Digitalisering og jura et umage par?

Transkript

1 11. JANUAR 2017 Side 1 Digitalisering og jura et umage par? v/ advokatfuldmægtige Kirsten Petersen og Rasmus Grønved Nielsen, Kammeradvokaten

2 Side 2 Tema og oversigt Digitalisering af den offentlige forvaltning Potentiale: Effektivisering, ensartethed, kvalitet etc. Risici: Systemiske fejl, privatlivets fred, ansvarsforskydning etc. Kammeradvokatens erfaring med juridiske aspekter af offentlig digitalisering Offentlige og private kunder (samarbejde om udvikling af digitale løsninger) Forskellige ydelser, fx deltagelse i udvikling, herunder kravspecifikationer og udbud, compliancetjek etc. Hvad vi vil fortælle om Forvaltningsretlige opmærksomhedspunkter Persondataretlige opmærksomhedspunkter

3 Side 3 Forvaltningsretlige opmærksomhedspunkter Forvaltningsretten gælder også i den digitale verden! (men er udviklet til den analoge verden) Oversigt over forvaltningsretten Forvaltningsloven à Afgørelsessager Offentlighedsloven og ombudsmandsloven à Al forvaltningsvirksomhed Servicevirksomhed ctr. myndighedsudøvelse Speciallovgivning, fx lov om retssikkerhed på det sociale område Centrale forvaltningsretlige grundsætninger Grundsætningen om saglig forvaltning Lighedsgrundsætningen Kommuner à Kommunalfuldmagten

4 11. JANUAR 2017 Side 4 Forvaltningsretlige opmærksomhedspunkter Forvaltningsretlige udfordringer for brug af itløsninger i det offentliges servicevirksomhed (eksempler fra praksis) Obligatorisk brug af it-løsninger kræver klar hjemmel, se fx ombudsmandens udtalelse i FOB (parkeringsafgift) Skærpet vejlednings- og informationspligt til it-svage borgere, sml. ombudsmandens udtalelse i FOB (ordblind borger) à strengt ansvar Tilsyns- og reaktionspligt i forhold til private leverandører ved udvikling og drift af digitale løsninger, sml. ombudsmandens udtalelse i FOB (privat leverandør af fodindlæg) Korrekt og tilstrækkelig journalisering af oplysninger m.v., herunder dokumentation for autentiske kopier og søgemuligheder, se fx ombudsmandens udtalelser i FOB (folkepensionist) og (KU s edb-journalsystem) Understøttelse af partsrepræsentation, se fx ombudsmandens udtalelse i FOB (ungdomskort.dk)

5 Side 5 Forvaltningsretlige opmærksomhedspunkter Udfordringen er at skabe it-løsninger, der nu og i fremtiden fungerer efter hensigten og som samtidig er fuldt lovlige Mange fejl kan undgås gennem en hensigtsmæssig udvikling, drift og løbende tilpasning af de digitale løsninger Erfaringer fra udvikling af it-systemer i staten Den offentlige myndigheds aktive involvering i processen Tæt samarbejde mellem it-udviklere, sagkyndige, jurister og produktejer (agil projektmodel) Hovedansvaret over for borgerne er i sidste ende hos den offentlige myndighed Den indbyrdes ansvarsfordeling reguleres i gennemtænkte kontrakter med leverandørerne

6 Side 6 Persondataretlige opmærksomhedspunkter grundlæggende regler Der gælder en række grundlæggende principper, som gælder for al behandling af personoplysninger, jf. art. 5. F.eks.: Til udtrykkeligt angivne og legitime formål, og må ikke viderebehandles på en måde som er uforenelig med disse formål. Oplysningerne skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i fht. formålet. Oplysninger skal være korrekte og om nødvendigt ajourførte. Oplysninger, der er urigtige i forhold til formålet, skal slettes eller berigtiges. Oplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere den registrerede i et længere tidsrum end nødvendigt. Dataansvarlige skal påvise at principperne overholdes. Krav om hjemmel til en behandling, jf. art F.eks. et samtykke fra den person, som oplysningerne vedrører Nødvendig for at opfylde en opgave, som myndigheden er blevet pålagt ved lov Nødvendig for at retskrav kan fastlægges, gøres gældende eller forsvares

7 Side 7 Persondataretlige opmærksomhedspunkter Oplysningspligt: Dataansvarlige skal på eget initiativ give en række informationer om behandlingen Krav om, at den registrerede på indsamlingstidspunktet tillige informeres om tilstedeværelse af profilering og som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser heraf Indsigtsret: Ret til kopi af oplysninger om den pågældende i app en Skal have ret til logikken der ligger bag en automatisk behandling af personoplysninger, og om konsekvenserne af sådan behandling, i hvert fald når den er baseret på profilering Pligt til at udarbejde en konsekvensanalyse for databeskyttelsen (DPIA) Udarbejdes forud for behandlinger, der i medfør af dens karakter, omfang eller formål sandsynligvis vil indebære en høj risiko for datasubjekters rettigheder og frihedsrettigheder. Det vil sige ved: Behandling af følsomme oplysninger mhp. at træffe foranstaltninger eller beslutninger vedr. bestemte grupper Ved behandlinger af en stor mængde oplysninger Processen for udarbejdelse af en konsekvensanalyse Dialog med interessenter Indsamling af oplysninger om behandling Udarbejdelse af analyse Dialog med interessenter Tænkes sammen med udbud- og anskaffelsesprocessen Indarbejdelse af krav i udbuds- og kontraktmateriale Fornyet gennemgan g ved ændringer

8 8 Persondataretlige opmærksomhedspunkter - Privacy by design og by default Forordningen indføre indbygget databeskyttelse og databeskyttelse gennem standardindstillinger Hvad betyder det i praksis? Pligt til at indbygge og konfigurere databeskyttelsesreglerne ind i IT-løsningerne og/eller processerne. Gælder navnlig de grundlæggende krav om nødvendighed og proportionalitet samt behandlingernes grundlag og varighed. Gælder også de registreredes rettigheder. Pligten skal tænkes ind ved anskaffelse og udvikling eller konfiguration af løsningerne dvs. i de funktionelle og non-funktionelle processer og krav, sikkerhedskrav og bilag og ved test og drift. Key takeaways Databeskyttelse, herunder dataminimering og pseudonymisering, skal tænkes ind i arbejdet med nye systemer og processer allerede fra det overordnede design, i anskaffelsen (krav mv.) og til konkret løsning. Databeskyttelse skal endvidere tænkes ind via standardindstillinger i jeres forretningsgange og politikker. Indarbejdelse af ændringsklausuler, så løsningerne kan tilpasses.

9 Side 9 Ansvar og sanktioner Erstatning/godtgørelse Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af reglerne, har ret til erstatning fra den dataansvarlige eller databehandleren, jf. art. 82. Dvs. erstatning både med og uden økonomisk tab Omvendt bevisbyrde = den dataansvarlig skal bevise, at en overtrædelse ikke har ført til et tab Solidarisk hæftelse for hele skaden Regel om tilbagebetaling; f.eks. hvis den dataansvarlige har betalt for mere end den del, han/hun var ansvarlig for Sanktioner, jf. art Endnu uvist om offentlige myndigheder kan pålægges bøder For privat virksomheder bøder på op til 4 % af den årlige globale omsætning Gradueret ud fra overtrædelsens grovhed

10 Kammeradvokatens konference: Digitalisering og jura 2017 Side 10 Adam Lebech, branchedirektør, DI Digital DI s forventninger til offentlig digitalisering Andreas Berggreen, afdelingschef, Skatteministeriet Nye digitale ejendomsvurderings- og inddrivelsessystemer udfordringer og perspektiver Jakob Lundsager, kontorchef, Justitsministeriet Forvaltningsloven 2.0 Jonas Bering Liisberg, Folketingets Ombudsmand Ombudsmandens krav til udviklingen af digitale sagsbehandlingssystemer Niels Fenger, professor, Københavns Universitet Digitaliseringsparat lovgivning forenkling eller trivialisering? Hanne Marie Motzfeldt, adjunkt, Syddansk Universitet Transformering af lovgivning til digitale forvaltningssystemer Sune Fugleholm og Jakob Kamby, partnere, Kammeradvokaten De juridiske udfordringer ved anskaffelse af digitalt sagsbehandlingssystem Jørgen Steen Sørensen, Folketingets Ombudsmand og Sune Fugleholm, Kammeradvokaten Duel: Skal forvaltningsretten ændres grundlæggende? Målgruppe: Offentlige myndigheder, itleverandører, softwareudviklere osv. Tid: 20. januar 2017, kl Sted: Nationalmuseet, København Se mere på

11 11. JANUAR 2017 Side 11 Spørgsmål

12 Side 12 Kontakt Kirsten Petersen, advokatfuldmægtig Mobil: Tlf.: Rasmus Grønved Nielsen, advokatfuldmægtig Mobil: Tlf.: