60 likes | 185 Views
Personvernkonsekvenser av lover og innebygget personvern. Dag Wiese Schartum. Privacy Impact Assessment (PIA). Noen definisjoner New Zealand : " a systematic process for evaluating a proposal in terms of its impact upon privacy "
E N D
Personvernkonsekvenser av lover og innebygget personvern Dag Wiese Schartum
Privacy Impact Assessment (PIA) • Noendefinisjoner • New Zealand: "a systematic process for evaluating a proposal in terms of its impact upon privacy" • Canada: "provide a framework to ensure that privacy is considered throughout the design or re-design of a programme...[and to] identify the extent to which it complies with all appropriate statutes". This is done to "mitigate privacy risks and promote fully informed policy" • Australia: "assessment of actual or potential effects on privacy, and how they can be mitigated" • Definisjonene varierer men har en felles kjerne • PIA er en generell tilnærming som ikke primært er knyttet til offentlige myndigheter • FADs veileder til Utredningsinstruksen om vurdering av personvernkonsekvenser er klart inspirert av PIA
Lovutredning: Plikt til bl.a. å utrede personvernmessige konsekvenser. Egen veileder er utarbeidet av FAD for å støtte slike analyserOffentlig høring: Plikt til å sende på offentlig høring/vurdere høringssvarEvaluering: Plikt til å vurdere evalueringsbehov etter Utrednings- instruksen; plikt til å evaluere etter Økonomi- reglementet i staten § 16; og anbefaling om etterkontroll av lover i Lovteknikk-heftet Faserdervurderingavpersonvernkonse-kvensereraktuellinorskforvaltning
NoenresultaterfraAronsenog Jensen 2013 • Utredningsinstruksens krav til å utrede personvern-konsekvenser blir ikke blir fulgt i alle saker • Det er sjelden at det vises til FADs veileder om utredning av slike konsekvenser • I høringsrundene er det relativt sjelden at argumentene fra høringsinstansene blir tatt til følge av departementet • En betydelig andel av høringsargumentene blir ikke kommentert av departementet • Datatilsynets argumenter i høringsrunden har ikke større gjennomslag og blir ikke oftere kommentert enn gjennomsnittet • Det er ikke gjennomført evalueringer av personvernkonsekvenser i noen av sakene vi har gjennomgått, til tross for at lover og forskrifter er underlagt evalueringsplikt
Innebyggetpersonvern (IbP)(Privacy by Design) • Vil si at personvernregler mv nedfelles i selve systemløsningen slik at • Løsninger som er gunstige for personvern er førstevalg • Utførelse av personvernregler understøttes av systemet eller er automatisk • Vanskelig å realisere hvis ikke personvernlovgivning er automatiseringsvennlig • Tekniske informasjonssikkerhetstiltak kan ses på som IbP, men her står en ganske fritt mht hva slags tiltak en skal iverksette Men grensen går vel når Datatilsynet bruker IKT til selv å bli Storebror?!
Er det mulig å formulere regler om personvern som lar seg implementere i/ved hjelp av informasjonssystemer? • Noen muligheter • Plikt til å gjøre informasjon allment tilgjengelig i stedet for å gi innsynsrett for enhver (jf § 18 første ledd) • Plikt for visse behandlinger til å inneholde ”MinSide-løsning” i stedet for (bare) gi rett til innsyn • Funksjoner for • gi og trekke tilbake samtykke • sletting, retting mv. • plikt for tilrettelegging for automatisert dokumentkontroll