Persondataforordningen. Hvad kan vi bruge KITOS til?

Transkript

1 Persondataforordningen Hvad kan vi bruge KITOS til?

2 Kort om persondataforordningen Persondataforordningen blev vedtaget den 14. april 2016 og træder i anvendelse den 25. maj 2018 Et af de overordnede formål med Forordningen er at skabe større gennemsigtighed i den behandling af personoplysninger, som foretages af de dataansvarlige (herunder kommunerne) og give de registrerede større indsigt og egenkontrol med den behandling, der foretages af deres personoplysninger Når Forordningen træder i kraft forsvinder det generelle krav om anmeldelse til myndighederne, når der sker en behandling af personoplysningerne i stedet stilles der gennem Forordningen større krav til dokumentation.

3 Generelle dokumentationskrav: Hvad skal dokumenteres? 1. For det første er det et krav, at den dataansvarlige (herunder kommunen) til enhver tid skal kunne påvise sin overholdelse af de almindelige principper for persondatabehandling. (Principperne fremgår af Forordningens artikel 5) 2. For det andet er det et krav, at den dataansvarlige (herunder kommunen) skal implementere passende tekniske og organisatoriske foranstaltninger, som sætter den dataansvarlige i stand til at påvise, at dennes persondatabehandling er i overensstemmelse med Forordningens krav. (De generelle forpligtelser fremgår af Forordningens artikel 24-36)

4 Principper for behandling af personoplysninger Personoplysningerne skal: Behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (lovlighed, rimelighed og gennemsigtighed) Indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål. (formålsbegrænsning) Være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (dataminimering) Være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til, hvortil de behandles, straks slettes eller berigtiges (rigtighed) Opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i længere tidsrum end det, der er nødvendigt til de formål, hvortil de behandles (opbevaringsbegrænsning) Behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under passende tekniske eller organisatoriske foranstaltninger (integritet og fortrolighed)

5 Passende tekniske og organisatoriske foranstaltninger Passende databeskyttelsespolitikker Databehandleraftaler Fortegnelser over behandlingsaktiviteter Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger Risikovurderinger og konsekvensanalyser m.fl.

6 Hvad betyder det for KITOS? Oplysninger om systemernes formål Oplysninger om kategorier af data Oplysninger om formål med databehandlingen Oplysninger om databehandlere og underdatabehandlere Oplysning om opbevaring af data og videregivelse af data Oplysning om sletning af data Henvisning til databehandleraftaler Henvisninger til fortegnelser over behandlingsaktiviteter Henvisning til risikovurderinger og konsekvensanalyser M.fl.

7 Udfordringerne i KITOS Overblik Detaljering Sammenhæng med andre systemer

8 Den videre proces Gruppen for persondata i KITOS mødes igen inden sommerferien og fastlægger hvilke nye felter, der skal være i KITOS Efter sommerferien holdes der workshop, hvor vi skal afklare IA og krav funktionalitet Der er plads til flere, hvis I har lyst til at deltage Vi fik afslag på ansøgningen til KL- Rammearkitekturpuljen, men kan søge igen til december. Det er stadig muligt at bidrage økonomisk til projektet.