som skal brukes i forbindelse med behandlingen, og på tidspunktet for selve behandlingen, gjennomføre egnede tekniske og organisatoriske tiltak, f.eks. pseudonymisering, utformet med sikte på en effektiv gjennomføring av prinsippene for vern av personopplysninger, f.eks. dataminimering, og for å integrere de nødvendige garantier i behandlingen for å oppfylle kravene i denne forordning og verne de registrertes rettigheter. Stikkordsmessig: «lovlighet, rimelighet og gjennomsiktighet», «formålsbegrensning», «dataminimering», «korrekthet», «lagringsbegrensning» og «integritet og fortrolighet»

5 Fortalen, 78 […] Ved utvikling, utforming, valg og bruk av programmer, tjenester og produkter som er basert på behandling av personopplysninger, eller når personopplysninger behandles for å oppfylle disses funksjon, bør produsenter av nevnte produkter, tjenester og programmer oppmuntres til å ta hensyn til retten til vern av personopplysninger ved utvikling og utforming av nevnte produkter, tjenester og programmer og, idet det tas behørig hensyn til den tekniske utviklingen, sikre at behandlingsansvarlige og databehandlere kan oppfylle sine forpliktelser med hensyn til vern av personopplysninger. Det bør også tas hensyn til prinsippene om innebygd personvern og personvern som standardinnstilling i forbindelse med offentlige anbud.

6 Hva kan behandlingsansvarlig gjøre?
Velge «personvernvennlige» standardverdier («default»), dvs kreve aktiv handling for å gjøre valg som ikke fremmer personvern Utforme automatiske funksjoner (hvis loven legger til rette for det; f.eks. sletting etter en viss tid, jf offentlegforskrifta § 6 siste ledd) Utforme utførende funksjoner for gi og trekke tilbake samtykke sletting, retting mv. plikt for tilrettelegging for automatisert dokumentkontroll Utarbeide systemer med forklaringsfunksjoner som understøtter etterlevelse av rettslige krav; særlig som del av Kan være i form av «passive» funksjoner (informasjon), eller «aktive» funksjoner som griper inn og varsler bruker mv

7 Hva kan lovgiver gjøre? Formulere regler med et annet innhold:
Plikt til å gjøre informasjon allment tilgjengelig i stedet for å gi innsynsrett for enhver (jf § 18 første ledd) Plikt for visse behandlinger til å inneholde ”MinSide-løsning” i stedet for (bare) gi rett til innsyn Gjøre andre lovtekniske valg Skrive lovtekst med klar vilkårsstruktur, dvs. som klargjør hva en må ta stilling til og i hvilken rekkefølge det må skje Generelt redusere bruk av skjønn og formulere regler på så klar og konkret måte som mulig (f.eks. sletting 1 år etter publisering av personnavn, jf offentlegforskrifta § 6 i.f.)

8 Hvorfor kan det være vanskelig å bygge personvern inn i systemene?
Alternativ «automatiseringsvennlig» lovtekst: § 18. Rett til innsyn Den behandlingsansvarlige skal på side internettsider gjøre de opplysninger som nevnt i bokstav a – f tilgjengelig for enhver. Tilgang skal gis uten at det stilles krav om innlogging eller begjæring om innsyn. § 18. Rett til innsyn Enhver som ber om det, skal få vite hva slags behandling av personopplysninger en behandlingsansvarlig foretar, og kan kreve å få følgende informasjon om en bestemt type behandling: a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) hvem som har det daglige ansvaret for å oppfylle den behandlingsansvarliges plikter, c) formålet med behandlingen, d) beskrivelser av hvilke typer personopplysninger som behandles, e) hvor opplysningene er hentet fra, og f) om personopplysningene vil bli utlevert, og eventuelt hvem som er mottaker. To mulige IbP-trategier med gjeldende lovtekst: Generell informasjon om innsyn Egen innsynsrutine med forklaringsmodul

Laste ned ppt "Innebygget personvern"

Liknende presentasjoner

Personopplysningsloven: -innhold, styrker og svakheter

Personopplysningsloven: -innhold, styrker og svakheter
Advokat Ann Helen Aarø ADVOKATFIRMAET HESTENES OG DRAMER & Co MNA

Advokat Ann Helen Aarø ADVOKATFIRMAET HESTENES OG DRAMER & Co MNA
Krav til rettslig grunnlag for behandling av personopplysninger

Krav til rettslig grunnlag for behandling av personopplysninger
Hvilke rettsregler gjelder for norske nettsteder? Prof. Dag Wiese Schartum, AFIN.

Hvilke rettsregler gjelder for norske nettsteder? Prof. Dag Wiese Schartum, AFIN.
Krav til samtykke og informasjon.

Krav til samtykke og informasjon.
Personopplysningslovens formål, grunnbegreper og virkeområde

Personopplysningslovens formål, grunnbegreper og virkeområde
Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.

Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.
Grunnleggende begreper i personopplysningsloven (legaldefinisjoner)

Grunnleggende begreper i personopplysningsloven (legaldefinisjoner)
Personopplysningslovens formål og grunnleggende begreper

Personopplysningslovens formål og grunnleggende begreper
Om forholdet mellom rettssikkerhet og personvern i elektronisk forvaltning Dag Wiese Schartum, AFIN.

Om forholdet mellom rettssikkerhet og personvern i elektronisk forvaltning Dag Wiese Schartum, AFIN.
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.

Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
Vibeke Bjarnø, Avdeling for lærerutdanning og internasjonale studier

Vibeke Bjarnø, Avdeling for lærerutdanning og internasjonale studier
Oppgave 2. Oppgave 2 a) De sentrale paragrafene her er §§ 2 og 31 i personopplysningsloven (herretter forkortet til p.o. loven) og § 7-16 i forskriften.

Oppgave 2. Oppgave 2 a) De sentrale paragrafene her er §§ 2 og 31 i personopplysningsloven (herretter forkortet til p.o. loven) og § 7-16 i forskriften.
Personopplysningsloven

Personopplysningsloven
Personopplysningsloven

Personopplysningsloven
Krav til rettslig grunnlag for behandling av personopplysninger

Krav til rettslig grunnlag for behandling av personopplysninger
Dag Wiese Schartum, AFIN Innsynsrettigheter og plikt til å gi informasjon til registrerte.

Dag Wiese Schartum, AFIN Innsynsrettigheter og plikt til å gi informasjon til registrerte.
Dokumentasjon av rettslige beslutningssystemer Dag Wiese Schartum, AFIN.

Dokumentasjon av rettslige beslutningssystemer Dag Wiese Schartum, AFIN.
Krav til rettslig grunnlag for behandling av personopplysninger Dag Wiese Schartum.

Krav til rettslig grunnlag for behandling av personopplysninger Dag Wiese Schartum.
Dag Wiese Schartum, AFIN

Dag Wiese Schartum, AFIN

Liknende presentasjoner

Annonser fra Google