Retningslinjer til beskyttelse af privatlivets fred i tværoffentlige digitaliseringsprojekter Den tværoffentlige arbejdsgruppe vedrørende privacy Høringsmateriale februar 2009
Retningslinjer til beskyttelse af privatlivets fred i tværoffentlige digitaliseringsprojekter Udarbejdet af: Den tværoffentlige arbejdsgruppe vedr. privacy Nedsat i regi af digitaliseringsstrategien 2007 2010 Sekretariatsbetjent af: IT & Telestyrelsen IT & Telestyrelsen Holsteinsgade 63 2100 København Ø Telefon: 3545 0000 Fax: 3545 0010 Følgende myndigheder har deltaget i den tværoffentlige arbejdsgruppe: Videnskabsministeriet (fmd.) Den Digitale Taskforce Økonomi og Erhvervsministeriet Indenrigs og Sundhedsministeriet Skatteministeriet Beskæftigelsesministeriet Miljøministeriet Socialministeriet Økonomistyrelsen KL Danske Regioner Herudover har Datatilsynet været fast observatør i arbejdsgruppen
Indholdsfortegnelse < Indledning...4 Hvad er privatlivsbeskyttelse?...5 Retningslinjer til beskyttelse af privatlivets fred i tværoffentlige digitaliseringsprojekter...8 Regelgrundlag: Informationers livscyklus...11 Indsamling af informationer...12 Opbevaring af informationer...14 Opdatering af information...17 Videregivelse af informationer...19 Arkivering af information...21 Sletning af information...22 Test på rigtige data...24 Tjekspørgsmål...25 Den registreredes rettigheder...30 Fremme af privatlivets fred i projektfaser...33 3
Indledning > Nærværende høringsmateriale er udarbejdet af den tværoffentlige arbejdsgruppe vedrørende privacy, som led i opfyldelsen af gruppens kommissorium. Materialet afspejler to af gruppens tre hovedopgaver: 1) en redegørelse over regler samt 2) retningslinjer til fortsat fremme af beskyttelsen af privatlivets fred i tværoffentlige digitaliseringsprojekter. Det har været en målsætning for den tværoffentlige arbejdsgruppe vedrørende privacy at gøre materialet så let tilgængeligt som muligt og gerne direkte anvendeligt til oplysning og vejledning for de respektive myndigheder. Arbejdsgruppens tredje opgave har bestået i test af gruppens produkt på et tværoffentligt digitaliseringsprojekt i forhold til anvendelighed, relevans og bidrag til projektet. Retningslinjerne er i efteråret 2009 anvendt i et testgennemløb af processen for en privatlivsimplikations analyse på Dokumentations og Kommunikations Arkiv Løsningen (DKAL). Konklusionen er, at arbejdsgruppens retningslinjer medfører et øget fokus på privatlivets fred, og fremmer beskyttelse af privatlivets fred i tværoffentlige digitaliseringsprojekter. Høringsmaterialet består af en definition af privacy, der afspejler gruppens tilgang til området. Herefter præsenteres hovedproduktet retningslinjer til beskyttelse af privatlivets fred i tværoffentlige digitaliseringsprojekter. Dette efterfølges af redegørelsen for regelgrundlaget, udformet som et informationsmateriale til eksempelvis sagsbehandlere. Regelgrundlaget suppleres af arbejdsgruppens materiale til projektmedarbejdere til fremme af hensynet til privatlivets fred i et projekts faser. 4
Hvad er privatlivsbeskyttelse? > Privatlivets beskyttelse privatlivets fred (på engelsk privacy ) handler om at beskytte den personlige integritet og "retten til at være alene". Grundloven 71. Stk. 1. Den personlige frihed er ukrænkelig 72. Boligen er ukrænkelig Privatlivets fred er en grundlæggende rettighed i Danmark, blandt andet udtrykt ved paragrafferne 71 og 72 i Grundloven. Beskyttelsen af privatlivet, herunder personfølsomme oplysninger om den enkelte borger, er implementeret i dansk ret ved persondataloven. Den Europæiske Menneskerettighedskonvention formulerer rettigheden i artikel 8: Enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin korrespondance. Nøglebegreberne er beskyttelse af borgerens integritet og privatlivets fred, herunder borgerens kontrol over, hvornår og hvordan personhenførbare informationer frigives. Hvorfor er beskyttelse af privatlivet vigtigt? Informations og kommunikationsteknologien (IKT) har en positiv, samfundsøkonomisk gevinst og kan gøre livet lettere for den enkelte i hverdagen. At borgernes privatliv respekteres i IKT løsninger, er en afgørende forudsætning for borgernes tillid til at bruge løsningerne. Ingen tillid ingen anvendelse. Et andet element for borgerens tillid til et system er, at private informationer ikke bruges af systemet på andre måder end det, borgeren forventer. Har borgeren en forventning om, at oplysningerne kun bruges i et lukket system af en offentlig instans, skal oplysningerne ikke være tilgængelige ved en søgning på internettet. En kritisk udfordring består derfor i at sikre, at der tages højde for borgerens ret til privatliv, samtidig med at de teknologiske muligheder udnyttes. Er informationen 5
først offentliggjort på internettet, er det i praksis umuligt at slette den. Beskyttelse af privatlivet er således vigtigt både for at overholde grundloven og menneskerettighedskonventionen og for at bevare borgernes tillid det offentlige. Persondataloven, der regulerer håndtering af persondata, indeholder specificerede krav til informationssikkerhed og anmeldelse af databehandlinger med følsomme persondata. Dette er væsentlige parametre for, at der et højt sikkerhedsniveau i offentlige myndigheders databehandling. Personoplysninger er f.eks.: Navn, adresse, CPR nummer eller betalingskortinformationer Hvilke oplysninger afgiver borgerne? Borgerne oplyser normalt personhenførbare data, eksempelvis navn, adresse, CPR nummer eller betalingskortinformationer i forbindelse med brug af netbaserede selvbetjeningsløsninger, e handel eller netbank. Dertil kommer, at brugerens IP adresse automatisk bliver tilgængelig for modtageren. I disse tilfælde identificeres borgeren ikke nødvendigvis på de indtastede data, men borgeren kan meget let identificeres, hvis man får adgang til opslag på blot et par af denne type informationer. Den ultimative privatlivsbeskyttelse har borgerne, når de er anonyme. I de tilfælde skal borgeren ikke afgive oplysninger, der kan identificere ham eller hende. Det fungerer fint, så længe borgerne bruger internettet til informationssøgning. Så snart man skal kommunikere med offentlige udbydere, eksempelvis fordi man vil rette sin forskudsregistrering, bruge borgerservice eller andre offentlige onlinetjenester, er det nødvendigt at afgive en eller flere personlige oplysninger. 6
Hvordan sikrer myndigheden privatlivsbeskyttelse? Myndigheden.. skal efterleve persondataloven og den tilhørende sikkerhedsbekendtgørelse, som har til formål at beskytte borgernes personlige integritet og privatliv skal efterleve kravene i dansk standard for informationssikkerhed, DS 484/ISO 27001, (krav til statslige myndigheder) kan udføre en risikovurdering om privatlivsspørgsmål i forbindelse med tværoffentlige projekter, der indeholder persondata. kan undersøge muligheden for at anvende privacy enhanced technology (PET). 7
Retningslinjer til beskyttelse af privatlivets fred i tværoffentlige digitaliseringsprojekter > I forbindelse med nyudvikling af it systemer, der behandler personrelaterede oplysninger, og især hvis de kan anvendes fra internettet, er der et stort behov for at indarbejde hensyn til privatlivets fred. Den tværoffentlige arbejdsgruppe vedrørende privacy har udarbejdet seks anbefalinger med udgangspunkt i persondataloven og sikkerhedsbekendtgørelsen. 1 Det anbefales, at der tænkes beskyttelse af privatlivet ind fra starten i tværoffentlige projekter For tværoffentlige projekter eller systemer, der indsamler eller anvender personoplysninger, bør der tænkes beskyttelse af privatlivet ind fra starten af projektet. Jo før privatlivsbeskyttelse tænkes ind i projekter, jo mindre omkostningskrævende bliver det at etablere privatlivsbeskyttelsen. Privatlivsbeskyttelsen kan derfor med fordel indarbejdes allerede i projektets kravspecifikation. Hvis der er tale om større tværoffentlige projekter, kan myndighederne finde inspiration i privatlivsimplikationsanalysen, Privacy Impact Assessment PIA. Analysen kan bruges til at vurdere konsekvenserne for privatlivets beskyttelse. Det kan i samme forbindelse overvejes, hvordan risici vedrørende privatlivets fred bedst imødegås, og om privatlivsfremmende teknologier kan anvendes i projektet. ITog Telestyrelsen offentliggør snarest et udkast til en PIA håndbog under http://www.itst.dk/publikationer. 2 Det anbefales, at hensynet til de registreredes rettigheder designes ind i systemet Enhver har ifølge persondataloven ret til at søge indsigt i de personoplysninger, der behandles om vedkommende i et givent projekt eller system; hensynet til privatlivets fred 8
handler også om åbenhed i tværoffentlige projekter og systemer. Det er derfor væsentligt, at en sådan funktionalitet designes i systemet fra start, så forespørgsler nemt kan opfyldes, og at der kan gives et godt, forståeligt og brugbart svar. Et andet hensyn er håndtering af risikoen for sikkerhedsbrud i det færdige system i en situation, hvor personoplysninger har været tilgængelige for uvedkommende. I projektfasen kan det overvejes, hvilke tiltag der eventuelt bør iværksættes, hvis personoplysninger undtagelsesvis kompromitteres, herunder hvordan berørte parter underrettes. 3 Det anbefales, at offentlige institutioner forholder sig til den informationsindsamling, institutionen foretager, når en borger besøger institutionens hjemmeside IP adresser betragtes af Datatilsynet som personhenførbar information, hvorfor simpel informationssøgning på en offentlig hjemmeside oftest medfører, at der sker en form for registrering af den besøgende i institutionens logs. En privatlivspolitik bidrager til åbenhed ved at fortælle borgeren, hvilke oplysninger, der indsamles om ham eller hende under besøget på hjemmesiden, og hvordan disse oplysninger indsamles, opbevares og anvendes. IT og Telestyrelsen har i samarbejdet med Datatilsynet udarbejdet en skabelon til udformning af en privatlivspolitik på offentlige hjemmesider, som kan bruges til inspiration. Materialet findes på http://www.itst.dk/itsikkerhed/publikationer/privatlivspolitik 1/privatlivspolitik/. 4 Det anbefales, at kravene i DS 484/ISO 27001 følges i tværoffentlige projekter 9
Dansk standard for informationssikkerhed (DS 484) angiver kravene til systemsikkerhed, herunder lovkrav. Standarden er obligatorisk at følge for statslige myndigheder og anbefales af KL og Danske Regioner. Frem til 2013 kan statslige institutioner selv vælge mellem at følge DS 484 og den internationale standard ISO 27001. Det anbefales derfor at følge DS 484/ISO 27001 i alle tværoffentlige projekter. DS 484 er frikøbt til anvendelse i det offentlige og kan fås ved henvendelse i IT og Telestyrelsen. 5 Det anbefales, at informationssikkerhedslederen udpeges til kontaktperson for privatlivsrelaterede spørgsmål Ifølge sikkerhedsbekendtgørelsen skal en organisations interne bestemmelser om sikkerhedsforanstaltninger omfatte en sikkerhedsorganisation. Det er vigtigt, at sikkerhedsorganisationen også har privatlivsrelaterede spørgsmål som område og dermed kan bidrage til at varetage privatlivsbeskyttelsen. Institutionen kan på denne måde oparbejde en specialiseret viden inden for varetagelse af hensyn til privatlivet. 6 Det anbefales, at der oplyses om hensynet til privatlivets fred Jo større viden, projektmedarbejderne og myndigheden generelt besidder om hensynet til privatlivets fred, desto større er muligheden for, at hensynet integreres i projekter fra start. Ifølge sikkerhedsbekendtgørelsen skal den dataansvarlige myndighed give den fornødne instruktion til de medarbejdere, der behandler personoplysninger. Denne instruktion kan med fordel også omfatte medarbejdere, der udvikler systemer til behandling af personoplysninger. 10
Regelgrundlag: Informationers livscyklus > De foregående anbefalinger fra den tværoffentlige arbejdsgruppe rækker ud over lovgivning på området. Overholdelse af lovgivning er første skridt i beskyttelsen af privatlivets fred. På disse sider gennemgås derfor i hovedtræk de væsentligste regler (primært i persondataloven), man som sagsbehandler skal forholde sig til i forbindelse med håndtering af personfølsomme informationer. Materialet er inddelt efter informationernes livscyklus, dvs. på hvilket af de seks trin indsamling, opbevaring, opdatering, videregivelse, arkivering og sletning de befinder sig i informationsbehandlingen. Når en offentlig myndighed indsamler personoplysninger (eller informationer), har den ansvaret for at det sker, så borgerne kan føle sig trygge ved, at deres oplysninger ikke misbruges eller anvendes i strid med gældende regler. I forbindelse med afprøvning af et nyt system, vil der ofte være behov for at teste på reelle data. Reglerne for behandling af testdata er omtalt på siden Test på rigtige data. 1. Indsamling af informationer 2. Opbevaring af informationer 3. Opdatering af informationer 4. Videregivelse af informationer 5. Arkivering af informationer 6. Sletning af informationer 7. Test på rigtige data Hvert afsnit afsluttes med et udsnit af relevante tjekspørgsmål. 11
Indsamling af informationer Persondataloven beskytter borgerne mod overflødig indsamling af information. En offentlig myndighed må kun indsamle information, hvis det er nødvendigt for at løse en opgave. Der findes en lang række regler, der bestemmer hvornår en myndighed må indsamle og registrere personoplysninger. Persondataloven regulerer blandt andet, hvornår myndigheder og private må indsamle og registrere oplysninger elektronisk. I forvaltningsloven findes der regler for indsamling af oplysninger i forbindelse med behandling af ansøgningssager. Retssikkerhedsloven indeholder særlige regler om indsamling af oplysninger i sociale sager. Offentlighedsloven indeholder regler om myndigheders notatpligt i afgørelsessager. Indsamling af data En offentlig myndighed har ansvaret for, at borgerne kan føle sig trygge ved, at deres oplysninger ikke misbruges eller bruges i strid med reglerne. Herudover findes en række eksempler på særlovgivning, der præciserer myndighedens muligheder for at behandle personoplysningerne. Hvis et digitalt it projekt skal indeholde personoplysninger, bør man orientere sig i nævnte love, inden planlægningen og udformningen af systemet. Her er gengivet de vigtigste forhold fra persondataloven ved indsamling af oplysninger: 12
Persondataloven Persondataloven indeholder nogle grundlæggende regler, der altid skal være overholdt ved indsamling og registrering af personoplysninger. Blandt andet siger loven, at oplysninger kun må indsamles, hvis der er et klart formål med dem. De indsamlede oplysninger må ikke være mere omfattende end nødvendigt. Loven indeholder også krav om, hvornår man må indsamle og registrere oplysninger, videregive dem osv. Oplysningernes karakter og formålet med dataindsamlingen bestemmer, hvilke regler man skal følge i den enkelte situation. Begrebet "behandling" dækker over en række forskellige måder at håndtere personoplysninger på. Retten til at foretage én form for databehandling betyder ikke, at man også må foretage andre former for behandling af samme oplysninger. Når en myndighed må indsamle oplysninger, må den som regel også systematisere, registrere, bruge og slette dem. Til gengæld er det ikke givet, at oplysningerne må videregives. Det skal vurderes særskilt på baggrund af reglerne om behandling. Tre typer oplysninger I persondataloven inddeles oplysningerne i tre typer: Rent private forhold, fx. oplysninger om helbredsmæssige og seksuelle forhold, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og racemæssig eller etnisk baggrund. Strafbare forhold, væsentlige sociale problemer og lignende følsomme privatlivsoplysninger, fx. interne familieforhold Oplysningstyper, der ikke vedrører privatforhold kaldes almindelige personoplysninger, fx. identifikationsoplysninger, oplysninger om økonomiske forhold, kundeforhold eller andre lignende ikke følsomme oplysninger. 13
Det er en konkret vurdering i hvert tilfælde, om man kan indsamle oplysninger inden for reglerne i persondataloven. Som udgangspunkt kan oplysninger dog indsamles og registreres, hvis borgeren har givet samtykke og de grundlæggende krav i persondataloven er opfyldt. Den registreredes rettigheder Persondataloven indeholder en række rettigheder for de registrerede personer (lovens kapitel 8 10 og nærmere forklaret i Datatilsynets rettighedsvejledning vejledning nr. 126 af 10. juni 2000). Ved indsamling af oplysninger skal man være særlig opmærksom på oplysningspligten overfor den registrerede, se følgende afsnit vedrørende dette emne. Oplysningspligten gælder dog ikke, hvis behandlingen af oplysninger er fastsat ved lov eller bestemmelser fastsat i henhold til lov. Tjekspørgsmål Er der et sagligt formål med indsamlingen? Er indsamlingen nødvendig? Indsamles begrænset data? Sker indsamlingen/registreringen med borgerens samtykke eller ved lov? Kan det registreres i systemet, at borgeren har givet samtykke til indsamlingen/registreringen? Listen er et udpluk af relevante spørgsmål. For uddybende tjekspørgsmål se listen side 25. Opbevaring af informationer Borgerne skal kunne føle sig trygge ved, at deres oplysninger ikke misbruges eller anvendes i strid med gældende regler. 14
Dette er det primære hensyn, når man som offentlig myndighed skal opbevare borgernes personlige oplysninger. Reglerne findes bl.a. i persondataloven, men suppleres også af regler i forvaltningsloven og straffeloven. Persondataloven I digital forvaltning er alle oplysninger, der kan identificere en person, omfattet af persondataloven. Loven indeholder i hovedtræk følgende regler: Regler om, hvornår myndigheden må anvende, samkøre, videregive og på anden vis behandle personoplysninger (lovens kapitel 4). I forhold til myndighedernes opbevaring medfører reglerne blandt andet: De personoplysninger, som myndigheden ligger inde med, må ikke anvendes til formål, der er uforenelige med det formål, de oprindeligt er indsamlet til Myndigheden skal sikre datakvalitet: at oplysningerne er rigtige og ajourføres i fornødent omfang. Er oplysningerne urigtige eller vildledende, skal de rettes eller slettes Oplysningerne må ikke opbevares i personhenførbar form i længere tid end formålet nødvendiggør Rettigheder for de registrerede personer (lovens kapitel 8 10 og nærmere forklaret i Datatilsynets rettighedsvejledning, vejledning nr. 126 af 10. juni 2000) Krav om datasikkerhed Det er forudsat i persondataloven, at "..sikkerhedsforanstaltningerne under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse, skal tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, som behandlingen indebærer, og arten af de oplysninger, som skal beskyttes." (lovens kapitel 11, som uddybes i sikkerhedsbekendtgørelsen og Datatilsynets vejledning dertil). 15
Sikkerhedsbekendtgørelsen beskriver de tekniske og organisatoriske sikkerhedsforanstaltninger, som skal træffes i den offentlige forvaltning. For at sikre den fornødne datasikkerhed, skal myndigheden fastsætte interne bestemmelser om dens sikkerhedsforanstaltninger. De uddybende regler er f.eks. myndighedens instrukser om, hvordan medarbejderne skal håndtere personoplysninger, når der sendes oplysninger på e mail eller behandles oplysninger fra hjemmearbejdspladser. Myndigheden skal også beskrive sin sikkerhedsorganisation, procedurer for tildeling af autorisationer, anvendelse af indblikskoder osv. Både ved anskaffelse af nye it systemer og ved den daglige anvendelse af dem, skal myndigheden sørge for, at sikkerheden er i orden. Systemet skal som minimum leve op til persondataloven og sikkerhedsbekendtgørelsen. Test på rigtige data Når der skal testes i forbindelse med program og systemudvikling, bør man bruge egentlige testdata, dvs. oplysninger om fiktive personer, og ikke oplysninger om eksisterende personer. Der bør ikke anvendes kopi af produktionsdata som testdata, med mindre de er effektivt anonymiseret. Det kan imidlertid i en fase af testen af et system være vigtigt, at der testes med data, som i omfang og sammensætning er så lig virkelige data som muligt. Du kan lære mere om test på rigtige data senere i dette materiale. Straffeloven Straffeloven indeholder bl.a. regler om, at en person, der virker eller har virket i offentlig tjeneste, kan straffes for uberettiget videregivelse eller udnyttelse af fortrolige oplysninger, som 16
den pågældende har fået kendskab til i forbindelse med sit hverv. Misbruger en offentlig ansat sit hverv eller stilling til at krænke privates eller det offentliges ret, kan vedkommende også straffes. Straffeloven Straffeloven giver mulighed for at straffe personer, der uretmæssigt videregiver eller udbreder en adgangskode til et informationssystem, som ikke er offentligt tilgængeligt. Straffeloven indeholder regler om, at enhver ansat i offentlig tjeneste kan straffes for at have overtrådt sin tavshedspligt, fx ved uberettiget at have videregivet oplysninger om enkeltpersoners rent private forhold. Tjekliste til opbevaring af informationer Er der tilstrækkelig datasikkerhed i det system, hvor oplysningerne lagres? Er der en sikkerhedsorganisation, og er der udpeget en ansvarlig for, at datasikkerheden er i orden? Er der udformet instrukser og vejledninger til medarbejderne, og kender medarbejderne de uddybende sikkerhedsregler, som er fastsat? Sker opbevaring med borgerens viden (formål, videre brug af data etc.)? Opdatering af information Hvis der er et sagligt behov for at opdatere oplysninger, skal de opdateres. Over for spørgsmålet om opdatering af information står kravet om, at oplysninger til enhver tid skal være præcise, opdaterede og komplette. Årsagen er, at der skal være sikkerhed for, at der 17
ikke behandles forældede, urigtige eller vildledende oplysninger. Det skal tilmed kontrolleres. Opdateringsfrekvens Jo mere indgribende oplysninger, jo oftere bør informationerne ajourføres. Frekvens for opdatering Karakteren af oplysningerne er afgørende for, hvor hurtigt data skal ajourføres. Jo mere indgribende oplysninger, jo oftere bør informationerne ajourføres. Udgangspunktet er, at oplysninger skal ajourføres, når der foreligger nye oplysninger. Det seneste tidspunkt for en opdatering er, når oplysningerne skal bruges i forbindelse med en sag. En digitaliseret brugerløsning til fx ansøgningssager skal derfor være indrettet, så en afgørelse af altid baseres på aktuelle oplysninger. Nogle gange vil en opdatering kræve borgerens samtykke. Det kan fx være relevant at kontakte borgeren, hvis informationen er "nice to know" og ikke "need to know". Hvis en myndighed får nye, mundtlige betydningsfulde oplysninger om en sag, skal oplysningerne noteres. Ny indsamling Opdatering af information kan isoleret set godt betragtes som en ny indsamling. Dvs. myndigheden skal overveje, om der er saglig begrundelse for at indhente oplysningerne. Hvis der ikke er det, bør det overvejes, om der overhovedet er grund til fortsat at have oplysningerne. Den registreredes rettigheder Persondataloven indeholder en række rettigheder for de registrerede personer (lovens kapitel 8 10 og nærmere forklaret i Datatilsynets rettighedsvejledning). Ved indsamling 18
af oplysninger skal man være særlig opmærksom på oplysningspligten overfor den registrerede. Tjekspørgsmål Har myndigheden adgang til registre, hvor der automatisk trækkes opdaterede oplysninger fra? Har myndigheden sikret sig, at der ikke anvendes forældede oplysninger? Dette kan medføre en pligt til at trække nye oplysninger/få advis oplysninger. Og ved dødsfald kan det undgås, at der kommer anmodninger om nye oplysninger, hvis ajourført i forhold til eksempelvis CPR registret. Har borgeren mulighed for at gøre indsigelse mod, at der automatisk indhentes opdaterede oplysninger om vedkommende? F.eks. ved advis meddelelser fra registre? Videregivelse af informationer Når en offentlig myndighed må indsamle bestemte oplysninger, må den normalt også systematisere, registrere, bruge og slette dem igen. Men skal information gives videre til andre, gælder der særlige regler. Reglerne om udveksling af oplysninger findes bl.a. i persondataloven og forvaltningsloven. Desuden findes der særlige regler for bestemte sektorer. Fx regulerer sundhedsloven, hvornår oplysninger må gives videre fra elektroniske patientjournaler. Specielt for forskning og statistik gælder det, at oplysninger indsamlet til disse formål ikke senere må videregives til andre formål. Endvidere gælder det generelt, at videregivelse af oplysninger til forskning og statistik ikke er uforeneligt med et evt. andet oprindeligt formål med dataindsamlingen. 19
Lovgivningen Straffeloven indeholder bl.a. regler om, at en person, der virker eller har virket i offentlig tjeneste, kan straffes for uberettiget videregivelse eller udnyttelse af fortrolige oplysninger, som den pågældende har fået kendskab til i forbindelse med sit hverv. Misbruger en offentlig ansat sit hverv eller stilling til at krænke privates eller det offentliges ret, kan vedkommende også straffes. Straffeloven indeholder regler om, at enhver ansat i offentlig tjeneste kan straffes for at have overtrådt sin tavshedspligt, fx ved uberettiget at have videregivet oplysninger om enkeltpersoners rent private forhold. Persondataloven indeholder en række rettigheder for de registrerede personer (lovens kapitel 8 10 og nærmere forklaret i Datatilsynets rettighedsvejledning) Bl.a. skal myndigheden, hvis den registrerede anmoder om indsigt, oplyse om oplysninger om den registrerede er videregivet og til hvem. Offentliggørelse af oplysninger på nettet Offentliggørelse af oplysninger på internettet er den mest indgribende form for videregivelse, da modtagerkredsen i princippet er alle internetbrugere. Uberettiget offentliggørelse kan have betydelige negative konsekvenser for de berørte personer. Samtidig kan det være stort set umuligt at fjerne oplysningerne igen, da søgemaskiner og visse nettjenester løbende kopierer indhold på nettet. Man skal derfor være særlig opmærksom på, om oplysninger der skal på nettet, kan offentliggøres inden for lovgivningens rammer. Internettet Offentliggørelse af oplysninger på internettet er den mest indgribende form for videregivelse. 20
Den registreredes rettigheder Persondataloven indeholder en række rettigheder for de registrerede personer (lovens kapitel 8 10 og nærmere forklaret i Datatilsynets rettighedsvejledning). Ved videregivelse af oplysninger skal man være særlig opmærksom på oplysningspligten overfor den registrerede. Tjekliste Er der tale om videregivelse af oplysninger på internettet? Sikrer systemet at der ikke kan ske automatiske "store" udtræk og videregivelse uden nødvendig autorisation? Findes der retningslinjer for, hvornår data kan videregives? Har myndigheden et beredskab til at vurdere om data skal udleveres eller ej? Arkivering af information Uanset om personoplysninger er i aktiv brug eller er arkiveret, skal de være beskyttet. Hensigten er fortsat, at borgerne skal føle sig trygge ved, at deres oplysninger ikke misbruges eller anvendes i strid med gældende regler. Og det altså uanset om oplysningerne ligger i arkiv eller er i brug. Elektroniske systemer eller manuelle registre Persondataloven gælder ikke kun opbevaring på elektroniske medier, fx. en server, en harddisk, usb nøgle, cd eller andre datamedier. Også de manuelle registre fra før elektronisk journalisering, fx. arkivkasser med kartotekskort, er omfattet af persondataloven. Oplysninger i Statens Arkiver er ligeledes omfattet af persondataloven. Der findes også regler i andre love, fx. straffeloven, der beskytter og sætter grænser for brug af oplysninger. 21
De generelle regler er beskrevet under punktet Når du skal opbevare information. Den registreredes rettigheder Persondataloven indeholder en række rettigheder for de registrerede personer (lovens kapitel 8 10 og nærmere forklaret i Datatilsynets rettighedsvejledning, vejledning nr. 126 af 10. juni 2000). Ved arkivering af oplysninger skal man være særlig opmærksom på oplysningspligten overfor den registrerede. Tjekliste Uanset om informationerne er i aktiv brug (opbevaring af information) eller ej (arkivering af information) skal de være beskyttet. Spørgsmålene til arkivering af information svarer til de spørgsmål, man skal stille sig inden man overhovedet går i gang. Er alle aktører instrueret om brugernes ret til adgang til egne data? Har myndigheden et beredskab til at vurdere om data skal udleveres eller ej? Er der procedurer for håndtering af brugerhenvendelser om hvilke oplysninger, der er registreret om brugeren? Kan der fra systemerne genereres en oversigt over de data, databehandler har registreret om brugeren? Sletning af information Oplysninger, som myndighederne behandler, skal på et tidspunkt slettes. Hensigten med reglen er blandt andet at undgå, at for mange oplysninger hober sig unødigt op og risikoen for misbrug. Persondataloven slår fast, at oplysninger ikke må opbevares i identificerbar form i længere tid, end det er nødvendigt. Med "nødvendigt" menes i forhold til de formål, oplysningerne er 22
blevet indsamlet og behandlet. Når der ikke længere er et sagligt formål med at opbevare informationen, skal den slettes. Særlige regler i det offentlige Der gælder særlige regler, når det offentlige sletter oplysninger. F.eks. er kommuner normalt forpligtet til at opbevare sagsoplysninger for at en sags forløb kan dokumenteres. I det offentlige bør urigtige eller vildledende oplysninger ikke slettes uden nærmere overvejelser. Årsagen er primært, at informationen kan blive genstand for fornyet behandling, fx. i forbindelse med aktindsigt, gentagelsessager eller sager ved domstolene. Er oplysningerne omfattet af persondataloven, kan de overføres til arkiv efter reglerne i arkivlovgivningen. Oplysninger kan dog kun kasseres, hvis samme arkivlovgivning giver mulighed for det. I særlovgivningen findes der regler, der har betydning for, hvor længe oplysninger kan opbevares i personhenførbar form. Der findes også regler for, hvor længe oplysninger som minimum og maksimum skal opbevares. Fx. skal patientjournaler opbevares i mindst 10 år, og visse oplysninger i straffeattester skal slettes efter et bestemt tidsrum. Tjekliste Har myndigheden fastsat retningslinjer for sletning? Tager retningslinjerne også højde for lagring på backup? Har borgeren kontrol over/viden om, hvor længe myndigheden opbevarer oplysningerne? Er der mulighed for delvis sletning? Sletning af filer eller sletning af backup? Eller begge dele? 23
På sundhedsområdet kan det være relevant at overveje sletning af oplysninger indeholdt i medicoteknisk udstyr (kortvarig lagring). Test på rigtige data Det kan i visse tilfælde være nødvendigt at bruge produktionsdata til at teste med. Læs her, hvilke forholdsregler der skal tages. Når der skal testes i forbindelse med program og systemudvikling, bør man bruge egentlige testdata, dvs. oplysninger om fiktive personer, og ikke oplysninger om eksisterende personer. Der bør ikke anvendes kopi af produktionsdata som testdata, med mindre de er effektivt anonymiseret. Det kan imidlertid i en fase af testen af et system være væsentligt, at der testes med data, som i omfang og sammensætning er så lig virkelige data som muligt. Dette for at sikre, at det kommende produktionssystem ikke giver anledning til urigtig behandling af personoplysninger. Kopi af virkelige data Imidlertid kan det være svært at konstruere egnet testmateriale, bl.a. når det drejer sig om større, integrerede systemer med CPR nummer som referencedata. Derfor kan det i visse tilfælde være nødvendigt at bruge produktionsdata til testformål. En sådan brug skal dog begrænses mest muligt og bør ske på en kopi af virkelige data under de samme sikkerhedsforanstaltninger, som der er etableret for produktionen. Sikkerhedsforanstaltningerne skal bl.a. omfatte en formel autorisation af de medarbejdere, som under testen får kendskab til personoplysningerne. Medarbejderne skal gøres 24
opmærksomme på, at deres sædvanlige tavshedspligt også gælder i forbindelse med testen, og der skal fastsættes særlige retningslinjer for behandling af uddata fra testen. Til testen kan udover egentlig test af programmer og systemer også henregnes afleveringsprøve og paralleldrift i en begrænset periode, f.eks. op til nogle uger. Efter testen Efter testen skal den brugte kopi af produktionsdata og evt. nyfremstillet uddata tilintetgøres. Det kan være hensigtsmæssigt at etablere et mere permanent datagrundlag til test, fejlfinding og uddannelse. I overensstemmelse med ovenstående kan en kopi af produktionsdata således ikke anvendes til dette formål. Tjekspørgsmål Tjekspørgsmål til indsamling af informationer Inden du begynder at indsamle personoplysninger, bør du gennemgå nedenstående liste. Er der et sagligt formål med indsamlingen? Er indsamlingen nødvendig? Indsamles begrænset data? Sker indsamlingen/registreringen med borgerens samtykke? Kan det registreres i systemet, at borgeren har givet samtykke til indsamlingen/registreringen? Sker indsamlingen med borgerens viden (formål, videre brug af data etc.)? Har du tjekket, at lovgivningen for din myndighed/ressort/sektor tillader, at du foretager denne indsamling? 25
Er systemet indrettet således, at det er alene er de data, der er nødvendige i forbindelse med behandling af sagen, der kan registreres? Kan/skal data til fx forudfyldte blanketter ske med borgerens accept? Hvis du har mulighed for at give borgeren et valg, om data skal indhentes, har du så husket at give det? Hvis blanket eller lignende skal indeholde oplysninger om andre borgere end den direkte adspurgte, har du så sikret dig deres accept? Har du husket at informere om konsekvenserne, hvis borgeren ikke accepterer/afgiver de ønskede oplysninger? Har du tjekket, om borgeren har udnyttet en ordning, der giver mulighed for at frabede sig indhentning af data? Hvordan informerer systemet borgerne om, at der indsamles oplysninger om dem? Hvilken viden om behandlingen giver systemet borgerne? Kan systemet dokumentere, at borgerne er bekendt med, at der indsamles og behandles oplysninger om dem enten i form af, at de er informeret herom, eller gennem accept? Kan systemet håndtere, at en borger trækker sit tilsagn/accept tilbage? Viser systemet, om indsamlingen sker som følge af en frivillig aftale med forbrugeren eller som følge af kontraktlige forhold, loven, hensyn til borgeren eller offentlig myndighedsudøvelse? Kan systemet afgive data alle data om en konkret borger tillige med en række oplysninger i tilknytning til data herunder hvad data anvendes til, til hvilket formål data er registreret og hvor de lagres? Kan systemet levere de ønskede brugerdata på en god pædagogisk måde, indenfor rimelig tid og til rimelige omkostninger? 26
Er det let for borgeren at få adgang til den rette databehandler? Er alle aktører instrueret om borgernes ret til adgang til egne data? Har myndigheden et beredskab til at vurdere om data skal udleveres eller ej? Er der procedurer for håndtering af borgerhenvendelser om hvilke oplysninger, der er registreret om borgeren? Kan der fra systemerne genereres en oversigt over de data, databehandler han registreret om borgeren? Tjekspørgsmål til opbevaring af informationer Tjekspørgsmål inden du begynder at opbevare informationen. Listen indeholder stort set samme områder som ved indsamling af information. Er der et sagligt formål med opbevaringen? Er opbevaring nødvendig? Har du tjekket, at lovgivningen for din myndighed/ressort/sektor tillader, at du foretager denne opbevaring? Er systemet indrettet, så det alene er data, der er nødvendige i forbindelse med behandling af sagen, der kan registreres? Kan/skal data til fx forudfyldte blanketter ske med borgerens accept? Hvis du har mulighed for at give borgeren et valg om data skal opbevares, har du så husket at give det? Hvis systemet skal opbevare oplysninger om andre borgere, end den direkte adspurgte, har du så sikret dig deres accept? Har du husket at tjekke, om borgeren har udnyttet en ordning, der giver mulighed for at frabede sig opbevaring af data? 27
Hvordan informerer systemet borgerne om, at der opbevares oplysninger om dem? Hvilken viden om behandlingen giver systemet borgerne? Kan systemet dokumentere, at borgerne er bekendt med, at der indsamles og opbevares oplysninger om dem enten i form af, at de er informeret herom, eller gennem accept? Kan systemet håndtere at en borger trækker sit tilsagn/accept tilbage? Viser systemet, om opbevaring sker som følge af en frivillig aftale med forbrugeren eller som følge af kontraktlige forhold, loven, hensyn til borgeren eller offentlig myndighedsudøvelse? Kan systemet afgive alle data om en konkret borger tillige med en række oplysninger i tilknytning til data herunder hvad data anvendes til, til hvilket formål data er registreret og hvor de lagres? Kan systemet levere de ønskede borgerdata på en god pædagogisk måde, indenfor rimelig tid og til rimelige omkostninger? Er det let for borgeren at få adgang til den rette databehandler? Er alle aktører instrueret om borgernes ret til adgang til egne data? Har myndigheden et beredskab til at vurdere, om data skal udleveres eller ej? Er der procedurer for håndtering af borgerhenvendelser om hvilke oplysninger, der er registreret om borgeren? Kan der fra systemerne genereres en oversigt over de data, databehandler han registreret om borgeren? Tjekspørgsmål til opdatering af informationer Du bør overveje, hvad det vil sige at opdatere information, inden du går i gang med det. Listen her indeholder en række 28
relevante spørgsmål, du bør stille dig selv, inden informationen skal opdateres. Har myndigheden adgang til registre, hvor der automatisk trækkes opdaterede oplysninger fra? Har myndigheden sikret sig, at der ikke anvendes forældede oplysninger? Dette kan medføre en pligt til at trække nye oplysninger/få adviseringsoplysninger. Og ved dødsfald kan det undgås, at der kommer anmodninger om nye oplysninger, hvis de er ajourført i forhold til eksempelvis CPR registret. Har borgeren mulighed for at gøre indsigelse mod, at der automatisk indhentes opdaterede oplysninger om vedkommende? F.eks. ved adviseringsmeddelelser fra registre? Er borgerens forventninger til opdateringen af vedkommendes oplysninger i overensstemmelse med den opdatering, der rent faktisk finder sted? Er borgeren vidende om, at der sker en opdatering af oplysningerne? Kan borgeren ændre sine privacy præferencer i forhold til opdatering? Tjekspørgsmål til videregivelse af informationer Det er ikke givet, at en myndighed må give informationer videre, selv om den må indsamle, opbevare, opdatere og slette. Her er nogle relevante spørgsmål. Er der tale om videregivelse af oplysninger på internettet? Sikrer systemet at der ikke kan ske automatiske "store" udtræk og videregivelse uden nødvendig autorisation? Findes der retningslinjer for, hvornår data kan videregives? Har myndigheden et beredskab til at vurdere om data skal udleveres eller ej? 29
Tjekspørgsmål til arkivering af informationer Uanset om informationerne er i aktiv brug (opbevaring af information) eller ej (arkivering af information) skal de være beskyttet. Spørgsmålene til arkivering af information svarer til de spørgsmål, man skal stille sig, inden man overhovedet går i gang. Derfor henvises til tjekspørgsmål til indsamling af information. Tjekspørgsmål til sletning af informationer På et tidspunkt skal oplysninger slettes. Offentlige myndigheder kan ikke opbevare informationer på ubestemt tid. Nedenstående relevant, når registre skal slettes. Har myndigheden fastsat retningslinjer for sletning? Tager retningslinjerne også højde for lagring på backup? Har borgeren kontrol over/viden om, hvor længe myndigheden opbevarer oplysningerne? Er der mulighed for delvis sletning? Sletning af filer eller sletning af backup? Eller begge dele? På sundhedsområdet kan det være relevant at overveje sletning af oplysninger indeholdt i medicoteknisk udstyr (kortvarig lagring). Den registreredes rettigheder Er man registreret, har man ret til indsigt. Er man en indsamlende institution, har man pligt til at give den registrerede oplysninger om dataindsamlingen. Persondataloven indeholder regler om oplysningspligt. Reglerne indebærer, at alle dataindsamlende virksomheder, myndigheder, foreninger m.m. har pligt til at give den registrerede person information om, at der indsamles oplysninger om vedkommende. Reglen er uafhængig af, om data opbevares elektronisk eller i et manuelt register. 30
Oplysningspligten gælder dog ikke, hvis behandlingen af oplysninger er fastsat ved lov eller bestemmelser fastsat i henhold til lov. Den registrerede skal have besked både ved indsamling fra andre kilder, eller hvis borgeren selv afgiver oplysningerne. Hvis der er oplysningspligt, skal den registrerede have information om følgende: Hvem er den dataansvarlige? (Myndigheden eller virksomhedens navn og adresse) Hvad er formålet med dataindsamlingen eller registreringen? (Fx. at tilbyde nyheder eller tilbud) Kategorier af modtagere, hvis oplysningerne skal videregives. At borgeren kan ret til at bede om indsigt. Tilbagekaldelse Den registrerede har ret til at tilbagekalde et samtykke Indsigtsret Alle registrerede personer har ret til indsigt. Dvs. de skal på begæring have besked om indholdet af de oplysninger, myndigheden har om dem, samt oplysninger om formålet med behandlingen mv. Endvidere er der ifølge Persondataloven ikke indsigtsret, hvis data udelukkende behandles til forskningseller statistikformål. Ret til indsigelse Borgeren har ret til at gøre indsigelse over behandlingen af oplysningerne, ligesom borgeren har krav på, at indsigelsen besvares. Urigtige oplysninger Borgeren har ret til at få slettet eller rettet vildledende eller urigtige oplysninger. Den registrerede har også ret til at tilbagekalde et samtykke. Har andre modtaget urigtige oplysninger, skal de orienteres om rettelserne. Ansvaret for at 31
rette oplysningerne ligger hos myndigheden, uanset om den selv er blevet opmærksom på fejlen, eller om borgeren har henvendt sig om fejlen. Der gælder særlige regler for fejl i patientjournaler og sager hos offentlige myndigheder. Oplysninger i patientjournaler og sagsakter må ikke slettes eller gøres ulæselige. I stedet skal de korrigerede oplysninger tilføjes, så den oprindelige tekst bevares. Det gælder også i elektroniske patientjournaler, hvor den oprindelige version fortsat skal være tilgængelig. 32
Fremme af privatlivets fred i projektfaser > Hvordan skal jeg håndtere privatlivets fred i forskellige projektfaser for udvikling og anskaffelse af systemer? En model giver svaret på, hvad du skal gøre og hvornår. Nedenstående model giver et overblik over, hvilke aktiviteter i relation til privatlivets fred der skal gennemføres i løbet af et projekts faser. Afvikling vigtig I forhold til projektmodellen for den offentlige sektor, udviklet af Den Digitale Taskforce, er følgende model udvidet med en enkelt fase. Således er de tre første faser i Taskforcens model identiske med faserne i skemaet efterfølgende. Taskforcens fjerde fase ("Afslutnings og evalueringsfase") er delt i to faser i denne model for at kunne håndtere Drift/vedligeholdelse og Udfasning. Især afvikling af et system er en af de vigtigste faser, når man taler om beskyttelse af privatlivets fred. Det er her, man skal sørge for, at data systematisk bliver slettet, uanset om data lever videre på en ny platform eller helt skal afvikles. Modellen er udarbejdet på baggrund af NIST National Institute of Standards and Technology, U.S. Department of Commerce: "Security Considerations in the System Development Lifecycle" (NIST Special Publication 800 64 Revision 2 (DRAFT), October 2008) http://csrc.nist.gov/publications/pubssps.html. 33
Faser Aktiviteter Output Kontrol /kvalitetssikring Fase 1 Idebeskrivelse, analyse og planlægning - Vurdering af hensyn til privatlivets fred baseret på en generel forretningsmæssig konsekvensanalyse for systemet ved manglende fortrolighed, integritet og tilgængelighed her er fortrolighedshensynet i fokus. - På denne baggrund bør der ske vurdering af konsekvenser for privatlivets fred med baggrund i privatlivsimplikationsanalyse (PIA) som del af en it sikkerhedsmæssig kravspecifikation, herunder vurdering af behov for anvendelse af Privacy Enhancing Technologies (PET). - Privatlivsimplikationsanalyse (PIA) - Kravspecifikation vedr. sikkerhed for privatlivet Konceptreview for privacy som led i kvalitetssikring Fase 2 Anskaffelse/ udvikling - Sikring/udvikling af sikkerhedskrav til privatlivets fred - Tests af sikkerhed for privatlivets fred (modultests/tekniske tests) - Dokumentation af sikkerhed for privatlivets fred i systemet - Dokumentation af test Funktionel privacytestreview som led i kvalitetssikring Fase 3 Implementering - Planlægning/udarbejdelse af afsluttende funktionel test for hensyn til privatlivets fred (relateret til hele systemet) - Komplet systemdokumentation vedr. privatlivets fred - Procedurer, forretningsgange, brugervejledning knyttet til hensyn til privatlivets fred - Formidling og publicering af policy vedr. privatlivets fred rettet mod eksterne parter/brugere Afsluttende privacysystemtest review (readiness) som led i kvalitetssikring Fase 4 Drift og vedligehold - Erfaringsopsamling vedr. funktionalitet og administrative procedurer (drift og brugererfaringer) - Evt. tilretninger - Fejlretning og optimering Retur til tidligere faser i relevant omfang mht. tilretning (fx vedr. optimering, problemhåndtering, forretningstilpasning, lovgivning /regulering) Retur til tidligere faser i relevant omfang mht. tilretninger. Fase 5 Udfasning - Fastlæggelse af krav til opbevaring af data henholdsvis sletning af data på diverse medier - Evt. konvertering af data ved overførsel til nyt system - Fuld udfasning/nedlæggelse af systemet Dokumenteret udfasningsplan Afsluttende privacyudfasningsreview
Kvalitetssikringen er vigtig Om aktiviteter under kolonnen Kontrol /kvalitetssikring kan det ved skræddersyet udvikling (og evt. tillige for nogle standardsystemer) være relevant at efterspørge udviklingsleverandørens dokumentation for, at leverandørens eget kvalitetssikringssystem har fungeret som led i eller del af udviklingsmetode/ model for det pågældende system. Ved udbud og kontraktindgåelse bør der derfor normalt stilles krav om, at leverandøren skal have en kvalitetsstyring, der sikrer en formaliseret styring, kontrol og dokumentation af de aftalte ydelser (jvf. DS484 afsnit 12.5.5). Endvidere kan det være relevant som led i kvalitetsstyringen af leverandørens ydelser på it sikkerhedsområdet, at myndigheden har forbeholdt sig ret til ad hoc at lade uafhængig tredjepart eller selv at foretage sikkerhedsrevision på områder, hvor myndigheden efter omstændighederne finder dette fornødent (jvf. DS484 afsnit 6.2.3 og 12.5.5). 35