Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Innebygget personvern

PublisertBent Carlsson Endret for 5 år siden

Liknende presentasjoner

Presentasjon om: "Innebygget personvern"— Utskrift av presentasjonen:

1 Innebygget personvern
Dag Wiese Schartum

2 Innebygget personvern (IbP) (Privacy by Design)
Innebygget personvern vil si at personvernregler og -prinsipper nedfelles i selve systemløsningen slik at Løsninger som er gunstige for personvern er førstevalg Utførelse av personvernregler er automatisk eller blir understøttet av systemet Tekniske informasjonssikkerhetstiltak kan ses på som IbP, men her står en ganske fritt mht. hva slags tiltak en skal iverksette (og i personvernforordningen er informasjonssikkerhet regulert i art. 32, mens IbP er regulert i art. 25) Innebygget personvern kan være vanskelig å realisere hvis ikke personvernlovgivning legger til rette for det (f.eks. ved å være automatiseringsvennlig) Innebygget personvern blir presentert som noe veldig spesielt, men er i realiteten «fetteren» til automatiseringsvennlig lovgivning, jf. «digitaliseringsklar» lovgivning Også andre typer regler og prinsipper kan selvsagt bygges inn i informasjonssystemer (jf. «innebygget rettssikkerhet») Men grensen går vel når Datatilsynet bruker IKT til selv å bli Storebror?!

3 De syv prinsippene for innebygget personvern (jf. Cavoukian)
Proactive not Reactive; Preventative not Remedial Privacy as the Default Setting Privacy Embedded into Design Full Functionality — Positive-Sum, not Zero-Sum End-to-End Security — Full Lifecycle Protection Visibility and Transparency — Keep it Open Respect for User Privacy — Keep it User-Centric Men dette gir liten veiledning om hva man faktisk må gjøre

4 Personvernforordningen, artikkel 25(1): Innebygd personvern
1. Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene, behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter som behandlingen medfører, skal den behandlingsansvarlige, både på tidspunktet for fastsettelse av midlene som skal brukes i forbindelse med behandlingen, og på tidspunktet for selve behandlingen, gjennomføre egnede tekniske og organisatoriske tiltak, f.eks. pseudonymisering, utformet med sikte på en effektiv gjennomføring av prinsippene for vern av personopplysninger, f.eks. dataminimering, og for å integrere de nødvendige garantier i behandlingen for å oppfylle kravene i denne forordning og verne de registrertes rettigheter. Stikkordsmessig: «lovlighet, rimelighet og gjennomsiktighet», «formålsbegrensning», «dataminimering», «korrekthet», «lagringsbegrensning» og «integritet og fortrolighet»

5 Fortalen, 78 […] Ved utvikling, utforming, valg og bruk av programmer, tjenester og produkter som er basert på behandling av personopplysninger, eller når personopplysninger behandles for å oppfylle disses funksjon, bør produsenter av nevnte produkter, tjenester og programmer oppmuntres til å ta hensyn til retten til vern av personopplysninger ved utvikling og utforming av nevnte produkter, tjenester og programmer og, idet det tas behørig hensyn til den tekniske utviklingen, sikre at behandlingsansvarlige og databehandlere kan oppfylle sine forpliktelser med hensyn til vern av personopplysninger. Det bør også tas hensyn til prinsippene om innebygd personvern og personvern som standardinnstilling i forbindelse med offentlige anbud.

6 Hva kan behandlingsansvarlig gjøre?
Velge «personvernvennlige» standardverdier («default»), f.eks. ved å kreve aktiv handling for å gjøre valg som ikke fremmer personvern Utforme automatiske funksjoner (hvis loven legger til rette for det; f.eks. sletting etter en viss tid, jf. offentlegforskrifta § 6 siste ledd) Utforme støttefunksjoner for, for eksempel å gi og trekke tilbake samtykke kreve sletting, retting mv. skrive databehandleravtaler Utarbeide systemer med forklaringsfunksjoner som understøtter etterlevelse av rettslige krav; særlig som del av Kan være i form av «passive» funksjoner (informasjon), eller «aktive» funksjoner som griper inn og varsler bruker mv

7 Hva kan lovgiver gjøre? Formulere regler med et annet innhold:
Plikt til å gjøre informasjon allment tilgjengelig i stedet for å gi innsynsrett for enhver (jf pol § 18 første ledd) Plikt for visse behandlinger til å inneholde ”MinSide-løsning” i stedet for (bare) gi rett til innsyn Gjøre andre lovtekniske valg Skrive lovtekst med klar vilkårsstruktur, dvs. som klargjør hva en må ta stilling til og i hvilken rekkefølge det må skje Generelt redusere bruk av skjønn og formulere regler på så klar og konkret måte som mulig (f.eks. sletting 1 år etter publisering av personnavn, jf offentlegforskrifta § 6 i.f.)

8 Avsluttende eksempel Følgende er eksempel på hvordan personvernforordningen kunne ha vært skrevet som en klar rutine (algoritme), i stedet for å være skrevet på den tradisjonelt fragmenterte måten Anvendelsen av forordningen vil uansett ikke kunne automatiseres, men med klar rutine fra lovgiver vil en kunne ha laget informasjonssystem for å støtte manuell anvendelse, uten at dette var basert på usikre fortolkninger (altså en form for IbP) Poenget med dette er at lover ofte med fordel kan skrives som «kakeoppskrift», slik at rettsanvendere kan forstå hvilken nøyaktig fremgangsmåte som må følges for å oppnå rettsriktig resultat

9 Eksempel fra personvernforordningen
Article 4 Definitions For the purposes of this Regulation: […] (11) ‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her; Article 8 Conditions applicable to child's consent in relation to information society services 1. Where point (a) of Article 6(1) applies, in relation to the offer of information society services directly to a child, the processing of the personal data of a child shall be lawful where the child is at least 16 years old. Where the child is below the age of 16 years, such processing shall be lawful only if and to the extent that consent is given or authorised by the holder of parental responsibility over the child. Member States may provide by law for a lower age for those purposes provided that such lower age is not below 13 years. 2. The controller shall make reasonable efforts to verify in such cases that consent is given or authorised by the holder of parental responsibility over the child, taking into consideration available technology. 3. Paragraph 1 shall not affect the general contract law of Member States such as the rules on the validity, formation or effect of a contract in relation to a child. Article 6 Lawfulness of processing 1. Processing shall be lawful only if and to the extent that at least one of the following applies: (a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes; […] Article 7 Conditions for consent 1. Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data. 2. If the data subject's consent is given in the context of a written declaration which also concerns other matters, the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language. Any part of such a declaration which constitutes an infringement of this Regulation shall not be binding. 3. The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. Prior to giving consent, the data subject shall be informed thereof. It shall be as easy to withdraw as to give consent. 4. When assessing whether consent is freely given, utmost account shall be taken of whether, inter alia, the performance of a contract, including the provision of a service, is conditional on consent to the processing of personal data that is not necessary for the performance of that contract.

10 Art. (A) Data subjects’ power to consent
(1) Data subjects with power to consent, and others who exercise power to consent on behalf of data subjects, must be of full personal capacity. (2) Data subjects at the age of 18 years or older have full power to consent to the processing of personal data concerning themselves. (3) Data subjects 16 years old up to the age of 18 have power to consent to the processing of personal data concerning themselves to the extent that the processing relates to information society services. (4) Data subjects 13 years old and up to the age of 16 have power to consent to the processing of personal data concerning themselves to the extent that the processing relates to information society services, and provided that power to consent is authorised by a parent. Art. (B) Power to consent on behalf of the data subjects [...] Art. (C) Conditions for valid consent Art. (D) Collection of consent

Laste ned ppt "Innebygget personvern"

Liknende presentasjoner

Personopplysningsloven: -innhold, styrker og svakheter

Personopplysningsloven: -innhold, styrker og svakheter
Krav til rettslig grunnlag for behandling av personopplysninger

Krav til rettslig grunnlag for behandling av personopplysninger
Hvilke rettsregler gjelder for norske nettsteder? Prof. Dag Wiese Schartum, AFIN.

Hvilke rettsregler gjelder for norske nettsteder? Prof. Dag Wiese Schartum, AFIN.
Leif Erik Nohr leif.erik.nohr@telemed.no Juridiske rammer for utveksling av helseinformasjon - et nordisk overblikk Leif Erik Nohr leif.erik.nohr@telemed.no.

Leif Erik Nohr Juridiske rammer for utveksling av helseinformasjon - et nordisk overblikk Leif Erik Nohr
Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.

Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.
Personopplysningslovens formål og grunnleggende begreper

Personopplysningslovens formål og grunnleggende begreper
Oversikt over systemer med jus i, og grunnleggende perspektiver og hensyn Dag Wiese Schartum.

Oversikt over systemer med jus i, og grunnleggende perspektiver og hensyn Dag Wiese Schartum.
Om forholdet mellom rettssikkerhet og personvern i elektronisk forvaltning Dag Wiese Schartum, AFIN.

Om forholdet mellom rettssikkerhet og personvern i elektronisk forvaltning Dag Wiese Schartum, AFIN.
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.

Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
Presentasjon av UiOs mal for databehandleravtale, bruk av malen og oppfølging av arbeidet med behandlinger av personopplysninger.

Presentasjon av UiOs mal for databehandleravtale, bruk av malen og oppfølging av arbeidet med behandlinger av personopplysninger.
Dag Wiese Schartum, AFIN Innsynsrettigheter og plikt til å gi informasjon til registrerte.

Dag Wiese Schartum, AFIN Innsynsrettigheter og plikt til å gi informasjon til registrerte.
INTERNASJONAL PRIVATRETT Lovvalg i kontrakt – uten partenes valg Professor dr. juris Giuditta Cordero Moss.

INTERNASJONAL PRIVATRETT Lovvalg i kontrakt – uten partenes valg Professor dr. juris Giuditta Cordero Moss.
Dag Wiese Schartum, AFIN

Dag Wiese Schartum, AFIN
Dag Wiese Schartum, AFIN

Dag Wiese Schartum, AFIN
Styring av IKT - tilbakeblikk og dilemmaer knyttet til personvernlovgivning Prof. Dag Wiese Schartum, AFIN.

Styring av IKT - tilbakeblikk og dilemmaer knyttet til personvernlovgivning Prof. Dag Wiese Schartum, AFIN.
Om personopplysningslovens betydning for systemutvikling Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO.

Om personopplysningslovens betydning for systemutvikling Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO.
Personvernkonsekvenser av lover og innebygget personvern Dag Wiese Schartum.

Personvernkonsekvenser av lover og innebygget personvern Dag Wiese Schartum.
© Thomas Rieber-Mohn - INSTITUTT FOR RETTSINFORMAIKK – UNIVERSITETET I OSLO OPPHAVSRETT OG BESLEKTEDE RETTIGHETER - TEKNISKE.

© Thomas Rieber-Mohn - INSTITUTT FOR RETTSINFORMAIKK – UNIVERSITETET I OSLO OPPHAVSRETT OG BESLEKTEDE RETTIGHETER - TEKNISKE.
INTERNASJONAL PRIVATRETT Lovvalg i kontrakt – uten partenes valg Professor dr. juris Giuditta Cordero Moss.

INTERNASJONAL PRIVATRETT Lovvalg i kontrakt – uten partenes valg Professor dr. juris Giuditta Cordero Moss.
INTERNASJONAL PRIVATRETT Lovvalg i kontrakt

INTERNASJONAL PRIVATRETT Lovvalg i kontrakt

Liknende presentasjoner

Annonser fra Google