Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen
Hvem er jeg, og hvor kommer jeg fra? Erika Wolf, jurist i Sundhedsdatastyrelsen Sundhedsdatastyrelsen har til opgave at skabe sammenhængende sundhedsdata og digitale løsninger til gavn for patienter og klinikere samt forskningsmæssige og administrative formål i sundhedsvæsenet
Sundhedsdatastyrelsen
Syv principper for brugen af sundhedsdata bred politisk aftale Datasikkerhed Lovlighed, fortrolighed, saglighed og proportionalitet Patientsikkerhed og sammenhæng for patienten og medarbejderne Patient- og pårørendeinddragelse Udvikling og kvalitet i sundhedsvæsenet Moderne og tryg lovgivningsramme Åbenhed og gennemsigtighed for alle 4
Sundhedsdataprogrammet Forankret i Jo før jo bedre tidlig diagnose, bedre behandling og flere gode leveår for alle. Finansloven for 2015. Formålet med programmet er: Bidrage til en modernisering af it-infrastrukturen i Sundhedsdatastyrelsen Sikre bedre datakvalitet og datagrundlag Styrke det tværsektorielle samarbejde om sundhedsdata Etablere en ny og let tilgængelig brugerflade målrettet borgere, klinikere og beslutningstagere på sundhedsområdet. For mere information om Sundhedsdataprogrammet se: http://sundhedsdatastyrelsen.dk/da/rammer-og-retningslinjer/omsundhedsdataprogrammet
Forskellige regelværk om sundhedsdata Hvem må håndtere hvilke data? (Hjemmel) Sundhedslov Persondatalov (snart forordning) Anden lovgivning Hvordan skal data håndteres? (Teknik & Proces) Persondatalov/sikkerhedsbekendtgørelse ISO 27001 NIS-direktiv (infrastruktur) Reklame: http://sundhedsdatastyrelsen.dk/da/rammer-ogretningslinjer/om-informationssikkerhed
Persondataloven Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer Anvendelsesområde - hvem gælder loven for? Definitioner Hvad er en personoplysning? Hvad er behandling? Hvad er en dataansvarlig/databehandler? Behandlingsregler - grundlæggende principper Typer af oplysninger Anmeldelse til Datatilsynet Behandlingssikkerhed overordnet gennemgang
Anvendelsesområde hvem gælder loven for? Generel regulering gælder både myndigheder, virksomheder, foreninger m.v. Man er omfattet, med mindre man konkret er undtaget jf. persondatalovens 2, stk. 2-11 Gælder ikke udøvelse af aktiviteter af rent privat karakter Persondataloven er en slags grundlov for indsamling, registrering, videregivelse, beskyttelse af alle typer personoplysninger
Hvad er en personoplysning? Enhver form for information om en identificeret eller identificerbar fysisk person, jf. persondatalovens 3, nr. 1 Både objektive og subjektive oplysninger, fx, navn, adresse, CPR-nr., økonomi, helbred, familieforhold, helbred, billede, uddannelse, erhverv, bedømmelse Omfatter også biperson, fx pårørende og professionelle aktører (fx læge) det er ikke afgørende, om vedkommende er part Anonymiserede oplysninger ej omfattet der skal dog meget til, før en oplysning er anonym Afdøde er omfattet af persondataloven Enkeltmandsejede firmaer er omfattet (eksempelvis ydernummer, enkeltmandspraksis, apotek).
Hvad er behandling? Definition: Enhver operation (håndtering) eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for, jf. persondatalovens 3, nr. 2. Fx: Indsamling Registrering Opbevaring Brug Samkøring Videregivelse
Hvad er en dataansvarlig/databehandler? Dataansvarlig: Den, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger, jf. persondatalovens 3, nr. 4 Den, der bestemmer, hvad databehandleren skal gøre med oplysningerne og instruerer databehandleren Databehandler: Den, der behandler oplysninger på den dataansvarliges vegne, jf. persondatalovens 3, nr. 5 Altså den, der skal følge den dataansvarliges instruks databehandleren må ikke behandle oplysningerne på egne vegne Der skal laves en databehandleraftale, når en dataansvarlig overlader data til behandling hos en databehandler, jf. persondatalovens 42, stk. 2
Dataansvar hvad indebærer det efter persondataloven? Den dataansvarlige myndighed er ansvarlig for bl.a.: At der registreres korrekte oplysninger At oplysningerne behandles lovligt At der sker ajourføring og sletning At datasikkerheden er tilstrækkelig At oplysningspligten opfyldes (på eget initiativ) At indsigtsretten opfyldes (efter anmodning fra borgeren) At borgerens indsigelser besvares Eventuel kritik fra Datatilsynet Eventuelle erstatningskrav
Behandlingsregler - grundprincipper Persondatalovens 5: 1. God databehandlingsskik: Behandlingen skal være rimelig og lovlig 2. Formålsbestemthed: Indsamling skal ske til udtrykkeligt angivne og saglige formål. Senere behandling må ikke være uforenelig 3. Proportionalitet: Relevante og tilstrækkelige oplysninger. Ikke mere end nødvendigt 4. Datakvalitet: Ajourføring og kontrol. Sletning eller berigtigelse af oplysninger, der viser sig urigtige eller vildledende 5. Sletning: Oplysningerne slettes, når de ikke er nødvendige længere
Racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforening, helbredsmæssige og seksuelle forhold 7 Strafbare forhold, væsentlig, sociale problemer, andre rent private forhold, fx: Selvmordsforsøg, personlighedstest, bortvisning fra jobbet, førtidspension 8 Økonomi, skat, gæld, sygedage, tjenstlige forhold CPR-nummer, 11 Familieforhold, bolig, bil, eksamen, ansøgning, CV Ansættelsesdato, stilling, arbejdsområde, arbejdstelefon Stamoplysninger: Navn, adresse, fødselsdato, 6
Anmeldelse til datatilsynet Anmeldelse af behandlinger der foretages for en privat dataansvarlig: 48 hvornår behandling skal anmeldes Udgangspunktet er at alle behandlinger skal anmeldes, MEN Undtagelser til denne anmeldelsespligt følger af 49 50, stk. 1 hvornår man foruden anmeldelse også skal vente på en tilladelse Hvis behandling er ok Datatilsynet giver en tilladelse til behandlingen Datatilsynets tilladelse dækker kun det forhold, at det er ok at behandle oplysninger i projektet (opbevare oplysninger) Ej taget stilling til hjemmel for indsamling og videregivelse
Behandlingssikkerhed, 41, stk. 3 Tekniske og organisatoriske sikkerhedsforanstaltninger mod at oplysninger Hændeligt eller ulovligt tilintetgøres, fortabes eller forringes Kommer til uvedkommendes kendskab Misbruges Behandles i strid med loven Gælder også databehandlere Og det gælder uanset om man er databehandler for en dataansvarlig, som er etableret i eller uden for Danmark Og hvis man er databehandler for en offentlig myndighed, skal man også selvom man er et privat firma overholde sikkerhedsbekendtgørelsen (bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning)
Behandlingssikkerhed, 41, stk. 3 Efter Datatilsynets opfattelse bør den dataansvarlige som minimum træffe følgende foranstaltninger: Etablering og vedligeholdelse af en firewall, som sikrer gennemførelse af myndighedens sikkerhedspolitik, herunder f.eks. spærring for adgang til suspekte hjemmesider. Ajourføring af servere og pc-arbejdspladser med sikkerhedsopdateringer, som sikrer mod ondsindet udnyttelse af sårbarheder i de anvendte programmer. Etablering af virusværn, som løbende holdes ajourført. Opsætning af sikkerhedsindstillingerne i browseren og e-postklienten på de enkelte pc-arbejdspladser således, at der opnås den ønskede sikkerhedspolitik omkring websteder, cookies og modtagelse af eksekverbar kode (plug-ins, m.v.).
Hvad så med persondataforordningen? Bliver håndhævet fra maj 2018 Justitsministeriet afholdt den 9. februar 2017 stormøde for erhvervslivet om den nye databeskyttelsesforordning. På mødet præsenterede Justitsministeriet Q&A s omkring en række centrale emner i den nye forordning: https://erhvervsstyrelsen.dk/sites/default/files/media/praesentation_fra_stormo ede_om_databeskyttelsesforordningen.pdf
Spørgsmål? I er velkomne til at skrive til os, hvis der dukker spørgsmål op: juridisk@sundhedsdata.dk Tak for i dag!