Hvad betyder den nye persondataforordning for udvikling og brug af digitale sundhedsløsninger, og hvem har ansvaret for overholdelse? 1
KORT PRÆSENTATION 2 Svenn Bekmose, CISA Tem Schnell Christiansen, director Ri er stiftet i 1920 og har siden da ydet specialiseret rådgivning og revision. Ri er førende rådgivere og revisorer for fonde og foreninger og udfører ligeledes almindelig rådgivning og revision af erhvervsvirksomheder m.fl.
VI TALER GENERELT 3 Vores formål er at redegøre overordnet for persondataforordningen Vi kommer ikke ind på eksisterende eller kommende løsninger til: - indsamling, - bearbejdning og - opbevaring af data Vi kommer ikke ind på: - bødeforhold eller - dataklasser Der er tale om et kort indlæg af generel karakter, hvorfor arbejdet med medicinelle big data vil kræve yderligere vidensindsamling
4
PERSONDATAFORORDNINGEN 5 Består af 99 artikler Inddelt i 11 kapitler Findes på http://eur-lex.europa.eu/legal-content/da/txt/pdf/?uri=celex:32016r0679&from=da De nationale særpræg De nationale myndigheder kan sætte deres særpræg på et antal forhold De danske særpræg er endnu ikke kendte De registrerede De dataansvarlige
FORORDNINGENS OVERORDNEDE INDHOLD 6 Persondataforordningen Kapitel I Generelle bestemmelser Kapitel II Principper Kapitel III Den registreredes rettigheder Kapitel IV Dataansvarlig og databehandler Kapitel V Overførsel af personoplysninger til tredjelande eller internationale organisationer Kapitel VI Uafhængige tilsynsmyndigheder Kapitel VII Samarbejde og sammenhæng Kapitel VIII Retsmidler, ansvar og sanktioner Kapitel IX Bestemmelser vedrørende specifikke databehandlingssituationer Kapitel X Delegerede retsakter og gennemførelsesforanstaltninger Kapitel XI Afsluttende bestemmelser
7
FORORDNINGENS PRINCIPIELLE FORMÅL 8 Beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til beskyttelse af personoplysninger. Sikrer, at den frie udveksling af personoplysninger i unionen hverken indskrænkes eller forbydes af grunde, der vedrører beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.
RESPEKT FOR PERSONLIGT EJERSKAB TIL DATA 9 Generelle rettigheder Ret til menneskelig indgriben Ret til viden (Oplysningspligt) Ret til at flytte data Respekt for personligt ejerskab til data Ret til at tilbagekalde samtykke og begrænse databehandling Ret til indsigt, berigtigelse og sletning, indsigelse og klage
GENERELLE KRAV TIL SIKRING OG TIL INFORMATION, HVIS EKSPONERING 10 Den registeransvarlige har pligt til At sikre sig lovlig databehandling At fastsætte gennemsigtige og lettilgængelige regler for behandlingen af personoplysninger og udøvelsen af registreredes rettigheder. At udlevere alle oplysninger og meddelelser vedrørende behandlingen af personoplysninger til den registrerede At opbevare data betryggende At underrette myndigheder og eventuelt også de registrede i tilfælde af, at data er eksponeret for uvedkommende, f.eks. ved hacking eller ved svigt i adgangskontrol
DATABEHANDLINGSKRAV 11 Data skal behandles lovligt, loyalt og på en gennemsigtig måde Data skal være indsamlet til angivne formål Data må ikke senere bruges til behandling, som ikke svarer til det oplyste Data skal være korrekte og ajourførte Data skal være tilstrækkelige Data skal være relevante Data må ikke omfatte mere end det, der kræves Data må kun behandles, hvis formålet ikke kan nås på anden måde Data skal opbevares sådan, at det ikke er muligt at identificere de registrerede længere end nødvendigt Data behandles altid under den registeransvarliges ansvar, og den registeransvarlige skal sikre og påvise overensstemmelse med forordningen. Data må ikke senere bruges til behandling, som ikke svarer til det oplyste
12
ARTIKEL 15 OM RET TIL INDSIGT 13 Hvis personoplysningerne ikke er indsamlet hos den registrerede, giver den dataansvarlige den registrerede følgende oplysninger: identitet på og kontaktoplysninger for den dataansvarlige og dennes eventuelle repræsentant kontaktoplysninger for en eventuel databeskyttelsesrådgiver formålene med den behandling, som personoplysningerne skal bruges til, samt retsgrundlaget for behandlingen de berørte kategorier af personoplysninger eventuelle modtagere eller kategorier af modtagere af personoplysningerne hvor det er relevant, at den dataansvarlige agter at overføre personoplysninger til en modtager i et tredjeland eller en international organisation, hvorvidt Kommissionen har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet, henvisning til de fornødne eller passende garantier, og hvordan der kan fås en kopi heraf, eller hvor de er blevet gjort tilgængelige.
ANTAGELIG EN FORM FOR KÆDEANSVAR.. 14 Ny database Kildetype 1 Kildetype 2 Kildetype 3 Kilde 1-A Kilde 1-B Kilde 2-A
SÆRLIGE DATAKLASSER 15 Der vil blive indført særlige regler omkring særlige dataklasser, men de er ikke os bekendt endelig defineret endnu Det er dog forventeligt, at der bliver forbud mod behandling af en række oplysninger, herunder (antagelig): race etnisk oprindelse politisk religiøs filosofisk overbevisning fagforeningsmæssigt tilhørsforhold straffedomme eller tilknyttede sikkerhedsforanstaltninger seksuelle forhold genetiske data helbredsoplysninger Helbredsoplysninger Genetiske data
ARTIKEL 83 OM HISTORISKE, STATISTISKE ELLER VIDENSKABELIGE FORSKNINGSFORMÅL 16 Bearbejdning af data må ske: hvis det ikke kan ske ved behandling af anonyme oplysninger hvis de oplysninger, der identificerer den registrerede, opbevares adskilt fra de øvrige oplysninger, når muligt Organer, der gennemfører historisk, statistisk eller videnskabelig forskning, må kun offentliggøre eller på anden måde videregive personoplysninger, hvis (1 af 3): 1. Der foreligger samtykke 2. Det er nødvendig for at fremlægge eller fremme forskningen (forudsat, at den registreredes interesser ikke tilsidesættes) 3. Den registrerede har offentliggjort oplysningerne
ARTIKEL 35 KONSEKVENSANALYSE VEDRØRENDE DATABESKYTTELSE 17 Hvis en type behandling vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. En konsekvensanalyse vedrørende databeskyttelse er navnlig påkrævet i følgende tilfælde: en systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, der er baseret på automatisk behandling, herunder profilering, og som er grundlag for afgørelser, der har retsvirkning for den fysiske person eller på tilsvarende vis betydeligt påvirker den fysiske person behandling i stort omfang af særlige kategorier af oplysninger, eller af personoplysninger vedrørende straffedomme og lovovertrædelser systematisk overvågning af et offentligt tilgængeligt område i stort omfang. Tilsynsmyndigheden udarbejder og offentliggør en liste over de typer af behandlingsaktiviteter, der er underlagt kravet om en konsekvensanalyse vedrørende databeskyttelse Listerne er ikke udarbejdet endnu
ARTIKEL 35 KONSEKVENSANALYSE VEDRØRENDE DATABESKYTTELSE 18 Analysen skal mindst omfatte: en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen, herunder i givet fald de legitime interesser, der forfølges af den dataansvarlige en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder de foranstaltninger, der påtænkes for at imødegå risici
AFRUNDING AF INDLÆG 19 Få mere information på www.ri.dk og tilmeld dig vores nyhedsbrev