Digitalisering og jura – et umage par?

11. JANUAR 2017

Side 1

v/ advokatfuldmægtige Kirsten Petersen og Rasmus Grønved Nielsen, Kammeradvokaten

Tema og oversigt› Digitalisering af den offentlige forvaltning

› Potentiale: Effektivisering, ensartethed, kvalitet etc.› Risici: Systemiske fejl, privatlivets fred, ansvarsforskydning etc.

› Kammeradvokatens erfaring med juridiske aspekter af offentlig digitalisering› Offentlige og private kunder (samarbejde om udvikling af digitale

løsninger)› Forskellige ydelser, fx deltagelse i udvikling, herunder

kravspecifikationer og udbud, compliancetjek etc.

› Hvad vi vil fortælle om› Forvaltningsretlige opmærksomhedspunkter› Persondataretlige opmærksomhedspunkter

11. JANUAR 2017

Side 2

Forvaltningsretlige opmærksomhedspunkter

11. JANUAR 2017

Side 3

› Forvaltningsretten gælder – også i den digitale verden! (men er udviklet til den analoge verden)

› Oversigt over forvaltningsretten› Forvaltningsloven à Afgørelsessager› Offentlighedsloven og ombudsmandsloven à Al

forvaltningsvirksomhed› Servicevirksomhed ctr. myndighedsudøvelse› Speciallovgivning, fx lov om retssikkerhed på det sociale område

› Centrale forvaltningsretlige grundsætninger› Grundsætningen om saglig forvaltning› Lighedsgrundsætningen › Kommuner à Kommunalfuldmagten

Forvaltningsretlige opmærksomhedspunkter› Forvaltningsretlige udfordringer for brug af it-

løsninger i det offentliges servicevirksomhed (eksempler fra praksis)› Obligatorisk brug af it-løsninger kræver klar hjemmel, se fx

ombudsmandens udtalelse i FOB 2015-36 (parkeringsafgift)› Skærpet vejlednings- og informationspligt til it-svage borgere,

sml. ombudsmandens udtalelse i FOB 2002.340 (ordblind borger) à strengt ansvar

› Tilsyns- og reaktionspligt i forhold til private leverandører ved udvikling og drift af digitale løsninger, sml. ombudsmandens udtalelse i FOB 2010 20-14 (privat leverandør af fodindlæg)

› Korrekt og tilstrækkelig journalisering af oplysninger m.v., herunder dokumentation for autentiske kopier og søgemuligheder, se fx ombudsmandens udtalelser i FOB 1997.198 (folkepensionist) og 2006.390 (KU’s edb-journalsystem)

› Understøttelse af partsrepræsentation, se fx ombudsmandens udtalelse i FOB 2012-5 (ungdomskort.dk)

11. JANUAR 2017

Side 4

Forvaltningsretlige opmærksomhedspunkter› Udfordringen er at skabe it-løsninger, der – nu og

i fremtiden – fungerer efter hensigten og som samtidig er fuldt lovlige› Mange fejl kan undgås gennem en hensigtsmæssig udvikling, drift

og løbende tilpasning af de digitale løsninger› Erfaringer fra udvikling af it-systemer i staten

› Den offentlige myndigheds aktive involvering i processen› Tæt samarbejde mellem it-udviklere, sagkyndige, jurister og

produktejer (agil projektmodel)

› Hovedansvaret over for borgerne er i sidste ende hos den offentlige myndighed› Den indbyrdes ansvarsfordeling reguleres i gennemtænkte

kontrakter med leverandørerne

11. JANUAR 2017

Side 5

Persondataretlige opmærksomhedspunkter – grundlæggende regler› Der gælder en række grundlæggende principper,

som gælder for al behandling af personoplysninger, jf. art. 5. F.eks.:› Til udtrykkeligt angivne og legitime formål, og må ikke

viderebehandles på en måde som er uforenelig med disse formål.› Oplysningerne skal være tilstrækkelige, relevante og begrænset til,

hvad der er nødvendigt i fht. formålet. › Oplysninger skal være korrekte og om nødvendigt ajourførte.

Oplysninger, der er urigtige i forhold til formålet, skal slettes eller berigtiges.

› Oplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere den registrerede i et længere tidsrum end nødvendigt.

› Dataansvarlige skal påvise at principperne overholdes.

› Krav om hjemmel til en behandling, jf. art. 6-10› F.eks. et samtykke fra den person, som oplysningerne vedrører› Nødvendig for at opfylde en opgave, som myndigheden er blevet

pålagt ved lov› Nødvendig for at retskrav kan fastlægges, gøres gældende eller

forsvares

11. JANUAR 2017

Side 6

Persondataretlige opmærksomhedspunkter› Oplysningspligt:

› Dataansvarlige skal på eget initiativ give en række informationer om behandlingen

› Krav om, at den registrerede – på indsamlingstidspunktet – tillige informeres om tilstedeværelse af profilering og som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser heraf

› Indsigtsret: › Ret til kopi af oplysninger om den pågældende i app’en› Skal have ret til logikken der ligger bag en automatisk behandling

af personoplysninger, og om konsekvenserne af sådan behandling, i hvert fald når den er baseret på profilering

› Pligt til at udarbejde en konsekvensanalyse for databeskyttelsen (DPIA)› Udarbejdes forud for behandlinger, der i medfør af dens karakter,

omfang eller formål sandsynligvis vil indebære en høj risiko for datasubjekters rettigheder og frihedsrettigheder. Det vil sige ved:› Behandling af følsomme oplysninger mhp. at træffe

foranstaltninger eller beslutninger vedr. bestemte grupper› Ved behandlinger af en stor mængde oplysninger

› Processen for udarbejdelse af en konsekvensanalyse

› Tænkes sammen med udbud- og anskaffelsesprocessen

11. JANUAR 2017

Side 7

Dialog med interessenter

Indsamling af oplysninger om behandling

Udarbej-delse af analyse

Dialog med interes-senter

Indarbejdelse af krav i udbuds- og kontraktmateriale

Fornyet gennemgang ved ændringer

Persondataretlige opmærksomhedspunkter - Privacy by design og by default

› Forordningen indføre ”indbygget databeskyttelse” og ”databeskyttelse gennem standardindstillinger”

› Hvad betyder det i praksis?› Pligt til at indbygge og konfigurere databeskyttelsesreglerne ind i

IT-løsningerne og/eller processerne. › Gælder navnlig de grundlæggende krav om nødvendighed og

proportionalitet samt behandlingernes grundlag og varighed.› Gælder også de registreredes rettigheder.

› Pligten skal tænkes ind ved anskaffelse og udvikling eller konfiguration af løsningerne – dvs. › i de funktionelle og non-funktionelle processer og krav,› sikkerhedskrav og bilag og› ved test og drift.

Key takeaways› Databeskyttelse, herunder dataminimering og

pseudonymisering, skal tænkes ind i arbejdet med nye systemer og processer allerede fra det overordnede design, i anskaffelsen (krav mv.) og til konkret løsning.

› Databeskyttelse skal endvidere tænkes ind via standardindstillinger i jeres forretningsgange og politikker.

› Indarbejdelse af ændringsklausuler, så løsningerne kan tilpasses.

11. JANUAR 2017

8

Ansvar og sanktioner› Erstatning/godtgørelse

› Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af reglerne, har ret til erstatning fra den dataansvarlige eller databehandleren, jf. art. 82.

› Dvs. erstatning både med og uden økonomisk tab› Omvendt bevisbyrde = den dataansvarlig skal

bevise, at en overtrædelse ikke har ført til et tab› Solidarisk hæftelse for hele skaden› Regel om tilbagebetaling; f.eks. hvis den

dataansvarlige har betalt for mere end den del, han/hun var ansvarlig for

11. JANUAR 2017

› Sanktioner, jf. art. 83-84› Endnu uvist om offentlige myndigheder kan

pålægges bøder› For privat virksomheder bøder på op til 4 % af

den årlige globale omsætning› Gradueret ud fra overtrædelsens grovhed

Side 9

bruges i stedet

Kammeradvokatens konference: Digitalisering og jura 2017

11. JANUAR 2017

Side 10

Adam Lebech, branchedirektør, DI DigitalDI’s forventninger til offentlig digitalisering

Andreas Berggreen, afdelingschef, SkatteministerietNye digitale ejendomsvurderings- og inddrivelsessystemer – udfordringer og perspektiver

Jakob Lundsager, kontorchef, Justitsministeriet Forvaltningsloven 2.0

Jonas Bering Liisberg, Folketingets OmbudsmandOmbudsmandens krav til udviklingen af digitale sagsbehandlingssystemer

Niels Fenger, professor, Københavns UniversitetDigitaliseringsparat lovgivning – forenkling eller trivialisering?

Hanne Marie Motzfeldt, adjunkt, Syddansk UniversitetTransformering af lovgivning til digitale forvaltningssystemer

Sune Fugleholm og Jakob Kamby, partnere, KammeradvokatenDe juridiske udfordringer ved anskaffelse af digitalt sagsbehandlingssystem

Jørgen Steen Sørensen, Folketingets Ombudsmand og Sune Fugleholm, KammeradvokatenDuel: Skal forvaltningsretten ændres grundlæggende?

Målgruppe: Offentlige myndigheder, it-leverandører, softwareudviklere osv.Tid: 20. januar 2017, kl. 8.30-16.00Sted: Nationalmuseet, København

Se mere på www.kammeradvokaten.dk

bruges i stedet

Spørgsmål

11. JANUAR 2017

Side 11

Kontakt

Kirsten Petersen, advokatfuldmægtig Mobil: 22 26 23 57Tlf.: 72 30 73 81E-mail: kipe@kammeradvokaten.dk

Rasmus Grønved Nielsen, advokatfuldmægtigMobil: 31 69 13 57Tlf.: 72 30 74 90E-mail: rani@kammeradvokaten.dk

11. JANUAR 2017

Side 12