Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

GDPR og helse Advokat Stian Sørensen Schilvold

PublisertBent Nordli Endret for 5 år siden

Liknende presentasjoner

Presentasjon om: "GDPR og helse Advokat Stian Sørensen Schilvold"— Utskrift av presentasjonen:

1 GDPR og helse Advokat Stian Sørensen Schilvold sss@bull.no

2 Plan for gjennomgangen
Grunnleggende om GDPR Rollene i personvernretten Personvernrettslige hensyn helse/omsorg Helse i GDPR Sensitive personopplysninger og andre personopplysninger Hva skjer med spesiallovgivningen? Særlig om forskning Overføring av helseopplysninger til utlandet Kravet om ansvarlighet og internkontroll – hva innebærer det?

3 Grunnleggende Vi får ny personopplysningslov 25. mai 2018
Gjennomføring av EUs personvernforordning (GDPR) Betydningen av at GDPR er en forordning (ikke direktiv) GDPR gjelder for all behandling av personopplysninger, også innen helse- og omsorgssektoren – åpner for tilpasninger og særregulering på området Gjennomført høringsrunde Uttalelser fra en rekke helseaktører

4 Rollefordeling Behandlings- ansvarlig («controller») Databehandler
Den opplysningene kan knyttes til Databehandler («processor») Den registrerte («data subject») Bestemmer formål og midler På vegne av BA

5 Personvernrettslige hensyn – helse/omsorg
Pasientinteresser: god helsehjelp, vern av informasjon Samfunnsinteresser: forskning, statistikk, arkiv Personvernet er sentralt i spesiallovgivningen, blant annet Helseregisterloven (regler om behandling av helseopplysninger til, statistikk, forskning mv. i helse og omsorgstjenesten) Pasientjournalloven (regler om behandling av personopplysninger i forbindelse med ytelse av helsehjelp) Helseforskningsloven

6 Helse i GDPR Ikke omfattende regulering spesifikt av helse i GDPR, men setter likevel viktige rammer «Helseopplysninger» definert Personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand. Ingen generell bestemmelse om behandling av personopplysninger på helse- og sosialområdet Konsesjons- og meldeplikt faller bort

7 «Vanlige» og sensitive personopplysninger
Hva er forskjellen? Personopplysninger = enhver opplysning om en identifisert eller identifiserbar fysisk person Sensitive personopplysninger = personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering»

8 Krav om behandlingsgrunnlag
Enhver behandling av personopplysninger krever at det kan påvises et behandlingsgrunnlag Behandlingsgrunnlagene finnes i artikkel 6 og 9 (ikke-sensitive og sensitive personopplysninger) Behandlingsgrunnlagene i artikkel 6 i stor grad like som etter dagens personopplysningslov

9 Behandlingsgrunnlag for sensitive opplysninger
Artikkel 9 nr. 2 a) – samtykke Artikkel 9 nr. 2 g) – hvis fastslått i lov Artikkel 9 nr. 2 h) – helse- og sosialtjenester mv. + supplerende grunnlag i nasjonal rett Artikkel 9 nr. 2 i) – folkehelsehensyn (ny) + supplerende grunnlag i nasjonal rett Artikkel 9 nr. 2 j) – forskning mv. + supplerende grunnlag i nasjonal rett Artikkel 9 nr. 3: behandling av sensitive personopplysninger etter artikkel 9 nr. 2 h) kan kun skje hvis opplysningene behandles av person som har taushetsplikt med hjemmel i lov

10 Hvordan videreføres eller endres spesiallovgivningen?
Spesiallovgivningen kan i det store og hele videreføres som den er Behov for redaksjonelle tilpasninger og supplerende rettsgrunnlag

11 Forskning Behandling for forskning er i liten grad særregulert i GDPR, men anledning til nasjonale regler Kort oppsummert: Egen bestemmelse om behandling av sensitive opplysninger for arkiv-, forsknings, og statistikkformål Anledning til sekundærbruk av personopplysninger – på vilkår (blant annet vurdering av personvernkonsekvenser) Krav til gjennomføring av egnede tekniske og organisatoriske tiltak Unntak for registrertes rettigheter (bl.a. innsyn, korrigering, sletting)

12 Overføring av helsedata til utlandet
Overføring = flytting av eller tilgang til personopplysninger Fri overføring innen EU/EØS og for øvrig samsvar med gjeldende rett vedr. overføring til tredjestater krever Kommisjonsbeslutning Standardavtale Bindende virksomhetsregler Outsourcing er fortsatt helt OK, men må gjøres en grundig vurdering i forkant, blant annet vudering av Sårbarhetsanalyse, vurdering av personvernkonsekvenser

13 Etablering av internkontroll
Opplæring, eierskap styre/toppledelse, roller deltagere (IT, compliance, HR, juridisk, produktutvikling, ledelse) Fase 1 Etablér teamet Gap-analyse, konsekvensvurdering (DPIA)/konsultasjon, PV-strategi, PV-rådgiver (DPO), planlegging, budsjett, ansvarsfordeling, forsikring Fase 2 Kartlegg og analysér Behandlingsgrunnlag (formål, samtykke), PV-erklæring, internkontrollsystem, innebygget PV, sikkerhetskrav, dataportabilitet, sertifisering, overføring data utland GDPR Etablér rutiner Fase 3 Teknisk (IT, fysisk) og organisatoriske (opplæring, kultur) tiltak Fase 4 Implementér Fase 5 Driftsfase Operasjonalisering rutiner, vedlikehold, kontroll/oppfølging, PV-ombud Se mer på

14 Komme i gang Etablér teamet Eierskap hos styre/administrasjon
Hvem skal delta? Opplæring En klar plan og forpliktende leveranser

15 Kartlegging og analyse
Avgjørende å dekke alle områder i virksomheten hvor det behandles personopplysninger Alle som bidrar må ha grunnleggende forståelse for hva man skal gjøre og hvorfor GAP analyse Hva er status – hva må gjøres for å oppfylle relevante krav Vurdering av personvernkonsekvenser

16 Etablering av rutiner Blant annet:
Fastslå eller skape nødvendig behandlingsgrunnlag (herunder eventuelle samtykkeerklæringer) Informasjon – personvernerklæring Overføringsgrunnlag hvis overføring til utlandet Databehandleravtaler Informasjonssikkerhet Innebygget personvern Dataportabilitet, osv.

17 Implementering Implementering av tekniske og fysiske tiltak
Opplæring av organisasjonen og særlig de med formelle roller/ansvar Innfasing av eventuelt personvernombud/personvernrådgiver

18 Drift Revisjon og kontroll Gjennomgang av prosesser

19 Noen avsluttende råd Har du ikke begynt så er det på tide
Om mulig – se arbeidet i sammenheng med annet strategi og digitaliseringsarbeid Og sist men ikke minst – vær involvert – ikke overlat arbeidet til rådgivere alene. Uten eget eierskap og forståelse kommer det til å svikte når «prosjektet» er avsluttet

Laste ned ppt "GDPR og helse Advokat Stian Sørensen Schilvold"

Liknende presentasjoner

Personopplysningsloven: -innhold, styrker og svakheter

Personopplysningsloven: -innhold, styrker og svakheter
Krav til samtykke og informasjon.

Krav til samtykke og informasjon.
Personopplysningslovens formål, grunnbegreper og virkeområde

Personopplysningslovens formål, grunnbegreper og virkeområde
Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.

Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.
Grunnleggende begreper i personopplysningsloven (legaldefinisjoner)

Grunnleggende begreper i personopplysningsloven (legaldefinisjoner)
Personopplysningslovens formål og grunnleggende begreper

Personopplysningslovens formål og grunnleggende begreper
Norm for informasjonssikkerhet Taushetsplikt

Norm for informasjonssikkerhet Taushetsplikt
Vibeke Bjarnø, Avdeling for lærerutdanning og internasjonale studier

Vibeke Bjarnø, Avdeling for lærerutdanning og internasjonale studier
Nasjonale kvalitetsregistre

Nasjonale kvalitetsregistre
Personopplysningsloven

Personopplysningsloven
Informasjonssikkerhet

Informasjonssikkerhet
Presentasjon av UiOs mal for databehandleravtale, bruk av malen og oppfølging av arbeidet med behandlinger av personopplysninger.

Presentasjon av UiOs mal for databehandleravtale, bruk av malen og oppfølging av arbeidet med behandlinger av personopplysninger.
Instruktørkurs for kommuner Ansvar og avtaler (45 min)

Instruktørkurs for kommuner Ansvar og avtaler (45 min)
Inneholder din applikasjon personopplysninger?

Inneholder din applikasjon personopplysninger?
Www.normen.no | 1 Instruktørkurs for kommuner Ansvar og avtaler (45 min)

| 1 Instruktørkurs for kommuner Ansvar og avtaler (45 min)
Spørsmål om journalføring med mer 25. november 2014

Spørsmål om journalføring med mer 25. november 2014
Om personopplysningslovens betydning for systemutvikling Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO.

Om personopplysningslovens betydning for systemutvikling Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO.
Www.normen.no | 1 Instruktørkurs for kommuner Ansvar og avtaler (45 min)

| 1 Instruktørkurs for kommuner Ansvar og avtaler (45 min)
Grunnleggende begreper i personopplysningsloven (legaldefinisjoner)

Grunnleggende begreper i personopplysningsloven (legaldefinisjoner)
Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, AFIN.

Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, AFIN.

Liknende presentasjoner

Annonser fra Google