Personvern - PowerPoint PPT Presentation

1 / 50
About This Presentation
Title:

Personvern

Description:

... er utarbeide tydelege retningsliner for samhandling og infomasjon n r det gjeld medisinske opplysningar og andre typar personopplysningar som er n dvendige ... – PowerPoint PPT presentation

Number of Views:100
Avg rating:3.0/5.0
Slides: 51
Provided by: Susann218
Category:
Tags: personvern | typar

less

Transcript and Presenter's Notes

Title: Personvern


1
Personvern
  • Behandling av personopplysninger om
    attføringsdeltakere
  • Advokat Terje Hovet
  • Oktober/november 2008

2
NHO Service
  • NHO Service er tilsluttet NHO.
  • organiserer over 1100 servicebedrifter med til
    sammen 57 000 årsverk herunder facility service,
    bemanning, sikkerhet/vektere, renhold,
    bedriftshelsetjeneste, ambulanse og
    arbeidsmarkedsbedriftene (110).
  • NHO Service medlemsbedifter spenner fra de helt
    små med få ansatte til den største med over 14
    000 ansatte.

3
NHO Service Arbeidsliv
  • Administrerende direktør Petter Furulund
  • Viseadministrerende direktør Anne Jensen
  • Direktør Laila Windju (slutter 01.12.08)
  • Advokat Stein Johnsen.
  • Advokat Linda Leiro Egseth
  • Advokat Camilla Therese Lannem
  • Advokat Terje Hovet
  • Advokat Camilla Bernhoftsen

4
Program
  • 0900 1200 Kurs
  • 1200 1240 Lunsj
  • 1240 1430 Kurs
  • 1430 1445 Kaffepause
  • 1445 1600 Kurs

5
Formål med kurset
  • Økt fokus på personvern.
  • Datatilsynet har på grunnlag av henvendelser fra
    attføringsdeltakere etterspurt redegjørelser fra
    attføringsbedrifter.
  • Bransjeforeningen har ønsket å sette fokus på
    problemstillingen for å redusere risiko for
    mangelfull personvernhåndtering.

6
P4 14.01.2008
  • NAV slurver med personvernet. Datatilsynet
    forlanger bedre systemer, av frykt for at
    sensitive personopplysninger skal komme på
    avveie.

7
Arbeids- og velferdsdirektoretat, brev av
01.09.08 1/2
  • behov for klarare retningsliner for kva tid det
    kan vere aktuelt for ein tiltaksarrangør på
    sjøvstendig grunnlag å innhente medisinske
    opplysninger i samband med tiltaksgjennomføringa
    og då utifrå kva som er formålet med tiltaket.

8
Brev 01.09.08 2/2
  • Det er behov for en gjennomgang og avklaring av
    avtalereguleringa av tilhøvet mellom NAV og
    tiltaksarrangørane. Det er difor sett i gang eit
    samarbeid med bransjeorganisasjonen
    Attføringsbedriftene som er tilslutta NHO.Målet
    er å utarbeide tydelege retningsliner for
    samhandling og infomasjon når det gjeld
    medisinske opplysningar og andre typar
    personopplysningar som er nødvendige for
    individuelt tilpassa og hensiktsmessig
    gjennomføring av tiltak. Det er i denne samanheng
    vesentleg å sikre at informasjon om personvern og
    teieplikt er godt ivareteke.

9
Personvernutvalg
  • Det har vært nedsatt et personvernutvalg
  • personalsjef Ketil Wigestrand personalsjef i
    Fretex Norge AS
  • Nestleder Bjørn Bergersen, AS Rehabil
  • Advokat Terje Hovet, NHO Service

10
Personverndokument
  • Utvalget har utarbeidet dokumentet
    Retningslinjer for håndtering av
    personopplysninger om attføringsdeltakere
  • Dokumentet danner utgangspunktet for kurset.
  • Kurset setter imidlertid konkret fokus på
    utvalgte personvernutfordringer i
    attføringsbedriftene.

11
Formål med personvern
  • Å beskytte den enkelte mot at personvernet blir
    krenket gjennom behandling av personopplysninger.
  • Å verne om privatlivets fred, den personlige
    integritet og sørge for tilstrekkelig kvalitet på
    personopplysninger.

12
Rettslig rammeverk
  • Personopplysningsloven
  • Personopplysningsforskriften
  • Noe rettspraksis
  • Datatilsynets og personvernnemdas praksis

13
Lovens saklige virkeområde, 3
  • Loven gjelder for
  • a)behandling av personopplysninger som helt
    eller delvis skjer med elektroniske hjelpemidler,
    og
  • b)annen behandling av personopplysninger når
    disse inngår eller skal inngå i et
    personregister.       
  • Loven gjelder ikke behandling av
    personopplysninger som den enkelte foretar for
    rent personlige eller andre private formål.
  •      

14
Forskriftens 2-1
  • 2-1. Forholdsmessige krav om sikring av
    personopplysninger
  •        Reglene i dette kapittelet gjelder for
    behandling av personopplysninger som helt eller
    delvis skjer med elektroniske hjelpemidler der
    det for å hindre fare for tap av liv og helse,
    økonomisk tap eller tap av anseelse og personlig
    integritet er nødvendig å sikre konfidensialitet,
    tilgjengelighet og integritet for opplysningene.
  •        Der slik fare er til stede skal de
    planlagte og systematiske tiltakene som treffes i
    medhold av forskriften, stå i forhold til
    sannsynligheten for og konsekvens av
    sikkerhetsbrudd.

15
Praktiske utfordringer
  • Attføringsdeltakeres krav på personvern vs.
  • Bedriftens behov for praktisk behandling av
    personopplysninger.
  • Hjemmel og grenser for behandling av
    personopplysninger.

16
Styrende personvernhensyn
  • Konfidensialitet
  • Vern mot uautorisert innsyn i pers.oppl.
  • Integritet
  • Vern mot uautorisert endring av pers.oppl.
  • Tilgjengelighet
  • Vern mot utilsiktet sletting av pers.oppl.

17
Sentrale begreper, 2 1/2
  • Personopplysning
  • Opplysninger og vurderinger som kan knyttes til
    en enkeltperson.
  • Sensitiv personopplysning
  • Opplysninger om
  • a) rasemessig eller etnisk bakgrunn, eller
    politisk, filosofisk eller religiøs oppfatning
  • b) at en person har vært mistenkt, siktet,
    tiltalt eller dømt for en straffbar handling,
  • c) helseforhold
  • d) seksuelle forhold
  • e) medlemsskap i fagforeninger

18
Sentrale begreper 2 2/2
  • Behandling av personopplysninger
  • Enhver bruk av personopplysninger, som f.eks
    innsamling, registrering, sammenstilling, lagring
    og utlevering eller en kombinasjon av slike
    bruksmåter.
  • Personregister
  • Registre, fortegnelser mv der personopplysninger
    er lagret systematisk slik at opplysninger om den
    enkelte kan finnes igjen.
  • Samtykke
  • Frivillig, uttrykkelig og informert erklæring fra
    den registrerte om at han eller hun godtar
    behandling av opplysninger om seg selv.

19
Grunnvilkår for behandling pol 11
  • Tillatt etter 8 eller 9
  • Nyttes til uttrykkelig angitte (saklige) formål
  • Opplysningene må være relevante for formålet med
    behandlingen
  • Opplysningene må være
  • tilstrekkelige og relevante
  • Korrekte og oppdaterte (begrense lagring)

20
Behandling av personopplysninger, 8
  • Krav om samtykke, lovhjemmel eller nødvendig ut
    fra oppgitte alternativer i bokstav a til f

21
Sensitive personopplysninger, 9
  • Krav om å oppfylle et av vilkårene i 8 og for
    øvrig oppfyller et av oppgitte alternativer i
    bokstav a til h.

22
Nærmere om samtykke
23
Diskusjonsoppgave
  • Hvordan kan man sikre at attføringsdeltakere
    avgir et frivillig, uttrykkelig og informert
    samtykke?

24
Utvalgte problemstillinger
  • Hva kan behandles av attføringsbedriften?
  • Hvem skal ha tilgang til registrerte
    opplysninger?
  • Taushetsplikt
  • Epost og faks
  • Hvor lenge kan opplysninger lagres?
  • Krav til innsyn?
  • Melde og konsesjonsplikt

25
Hva vet man om attføringsdeltakeren?
26
Hva kan behandles?
  • Ses i lys formål av attføringstiltaket
  • Personopplysninger om attføringsdeltakeren.
  • Personopplysninger om andre?

27
Diskusjonsoppgave
  • En attføringsdeltaker har gitt utleverende
    opplysninger om sin ektefelles helsetilstand
    (bipolar lidelse/manisk depressiv). Dere finner
    opplysningene som viktige for å forstå
    deltakerens utfordringer og for å kunne legge til
    rette for et hensiktsmessig attføringstiltak.
  • Hva gjør dere med opplysningene om ektefellen?

28
Hvem skal ha tilgang?
  • Tjenestlig behov
  • Ulike former for tilgang
  • Reell vurdering av hvem som bør ha tilgang.
  • Den enkelte attføringskonsulent
  • Team gruppering
  • Ansvarsområder
  • Andre?
  • Arbeidsledere

29
Diskusjonsoppgave
  • Hvem bør ha tilgang til personopplysninger om
    attføringsdeltakeren?
  • Bør attføringsdeltakere være i en stilling hvor
    det er tilgang til personopplysninger om andre
    attføringsdeltakere?

30
Diskusjonsoppgave
  • En attføringsdeltaker er tidligere dømt for
    seksuelle overgrep mot barn. Vedkommende skal ha
    arbeidstrening på et lager sammen med ordinært
    ansatte og andre attføringsdeltakere. På lageret
    er det imidlertid en annen attføringsdeltaker som
    tidligere har vært utsatt for seksuelle overgrep
    som barn.
  • Hva gjør dere?

31
Taushetsplikt
  • Forvaltningslovens 13
  • Taushetserklæring

32
Fvl. 13
  • 13. (taushetsplikt).
  •        Enhver som utfører tjeneste eller arbeid
    for et forvaltningsorgan, plikter å hindre at
    andre får adgang eller kjennskap til det han i
    forbindelse med tjenesten eller arbeidet får vite
    om
  • 1)noens personlige forhold, eller
  • 2)tekniske innretninger og fremgangsmåter samt
    drifts- eller forretningsforhold som det vil være
    av konkurransemessig betydning å hemmeligholde av
    hensyn til den som opplysningen angår.       
  • Som personlige forhold regnes ikke fødested,
    fødselsdato og personnummer, statsborgerforhold,
    sivilstand, yrke, bopel og arbeidssted, med
    mindre slike opplysninger røper et klientforhold
    eller andre forhold som må anses som personlige.

33
Diskusjonsoppgave
  • Som attføringskonsulent får du gjennom samtaler
    med attføringsdeltaker vite at det kan foregå
    straffbare forhold i hjemmet (mishandling av barn
    og ektefelle).
  • Hva gjør du?

34
Unntak fra taushetsplikt
  • 13b. (begrensninger av taushetsplikten ut fra
    private eller offentlige interesser).
  • Taushetsplikt etter 13 er ikke til hinder for
  • 6. at forvaltningsorganet anmelder eller gir
    opplysninger (jfr. også nr. 5) om lovbrudd til
    påtalemyndigheten eller vedkommende
    kontrollmyndighet, når det finnes ønskelig av
    allmenne omsyn eller forfølging av lovbruddet har
    naturlig sammenheng med avgiverorganets oppgaver,
    og
  • 7. at forvaltningsorganet gir et annet
    forvaltningsorgan opplysninger (samordning) som
    forutsatt i lov om Oppgaveregisteret.

35
Barnevernloven 6-4 annet ledd
  • 6-4. Innhenting av opplysninger.
  •       Offentlige myndigheter skal av eget tiltak,
    uten hinder av taushetsplikt, gi opplysninger til
    kommunens barneverntjeneste når det er grunn til
    å tro at et barn blir mishandlet i hjemmet eller
    det foreligger andre former for alvorlig
    omsorgssvikt, jf. 4-10, 4-11 og 4-12, eller
    når et barn har vist vedvarende alvorlige
    atferdsvansker, jf. 4-24.

36
E-post og faks
  • Retningslinjer for bruk av epost.
  • Retningslinjer for bruk av faks.
  • Forholdet til NAV vs forholdet til
    attføringsdeltakere.

37
Lagring av personopplysninger. 28
  • Forbud mot lagring av unødvendige
    personopplysninger
  • Hvor lenge er lagring nødvendig?
  • Unødvendige personopplysninger skal slettes.

38
Diskusjonsoppgave
  • Saksbehandler i NAV tar kontakt for å få tilsendt
    opplysninger om en person som var i et
    attføringstiltak for 10 år siden. Saksbehandler
    ønsker tilsendt kopier av opplysningene. Dere
    sitter på opplysningene.
  • Hva gjør dere?

39
Arkiv
  • Krav ved oppbevaring av mapper
  • løse notater med personopplysninger
  • Makuleringsrutiner
  • Krav til arkivet

40
Rett til innsyn 18
  • Dersom den som ber om innsyn er registrert, skal
    den behandlingsansvarlige opplyse om
  • a) hvilke opplysninger om den registrerte som
    behandles og
  • b) sikkerhetstiltakene ved behandlingen så langt
    innsyn ikke svekker sikkerheten
  • Unntak - 23
  • Utilrådelig av hensyn til helse
  • Interne notater elektronisk personlogg?

41
Diskusjonsoppgave
  • En attføringsdeltaker er uenig i sluttrapporten.
    Vedkommende ønsker innsyn i personal-loggen/journa
    len i CAT/Pro personal eller tilsvarende samt i
    evt. notater i personalmappen.
  • Hva gjør dere?

42
Melde- og konsesjonsplikt
  • Hovedregel og utgangspunkt
  • Meldeplikt ved behandling av personopplysninger.
  • Konsesjonsplikt ved behandling av sensitive
    personopplysninger.
  • Forholdet til NAV

43
Overordnede forhold
  • Informasjonssikkerhet
  • Internkontroll
  • Risikovurdering
  • Sikkerhetstiltak
  • Datasikkerhet

44
Informasjonssikkerhet
  • Krav om informasjonssikkerhet ift styrende
    personvernhensyn KIT
  • Sikkerhetsmål
  • Sikkerhetsstrategi
  • Sikkerhetsorganisasjon

45
Internkontroll
  • Krav om strukturert og planmessig arbeid for å
    sikre at kravene til personvern ivaretas under
    attføringsbedriftenes behandling av
    personopplysninger.
  • Oversikt over hvilke og hvordan
    personopplysninger behandles i virksomheten.
  • Rutiner for risikovurdering, kartlegging,
    sikkerhetsorganisering m.m.

46
Risikovurdering
  • Systematisk risikovurdering naturlig del av
    internkontrollen.
  • Vurdering ift akseptabel eller ikke-akseptabel
    risiko for brudd på personvern.
  • Vurdering av elektronisk og manuell behandling

47
Sikkerhetstiltak
  • Hvis bedriften finner en ikke-akseptabel risiko
    for krenkelse av personvern under ett eller flere
    ledd av behandlingen av personopplysninger, så
    krav om tiltak for å bøte på risikoen,
  • Fastsette rutiner for
  • Behandling av personopplysninger
  • Opplæring av ansatte
  • Taushet og konfidensialitet
  • Personvernombud

48
Diskusjonsoppgave
  • Hvordan kan attføringsbedriften gjennomføre
    tiltak for å sikre attføringsdeltakeres
    personvern, jf de styrende personvernhensyn KIT?

49
Krav til IT systemet - datasikkerhet
  • Åpen/sikker sone-løsning foretrekkes av DT,
    spesielt hvor det er tale om sensitive
    personopplysninger.
  • Sikre opplysningenes konfidensialitet, integritet
    og tilgjengelighet
  • Vern mot uautorisert tilgang, endring og sletting
  • logg, backup
  • Krav om vurdering av bedriftens dataverktøy
  • Utarbeide rutiner og prosedyrer for elektronisk
    behandling av personopplysninger.

50
Kontaktinfo
  • NHO Service 23 08 86 50
  • www.nhoservice.no
  • Terje Hovet 23 08 86 54
  • terje.hovet_at_nhoservice.no
Write a Comment
User Comments (0)
About PowerShow.com