Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Innebygget personvern og rettssikkerhet

PublisertKristin Larsen Endret for 5 år siden

Liknende presentasjoner

Presentasjon om: "Innebygget personvern og rettssikkerhet"— Utskrift av presentasjonen:

1 Innebygget personvern og rettssikkerhet
Dag Wiese Schartum

2 Utgangspunkter Har lenge vært oppmerksomhet på hvordan teknologi kan brukes for å støtte personvern Privacy enhancing technologies (PET, norsk: personvernøkende teknologi, PØT) er et sentralt eksempel Var spesielt rettet inn mot å ivareta konfidensialitet og begrenset til teknologi Innebygget personvern (IbP) er i slekt med PØT, men IbP handler mer generelt om innebygging av personvern; også forretningsstrategier, organisering og teknologi Innebygging som rettslig krav Personopplysningsloven § 13: «Den behandlingsansvarlige​ og databehandleren​ skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.»​ Teknologiske tiltak er del av det som følger av § 13; det pålegges ikke spesielt, men forutsettes PVF artikkel 25 gjør innbygging av personvern til et direkte rettslig krav, og omfatter både organisering og teknologi (tekniske og organisatoriske tiltak) Iverksettelse av «tekniske og organisatoriske [sikkerhets]tiltak» går igjen i flere bestemmelser i forordningen, bl.a. art. 24 (behandlingsansvarliges ansvar), 25 (innebygget personvern), 28 (databehandleravtaler) og 32 (behandlingssikkerhet) Art. 25 er derfor uttrykk for et generelt perspektiv på behovet for konkrete tiltak som kan sikre gjennomføringen av forordningen

3 De syv prinsippene for innebygget personvern + to metoder
Datatilsynet har foreslått en metodikk for «Programvareutvikling med innebygd personvern», som anbefales å lese (har i stor grad informatisk vinkling) Proactive not Reactive; Preventative not Remedial Privacy as the Default Setting Privacy Embedded into Design Full Functionality — Positive-Sum, not Zero-Sum End-to-End Security — Full Lifecycle Protection Visibility and Transparency — Keep it Open Respect for User Privacy — Keep it User-Centric Et annet forsøk på å angi en metode finnes i Schartum: «Making Privacy by Design Operative» (2016), 24(2) International Journal of Law and Information Technology 151 (og som er utgangspunkt for kapittel 9 i pensum) Har i stor grad rettslig vinkling.

4 Et utvidet perspektiv Påstand: Alle rettsregler kan bygges inn i informasjonsteknologi! Men det varierer mye på hvilken måte en kan gjøre det Noen bestemmelser kan lett bygges inn (gjøres til innhold) i systemløsninger (bl.a.) fordi De angir opplysninger/data som er eller kan gjøres tilgjengelig i maskinlesbar form Opplysningene skal behandles i samsvar med fast definerte behandlingsregler/prosedyrer Saksbehandlingsbestemmelser som de i personvernforordningen, forvaltningsloven og offentleglova er typisk slike som vanskelig kan la seg automatisere på annet enn helt elementære og begrensede måter Eksempel: Hvis formål tilsier konkret tidsbegrensning for lagring, kan sletting og sperring automatiseres En kan uansett lage beslutningsstøttesystem, ved at Selve den logiske strukturen programmeres, og alle data/opplysninger inngis manuelt, men slik at det gis støtte til å ta stilling til hva som er riktige/holdbare forståelser (hva betyr det f.eks. at et samtykke er «frivillig»?)

5 Eksempel: rutine for å gi samtykke

6 Generell modell; eksempel forvaltningslovens krav til begrunnelse for enkeltvedtak
Mulige utgangspunkt Prinsipper: åpen og offentlig lovgivning, kontradiksjon, forsvarlig saksbehandling, forholdsmessighet, likhet, formåls-begrensning, dataminimering, lagringsbegrensning, integritet og fortrolighet mv. Rettsregler: Konkrete bestemmelser i lov og forskrift, herunder forordninger Spørsmålsstillinger for å velge/prioritere Hva er spesielt viktige (eller grunnleggende) aspekter ved konkrete rettsregler / prinsipper? Hva gir størst risiko for at rettsregler / prinsipper blir etterlevet på utilstrekkelig måte? Hvor/hvordan kan innbygging skje? Utforming av systemarkitekturen Utforming av prosedyredelen Utforming av informasjonsdelen Utforming av brukergrensesnittet Forklaring: «BR» = behandlingsregel, «!» = varsel til bruker

7 Forsøk på å forstå PVF art. 25(1)
Forsøk på en fortolkning: Den behandlingsansvarlige skal gjennomføre slike tekniske og organisatoriske tiltak som er egnede for å gjennomføre personvernprinsippene, oppfylle kravene i denne forordning, og verne de registrertes rettigheter. Tiltakene skal vurderes og iverksettes når midlene for behandlingen skal fastsettes og senere så lenge behandlingen pågår. Ved avgjørelse av om og på hvilken måte tiltak skal fastsettes, skal den behandlingsansvarlige ta hensyn til graden av sannsynlighet for at fysiske personers rettigheter og friheter kan bli krenket som følge av behandlingen, og hvor alvorlige følger slike krenkelser kan ha. Det skal også legges vekt på behandlingens art, omfang, formål, og sammenhengen behandlingen utføres i. Behandlingsansvarlige kan også ta hensyn til samt den tekniske utviklingen og kostnadene ved å gjennomføre tiltakene. Hensynene som nevnt i de to foregående leddene skal veies opp mot hverandre. Den som har plikt Hvem vurderer? Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene, behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter som behandlingen medfører, skal den behandlingsansvarlige, både på tidspunktet for fastsettelse av midlene som skal brukes i forbindelse med behandlingen, og på tidspunktet for selve behandlingen, gjennomføre egnede tekniske og organisatoriske tiltak, f.eks. pseudonymisering, utformet med sikte på en effektiv gjennomføring av prinsippene for vern av personopplysninger, f.eks. dataminimering, og for å integrere de nødvendige garantier i behandlingen for å oppfylle kravene i denne forordning og verne de registrertes rettigheter. Når? Vurderingssituasjoner Personvernhensyn Mothensyn Avveiing av hensyn

Laste ned ppt "Innebygget personvern og rettssikkerhet"

Liknende presentasjoner

Krav til rettslig grunnlag for behandling av personopplysninger

Krav til rettslig grunnlag for behandling av personopplysninger
Oversikt over systemer med jus i, og grunnleggende perspektiver og hensyn Dag Wiese Schartum.

Oversikt over systemer med jus i, og grunnleggende perspektiver og hensyn Dag Wiese Schartum.
Om forholdet mellom rettssikkerhet og personvern i elektronisk forvaltning Dag Wiese Schartum, AFIN.

Om forholdet mellom rettssikkerhet og personvern i elektronisk forvaltning Dag Wiese Schartum, AFIN.
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.

Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
Krav til rettslig grunnlag for behandling av personopplysninger

Krav til rettslig grunnlag for behandling av personopplysninger
Dokumentasjon av rettslige beslutningssystemer Dag Wiese Schartum, AFIN.

Dokumentasjon av rettslige beslutningssystemer Dag Wiese Schartum, AFIN.
Krav til rettslig grunnlag for behandling av personopplysninger Dag Wiese Schartum.

Krav til rettslig grunnlag for behandling av personopplysninger Dag Wiese Schartum.
Om personopplysningslovens betydning for systemutvikling Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO.

Om personopplysningslovens betydning for systemutvikling Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO.
Personvernkonsekvenser av lover og innebygget personvern Dag Wiese Schartum.

Personvernkonsekvenser av lover og innebygget personvern Dag Wiese Schartum.
Oversikt over systemer med jus i, og grunnleggende perspektiver og hensyn Dag Wiese Schartum.

Oversikt over systemer med jus i, og grunnleggende perspektiver og hensyn Dag Wiese Schartum.
Om personopplysningslovens betydning for systemutvikling -grunnkrav Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, AFIN.

Om personopplysningslovens betydning for systemutvikling -grunnkrav Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, AFIN.
Krav til sikring av personopplysninger Prof. Dag Wiese Schartum, AFIN.

Krav til sikring av personopplysninger Prof. Dag Wiese Schartum, AFIN.
Krav til sikring av personopplysninger i hht pol § 13 og pof kap. 2 Prof. Dag Wiese Schartum, AFIN.

Krav til sikring av personopplysninger i hht pol § 13 og pof kap. 2 Prof. Dag Wiese Schartum, AFIN.
Privacy by Design: Forslag til metode for å bygge personvern inn i systemløsninger Dag Wiese Schartum.

Privacy by Design: Forslag til metode for å bygge personvern inn i systemløsninger Dag Wiese Schartum.
Innebygget personvern

Innebygget personvern
Personopplysningslovens formål, grunnbegreper og virkeområde

Personopplysningslovens formål, grunnbegreper og virkeområde
Nytt personvernregelverk fra EU

Nytt personvernregelverk fra EU
Krav til sikring av personopplysninger

Krav til sikring av personopplysninger
Introduksjon til FINF1001: Digital forvaltning

Introduksjon til FINF1001: Digital forvaltning
Systemavgrensing og aktøranalyse

Systemavgrensing og aktøranalyse

Liknende presentasjoner

Annonser fra Google