Laste ned presentasjonen
Presentasjon lastes. Vennligst vent
1
GDPR Personvernforordningen
General Data Protection Regulation
2
Harmoniserer regelverket slik at rettigheter og ansvar ikke forsvinner ved landegrensene
Lovverket forsøker å tette gapet mellom den teknologiske utviklingen og europeisk lov
3
Personvernforordningen
Trer i kraft 25. mai Felles regelverk for hele Europa Inkorporeres i sin helhet i norsk lov Ny personopplysningslov med konkrete nasjonale bestemmelser
4
Sentrale endringer Det opprettes et europeisk personvernråd (EDPB)
De registrertes rettigheter styrkes på flere punkter Melde- og konsesjonsplikt bortfaller Vesentlig høyere overtredelsesgebyr
5
Bøter Opptil euro eller, dersom det dreier seg om et foretak, på opptil 4 % av den samlede globale årsomsetningen i forutgående regnskapsår
6
Hva handler det om- Egentlig?
Evnen til å dokumentere kunnskap om – og tiltak knyttet til: HVA er personopplysninger? HVILKE personopplysninger lagres/brukes? HVOR befinner opplysningene seg? HVORFOR behandles opplysningene? HVORDAN behandles opplysningene? GRUNNLAG for behandlingen av opplysningene?
7
Sentrale begrep Den registrerte (Data)Behandling
Den som en personopplysning kan knyttes til (Data)Behandling Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger (Data)Behandlingsansvarlig Den som bestemmer formålet med behandlingen av helseopplysninger og hvilke hjelpemidler som skal brukes
8
Sentrale begrep (2) Databehandler Personvernombud/personvernrådgiver
Den som behandler personopplysninger på vegne av den behandlingsansvarlige. (F.eks. Hemit) Personvernombud/personvernrådgiver Sikre at den behandlingsansvarlige i hele eller nærmere avgrensede deler av virksomheten følger lover og forskrifter om personvern Tilsynsmyndighet En uavhengig offentlig myndighet; Datatilsynet
9
Personopplysninger «Personopplysninger» er enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte») Navn, identifikasjonsnummer, lokaliseringsopplysninger, online-identifikator, etc. Ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet
10
Sensitive personopplysninger
Benevnes som «særlige kategorier av personopplysninger» i artikkel 9 Rasemessig eller etnisk opprinnelse Politisk oppfatning, religion, eller overbevisning Helseopplysninger Fagforeningsmedlemskap Genetiske og biometriske opplysninger Seksuelle forhold eller orientering
11
Straffbare forhold Vil ikke lenger defineres som sensitive personopplysninger som i dag Defineres som «personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak» Får egne bestemmelser (i artikkel 10)
12
Økt ansvar Melde- og konsesjonsplikt erstattes med at behandlingsansvarlig pålegges en risikobasert tilnærming Innebærer en plikt til vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøftelser med Datatilsynet Ansvarsbyrden til behandlingsansvarlig skal sikre bedre personvern gjennom internkontroll og gode styringssystemer Ansvarsbyrden til behandlingsansvarlig tydeliggjøres for å sikre bedre personvern gjennom internkontroll, «innebygd personvern», og «personvern som standardinnstilling»
13
Den registrertes rettigheter
Informasjonsrett Innsynsrett Rett til korrigering Rett til sletting – «retten til å bli glemt» Rett til begrensning av behandling Rett til dataportabilitet Rett til å protestere Rett til å ikke være gjenstand for automatiserte avgjørelser
14
Den registrertes rettigheter (2)
Informasjonsretten Kortfattet, åpen, forståelig og lett tilgjengelig måte Klart og enkelt språk
15
Den registrertes rettigheter (3)
Informasjonsretten Kontaktdetaljer (behandlingsansvarlig og PVO) Formålet med behandlingen Behandlingsgrunnlag (jf, artikkel 6 og 9) Eventuelle mottagere av opplysningene Tredjeland/internasjonalt og tilhørende sikkerhetstiltak Den registrertes rettigheter
16
Den registrertes rettigheter (4)
Innsynsretten Innsyn i hvorvidt den registrertes opplysninger behandles Innsyn i behandlede opplysninger (lagret, etc.) Informasjon om behandlingen Rett til en kopi av personopplysningene
17
De registrertes rettigheter (5)
Retten til å bli glemt Opplysningene skal slettes når Formålet med behandlingen er oppnådd Personopplysningene er behandlet ulovlig Det er nødvendig for å oppfylle en rettslig forpliktelse
18
De registrertes rettigheter (6)
Retten til å bli glemt Opplysningene skal slettes når samtykket trekkes tilbake (jf, art. 6 nr. 1 a); den registrerte motsetter seg behandlingen (jf, art. 21 nr. 1 og 2); opplysningene er samlet inn ifm barns bruk av informasjonssamfunnstjenester (jf, 8 nr. 1)
19
De registrertes rettigheter (7)
Rett til å ikke være gjenstand for automatiserte avgjørelser Gjelder behandling som utelukkende er automatisert Vil i utgangspunktet innebære at automatisert behandling er forbudt Gjøres unntak Hjemmel i norsk rett Samtykke Avtale
20
Helseforetakene Sørge for og sikre:
Tilstrekkelig kompetanse, kapasitet og struktur for å ivareta ansvaret for informasjonssikkerhet og personvern Ha en korrekt oversikt over behandlinger av personopplysninger Videreutvikle sitt eget styringssystem for informasjonssikkerhet Helhetlige risikovurderinger for alle IKT-tjenester, slik at den totale risikoen kommer frem og fungerer som et godt beslutningsunderlag for ledelsen Opplæring i informasjonssikkerhet og personvern Personvernombud og operative systemeiere
21
Regionalt prosjekt Understøtte helseforetakene i arbeidet med å etterleve kravene til ny personvernforordning Forutsetter samhandling mellom helseforetak og prosjektet - personvernombud Etablere oversikt over hvilke personopplysninger som behandles hvor (IKT-systemer, MTU og skytjenester) Avklare endringsbehov i styringssystem for informasjonssikkerhet Utarbeide veileder for etterlevelse av GDPR Tiltaksområder videre
Liknende presentasjoner
© 2024 SlidePlayer.no Inc.
All rights reserved.