Title: Personvern
1Personvern
- Behandling av personopplysninger om
attføringsdeltakere - Advokat Terje Hovet
- Oktober/november 2008
2NHO Service
- NHO Service er tilsluttet NHO.
- organiserer over 1100 servicebedrifter med til
sammen 57 000 årsverk herunder facility service,
bemanning, sikkerhet/vektere, renhold,
bedriftshelsetjeneste, ambulanse og
arbeidsmarkedsbedriftene (110). - NHO Service medlemsbedifter spenner fra de helt
små med få ansatte til den største med over 14
000 ansatte.
3NHO Service Arbeidsliv
- Administrerende direktør Petter Furulund
- Viseadministrerende direktør Anne Jensen
- Direktør Laila Windju (slutter 01.12.08)
- Advokat Stein Johnsen.
- Advokat Linda Leiro Egseth
- Advokat Camilla Therese Lannem
- Advokat Terje Hovet
- Advokat Camilla Bernhoftsen
4Program
- 0900 1200 Kurs
- 1200 1240 Lunsj
- 1240 1430 Kurs
- 1430 1445 Kaffepause
- 1445 1600 Kurs
5Formål med kurset
- Økt fokus på personvern.
- Datatilsynet har på grunnlag av henvendelser fra
attføringsdeltakere etterspurt redegjørelser fra
attføringsbedrifter. - Bransjeforeningen har ønsket å sette fokus på
problemstillingen for å redusere risiko for
mangelfull personvernhåndtering.
6P4 14.01.2008
- NAV slurver med personvernet. Datatilsynet
forlanger bedre systemer, av frykt for at
sensitive personopplysninger skal komme på
avveie.
7Arbeids- og velferdsdirektoretat, brev av
01.09.08 1/2
- behov for klarare retningsliner for kva tid det
kan vere aktuelt for ein tiltaksarrangør på
sjøvstendig grunnlag å innhente medisinske
opplysninger i samband med tiltaksgjennomføringa
og då utifrå kva som er formålet med tiltaket.
8Brev 01.09.08 2/2
- Det er behov for en gjennomgang og avklaring av
avtalereguleringa av tilhøvet mellom NAV og
tiltaksarrangørane. Det er difor sett i gang eit
samarbeid med bransjeorganisasjonen
Attføringsbedriftene som er tilslutta NHO.Målet
er å utarbeide tydelege retningsliner for
samhandling og infomasjon når det gjeld
medisinske opplysningar og andre typar
personopplysningar som er nødvendige for
individuelt tilpassa og hensiktsmessig
gjennomføring av tiltak. Det er i denne samanheng
vesentleg å sikre at informasjon om personvern og
teieplikt er godt ivareteke.
9Personvernutvalg
- Det har vært nedsatt et personvernutvalg
- personalsjef Ketil Wigestrand personalsjef i
Fretex Norge AS - Nestleder Bjørn Bergersen, AS Rehabil
- Advokat Terje Hovet, NHO Service
10Personverndokument
- Utvalget har utarbeidet dokumentet
Retningslinjer for håndtering av
personopplysninger om attføringsdeltakere - Dokumentet danner utgangspunktet for kurset.
- Kurset setter imidlertid konkret fokus på
utvalgte personvernutfordringer i
attføringsbedriftene.
11Formål med personvern
- Å beskytte den enkelte mot at personvernet blir
krenket gjennom behandling av personopplysninger. - Å verne om privatlivets fred, den personlige
integritet og sørge for tilstrekkelig kvalitet på
personopplysninger.
12Rettslig rammeverk
- Personopplysningsloven
- Personopplysningsforskriften
- Noe rettspraksis
- Datatilsynets og personvernnemdas praksis
13Lovens saklige virkeområde, 3
- Loven gjelder for
- a)behandling av personopplysninger som helt
eller delvis skjer med elektroniske hjelpemidler,
og -
- b)annen behandling av personopplysninger når
disse inngår eller skal inngå i et
personregister. - Loven gjelder ikke behandling av
personopplysninger som den enkelte foretar for
rent personlige eller andre private formål. -
14Forskriftens 2-1
- 2-1. Forholdsmessige krav om sikring av
personopplysninger - Reglene i dette kapittelet gjelder for
behandling av personopplysninger som helt eller
delvis skjer med elektroniske hjelpemidler der
det for å hindre fare for tap av liv og helse,
økonomisk tap eller tap av anseelse og personlig
integritet er nødvendig å sikre konfidensialitet,
tilgjengelighet og integritet for opplysningene. - Der slik fare er til stede skal de
planlagte og systematiske tiltakene som treffes i
medhold av forskriften, stå i forhold til
sannsynligheten for og konsekvens av
sikkerhetsbrudd.
15Praktiske utfordringer
- Attføringsdeltakeres krav på personvern vs.
- Bedriftens behov for praktisk behandling av
personopplysninger. - Hjemmel og grenser for behandling av
personopplysninger.
16Styrende personvernhensyn
- Konfidensialitet
- Vern mot uautorisert innsyn i pers.oppl.
- Integritet
- Vern mot uautorisert endring av pers.oppl.
- Tilgjengelighet
- Vern mot utilsiktet sletting av pers.oppl.
17Sentrale begreper, 2 1/2
- Personopplysning
- Opplysninger og vurderinger som kan knyttes til
en enkeltperson. - Sensitiv personopplysning
- Opplysninger om
- a) rasemessig eller etnisk bakgrunn, eller
politisk, filosofisk eller religiøs oppfatning - b) at en person har vært mistenkt, siktet,
tiltalt eller dømt for en straffbar handling, - c) helseforhold
- d) seksuelle forhold
- e) medlemsskap i fagforeninger
18Sentrale begreper 2 2/2
- Behandling av personopplysninger
- Enhver bruk av personopplysninger, som f.eks
innsamling, registrering, sammenstilling, lagring
og utlevering eller en kombinasjon av slike
bruksmåter. - Personregister
- Registre, fortegnelser mv der personopplysninger
er lagret systematisk slik at opplysninger om den
enkelte kan finnes igjen. - Samtykke
- Frivillig, uttrykkelig og informert erklæring fra
den registrerte om at han eller hun godtar
behandling av opplysninger om seg selv.
19Grunnvilkår for behandling pol 11
- Tillatt etter 8 eller 9
- Nyttes til uttrykkelig angitte (saklige) formål
- Opplysningene må være relevante for formålet med
behandlingen - Opplysningene må være
- tilstrekkelige og relevante
- Korrekte og oppdaterte (begrense lagring)
20Behandling av personopplysninger, 8
- Krav om samtykke, lovhjemmel eller nødvendig ut
fra oppgitte alternativer i bokstav a til f -
21Sensitive personopplysninger, 9
- Krav om å oppfylle et av vilkårene i 8 og for
øvrig oppfyller et av oppgitte alternativer i
bokstav a til h.
22Nærmere om samtykke
23Diskusjonsoppgave
- Hvordan kan man sikre at attføringsdeltakere
avgir et frivillig, uttrykkelig og informert
samtykke?
24Utvalgte problemstillinger
- Hva kan behandles av attføringsbedriften?
- Hvem skal ha tilgang til registrerte
opplysninger? - Taushetsplikt
- Epost og faks
- Hvor lenge kan opplysninger lagres?
- Krav til innsyn?
- Melde og konsesjonsplikt
25Hva vet man om attføringsdeltakeren?
26Hva kan behandles?
- Ses i lys formål av attføringstiltaket
- Personopplysninger om attføringsdeltakeren.
- Personopplysninger om andre?
27Diskusjonsoppgave
- En attføringsdeltaker har gitt utleverende
opplysninger om sin ektefelles helsetilstand
(bipolar lidelse/manisk depressiv). Dere finner
opplysningene som viktige for å forstå
deltakerens utfordringer og for å kunne legge til
rette for et hensiktsmessig attføringstiltak. - Hva gjør dere med opplysningene om ektefellen?
28Hvem skal ha tilgang?
- Tjenestlig behov
- Ulike former for tilgang
- Reell vurdering av hvem som bør ha tilgang.
- Den enkelte attføringskonsulent
- Team gruppering
- Ansvarsområder
- Andre?
- Arbeidsledere
29Diskusjonsoppgave
- Hvem bør ha tilgang til personopplysninger om
attføringsdeltakeren? - Bør attføringsdeltakere være i en stilling hvor
det er tilgang til personopplysninger om andre
attføringsdeltakere?
30Diskusjonsoppgave
- En attføringsdeltaker er tidligere dømt for
seksuelle overgrep mot barn. Vedkommende skal ha
arbeidstrening på et lager sammen med ordinært
ansatte og andre attføringsdeltakere. På lageret
er det imidlertid en annen attføringsdeltaker som
tidligere har vært utsatt for seksuelle overgrep
som barn. - Hva gjør dere?
31Taushetsplikt
- Forvaltningslovens 13
- Taushetserklæring
32Fvl. 13
- 13. (taushetsplikt).
- Enhver som utfører tjeneste eller arbeid
for et forvaltningsorgan, plikter å hindre at
andre får adgang eller kjennskap til det han i
forbindelse med tjenesten eller arbeidet får vite
om -
- 1)noens personlige forhold, eller
- 2)tekniske innretninger og fremgangsmåter samt
drifts- eller forretningsforhold som det vil være
av konkurransemessig betydning å hemmeligholde av
hensyn til den som opplysningen angår. - Som personlige forhold regnes ikke fødested,
fødselsdato og personnummer, statsborgerforhold,
sivilstand, yrke, bopel og arbeidssted, med
mindre slike opplysninger røper et klientforhold
eller andre forhold som må anses som personlige.
33Diskusjonsoppgave
- Som attføringskonsulent får du gjennom samtaler
med attføringsdeltaker vite at det kan foregå
straffbare forhold i hjemmet (mishandling av barn
og ektefelle). - Hva gjør du?
34Unntak fra taushetsplikt
- 13b. (begrensninger av taushetsplikten ut fra
private eller offentlige interesser). -
- Taushetsplikt etter 13 er ikke til hinder for
- 6. at forvaltningsorganet anmelder eller gir
opplysninger (jfr. også nr. 5) om lovbrudd til
påtalemyndigheten eller vedkommende
kontrollmyndighet, når det finnes ønskelig av
allmenne omsyn eller forfølging av lovbruddet har
naturlig sammenheng med avgiverorganets oppgaver,
og - 7. at forvaltningsorganet gir et annet
forvaltningsorgan opplysninger (samordning) som
forutsatt i lov om Oppgaveregisteret.
35Barnevernloven 6-4 annet ledd
- 6-4. Innhenting av opplysninger.
- Offentlige myndigheter skal av eget tiltak,
uten hinder av taushetsplikt, gi opplysninger til
kommunens barneverntjeneste når det er grunn til
å tro at et barn blir mishandlet i hjemmet eller
det foreligger andre former for alvorlig
omsorgssvikt, jf. 4-10, 4-11 og 4-12, eller
når et barn har vist vedvarende alvorlige
atferdsvansker, jf. 4-24.
36E-post og faks
- Retningslinjer for bruk av epost.
- Retningslinjer for bruk av faks.
- Forholdet til NAV vs forholdet til
attføringsdeltakere.
37Lagring av personopplysninger. 28
- Forbud mot lagring av unødvendige
personopplysninger - Hvor lenge er lagring nødvendig?
- Unødvendige personopplysninger skal slettes.
38Diskusjonsoppgave
- Saksbehandler i NAV tar kontakt for å få tilsendt
opplysninger om en person som var i et
attføringstiltak for 10 år siden. Saksbehandler
ønsker tilsendt kopier av opplysningene. Dere
sitter på opplysningene. - Hva gjør dere?
39Arkiv
- Krav ved oppbevaring av mapper
- løse notater med personopplysninger
- Makuleringsrutiner
- Krav til arkivet
40Rett til innsyn 18
- Dersom den som ber om innsyn er registrert, skal
den behandlingsansvarlige opplyse om - a) hvilke opplysninger om den registrerte som
behandles og - b) sikkerhetstiltakene ved behandlingen så langt
innsyn ikke svekker sikkerheten - Unntak - 23
- Utilrådelig av hensyn til helse
- Interne notater elektronisk personlogg?
41Diskusjonsoppgave
- En attføringsdeltaker er uenig i sluttrapporten.
Vedkommende ønsker innsyn i personal-loggen/journa
len i CAT/Pro personal eller tilsvarende samt i
evt. notater i personalmappen. - Hva gjør dere?
42Melde- og konsesjonsplikt
- Hovedregel og utgangspunkt
- Meldeplikt ved behandling av personopplysninger.
- Konsesjonsplikt ved behandling av sensitive
personopplysninger. - Forholdet til NAV
43Overordnede forhold
- Informasjonssikkerhet
- Internkontroll
- Risikovurdering
- Sikkerhetstiltak
- Datasikkerhet
44Informasjonssikkerhet
- Krav om informasjonssikkerhet ift styrende
personvernhensyn KIT - Sikkerhetsmål
- Sikkerhetsstrategi
- Sikkerhetsorganisasjon
45Internkontroll
- Krav om strukturert og planmessig arbeid for å
sikre at kravene til personvern ivaretas under
attføringsbedriftenes behandling av
personopplysninger. - Oversikt over hvilke og hvordan
personopplysninger behandles i virksomheten. - Rutiner for risikovurdering, kartlegging,
sikkerhetsorganisering m.m.
46Risikovurdering
- Systematisk risikovurdering naturlig del av
internkontrollen. - Vurdering ift akseptabel eller ikke-akseptabel
risiko for brudd på personvern. - Vurdering av elektronisk og manuell behandling
47Sikkerhetstiltak
- Hvis bedriften finner en ikke-akseptabel risiko
for krenkelse av personvern under ett eller flere
ledd av behandlingen av personopplysninger, så
krav om tiltak for å bøte på risikoen, - Fastsette rutiner for
- Behandling av personopplysninger
- Opplæring av ansatte
- Taushet og konfidensialitet
- Personvernombud
48Diskusjonsoppgave
- Hvordan kan attføringsbedriften gjennomføre
tiltak for å sikre attføringsdeltakeres
personvern, jf de styrende personvernhensyn KIT?
49Krav til IT systemet - datasikkerhet
- Åpen/sikker sone-løsning foretrekkes av DT,
spesielt hvor det er tale om sensitive
personopplysninger. - Sikre opplysningenes konfidensialitet, integritet
og tilgjengelighet - Vern mot uautorisert tilgang, endring og sletting
- logg, backup
- Krav om vurdering av bedriftens dataverktøy
- Utarbeide rutiner og prosedyrer for elektronisk
behandling av personopplysninger.
50Kontaktinfo
- NHO Service 23 08 86 50
- www.nhoservice.no
- Terje Hovet 23 08 86 54
- terje.hovet_at_nhoservice.no