Samtykke som grunnlag for behandling av personopplysninger etter GDPR – når kan det brukes og når bør det ikke brukes?

Samtykke er mye omtalt i tilknytning til personvernforordningen (GDPR). Men det blir også sagt mye feil om samtykke, som at samtykke kreves for all behandling. Samtykke er bare ett av flere grunnlag for behandling av personopplysninger, og ofte bør man heller unngå samtykke enn å benytte samtykke som grunnlag for behandling.

Fortsett å lese Samtykke som grunnlag for behandling av personopplysninger etter GDPR – når kan det brukes og når bør det ikke brukes?

Hvordan forholde seg til krav om innsyn og sletting av ustrukturerte personopplysninger i eposter og dokumenter etter GDPR?

Et spørsmål som kommer opp ofte knyttet til GDPR er innsyn i og sletting av personopplysninger som er lagret i eposter og andre ustrukturerte personopplysninger. Å gi innsyn eller slette ustrukturerte personopplysninger kan både være en omfattende eller komplisert oppgave. Men det å slette eller gi innsyn kan medføre ytterligere behandling av personopplysninger, som i enkelte tilfelle kan være ulovlig. Man må derfor være påpasselig med hvilke tiltak som iverksettes for de ustrukturerte personopplysningene.

Fortsett å lese Hvordan forholde seg til krav om innsyn og sletting av ustrukturerte personopplysninger i eposter og dokumenter etter GDPR?

Hva kreves av dokumentasjon etter GDPR?

At det er et krav til dokumentasjon etter GDPR er noe de fleste har fått med seg, men hva ligger det i dette? Med dokumentasjon menes at det må foreligge skriftlige dokumenter som viser at man etterkommer de ulike kravene etter GDPR. Kravene til dokumentasjon er ikke klare i GDPR, så her er det lett å overse kravene. Her gis det en oversikt over dokumentasjon som bør foreligge.

Fortsett å lese Hva kreves av dokumentasjon etter GDPR?

No restrictions on using foreign IT-service providers for health and hospitals in Norway

All IT-services for health and hospitals in Norway may be outsourced, inclusive to service providers providing services from outside Norway and the EU/EEA according to report from the Norwegian Directorate of eHealth (NDE), which is a sub-ordinate institution of the Ministry of Health and Care Services.

Fortsett å lese No restrictions on using foreign IT-service providers for health and hospitals in Norway

Når er man GDPR-compliant?

Å være GDPR-compliant innen 25. mai 2018 er et krav som alle selskaper må forholde seg til. Å være «compliant» vil si at man overholder lover og regler, og å være «GDPR-compliant» innebærer da at reglene i personvernforordningen overholdes. Men siden personvernforordningen er et meget omfattende og komplisert sett med regler som er langt fra klare, hva vil det si å være GDPR-compliant?

Fortsett å lese Når er man GDPR-compliant?

Hva er «personopplysninger» og vil GDPR føre til noen endringer?

Skal man etterleve de nye personvernreglene (herunder GDPR), så er det helt avgjørende at man vet hva en «personopplysning» er. En personopplysning består av tre elementer: En fysisk person (som kan identifiseres), opplysninger og en kobling mellom personen og opplysningene. Det hevdes at forståelsen av «personopplysninger» er mer omfattende under personvernforordningen enn etter dagens regler, men stemmer det?

Fortsett å lese Hva er «personopplysninger» og vil GDPR føre til noen endringer?

Om risikovurdering er påkrevd før anskaffelser av it-tjenester med Helse Sør-Øst-saken som eksempel

Datatilsynet varslet i forrige uke ni helseforetak om bøter på kr 800.000 per foretak (dvs. bøter på totalt kr 7,2 millioner), bl.a. Helse Sør-Øst (Datatilsynet har fjernet siden med informasjon av denne saken i ettertid av en eller annen grunn). Bøtene ble gitt på grunnlag av at helseforetakene bl.a. ikke hadde foretatt tilstrekkelig risikovurderinger før beslutning om it-tjenestene for foretakene skulle outsources, at ledelsen i foretakene ikke var tilstrekkelig involvert i beslutninger som ble fattet og at personopplysningene ikke var tilstrekkelig sikret.

Fortsett å lese Om risikovurdering er påkrevd før anskaffelser av it-tjenester med Helse Sør-Øst-saken som eksempel

Plikt til å slette personopplysninger også på sikkerhetskopier?

Det er en streng plikt til å slette personopplysninger etter de nye personvernreglene (GDPR), bl.a. dersom den registrerte krever sletting eller dersom formålet med behandling av personopplysninger ikke lenger foreligger. Men er det tatt sikkerhetskopi av personopplysningene, kan det være en vanskelig, om ikke uoverkommelig, oppgave å slette de konkrete personopplysninger på sikkerhetskopier (backup). Gjelder det en plikt til å slette personopplysninger også på sikkerhetskopier?

Fortsett å lese Plikt til å slette personopplysninger også på sikkerhetskopier?

Veiledning for når det skal ilegges bøter og størrelsen på bøtene ved brudd på personvernforordningen (GDPR)

Artikkel 29-gruppen, som er EUs rådgivende arbeidsgruppe bestående av representanter for EU-landenes nasjonale datatilsyn, har kommet med en ny veiledning for bøter ved brudd på personvernforordningen. Selv om dette er en veiledning direkte for datatilsynene, får veiledningen betydning for behandlingsansvarlige og databehandlere som kan risikere å bryte forordningen.

Fortsett å lese Veiledning for når det skal ilegges bøter og størrelsen på bøtene ved brudd på personvernforordningen (GDPR)

Veiledning for vurdering av personvernkonsekvenser (DPIA) fra Artikkel 29-gruppen

Tidligere denne måneden kom Artikkel 29-gruppen med en veiledning for vurderinger av personvernkonsekvenser eller såkalte DPIA (Data Protection Impact Assessments), dvs. risikovurderinger for databehandling. Veiledningen er nyttig, siden den gir ytterligere veiledning for når det skal gjennomføres DPIA.

Fortsett å lese Veiledning for vurdering av personvernkonsekvenser (DPIA) fra Artikkel 29-gruppen