Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen

Relaterede dokumenter
Rammer og vilkår for brug af data. 25. oktober 2016 Afdelingschef Birgitte Drewes,

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Persondataloven og sundhedsvidenskabelige forskningsprojekter

N. Zahles Skole Persondatapolitik

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.

Databeskyttelsesforordningen og dansk forskning. v/ chefkonsulent Kim Taasby & jurist Anahita Khatam-Lashgari 24. maj 2018

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

Forsikring & Pension Philip Heymans Allé Hellerup

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem

ELEKTRONISK VINDUESKIGGERI HVOR ER

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

Politik for beskyttelse og behandling af personoplysninger

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]

Almindelig viden om persondataforordningen

Persondatapolitik Vordingborg Gymnasium & HF

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Forstå de nye krav til databehandling og lær at afkræfte myter om persondata

Persondataloven i Grønland

FORSYNINGSTRÆF 2016 PERSONDATARET HVORFOR NU EGENTLIG DET?

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE Version 1.1a

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

Persondataloven i en Smart City kontekst. Alexander Tureczek, Ph.d. candidate

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Persondatapolitik for Aabenraa Statsskole

Persondatapolitik for Tørring Gymnasium 2018

BILAG 5 DATABEHANDLERAFTALE

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Videoovervågning i kommunale anlæg

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Brugen af personoplysninger

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Persondata politik for GHP Gildhøj Privathospital

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

Standardvilkår. Databehandleraftale

Specifik information om persondataloven

Persondataforordningen

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Persondatapolitik på Gentofte Studenterkursus

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Tønder Kommune BILAG 10

Projektets titel. Projektets formål

Retsudvalget REU Alm.del endeligt svar på spørgsmål 919 Offentligt

Retningslinjer for behandling af personoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]

Udvalgte sagsbehandlingsregler

FRIVILLIG KONFERENCE 2018

Persondataforordning din dig din

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

Persondatapolitik for Odense Katedralskole

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

DATABEHANDLERAFTALE. indgået mellem. Navn: CVR-nr.: Adresse: Postnr. og by: (den Dataansvarlige ) og

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Lov om Center for Cybersikkerhed

Kontraktbilag 7: Databehandleraftale

Persondata Opdateringskursus

Persondatapolitik i Dansk Oplysnings Forbund

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Driftskontrakt. Databehandleraftale. Bilag 14

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

FÅ STYR PÅ PERSONALEADMINISTRATION OG HÅNDTERINGEN AF PERSONOPLYSNINGER I MINDRE VIRKSOMHEDER

Ordliste begreber om håndtering af personoplysninger til patientbehandling og forskningsbrug

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

Ulrich Stigaard Jensen. Persondataloven og sagsbehandling i praksis

Har I styr på reglerne? Forsyningsselskabers behandling af persondata

Behandling af personoplysninger i forbindelse med venteliste

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007)

Databehandlingsaftale. mellem. Kommune og DanCast / Copenhagen Business School Peter Juel Henrichsen

1. Denne politik om behandling af personoplysninger ("Persondatapolitik") beskriver, hvorledes Apoteket indsamler og behandler oplysninger om dig.

Behandling af personoplysninger

Databehandlervilkår. 1: Baggrund, formål og definitioner

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Anmeldelse af behandlinger der foretages for den offentlige forvaltning.

Bilag A Databehandleraftale pr

2. HVILKE PERSONOPLYSNINGER INDSAMLER VI TIL HVILKE FOR- MÅL, OG HVAD ER RETSGRUNDLAGET FOR BEHANDLINGEN

Projektets titel. Projektets formål

HÅNDBOG FOR BEBOERDEMOKRATER BESKYTTELSE AF PERSONDATA

Databehandleraftale. om [Indsæt navn på aftale]

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

INTRODUKTION TIL PERSONDATAFORORDNINGEN

Persondataforordningen. Hvad kan vi bruge KITOS til?

Databehandleraftale. vedr. brug af WebReq (WBRQ) Version 1.2 af d. 23. maj Dansk Medicinsk Data Distribution A/S

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

Databehandleraftale

Behandling af personoplysninger i forbindelse med husordensklager hos Hasseris Boligselskab

2.1 Vi behandler persondata og har derfor vedtaget denne persondatapolitik, der beskriver, hvordan vi behandler persondata.

Transkript:

Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen

Hvem er jeg, og hvor kommer jeg fra? Erika Wolf, jurist i Sundhedsdatastyrelsen Sundhedsdatastyrelsen har til opgave at skabe sammenhængende sundhedsdata og digitale løsninger til gavn for patienter og klinikere samt forskningsmæssige og administrative formål i sundhedsvæsenet

Sundhedsdatastyrelsen

Syv principper for brugen af sundhedsdata bred politisk aftale Datasikkerhed Lovlighed, fortrolighed, saglighed og proportionalitet Patientsikkerhed og sammenhæng for patienten og medarbejderne Patient- og pårørendeinddragelse Udvikling og kvalitet i sundhedsvæsenet Moderne og tryg lovgivningsramme Åbenhed og gennemsigtighed for alle 4

Sundhedsdataprogrammet Forankret i Jo før jo bedre tidlig diagnose, bedre behandling og flere gode leveår for alle. Finansloven for 2015. Formålet med programmet er: Bidrage til en modernisering af it-infrastrukturen i Sundhedsdatastyrelsen Sikre bedre datakvalitet og datagrundlag Styrke det tværsektorielle samarbejde om sundhedsdata Etablere en ny og let tilgængelig brugerflade målrettet borgere, klinikere og beslutningstagere på sundhedsområdet. For mere information om Sundhedsdataprogrammet se: http://sundhedsdatastyrelsen.dk/da/rammer-og-retningslinjer/omsundhedsdataprogrammet

Forskellige regelværk om sundhedsdata Hvem må håndtere hvilke data? (Hjemmel) Sundhedslov Persondatalov (snart forordning) Anden lovgivning Hvordan skal data håndteres? (Teknik & Proces) Persondatalov/sikkerhedsbekendtgørelse ISO 27001 NIS-direktiv (infrastruktur) Reklame: http://sundhedsdatastyrelsen.dk/da/rammer-ogretningslinjer/om-informationssikkerhed

Persondataloven Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer Anvendelsesområde - hvem gælder loven for? Definitioner Hvad er en personoplysning? Hvad er behandling? Hvad er en dataansvarlig/databehandler? Behandlingsregler - grundlæggende principper Typer af oplysninger Anmeldelse til Datatilsynet Behandlingssikkerhed overordnet gennemgang

Anvendelsesområde hvem gælder loven for? Generel regulering gælder både myndigheder, virksomheder, foreninger m.v. Man er omfattet, med mindre man konkret er undtaget jf. persondatalovens 2, stk. 2-11 Gælder ikke udøvelse af aktiviteter af rent privat karakter Persondataloven er en slags grundlov for indsamling, registrering, videregivelse, beskyttelse af alle typer personoplysninger

Hvad er en personoplysning? Enhver form for information om en identificeret eller identificerbar fysisk person, jf. persondatalovens 3, nr. 1 Både objektive og subjektive oplysninger, fx, navn, adresse, CPR-nr., økonomi, helbred, familieforhold, helbred, billede, uddannelse, erhverv, bedømmelse Omfatter også biperson, fx pårørende og professionelle aktører (fx læge) det er ikke afgørende, om vedkommende er part Anonymiserede oplysninger ej omfattet der skal dog meget til, før en oplysning er anonym Afdøde er omfattet af persondataloven Enkeltmandsejede firmaer er omfattet (eksempelvis ydernummer, enkeltmandspraksis, apotek).

Hvad er behandling? Definition: Enhver operation (håndtering) eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for, jf. persondatalovens 3, nr. 2. Fx: Indsamling Registrering Opbevaring Brug Samkøring Videregivelse

Hvad er en dataansvarlig/databehandler? Dataansvarlig: Den, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger, jf. persondatalovens 3, nr. 4 Den, der bestemmer, hvad databehandleren skal gøre med oplysningerne og instruerer databehandleren Databehandler: Den, der behandler oplysninger på den dataansvarliges vegne, jf. persondatalovens 3, nr. 5 Altså den, der skal følge den dataansvarliges instruks databehandleren må ikke behandle oplysningerne på egne vegne Der skal laves en databehandleraftale, når en dataansvarlig overlader data til behandling hos en databehandler, jf. persondatalovens 42, stk. 2

Dataansvar hvad indebærer det efter persondataloven? Den dataansvarlige myndighed er ansvarlig for bl.a.: At der registreres korrekte oplysninger At oplysningerne behandles lovligt At der sker ajourføring og sletning At datasikkerheden er tilstrækkelig At oplysningspligten opfyldes (på eget initiativ) At indsigtsretten opfyldes (efter anmodning fra borgeren) At borgerens indsigelser besvares Eventuel kritik fra Datatilsynet Eventuelle erstatningskrav

Behandlingsregler - grundprincipper Persondatalovens 5: 1. God databehandlingsskik: Behandlingen skal være rimelig og lovlig 2. Formålsbestemthed: Indsamling skal ske til udtrykkeligt angivne og saglige formål. Senere behandling må ikke være uforenelig 3. Proportionalitet: Relevante og tilstrækkelige oplysninger. Ikke mere end nødvendigt 4. Datakvalitet: Ajourføring og kontrol. Sletning eller berigtigelse af oplysninger, der viser sig urigtige eller vildledende 5. Sletning: Oplysningerne slettes, når de ikke er nødvendige længere

Racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforening, helbredsmæssige og seksuelle forhold 7 Strafbare forhold, væsentlig, sociale problemer, andre rent private forhold, fx: Selvmordsforsøg, personlighedstest, bortvisning fra jobbet, førtidspension 8 Økonomi, skat, gæld, sygedage, tjenstlige forhold CPR-nummer, 11 Familieforhold, bolig, bil, eksamen, ansøgning, CV Ansættelsesdato, stilling, arbejdsområde, arbejdstelefon Stamoplysninger: Navn, adresse, fødselsdato, 6

Anmeldelse til datatilsynet Anmeldelse af behandlinger der foretages for en privat dataansvarlig: 48 hvornår behandling skal anmeldes Udgangspunktet er at alle behandlinger skal anmeldes, MEN Undtagelser til denne anmeldelsespligt følger af 49 50, stk. 1 hvornår man foruden anmeldelse også skal vente på en tilladelse Hvis behandling er ok Datatilsynet giver en tilladelse til behandlingen Datatilsynets tilladelse dækker kun det forhold, at det er ok at behandle oplysninger i projektet (opbevare oplysninger) Ej taget stilling til hjemmel for indsamling og videregivelse

Behandlingssikkerhed, 41, stk. 3 Tekniske og organisatoriske sikkerhedsforanstaltninger mod at oplysninger Hændeligt eller ulovligt tilintetgøres, fortabes eller forringes Kommer til uvedkommendes kendskab Misbruges Behandles i strid med loven Gælder også databehandlere Og det gælder uanset om man er databehandler for en dataansvarlig, som er etableret i eller uden for Danmark Og hvis man er databehandler for en offentlig myndighed, skal man også selvom man er et privat firma overholde sikkerhedsbekendtgørelsen (bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning)

Behandlingssikkerhed, 41, stk. 3 Efter Datatilsynets opfattelse bør den dataansvarlige som minimum træffe følgende foranstaltninger: Etablering og vedligeholdelse af en firewall, som sikrer gennemførelse af myndighedens sikkerhedspolitik, herunder f.eks. spærring for adgang til suspekte hjemmesider. Ajourføring af servere og pc-arbejdspladser med sikkerhedsopdateringer, som sikrer mod ondsindet udnyttelse af sårbarheder i de anvendte programmer. Etablering af virusværn, som løbende holdes ajourført. Opsætning af sikkerhedsindstillingerne i browseren og e-postklienten på de enkelte pc-arbejdspladser således, at der opnås den ønskede sikkerhedspolitik omkring websteder, cookies og modtagelse af eksekverbar kode (plug-ins, m.v.).

Hvad så med persondataforordningen? Bliver håndhævet fra maj 2018 Justitsministeriet afholdt den 9. februar 2017 stormøde for erhvervslivet om den nye databeskyttelsesforordning. På mødet præsenterede Justitsministeriet Q&A s omkring en række centrale emner i den nye forordning: https://erhvervsstyrelsen.dk/sites/default/files/media/praesentation_fra_stormo ede_om_databeskyttelsesforordningen.pdf

Spørgsmål? I er velkomne til at skrive til os, hvis der dukker spørgsmål op: juridisk@sundhedsdata.dk Tak for i dag!

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback