Personvern

1
Personvern

• Behandling av personopplysninger om
  attføringsdeltakere
• Advokat Terje Hovet
• Oktober/november 2008

2
NHO Service

• NHO Service er tilsluttet NHO.
• organiserer over 1100 servicebedrifter med til
  sammen 57 000 årsverk herunder facility service,
  bemanning, sikkerhet/vektere, renhold,
  bedriftshelsetjeneste, ambulanse og
  arbeidsmarkedsbedriftene (110).
• NHO Service medlemsbedifter spenner fra de helt
  små med få ansatte til den største med over 14
  000 ansatte.

3
NHO Service Arbeidsliv

• Administrerende direktør Petter Furulund
• Viseadministrerende direktør Anne Jensen
• Direktør Laila Windju (slutter 01.12.08)
• Advokat Stein Johnsen.
• Advokat Linda Leiro Egseth
• Advokat Camilla Therese Lannem
• Advokat Terje Hovet
• Advokat Camilla Bernhoftsen

4
Program

• 0900 1200 Kurs
• 1200 1240 Lunsj
• 1240 1430 Kurs
• 1430 1445 Kaffepause
• 1445 1600 Kurs

5
Formål med kurset

• Økt fokus på personvern.
• Datatilsynet har på grunnlag av henvendelser fra
  attføringsdeltakere etterspurt redegjørelser fra
  attføringsbedrifter.
• Bransjeforeningen har ønsket å sette fokus på
  problemstillingen for å redusere risiko for
  mangelfull personvernhåndtering.

6
P4 14.01.2008

• NAV slurver med personvernet. Datatilsynet
  forlanger bedre systemer, av frykt for at
  sensitive personopplysninger skal komme på
  avveie.

7
Arbeids- og velferdsdirektoretat, brev av
01.09.08 1/2

• behov for klarare retningsliner for kva tid det
  kan vere aktuelt for ein tiltaksarrangør på
  sjøvstendig grunnlag å innhente medisinske
  opplysninger i samband med tiltaksgjennomføringa
  og då utifrå kva som er formålet med tiltaket.

8
Brev 01.09.08 2/2

• Det er behov for en gjennomgang og avklaring av
  avtalereguleringa av tilhøvet mellom NAV og
  tiltaksarrangørane. Det er difor sett i gang eit
  samarbeid med bransjeorganisasjonen
  Attføringsbedriftene som er tilslutta NHO.Målet
  er å utarbeide tydelege retningsliner for
  samhandling og infomasjon når det gjeld
  medisinske opplysningar og andre typar
  personopplysningar som er nødvendige for
  individuelt tilpassa og hensiktsmessig
  gjennomføring av tiltak. Det er i denne samanheng
  vesentleg å sikre at informasjon om personvern og
  teieplikt er godt ivareteke.

9
Personvernutvalg

• Det har vært nedsatt et personvernutvalg
• personalsjef Ketil Wigestrand personalsjef i
  Fretex Norge AS
• Nestleder Bjørn Bergersen, AS Rehabil
• Advokat Terje Hovet, NHO Service

10
Personverndokument

• Utvalget har utarbeidet dokumentet
  Retningslinjer for håndtering av
  personopplysninger om attføringsdeltakere
• Dokumentet danner utgangspunktet for kurset.
• Kurset setter imidlertid konkret fokus på
  utvalgte personvernutfordringer i
  attføringsbedriftene.

11
Formål med personvern

• Å beskytte den enkelte mot at personvernet blir
  krenket gjennom behandling av personopplysninger.
• Å verne om privatlivets fred, den personlige
  integritet og sørge for tilstrekkelig kvalitet på
  personopplysninger.

12
Rettslig rammeverk

• Personopplysningsloven
• Personopplysningsforskriften
• Noe rettspraksis
• Datatilsynets og personvernnemdas praksis

13
Lovens saklige virkeområde, 3

• Loven gjelder for
• a)behandling av personopplysninger som helt
  eller delvis skjer med elektroniske hjelpemidler,
  og
• b)annen behandling av personopplysninger når
  disse inngår eller skal inngå i et
  personregister.       
• Loven gjelder ikke behandling av
  personopplysninger som den enkelte foretar for
  rent personlige eller andre private formål.
•      

14
Forskriftens 2-1

• 2-1. Forholdsmessige krav om sikring av
  personopplysninger
•        Reglene i dette kapittelet gjelder for
  behandling av personopplysninger som helt eller
  delvis skjer med elektroniske hjelpemidler der
  det for å hindre fare for tap av liv og helse,
  økonomisk tap eller tap av anseelse og personlig
  integritet er nødvendig å sikre konfidensialitet,
  tilgjengelighet og integritet for opplysningene.
•        Der slik fare er til stede skal de
  planlagte og systematiske tiltakene som treffes i
  medhold av forskriften, stå i forhold til
  sannsynligheten for og konsekvens av
  sikkerhetsbrudd.

15
Praktiske utfordringer

• Attføringsdeltakeres krav på personvern vs.
• Bedriftens behov for praktisk behandling av
  personopplysninger.
• Hjemmel og grenser for behandling av
  personopplysninger.

16
Styrende personvernhensyn

• Konfidensialitet
• Vern mot uautorisert innsyn i pers.oppl.
• Integritet
• Vern mot uautorisert endring av pers.oppl.
• Tilgjengelighet
• Vern mot utilsiktet sletting av pers.oppl.

17
Sentrale begreper, 2 1/2

• Personopplysning
• Opplysninger og vurderinger som kan knyttes til
  en enkeltperson.
• Sensitiv personopplysning
• Opplysninger om
• a) rasemessig eller etnisk bakgrunn, eller
  politisk, filosofisk eller religiøs oppfatning
• b) at en person har vært mistenkt, siktet,
  tiltalt eller dømt for en straffbar handling,
• c) helseforhold
• d) seksuelle forhold
• e) medlemsskap i fagforeninger

18
Sentrale begreper 2 2/2

• Behandling av personopplysninger
• Enhver bruk av personopplysninger, som f.eks
  innsamling, registrering, sammenstilling, lagring
  og utlevering eller en kombinasjon av slike
  bruksmåter.
• Personregister
• Registre, fortegnelser mv der personopplysninger
  er lagret systematisk slik at opplysninger om den
  enkelte kan finnes igjen.
• Samtykke
• Frivillig, uttrykkelig og informert erklæring fra
  den registrerte om at han eller hun godtar
  behandling av opplysninger om seg selv.

19
Grunnvilkår for behandling pol 11

• Tillatt etter 8 eller 9
• Nyttes til uttrykkelig angitte (saklige) formål
• Opplysningene må være relevante for formålet med
  behandlingen
• Opplysningene må være
• tilstrekkelige og relevante
• Korrekte og oppdaterte (begrense lagring)

20
Behandling av personopplysninger, 8

• Krav om samtykke, lovhjemmel eller nødvendig ut
  fra oppgitte alternativer i bokstav a til f

21
Sensitive personopplysninger, 9

• Krav om å oppfylle et av vilkårene i 8 og for
  øvrig oppfyller et av oppgitte alternativer i
  bokstav a til h.

22
Nærmere om samtykke
23
Diskusjonsoppgave

• Hvordan kan man sikre at attføringsdeltakere
  avgir et frivillig, uttrykkelig og informert
  samtykke?

24
Utvalgte problemstillinger

• Hva kan behandles av attføringsbedriften?
• Hvem skal ha tilgang til registrerte
  opplysninger?
• Taushetsplikt
• Epost og faks
• Hvor lenge kan opplysninger lagres?
• Krav til innsyn?
• Melde og konsesjonsplikt

25
Hva vet man om attføringsdeltakeren?
26
Hva kan behandles?

• Ses i lys formål av attføringstiltaket
• Personopplysninger om attføringsdeltakeren.
• Personopplysninger om andre?

27
Diskusjonsoppgave

• En attføringsdeltaker har gitt utleverende
  opplysninger om sin ektefelles helsetilstand
  (bipolar lidelse/manisk depressiv). Dere finner
  opplysningene som viktige for å forstå
  deltakerens utfordringer og for å kunne legge til
  rette for et hensiktsmessig attføringstiltak.
• Hva gjør dere med opplysningene om ektefellen?

28
Hvem skal ha tilgang?

• Tjenestlig behov
• Ulike former for tilgang
• Reell vurdering av hvem som bør ha tilgang.
• Den enkelte attføringskonsulent
• Team gruppering
• Ansvarsområder
• Andre?
• Arbeidsledere

29
Diskusjonsoppgave

• Hvem bør ha tilgang til personopplysninger om
  attføringsdeltakeren?
• Bør attføringsdeltakere være i en stilling hvor
  det er tilgang til personopplysninger om andre
  attføringsdeltakere?

30
Diskusjonsoppgave

• En attføringsdeltaker er tidligere dømt for
  seksuelle overgrep mot barn. Vedkommende skal ha
  arbeidstrening på et lager sammen med ordinært
  ansatte og andre attføringsdeltakere. På lageret
  er det imidlertid en annen attføringsdeltaker som
  tidligere har vært utsatt for seksuelle overgrep
  som barn.
• Hva gjør dere?

31
Taushetsplikt

• Forvaltningslovens 13
• Taushetserklæring

32
Fvl. 13

• 13. (taushetsplikt).
•        Enhver som utfører tjeneste eller arbeid
  for et forvaltningsorgan, plikter å hindre at
  andre får adgang eller kjennskap til det han i
  forbindelse med tjenesten eller arbeidet får vite
  om
• 1)noens personlige forhold, eller
• 2)tekniske innretninger og fremgangsmåter samt
  drifts- eller forretningsforhold som det vil være
  av konkurransemessig betydning å hemmeligholde av
  hensyn til den som opplysningen angår.       
• Som personlige forhold regnes ikke fødested,
  fødselsdato og personnummer, statsborgerforhold,
  sivilstand, yrke, bopel og arbeidssted, med
  mindre slike opplysninger røper et klientforhold
  eller andre forhold som må anses som personlige.

33
Diskusjonsoppgave

• Som attføringskonsulent får du gjennom samtaler
  med attføringsdeltaker vite at det kan foregå
  straffbare forhold i hjemmet (mishandling av barn
  og ektefelle).
• Hva gjør du?

34
Unntak fra taushetsplikt

• 13b. (begrensninger av taushetsplikten ut fra
  private eller offentlige interesser).
• Taushetsplikt etter 13 er ikke til hinder for
• 6. at forvaltningsorganet anmelder eller gir
  opplysninger (jfr. også nr. 5) om lovbrudd til
  påtalemyndigheten eller vedkommende
  kontrollmyndighet, når det finnes ønskelig av
  allmenne omsyn eller forfølging av lovbruddet har
  naturlig sammenheng med avgiverorganets oppgaver,
  og
• 7. at forvaltningsorganet gir et annet
  forvaltningsorgan opplysninger (samordning) som
  forutsatt i lov om Oppgaveregisteret.

35
Barnevernloven 6-4 annet ledd

• 6-4. Innhenting av opplysninger.
•       Offentlige myndigheter skal av eget tiltak,
  uten hinder av taushetsplikt, gi opplysninger til
  kommunens barneverntjeneste når det er grunn til
  å tro at et barn blir mishandlet i hjemmet eller
  det foreligger andre former for alvorlig
  omsorgssvikt, jf. 4-10, 4-11 og 4-12, eller
  når et barn har vist vedvarende alvorlige
  atferdsvansker, jf. 4-24.

36
E-post og faks

• Retningslinjer for bruk av epost.
• Retningslinjer for bruk av faks.
• Forholdet til NAV vs forholdet til
  attføringsdeltakere.

37
Lagring av personopplysninger. 28

• Forbud mot lagring av unødvendige
  personopplysninger
• Hvor lenge er lagring nødvendig?
• Unødvendige personopplysninger skal slettes.

38
Diskusjonsoppgave

• Saksbehandler i NAV tar kontakt for å få tilsendt
  opplysninger om en person som var i et
  attføringstiltak for 10 år siden. Saksbehandler
  ønsker tilsendt kopier av opplysningene. Dere
  sitter på opplysningene.
• Hva gjør dere?

39
Arkiv

• Krav ved oppbevaring av mapper
• løse notater med personopplysninger
• Makuleringsrutiner
• Krav til arkivet

40
Rett til innsyn 18

• Dersom den som ber om innsyn er registrert, skal
  den behandlingsansvarlige opplyse om
• a) hvilke opplysninger om den registrerte som
  behandles og
• b) sikkerhetstiltakene ved behandlingen så langt
  innsyn ikke svekker sikkerheten
• Unntak - 23
• Utilrådelig av hensyn til helse
• Interne notater elektronisk personlogg?

41
Diskusjonsoppgave

• En attføringsdeltaker er uenig i sluttrapporten.
  Vedkommende ønsker innsyn i personal-loggen/journa
  len i CAT/Pro personal eller tilsvarende samt i
  evt. notater i personalmappen.
• Hva gjør dere?

42
Melde- og konsesjonsplikt

• Hovedregel og utgangspunkt
• Meldeplikt ved behandling av personopplysninger.
• Konsesjonsplikt ved behandling av sensitive
  personopplysninger.
• Forholdet til NAV

43
Overordnede forhold

• Informasjonssikkerhet
• Internkontroll
• Risikovurdering
• Sikkerhetstiltak
• Datasikkerhet

44
Informasjonssikkerhet

• Krav om informasjonssikkerhet ift styrende
  personvernhensyn KIT
• Sikkerhetsmål
• Sikkerhetsstrategi
• Sikkerhetsorganisasjon

45
Internkontroll

• Krav om strukturert og planmessig arbeid for å
  sikre at kravene til personvern ivaretas under
  attføringsbedriftenes behandling av
  personopplysninger.
• Oversikt over hvilke og hvordan
  personopplysninger behandles i virksomheten.
• Rutiner for risikovurdering, kartlegging,
  sikkerhetsorganisering m.m.

46
Risikovurdering

• Systematisk risikovurdering naturlig del av
  internkontrollen.
• Vurdering ift akseptabel eller ikke-akseptabel
  risiko for brudd på personvern.
• Vurdering av elektronisk og manuell behandling

47
Sikkerhetstiltak

• Hvis bedriften finner en ikke-akseptabel risiko
  for krenkelse av personvern under ett eller flere
  ledd av behandlingen av personopplysninger, så
  krav om tiltak for å bøte på risikoen,
• Fastsette rutiner for
• Behandling av personopplysninger
• Opplæring av ansatte
• Taushet og konfidensialitet
• Personvernombud

48
Diskusjonsoppgave

• Hvordan kan attføringsbedriften gjennomføre
  tiltak for å sikre attføringsdeltakeres
  personvern, jf de styrende personvernhensyn KIT?

49
Krav til IT systemet - datasikkerhet

• Åpen/sikker sone-løsning foretrekkes av DT,
  spesielt hvor det er tale om sensitive
  personopplysninger.
• Sikre opplysningenes konfidensialitet, integritet
  og tilgjengelighet
• Vern mot uautorisert tilgang, endring og sletting
• logg, backup
• Krav om vurdering av bedriftens dataverktøy
• Utarbeide rutiner og prosedyrer for elektronisk
  behandling av personopplysninger.

50
Kontaktinfo

• NHO Service 23 08 86 50
• www.nhoservice.no
• Terje Hovet 23 08 86 54
• terje.hovet_at_nhoservice.no