Hvordan forberede seg til den nye personvernforordningen

 

I norsk lovgivning er EU’s personverndirektiv (95/46 EF) implementert. Dette direktivet blir erstattet av en personvernforordning som skal gjelde direkte som norsk lov fra 25. mai 2018, når EØS og Stortinget har gitt sin tilslutning. Det er gjort noen unntak.

Vi har vel to år på å forberede oss på den nye forordningen, som ble vedtatt i april 2016. Personvernforordningen kommer til å føre til store endringer i hvordan virksomheter innretter seg. Den økonomiske risiko ved feil anvendelse av personopplysninger øker dramatisk, og vi kommer til  få flere tvistesaker. Ved feil bruk av personopplysninger, kan virksomheter få inntil 4 % av brutto omsetning som erstatningskrav. I mange land i Europa, som i Danmark har bøtene ligget rundt kr. 10.000, med noen unntak. I Norge, og i særlig grad innenfor helsetjenesten, er ikke virksomheten vant med erstatningskrav og bøter etter at Norsk pasientskadeordning ble innført, og med anvendelsen av betingede foreleg.Vi som arbeider til daglig med juridiske spørsmål må bruke den nærmeste tiden til å analysere hvilke virkninger personforordningen får.

Formålet med forordningen

Et viktig formål er å styrke enkeltindividers råderett over egne opplysninger, i form av å få opplyst hvor man er registrert, hva som er registrert og med muligheter for å slette opplysninger. Utgangspunktet er at all behandling av personopplysninger må hvile på et rettslig grunnlag. Hovedregelen er samtykke fra den opplysningene gjelder.

Et annet formål er å oppnå et ensartet regelverk i Europa, blant annet som grunnlag for å lagre opplysninger på tvers av landegrenser og deling. Det skal bli lettere å dele opplysninger. 

Noen råd til virksomheter

Mange virksomheter behandler store mengder persondata uten nødvendige analyser av lovligheten av behandlingen. Ansatte må få informasjon om de nye reglene og det bør foretas en kartlegging av virksomhetens behandling av personopplysninger, opp mot de nye reglene. Den enkelte virksomhet bør igangsette vurderinger av compliance, om prosessene er lovlige, for å fange opp avvik. Det kan gjøres gjennom å analysere alle datastrømmer, og lovlighetene i oppbevaring, tilgang til data, anvendelse og deling av data, og informasjon til den dataene gjelder. Alle deler av informasjonsbehandlingen må kunne begrunnes i rettslige grunnlag. Det vanligste er samtykke fra den opplysningene gjelder.

I en virksomhet er det flere med ansvar for behandlingen av data. Juridiske avdelinger gir råd om databehandling og IT-avdelingen sørger for drift og utvikling av nye systemer. Ansvaret for systemene ligger hos ledelse og personvernombud. I helsevirksomheter har helsepersonell et selvstendig ansvar for å dokumentere journalopplysninger og samtidig sørge for at taushetsplikten overholdes. Journalansvarlig skal koordinere behandlingen av helseopplysninger og ta stilling til krav om innsyn, retting og sletting, dersom dette ikke kan gjøres av helsepersonellet. Hovedregelen er at pasienten skal gis innsyn i alle opplysninger. Det skal svært mye til før innsyn kan begrenses.

Systemansvarlig og ledelse må tilrettelegg for helsepersonellets plikter, slik at det er mulig å overholde taushetsplikten overfor andre, for eksempel ved sperring av opplysninger, og innsynsretten til pasienten.

Få oversikt over datastrømmer og lagring av data 

Det må analyseres hvilke opplysninger som behandles, hvorfor, hvor lenge og hvor de oppbevares. Det må identifiseres hvordan personen det gjelder blir informert, og rutiner og vilkår for sletting og deling. Levetiden for dataene er avhengig av det rettslige grunnlag for oppbevaring.

I tilknytning til arbeidsforholdet oppbevares det mye opplysningene. Det må analyseres om systemene oppfyller de kravene som settes til behandling av personopplysningene. Det kan være HR-systemer, personalmapper, mail- og arkiveringssystemer, lønnssystemer og registre over kunder, pasienter og andre. Tilsvarende kan det være opplysninger om oppdragstakere og givere.

I tilknytning til forskning og pasientbehandling, oppbevares det betydelige mengder personopplysninger. Det må vurderes hva som kan være anonymt, uten personidentifiserende kjennetegn og identifiserbart. Varigheten på lagring i medisinsk teknisk utstyr, EPJ og andre registre må vurderes.

Med personvernforordningen legges det større vekt på bruk av pseudonymisering, koding og andre virkemidler som kan fjerne identitet, ev. fjerne helseopplysninger. Det kan være aktuelt ved flere typer register.

Opprydning blir nødvendig

Personvernforordning vil føre til at langt mer opplysninger blir slettet, og konkrete vurderinger av om opplysningene er nødvendige, og i så fall hvor lenge. Formålet med all behandling av personopplysninger skal kunne dokumenteres.

Med personvernforordningen legges det økt vekt på samtykke og at samtykkeerklæringer må være enkle å forstå, og at virksomhetene må informere den det gjelder om behandling av opplysninger. Det må informeres om retten til å få sperret opplysningene, til sletting og til å trekke tilbake samtykket.

Nye begreper: Data protection by design og databeskyttelse ved standardinnstillinger (data protection by default), er nye begreper i forordningen.

Data protection by design forutsetter at systemet er designet slik at det lovlig kan behandle personopplysninger.

Data protection by default, betyr at de mest begrensende standardinnstillinger skal anvendes or å skjerme persondata.

Offentlige myndigheter er underlagt sikkerhetsbekjendtgjøring (nr. 528 af 15. juni 2000 med senere endringer), som stiller en række krav til bl.a. logning, adgangskontrol mv. Dette gjelder ikke for private virksomheder, men det kan hentes veiledning herfra. Bransjestandarder og kutymer samt ISO-certificeringer, f.eks. ISO 27001, kan gi veiledning. I den nye forordning stilles det krav om rett til dataportabilitet (dvs. at den registrerte har rett til å få utlevert opplysninger om seg selv, feks ved en USB el). Retten til å bli glemt innebærer sletting av alle data også hos tredjeparter osv. Det forutsetter oversikt over dataene.

Virksomhetene bliver pålagt et dokumentasjonskrav og skal kunne bevise at forordningen overholdes.

Overføring av data til utlandet

Dersom lagring og deling er tillatt, kan data som hovedregel deles innenfor EØS/EU. Overføring av data til land utenfor EU krever dersom det kan dokumenteres tilstrekkelig sikkerhet. EU har utarbeidet særskilte standardkontrakter som kan benyttes.

Den nye Privacy Shield-aftalen mellom EU og USA ble nylig godkjent av kommisjonene og som amerikanske virksomheter, som ønsker denne sertificering, kan slutte seg til fra 1. august 2016. Andre grunnlag som kan anvendes, er Binding Corporate Rules innenfor samme konsern, ved å innhente samtykke fra registrerte personer.

Handlingsplan for implementering bør utarbeides.