side 1 digitalisering og jura –et umage par?sune fugleholm og jakob kamby, partnere,...
TRANSCRIPT
Digitalisering og jura – et umage par?
11. JANUAR 2017
Side 1
v/ advokatfuldmægtige Kirsten Petersen og Rasmus Grønved Nielsen, Kammeradvokaten
Tema og oversigt› Digitalisering af den offentlige forvaltning
› Potentiale: Effektivisering, ensartethed, kvalitet etc.› Risici: Systemiske fejl, privatlivets fred, ansvarsforskydning etc.
› Kammeradvokatens erfaring med juridiske aspekter af offentlig digitalisering› Offentlige og private kunder (samarbejde om udvikling af digitale
løsninger)› Forskellige ydelser, fx deltagelse i udvikling, herunder
kravspecifikationer og udbud, compliancetjek etc.
› Hvad vi vil fortælle om› Forvaltningsretlige opmærksomhedspunkter› Persondataretlige opmærksomhedspunkter
11. JANUAR 2017
Side 2
Forvaltningsretlige opmærksomhedspunkter
11. JANUAR 2017
Side 3
› Forvaltningsretten gælder – også i den digitale verden! (men er udviklet til den analoge verden)
› Oversigt over forvaltningsretten› Forvaltningsloven à Afgørelsessager› Offentlighedsloven og ombudsmandsloven à Al
forvaltningsvirksomhed› Servicevirksomhed ctr. myndighedsudøvelse› Speciallovgivning, fx lov om retssikkerhed på det sociale område
› Centrale forvaltningsretlige grundsætninger› Grundsætningen om saglig forvaltning› Lighedsgrundsætningen › Kommuner à Kommunalfuldmagten
Forvaltningsretlige opmærksomhedspunkter› Forvaltningsretlige udfordringer for brug af it-
løsninger i det offentliges servicevirksomhed (eksempler fra praksis)› Obligatorisk brug af it-løsninger kræver klar hjemmel, se fx
ombudsmandens udtalelse i FOB 2015-36 (parkeringsafgift)› Skærpet vejlednings- og informationspligt til it-svage borgere,
sml. ombudsmandens udtalelse i FOB 2002.340 (ordblind borger) à strengt ansvar
› Tilsyns- og reaktionspligt i forhold til private leverandører ved udvikling og drift af digitale løsninger, sml. ombudsmandens udtalelse i FOB 2010 20-14 (privat leverandør af fodindlæg)
› Korrekt og tilstrækkelig journalisering af oplysninger m.v., herunder dokumentation for autentiske kopier og søgemuligheder, se fx ombudsmandens udtalelser i FOB 1997.198 (folkepensionist) og 2006.390 (KU’s edb-journalsystem)
› Understøttelse af partsrepræsentation, se fx ombudsmandens udtalelse i FOB 2012-5 (ungdomskort.dk)
11. JANUAR 2017
Side 4
Forvaltningsretlige opmærksomhedspunkter› Udfordringen er at skabe it-løsninger, der – nu og
i fremtiden – fungerer efter hensigten og som samtidig er fuldt lovlige› Mange fejl kan undgås gennem en hensigtsmæssig udvikling, drift
og løbende tilpasning af de digitale løsninger› Erfaringer fra udvikling af it-systemer i staten
› Den offentlige myndigheds aktive involvering i processen› Tæt samarbejde mellem it-udviklere, sagkyndige, jurister og
produktejer (agil projektmodel)
› Hovedansvaret over for borgerne er i sidste ende hos den offentlige myndighed› Den indbyrdes ansvarsfordeling reguleres i gennemtænkte
kontrakter med leverandørerne
11. JANUAR 2017
Side 5
Persondataretlige opmærksomhedspunkter – grundlæggende regler› Der gælder en række grundlæggende principper,
som gælder for al behandling af personoplysninger, jf. art. 5. F.eks.:› Til udtrykkeligt angivne og legitime formål, og må ikke
viderebehandles på en måde som er uforenelig med disse formål.› Oplysningerne skal være tilstrækkelige, relevante og begrænset til,
hvad der er nødvendigt i fht. formålet. › Oplysninger skal være korrekte og om nødvendigt ajourførte.
Oplysninger, der er urigtige i forhold til formålet, skal slettes eller berigtiges.
› Oplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere den registrerede i et længere tidsrum end nødvendigt.
› Dataansvarlige skal påvise at principperne overholdes.
› Krav om hjemmel til en behandling, jf. art. 6-10› F.eks. et samtykke fra den person, som oplysningerne vedrører› Nødvendig for at opfylde en opgave, som myndigheden er blevet
pålagt ved lov› Nødvendig for at retskrav kan fastlægges, gøres gældende eller
forsvares
11. JANUAR 2017
Side 6
Persondataretlige opmærksomhedspunkter› Oplysningspligt:
› Dataansvarlige skal på eget initiativ give en række informationer om behandlingen
› Krav om, at den registrerede – på indsamlingstidspunktet – tillige informeres om tilstedeværelse af profilering og som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser heraf
› Indsigtsret: › Ret til kopi af oplysninger om den pågældende i app’en› Skal have ret til logikken der ligger bag en automatisk behandling
af personoplysninger, og om konsekvenserne af sådan behandling, i hvert fald når den er baseret på profilering
› Pligt til at udarbejde en konsekvensanalyse for databeskyttelsen (DPIA)› Udarbejdes forud for behandlinger, der i medfør af dens karakter,
omfang eller formål sandsynligvis vil indebære en høj risiko for datasubjekters rettigheder og frihedsrettigheder. Det vil sige ved:› Behandling af følsomme oplysninger mhp. at træffe
foranstaltninger eller beslutninger vedr. bestemte grupper› Ved behandlinger af en stor mængde oplysninger
› Processen for udarbejdelse af en konsekvensanalyse
› Tænkes sammen med udbud- og anskaffelsesprocessen
11. JANUAR 2017
Side 7
Dialog med interessenter
Indsamling af oplysninger om behandling
Udarbej-delse af analyse
Dialog med interes-senter
Indarbejdelse af krav i udbuds- og kontraktmateriale
Fornyet gennemgang ved ændringer
Persondataretlige opmærksomhedspunkter - Privacy by design og by default
› Forordningen indføre ”indbygget databeskyttelse” og ”databeskyttelse gennem standardindstillinger”
› Hvad betyder det i praksis?› Pligt til at indbygge og konfigurere databeskyttelsesreglerne ind i
IT-løsningerne og/eller processerne. › Gælder navnlig de grundlæggende krav om nødvendighed og
proportionalitet samt behandlingernes grundlag og varighed.› Gælder også de registreredes rettigheder.
› Pligten skal tænkes ind ved anskaffelse og udvikling eller konfiguration af løsningerne – dvs. › i de funktionelle og non-funktionelle processer og krav,› sikkerhedskrav og bilag og› ved test og drift.
Key takeaways› Databeskyttelse, herunder dataminimering og
pseudonymisering, skal tænkes ind i arbejdet med nye systemer og processer allerede fra det overordnede design, i anskaffelsen (krav mv.) og til konkret løsning.
› Databeskyttelse skal endvidere tænkes ind via standardindstillinger i jeres forretningsgange og politikker.
› Indarbejdelse af ændringsklausuler, så løsningerne kan tilpasses.
11. JANUAR 2017
8
Ansvar og sanktioner› Erstatning/godtgørelse
› Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af reglerne, har ret til erstatning fra den dataansvarlige eller databehandleren, jf. art. 82.
› Dvs. erstatning både med og uden økonomisk tab› Omvendt bevisbyrde = den dataansvarlig skal
bevise, at en overtrædelse ikke har ført til et tab› Solidarisk hæftelse for hele skaden› Regel om tilbagebetaling; f.eks. hvis den
dataansvarlige har betalt for mere end den del, han/hun var ansvarlig for
11. JANUAR 2017
› Sanktioner, jf. art. 83-84› Endnu uvist om offentlige myndigheder kan
pålægges bøder› For privat virksomheder bøder på op til 4 % af
den årlige globale omsætning› Gradueret ud fra overtrædelsens grovhed
Side 9
bruges i stedet
Kammeradvokatens konference: Digitalisering og jura 2017
11. JANUAR 2017
Side 10
Adam Lebech, branchedirektør, DI DigitalDI’s forventninger til offentlig digitalisering
Andreas Berggreen, afdelingschef, SkatteministerietNye digitale ejendomsvurderings- og inddrivelsessystemer – udfordringer og perspektiver
Jakob Lundsager, kontorchef, Justitsministeriet Forvaltningsloven 2.0
Jonas Bering Liisberg, Folketingets OmbudsmandOmbudsmandens krav til udviklingen af digitale sagsbehandlingssystemer
Niels Fenger, professor, Københavns UniversitetDigitaliseringsparat lovgivning – forenkling eller trivialisering?
Hanne Marie Motzfeldt, adjunkt, Syddansk UniversitetTransformering af lovgivning til digitale forvaltningssystemer
Sune Fugleholm og Jakob Kamby, partnere, KammeradvokatenDe juridiske udfordringer ved anskaffelse af digitalt sagsbehandlingssystem
Jørgen Steen Sørensen, Folketingets Ombudsmand og Sune Fugleholm, KammeradvokatenDuel: Skal forvaltningsretten ændres grundlæggende?
Målgruppe: Offentlige myndigheder, it-leverandører, softwareudviklere osv.Tid: 20. januar 2017, kl. 8.30-16.00Sted: Nationalmuseet, København
Se mere på www.kammeradvokaten.dk
bruges i stedet
Spørgsmål
11. JANUAR 2017
Side 11
Kontakt
Kirsten Petersen, advokatfuldmægtig Mobil: 22 26 23 57Tlf.: 72 30 73 81E-mail: [email protected]
Rasmus Grønved Nielsen, advokatfuldmægtigMobil: 31 69 13 57Tlf.: 72 30 74 90E-mail: [email protected]
11. JANUAR 2017
Side 12