Personvern i digitalisering av forvaltningen

2

En varde av ettertanke…

«Slik kan man (…) tenne en varde av ettertanke ved den stadig sterkere automatiseringen innen offentlig forvaltning. Hvordan kontrollerer vi kvaliteten på programmene? Hvordan sikrer vi at de faktisk gjengir rettigheter og plikter på en adekvat måte? Hvem har risikoen for eventuelle feil i de databaser som benyttes?»

Jon Bing

Fremtidens fortid, Gyldendal 2016

Side 3

4

Digitalisering og personvern – avliving av myter

• Digitalisering og personvern er ikke motsatte størrelser

• Datatilsynet er ikke motstander av å utvikle gode tjenester til innbyggerne – Inklusive gjenbruk av

offentlige data

• Riktig bruk av teknologi kan også gi bedre personvern

Personvernprinsippene

• Rettslig grunnlag (samtykke m.m)

• Proporsjonalitet

• Formålsbestemthet

• Relevans og minimalitet

• Kvalitet

• Informasjon og innsyn

• Informasjonssikkerhet

Respekt for innbyggeren

• Data innsamlet til et formål blir brukt til det formålet

• Gjenbruk til nye formål?

• Godt rettslig grunnlag

• Bygge interaksjon slik at innbyggeren er med i prosessen

• Bidra til kontroll med egne personopplysninger

• Samtykke, trekke samtykke, reservasjon, informasjon, innsyn

• Dataminimalisering (relevans)

Digitalisering og personvern

• Data kan deles i samspill med innbyggeren – og det kan i noen tilfeller gi bedre personvern

• Innbyggeren kan… – …bli informert på nett

(det er ingen unnskyldning til å ikke informere lengre)

– …utøve sine rettigheter på nett (innsyn, retting, sletting)

• Mulighet for å spisse tilgang til personopplysninger -kun relevante data blir delt -tilgang til bestemte personer i bestemt tidsrom

Er det for vanskelig å spille på lag med innbyggeren?

…så må dere ha Stortinget i ryggen

• Forsvarlig utredet

• Lovhjemmel

• Demokratisk og transparent

Ansvar og regulering

God e-forvaltning trenger god regulering

Felleskomponenter er utfordrende mht

ansvar

Når personopplysningsloven ikke gjelder

(private formål) trenger vi robuste regler for

sikkerhet og ansvar

Ny personvernlovgivning kommer

Bakgrunn

• Arbeidet startet i 2012

• Vedtatt i 2016 og trer i kraft i 2018

• Felles regelverk for personvern i Europa

• Styrke den europeiske borgers rettigheter

• Gjøre det lettere å utveksle personopplysninger over landegrenser

• Styrke tilliten til digitale tjenester

• Sikre samarbeid mellom personvernmyndigheter

11

Alle databehandlere får nye plikter

• Egne rutiner for behandling av personopplysninger

• Si ifra om instrukser er i strid med loven

• Underleverandører skal godkjennes

• Melde avvik til behandlingsansvarlig

• Kan bli erstatningspliktige

12

Alle skal ha en forståelig personvernerklæring

13

• Informasjonen skal være lett tilgjengelig

• Klart språk som er tilpasset leserens nivå

• Stilles krav til hvilke opplysninger som skal gis

Alle skal vurdere risiko og personvernkonsekvenser

• I tillegg til en risikovurdering skal man utrede tiltak med stor personvernrisiko

• Ved høy risiko, som ikke kan begrenses, skal vi involveres i forhåndsdrøftelser

• Forordningen stiller krav til vår behandlingstid

• Vi kan veilede eller forby behandlingen

14

Alle skal bygge personvern inn i nye løsninger

• Nye krav til løsninger, tiltak og systemer

• Skal utarbeides på mest mulig personvernvennlig måte

• Den mest personvernvennlige innstilingen som standard

15

Alle bør samarbeide i egne nettverk og følge bransjenormer

• Sektorvis utforming av retningslinjer

• Sikrer at de viktigste rutinene er på plass

• Flere fordeler ved å følge disse

• Datatilsynet skal godkjenne bransjenormer

16

Alle får nye krav til avvikshåndtering

• Strengere regler enn i dag

• Melde avvik innen 72 timer

• Stilles krav til innholdet i avviksmeldingen

• De berørte skal varsles i klart språk

17

Alle må kunne oppfylle borgernes nye rettigheter

• Retten til å bli glemt

• Rett til at personopplysninger begrenses

• Systemer må oppfylle krav til dataportabiliet

• Strengere regler for automatiserte avgjørelser

• Håndtere henvendelser fra borgere innen 1 måned

18

Personvernombud - Fra frivillig til obligatorisk

• offentlige virksomheter (unntatt domstolene)

• virksomheter hvis kjerneaktivitet består i å regelmessig og systematisk overvåke personer i stort omfang

• virksomheter som behandler sensitive personopplysninger i stort omfang

19

Krav til kompetanse

Skal velges på grunnlag av faglig kompetanse:

• Kunnskap om personvernregelverk og –praksis

• Evne til å gjennomføre oppgavene spesifisert i regelverket

20

Ombudets oppgaver

• informere og gi råd til virksomheten og de ansatte i saker som handler om personvern

• bidra til etterlevelse av forordningen og virksomhetens personvernpolitikk

• gi råd om og delta i vurderinger av personvernkonsekvenser

• fungere som kontaktpunkt mellom Datatilsynet og virksomheten

21

Datatilsynet.no/forordning

Enkelt oppsummert

• Digitaliseringen er en kjempemulighet for forvaltningen og personvernet

• Design morgendagens løsninger med personvern innebygd

• Skaffe egne personvernombud (ikke bare for forskning)

25

En siste pekefinger…

«Selvangivelsen åpnet på en måte regelverket for borgeren. Vi må sikre oss at IT-løsninger ikke lukker reglene inne i en svart, blank boks som bare viser borgerens eget speilbilde når han eller hun forsøker å forstå hva som egentlig skjer.»

Jon Bing

Fremtidens fortid, Gyldendal 2016