GDPR Danske a-kasser med arbejdsgruppe

Transkript

1 GDPR Danske a-kasser med arbejdsgruppe

2 Agenda - modtagne spørgsmål Status for de to notater? Dataansvar for det fælles it-baserede datagrundlag på beskæftigelsesområdet (19. september 2017) Principper for dataejerskab og deling af DFDG masterdata (7. juli 2016) Forskel på fælles dataansvar og delt dataansvar A-kassernes og STARs ansvar, roller m.v. ift. medlemmer / borgere? DFDG og sikkerhedsbrud Vil STAR involvere a-kassen og/eller de berørte borgere? Handlepligt for a-kasserne og for STAR? Oplysningspligt? Indsigtsanmodninger vedrørende DFDG? 27. februar 2018

3 Status for de to notater De 2 notater er de gældende versioner Notatet Dataansvar for det fælles it-baserede datagrundlag på beskæftigelsesområdet Fokuserer på dataansvar fra et juridisk perspektiv ift. persondatalov og databeskyttelsesforordning Har været vendt med JM, der er enige i, at der ift. DFDG fortsat kan være et (op)delt dataansvar, når forordningen finder anvendelse Notatet Principper for dataejerskab og deling af DFDG masterdata Fokuserer på dataansvar fra et it-teknisk perspektiv Teknisk dataejerskab rummer ansvar for, at data valideres, lagres hensigtsmæssigt, så de er sikret mod uberettigedes adgang, mod tab eller uønsket sletning, sammenblanding med andre data mv., og så de kan tilgås efter behov af berettigede, lige som ejerskabet rummer ansvar over for persondata- og registerlovgivning

4 Fælles dataansvar og delt dataansvar Fælles dataansvar. hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til en behandling af oplysninger, skal disse anses for fælles dataansvarlige efter forordningen. der foreligger alene et fælles dataansvar, hvis flere dataansvarlige sammen har det umiddelbare ansvar for behandlingen og ikke mindst dispositionsretten og ansvaret for de oplysninger, som behandles Selvstændigt dataansvar 40. Den enkelte offentlige myndighed og arbejdsløshedskasse, der indberetter data til det fælles it-baserede datagrundlag, er dataansvarlig, jf. lov om behandling af personoplysninger, for indberetningen og brug af data lokalt samt for at orientere de registrerede om registreringer i det fælles itbaserede datagrundlag. Stk. 2. Styrelsen for Arbejdsmarked og Rekruttering er dataansvarlig for centrale behandlingsaktiviteter.

5 DFDG og sikkerhedsbrud STAR forventer som hidtil at involvere berørte a-kasser og jobcentre i evt. sikkerhedsbrud enten direkte eller via leverandører Eksempel: En kommunal leverandørs sletning/annullering af ca aktuelle og historiske sygefravær Kontakt med de berørte JC: Via KMD, fordi KMD skulle vejlede JC i hvordan de kunne genoprette i egne systemer Kontakt med a-kasser: Direkte og via leverandører

6 Handlepligt (1) Hvis a-kasserne modtager cpr.nr og andre oplysninger på ikke-egne medlemmer A-kassen / a-kassens leverandør skal indmelde sådanne fejl til Systemforvaltningen i Fogbugz, hvis der vurderes at være tale om fejl i DFDG Hvis a-kassen utilsigtet pga. fejl eller uhensigtsmæssig brug i egne systemer - får adgang til oplysninger om ikke-egne medlemmer, skal a-kassen håndtere dette ift. egne leverandører og interne instrukser m.v. Tekniske sikkerhedsforanstaltninger: A-kassen skal indrette sine systemer sådan, at der ikke utilsigtet kan hentes eller registreres på ikke-egne medlemmer STAR skal indrette DFDG sådan, at a-kassen ikke har adgang til oplysninger om ikke-egne medlemmer (med nødvendige undtagelser ift. medlemstilgang og medlemsophør) og ikke af DFDG får tilsendt oplysninger om ikke-egne medlemmer

7 Handlepligt (2) Har DFDG handlepligt, når de har viden om forkert registreret a- kassetilhørsforhold i DFDG (afviste MT)? A-kassen har handlepligt, for det er a-kassen, der fra DFDG modtager en fejlkode, der skal reageres på også hvis flere a-kasser slås om det samme medlem STAR har handlepligt, hvis det er på grund af fejl i DFDG, at MT er ikke falder på plads, men det forudsætter, at fejl indmeldes til Systemforvaltningen Er der forskel på handlepligt alt efter type af fejl? Måske - det må konkret vurderes i den enkelte situation Hvad mener DAK og arbejdsgruppen?

8 Handlepligt (3) Kan STAR komme med nogle eksempler/cases? Hvis a-kassen bliver bekendt med at have registreret / indberettet urigtige oplysninger, består der en berigtigelsespligt oplysningerne skal slettes, opdateres med en correction comment eller det skal på anden måde registreres, at en oplysning er fejlbehæftet Kan fx være FLEUR-oplysninger eller samtaler (og tekst) registreret på en forkert person Hvis et jobcenter fx har registreret 4 overlappende løntilskudsforløb, der giver besvær eller risiko for fejlberegninger i a-kassen (fx beregning af afkortning af dagpengeperioden), så må a-kassen tage kontakt til jobcentret for at få jobcentret til at rette i egne registreringer Den kommunale leverandørs annullering af sygefraværsforhold i dec. 2017: STAR / DFDG bistod KMD med datagenopretning STAR / DFDG udsøgte de medlemmer, hvor a-kasserne var nød til at vurdere, om fejlen havde fået utilsigtede konsekvenser for medlemmets dagpengesituation

9 Oplysningspligt (1) STAR har oplysningspligt ift. den borgernære kontakt og indsamling af oplysninger på Jobnet Ift. jobcentres og a-kassers registrering og indberetning til DFDG Oplysningspligt: A-kasser (og tilsvarende jobcentre) orienterer medlemmerne, jf. org.lovens 40, stk. 1, afsnit 5.3 i tilslutningsaftalerne og databeskyttelsesforordningens artikel 13 STAR har ikke oplysningspligt i denne sammenhæng, jf. databeskyttelsesforordningens artikel 14, stk. 5. litra c (indsamling og videregivelse er fastsat i national ret)

10 Oplysningspligt (2) Oplysningspligt art. 13 og 14 Den dataansvarliges identitet og kontaktoplysninger Kontaktoplysninger på en eventuel databeskyttelsesrådgiver Formålene med behandlingen af oplysningerne Behandlingsgrundlaget Ved interesseafvejning; de interesser, der forfølges Kategorierne af personoplysninger (Kategorierne af) modtagere (fx videregivelse til politi, SKAT) Overførsler til tredjelande (detaljer om sikkerhedsniveau) Opbevaringsperioden og hvis ej muligt at fastsætte, kriterierne for sletning Den registreredes rettigheder Retten til at tilbagekalde et samtykke Retten til at klage til Datatilsynet/tilsyn Om afgivelsen af personoplysninger følger af lov eller er nødvendig for at indgå en kontrakt Ved indsamling hos den registrerede: konsekvenser af ikke at afgive oplysninger Evt. brug af automatiserede beslutningsprocesser, meningsfuld information om den bagvedliggende logik og konsekvenserne/betydningen for den registrerede Ved indsamling hos 3. mand; Typen af oplysninger, der er indsamlet

11 Indsigtsanmodninger Indsigtsanmodninger vedr. DFDG og Jobnet, der af borgere indgives til STAR, behandles af STAR Hvis indsigtsanmodning vedr. Jobnet / DFDG indgives til a-kassen, bør a-kassen sende anmodning videre til STAR og orientere medlemmet om dette Hvis STAR modtager indsigtsanmodning vedr. oplysninger registreret i en a-kasses systemer, vil STAR videresende anmodningen til personens aktuelle a-kasse og orientere borgeren herom