500 likes | 800 Views
Personvern . Behandling av personopplysninger om attføringsdeltakere: Advokat Terje Hovet Oktober/november 2008. NHO Service. NHO Service er tilsluttet NHO.
E N D
Personvern Behandling av personopplysninger om attføringsdeltakere: Advokat Terje Hovet Oktober/november 2008
NHO Service NHO Service er tilsluttet NHO. • organiserer over 1100 servicebedrifter med til sammen 57 000 årsverk; herunder facility service, bemanning, sikkerhet/vektere, renhold, bedriftshelsetjeneste, ambulanse og arbeidsmarkedsbedriftene (110). • NHO Service’ medlemsbedifter spenner fra de helt små med få ansatte til den største med over 14 000 ansatte.
NHO Service Arbeidsliv • Administrerende direktør Petter Furulund • Viseadministrerende direktør Anne Jensen • Direktør Laila Windju (slutter 01.12.08) • Advokat Stein Johnsen. • Advokat Linda Leiro Egseth • Advokat Camilla Therese Lannem • Advokat Terje Hovet • Advokat Camilla Bernhoftsen
Program • 0900 – 1200 Kurs • 1200 – 1240 Lunsj • 1240 – 1430 Kurs • 1430 – 1445 Kaffepause • 1445 – 1600 Kurs
Formål med kurset • Økt fokus på personvern. • Datatilsynet har på grunnlag av henvendelser fra attføringsdeltakere etterspurt redegjørelser fra attføringsbedrifter. • Bransjeforeningen har ønsket å sette fokus på problemstillingen for å redusere risiko for mangelfull personvernhåndtering.
P4 14.01.2008 ”NAV slurver med personvernet. Datatilsynet forlanger bedre systemer, av frykt for at sensitive personopplysninger skal komme på avveie.”
Arbeids- og velferdsdirektoretat, brev av 01.09.08 1/2 • …behov for klarare retningsliner for kva tid det kan vere aktuelt for ein tiltaksarrangør på sjøvstendig grunnlag å innhente medisinske opplysninger i samband med tiltaksgjennomføringa og då utifrå kva som er formålet med tiltaket.
Brev 01.09.08 2/2 • …Det er behov for en gjennomgang og avklaring av avtalereguleringa av tilhøvet mellom NAV og tiltaksarrangørane. Det er difor sett i gang eit samarbeid med bransjeorganisasjonen Attføringsbedriftene som er tilslutta NHO….Målet er å utarbeide tydelege retningsliner for samhandling og infomasjon når det gjeld medisinske opplysningar og andre typar personopplysningar som er nødvendige for individuelt tilpassa og hensiktsmessig gjennomføring av tiltak. Det er i denne samanheng vesentleg å sikre at informasjon om personvern og teieplikt er godt ivareteke.
Personvernutvalg • Det har vært nedsatt et personvernutvalg • personalsjef Ketil Wigestrand personalsjef i Fretex Norge AS • Nestleder Bjørn Bergersen, AS Rehabil • Advokat Terje Hovet, NHO Service
Personverndokument • Utvalget har utarbeidet dokumentet ”Retningslinjer for håndtering av personopplysninger om attføringsdeltakere • Dokumentet danner utgangspunktet for kurset. • Kurset setter imidlertid konkret fokus på utvalgte personvernutfordringer i attføringsbedriftene.
Formål med personvern • Å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. • Å verne om privatlivets fred, den personlige integritet og sørge for tilstrekkelig kvalitet på personopplysninger.
Rettslig rammeverk • Personopplysningsloven • Personopplysningsforskriften • Noe rettspraksis • Datatilsynets og personvernnemdas praksis
Lovens saklige virkeområde, § 3 Loven gjelder for a)behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, og b)annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister. Loven gjelder ikke behandling av personopplysninger som den enkelte foretar for rent personlige eller andre private formål. …
Forskriftens § 2-1 • § 2-1.Forholdsmessige krav om sikring av personopplysninger • Reglene i dette kapittelet gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler der det for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet er nødvendig å sikre konfidensialitet, tilgjengelighet og integritet for opplysningene. • Der slik fare er til stede skal de planlagte og systematiske tiltakene som treffes i medhold av forskriften, stå i forhold til sannsynligheten for og konsekvens av sikkerhetsbrudd.
Praktiske utfordringer: • Attføringsdeltakeres krav på personvern vs. • Bedriftens behov for praktisk behandling av personopplysninger. • Hjemmel og grenser for behandling av personopplysninger.
Styrende personvernhensyn • Konfidensialitet • Vern mot uautorisert innsyn i pers.oppl. • Integritet • Vern mot uautorisert endring av pers.oppl. • Tilgjengelighet • Vern mot utilsiktet sletting av pers.oppl.
Sentrale begreper, § 2: 1/2 • Personopplysning • Opplysninger og vurderinger som kan knyttes til en enkeltperson. • Sensitiv personopplysning • Opplysninger om a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold d) seksuelle forhold e) medlemsskap i fagforeninger
Sentrale begreper §2: 2/2 • Behandling av personopplysninger • Enhver bruk av personopplysninger, som f.eks innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter. • Personregister • Registre, fortegnelser mv der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen. • Samtykke • Frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv.
Grunnvilkår for behandling – pol § 11 • Tillatt etter §§ 8 eller 9 • Nyttes til uttrykkelig angitte (saklige) formål • Opplysningene må være relevante for formålet med behandlingen • Opplysningene må være • tilstrekkelige og relevante • Korrekte og oppdaterte (begrense lagring)
Behandling av personopplysninger, §8 • Krav om samtykke, lovhjemmel eller nødvendig ut fra oppgitte alternativer i bokstav a til f
Sensitive personopplysninger, § 9 • Krav om å oppfylle et av vilkårene i § 8 og for øvrig oppfyller et av oppgitte alternativer i bokstav a til h.
Diskusjonsoppgave: • Hvordan kan man sikre at attføringsdeltakere avgir et frivillig, uttrykkelig og informert samtykke?
Utvalgte problemstillinger: • Hva kan behandles av attføringsbedriften? • Hvem skal ha tilgang til registrerte opplysninger? • Taushetsplikt • Epost og faks • Hvor lenge kan opplysninger lagres? • Krav til innsyn? • Melde og konsesjonsplikt
Hva kan behandles? • Ses i lys formål av attføringstiltaket • Personopplysninger om attføringsdeltakeren. • Personopplysninger om andre?
Diskusjonsoppgave • En attføringsdeltaker har gitt utleverende opplysninger om sin ektefelles helsetilstand (bipolar lidelse/manisk depressiv). Dere finner opplysningene som viktige for å forstå deltakerens utfordringer og for å kunne legge til rette for et hensiktsmessig attføringstiltak. • Hva gjør dere med opplysningene om ektefellen?
Hvem skal ha tilgang? • ”Tjenestlig behov” • Ulike former for tilgang • Reell vurdering av hvem som bør ha tilgang. • Den enkelte attføringskonsulent • Team gruppering • Ansvarsområder • Andre? • Arbeidsledere
Diskusjonsoppgave: • Hvem bør ha tilgang til personopplysninger om attføringsdeltakeren? • Bør attføringsdeltakere være i en stilling hvor det er tilgang til personopplysninger om andre attføringsdeltakere?
Diskusjonsoppgave: • En attføringsdeltaker er tidligere dømt for seksuelle overgrep mot barn. Vedkommende skal ha arbeidstrening på et lager sammen med ordinært ansatte og andre attføringsdeltakere. På lageret er det imidlertid en annen attføringsdeltaker som tidligere har vært utsatt for seksuelle overgrep som barn. • Hva gjør dere?
Taushetsplikt • Forvaltningslovens § 13 • Taushetserklæring
Fvl. § 13 • § 13.(taushetsplikt). Enhver som utfører tjeneste eller arbeid for et forvaltningsorgan, plikter å hindre at andre får adgang eller kjennskap til det han i forbindelse med tjenesten eller arbeidet får vite om: 1)noens personlige forhold, eller 2)tekniske innretninger og fremgangsmåter samt drifts- eller forretningsforhold som det vil være av konkurransemessig betydning å hemmeligholde av hensyn til den som opplysningen angår. Som personlige forhold regnes ikke fødested, fødselsdato og personnummer, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted, med mindre slike opplysninger røper et klientforhold eller andre forhold som må anses som personlige.
Diskusjonsoppgave • Som attføringskonsulent får du gjennom samtaler med attføringsdeltaker vite at det kan foregå straffbare forhold i hjemmet (mishandling av barn og ektefelle). • Hva gjør du?
Unntak fra taushetsplikt • § 13b.(begrensninger av taushetsplikten ut fra private eller offentlige interesser). Taushetsplikt etter § 13 er ikke til hinder for: 6. at forvaltningsorganet anmelder eller gir opplysninger (jfr. også nr. 5) om lovbrudd til påtalemyndigheten eller vedkommende kontrollmyndighet, når det finnes ønskelig av allmenne omsyn eller forfølging av lovbruddet har naturlig sammenheng med avgiverorganets oppgaver, og 7. at forvaltningsorganet gir et annet forvaltningsorgan opplysninger (samordning) som forutsatt i lov om Oppgaveregisteret.
Barnevernloven § 6-4 annet ledd • § 6-4.Innhenting av opplysninger. • Offentlige myndigheter skal av eget tiltak, uten hinder av taushetsplikt, gi opplysninger til kommunens barneverntjeneste når det er grunn til å tro at et barn blir mishandlet i hjemmet eller det foreligger andre former for alvorlig omsorgssvikt, jf. §§ 4-10, 4-11 og 4-12, eller når et barn har vist vedvarende alvorlige atferdsvansker, jf. § 4-24.
E-post og faks • Retningslinjer for bruk av epost. • Retningslinjer for bruk av faks. • Forholdet til NAV vs forholdet til attføringsdeltakere.
Lagring av personopplysninger. §28 • Forbud mot lagring av unødvendige personopplysninger • Hvor lenge er lagring nødvendig? • Unødvendige personopplysninger skal slettes.
Diskusjonsoppgave • Saksbehandler i NAV tar kontakt for å få tilsendt opplysninger om en person som var i et attføringstiltak for 10 år siden. Saksbehandler ønsker tilsendt kopier av opplysningene. Dere sitter på opplysningene. • Hva gjør dere?
Arkiv • Krav ved oppbevaring av mapper • løse notater med personopplysninger • Makuleringsrutiner • Krav til arkivet
Rett til innsyn § 18: • Dersom den som ber om innsyn er registrert, skal den behandlingsansvarlige opplyse om a) hvilke opplysninger om den registrerte som behandles og b) sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten • Unntak - § 23 • Utilrådelig av hensyn til helse • Interne notater – elektronisk personlogg?
Diskusjonsoppgave • En attføringsdeltaker er uenig i sluttrapporten. Vedkommende ønsker innsyn i personal-loggen/journalen i CAT/Pro personal eller tilsvarende samt i evt. notater i personalmappen. • Hva gjør dere?
Melde- og konsesjonsplikt Hovedregel og utgangspunkt: • Meldeplikt ved behandling av personopplysninger. • Konsesjonsplikt ved behandling av sensitive personopplysninger. • Forholdet til NAV
Overordnede forhold • Informasjonssikkerhet • Internkontroll • Risikovurdering • Sikkerhetstiltak • Datasikkerhet
Informasjonssikkerhet • Krav om informasjonssikkerhet ift styrende personvernhensyn – KIT • Sikkerhetsmål • Sikkerhetsstrategi • Sikkerhetsorganisasjon
Internkontroll • Krav om strukturert og planmessig arbeid for å sikre at kravene til personvern ivaretas under attføringsbedriftenes behandling av personopplysninger. • Oversikt over hvilke og hvordan personopplysninger behandles i virksomheten. • Rutiner for risikovurdering, kartlegging, sikkerhetsorganisering m.m.
Risikovurdering • Systematisk risikovurdering naturlig del av internkontrollen. • Vurdering ift akseptabel eller ikke-akseptabel risiko for brudd på personvern. • Vurdering av elektronisk og manuell behandling
Sikkerhetstiltak • Hvis bedriften finner en ikke-akseptabel risiko for krenkelse av personvern under ett eller flere ledd av behandlingen av personopplysninger, så krav om tiltak for å bøte på risikoen, • Fastsette rutiner for: • Behandling av personopplysninger • Opplæring av ansatte • Taushet og konfidensialitet • Personvernombud
Diskusjonsoppgave: • Hvordan kan attføringsbedriften gjennomføre tiltak for å sikre attføringsdeltakeres personvern, jf de styrende personvernhensyn KIT?
Krav til IT systemet - datasikkerhet • Åpen/sikker sone-løsning foretrekkes av DT, spesielt hvor det er tale om sensitive personopplysninger. • Sikre opplysningenes konfidensialitet, integritet og tilgjengelighet • Vern mot uautorisert tilgang, endring og sletting • logg, backup • Krav om vurdering av bedriftens dataverktøy • Utarbeide rutiner og prosedyrer for elektronisk behandling av personopplysninger.
Kontaktinfo • NHO Service 23 08 86 50 www.nhoservice.no • Terje Hovet 23 08 86 54 terje.hovet@nhoservice.no