11. OKTOBER 2016 Side 1 Persondata i sundhedsapps
Side 2 Overblik og indflyvning Indflyvning Persondataloven bliver til databeskyttelsesforordningen Gælder for elektronisk behandling af personoplysninger uanset om det er private eller offentlige der behandler oplysninger Gamle regler bliver udvidet og nye kommer til Nye ansvarsregler og væsentligt strengere sanktioner Overblik Rollefordeling Grundlæggende principper Profilering Registreredes rettigheder Sikkerhed Ansvar og sanktioner
Side 3 Rollefordeling og kategorisering af personoplysninger Sondring mellem dataansvarlig og databehandler Den dataansvarlige er den fysiske eller juridiske person, offentlige myndighed mv., der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger Databehandler er den juridiske person, offentlige myndighed mv., der behandler oplysninger på den dataansvarliges vegne Der skal indgås en skriftlig aftale mellem parterne. Case 1: Udvikling af apps til håndtering af patientoplysninger i kommuner. Personoplysninger inddeles i almindelige og følsomme oplysninger. En følsom oplysning er f.eks. en helbredsoplysning.
Side 4 Grundlæggende principper Der gælder en række grundlæggende principper, som gælder for al behandling af personoplysninger, jf. art. 5. F.eks.: Til udtrykkeligt angivne og legitime formål, og må ikke viderebehandles på en måde som er uforenelig med disse formål. Oplysningerne skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i fht. formålet. Oplysninger skal være korrekte og om nødvendigt ajourførte. Oplysninger, der er urigtige i forhold til formålet, skal slettes eller berigtiges. Oplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere den registrerede i et længere tidsrum end nødvendigt. Dataansvarlige skal påvise at principperne overholdes, jf. stk. 2. Krav om hjemmel til en behandling, jf. art. 6-10 F.eks. et samtykke fra den person, som oplysningerne vedrører Nødvendig for at opfylde en opgave, som myndigheden er blevet pålagt ved lov Nødvendig for at retskrav kan fastlægges, gøres gældende eller forsvares
Side 5 Profilering Profilering: Enhver form for automatisk behandling af oplysninger, der består i at anvende oplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person, jf. art. 4, nr. 4 Navnlig for at analysere eller forudsige forhold vedr. den fysiske persons arbejdsindsats, økonomi, helbred, personlige præferencer, interesser, pålidelighed, adfærd, geografisk position eller bevægelser. Særlig behandlingsform, som fordrer til mest mulig transparens pga. karakteren af overvågning, (følelsen af) tab af kontrol mv. Persondatalovens 39 og forordningens art. 22; Registrerede har ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende
Side 6 Registreredes rettigheder Oplysningspligt: Dataansvarlige skal på eget initiativ give en række informationer om behandlingen i app en Krav om, at den registrerede på indsamlingstidspunktet tillige informeres om tilstedeværelse af profilering og som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser heraf (art. 13, stk. 2, litra f, art. 14, stk. 2, litra g) Indsigtsret: Ret til kopi af oplysninger om den pågældende i app en Skal have ret til logikken der ligger bag en automatisk behandling af personoplysninger, og om konsekvenserne af sådan behandling, i hvert fald når den er baseret på profilering (art. 15, stk. 1, litra h, og pr. 63) Indsigelsesret gælder for profilering, jf. art. 21, stk. 1.
Side 7 Sikkerhed hvordan skal personoplysninger beskyttes i sundhedsapps? Nye principper om privacy by design og by default, jf. art. 25 Sikkerhedsbrud skal anmeldes til Datatilsynet inden 72 timer og i visse tilfælde til den person, oplysningernes vedrører, jf. art. 33-34 Konsekvensanalyse for databeskyttelsen, jf. art. 35 Analyse giver et billede af, hvilke konsekvenser behandlingen kan have for borgeren. En fordel at gennemføre denne i forbindelse med udvikling/anskaffelse af app en
Side 8 Ansvar og sanktioner Erstatning/godtgørelse Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af reglerne, har ret til erstatning fra den dataansvarlige eller databehandleren, jf. art. 82. Dvs. erstatning både med og uden økonomisk tab Omvendt bevisbyrde = den dataansvarlig skal bevise, at en overtrædelse ikke har ført til et tab Solidarisk hæftelse for hele skaden, jf. art. 82, stk. 4 Regel om tilbagebetaling; f.eks. hvis den dataansvarlige har betalt for mere end den del, han/hun var ansvarlig for Sanktioner, jf. art. 83-84 Endnu uvist om offentlige myndigheder kan pålægges bøder For privat virksomheder bøder på op til 4 % af den årlige globale omsætning Gradueret ud fra overtrædelsens grovhed
Side 9 Ansvar for digitale løsninger (apps) i sundhedssektoren v/ Advokatfuldmægtig Rasmus Grønved Nielsen
Side 10 Indholdsoversigt Introduktion Forvaltningsret og IT-løsninger Erstatningsbetingelser Hvem bærer ansvaret for apps? Hvordan kommer man problemerne i forkøbet?
Side 11 Introduktion Komplekst samspil mellem forskellige regelsæt (persondataret, forvaltningsret, kontraktret, erstatningsret, produktansvar, etc.) Her kun de overordnede rammer Perspektiv og relevans Digitale løsninger i forvaltningen er hot topic (effektivisering) Rummer stort potentiale, men også mange risici
Side 12 Forvaltningsret og IT-løsninger Forvaltningsretten gælder også i den digitale verden! (men er udviklet til den analoge verden) Betydning for ansvaret Servicevirksomhed ctr. myndighedsudøvelse Case 1. Obligatorisk brug af app kræver hjemmel Ombudsmandens udtalelse i FOB 2015-36 (digital selvbetjening) Case 2. Vejlednings- og informationspligt Ombudsmandens udtalelse i FOB 2002.340 (ordblind borger) Strengt ansvar (fx Vestre Landsrets dom i UfR 1996, s. 2244) Case 3. Delegation og tilsyn Ombudsmandens udtalelse i FOB 2013-9 og FOB 2010 20-14
Side 13 Erstatningsbetingelserne Der skal være indtrådt en skade Personskade à Erstatningsansvarsloven (fx tabt arbejdsevne, svie og smerte, varige mén) Der skal være et ansvarsgrundlag (fejl) Årsagssammenhæng og adækvans Ikke udvist egen skyld (Mere herom senere)
Side 14 Hvem bærer ansvaret for sundhedsapps? Det vil altid bero på en konkret vurdering men der kan gives retningslinjer To spørgsmål: 1. Hvem er umiddelbart ansvarlig? 2. Hvem påhviler erstatningsbyrden ultimativt? Borgerens egen skyld Højesterets dom i UfR 2007, s. 2821 (Fejl i søkort)
Side 15 Hvordan kommer man problemerne i forkøbet? Mange fejl kan undgås gennem en hensigtsmæssig udvikling og drift af app en Erfaringer fra udvikling af IT-systemer i staten Den offentlige myndigheds aktive involvering i processen Tæt samarbejde mellem it-udviklere og sagkyndige (projektmodel) Der skal indgås gennemtænkte kontrakter med ITleverandørerne Ombudsmandens udtalelse i FOB 2010 20-14
Side 16 Kontakt Kirsten Marie Petersen, advokatfuldmægtig Mobil: 22 26 23 57 Tlf.: 72 30 73 81 E-mail: kipe@kammeradvokaten.dk Rasmus Grønved Nielsen, advokatfuldmægtig Mobil: 31 69 13 57 Tlf.: 72 30 74 90 E-mail: rani@kammeradvokaten.dk