Persondataforordningen

Transkript

1 Persondataforordningen

2 Hvem og hvad? Automatisk databehandling af personoplysninger foretaget af en dataansvarlig i EU (eller på vegne af denne), i erhvervsmæssigt øjemed

3 En behandling er lovlig når Principper Lovligt, rimeligt og gennemsigtigt Lovhjemmel Samtykke, interesse, kontrakt, Registreredes re5gheder Oplysning, indsigt Sikkerhedsforanstaltning Fysisk, teknisk, organisatorisk

4 og hvis ikke Advarsler, kritik, påbud Bøder op til eller 4% af omsætningen Afhængig af overtrædelsens karakter, alvor, varighed, omfang, forsætlighed, gentagelsestilfælde, inddæmmende tiltag etc.

5 Et par definitioner Personoplysninger: Enhver form for identificeret eller identificerbar information om en fysisk person, som opdeles i: Følsomme personoplysninger = Race og etnicitet, politisk, religiøs og filosofisk overbevisning, fagforeningsforhold, seksuel orientering, helbredsoplysninger samt genetisk og biometrisk materiale. Almindelige personoplysninger = alt, der ikke er følsomme personoplysninger, fx navn, adresse, , fødselsdato og CPR-nr., uddannelse, ansættelsesforhold mv.

6 og lidt flere! Databehandling: Al aktivitet, som personoplysninger gøres til genstand for, dvs. indsamling, opbevaring, ændring, søgning, samkøring, sletning foruden selvfølgelig analyse. Dataansvarlige: Den person eller organisation, der afgør til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. Databehandler: En person eller organisation, der på vegne af datasvarlige behandler personoplysninger.

7 Om samtykke enhver frivillig, specifik, informeret og utvetydig viljes;lkendegivelse en anmodning som klart skal skelnes fra andre forhold le<orståelig og le>lgængelig form og i et klart og enkelt sprog. Dataansvarlig skal kunne påvise samtykket

8 Behandlingssikkerhed fysiske, tekniske og organisatoriske sikkerhedsforanstaltninger

9 Behandlingssikkerhed Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning.

10 Behandlingssikkerhed Under hensyntagen 1l den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers re<gheder og frihedsre<gheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand 1l at påvise, at behandling er i overensstemmelse med denne forordning.

11 Praksis: Behandlingssikkerhed Kryptering af computere Slettepraksis jf. formålsbegrænsning Mailpolitik ingen følsomme personoplysninger i mails Heller ikke CPR Lagring, back-up Brugeradgangsbegrænsning Låst skærm, låst dør, rent bord

12 Ved brud på persondatasikkerheden Datatilsynet underrettes inden for 72 timer medmindre det er usandsynligt at bruddet indebærer en risiko for fysiske personers rettigheder Registrerede underrettes når bruddet sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder Vurderingen, der ligger til grund for fravalg af underretning, skal dokumenteres. Bevisbyrden påhviler dataansvarlige

13 Eksempel En klinik for fysioterapi bliver udsat for ransomware, da en medarbejder trykker på et link i en , som er modtaget i klinikkens indbakke. Dette resulterer i, at al klinikkens data, herunder helbredsoplysninger om patienterne bliver krypteret og låst. Bagmændene kræver et større pengebeløb for at frigive oplysningerne. Klinikken har foretaget backup af sine systemer, men det er også lykkes bagmændene at kryptere disse. Eksempel 3 Skal der ske anmeldelse til Datatilsynet? Skal den registrerede underrettes?

14 Eksempel En klinik for fysioterapi bliver udsat for ransomware, da en medarbejder trykker på et link i en , som er modtaget i klinikkens indbakke. Dette resulterer i, at al klinikkens data, herunder helbredsoplysninger om patienterne bliver krypteret og låst. Bagmændene kræver et større pengebeløb for at frigive oplysningerne. Klinikken har foretaget backup af sine systemer, men det er også lykkes bagmændene at kryptere disse. Eksempel 3 Skal der ske anmeldelse til Datatilsynet? Ja, klinikken bør anmelde hændelsen til Datatilsynet. Dette skyldes bl.a., at uvedkommende potentielt kan have fået adgang til følsomme oplysninger vedrørende et stort antal personer, og at klinikken ikke vil have mulighed for at gendanne oplysningerne via deres backup kopi. Klinikken bør underrette Datatilsynet uanset, at det lykkes klinikken af få frigivet oplysningerne. Skal den registrerede underrettes? Ja, klinikken bør formentlig underrette de registrerede. Udover karakteren af de oplysninger, som er blevet ramt af angrebet, kan det muligvis få negative konsekvenser for de berørte personer, at oplysninger om et behandlingsforløb eller lign. hos klinikken ikke kan gendannes.

15 Eksempel Et hospital bliver af en sygeplejerske gjort opmærksom på, at en læge ansat hos hospitalet har tilegnet sig adgang til sin nabos patientjournal via hospitalets systemer. Lægen har fået nys om, at naboen er ramt af sygdom, og lægen er derfor nysgerrig efter at få at vide, hvad naboen fejler. Der er således ingen behandlingsrelation mellem lægen og naboen. Eksempel 8 Skal der ske anmeldelse til Datatilsynet? Skal den registrerede underrettes?

16 Eksempel Et hospital bliver af en sygeplejerske gjort opmærksom på, at en læge ansat hos hospitalet har tilegnet sig adgang til sin nabos patientjournal via hospitalets systemer. Lægen har fået nys om, at naboen er ramt af sygdom, og lægen er derfor nysgerrig efter at få at vide, hvad naboe-n fejler. Der er således ingen behandlingsrelation mellem lægen og naboen. Eksempel 8 Skal der ske anmeldelse til Datatilsynet? Ja, hospitalet skal som udgangspunkt anmelde bruddet til Datatilsynet. Dette skyldes bl.a., at oplysningerne er kommet uvedkommende til kendskab, og at der er tale om personoplysninger af fortrolig og følsom karakter. Skal den registrerede underrettes? Ja, hospitalet bør underrette den pågældende nabo om, at oplysninger om ham/hende er kommet uvedkommende til kendskab. Dette er igen begrundet i typen af oplysninger, som er tilgået af en uvedkommende person. Den registrerede skal således have mulighed for at træffe de fornødne forholdsregler.