Hvordan påvirker de nye personvernreglene oss?

Personvernombud på plass i Helse Nord IKT

EUs nye personvernforordning trer i kraft i Norge mai 2018, og vil erstatte dagens personvernlovgivning. Bjørn Erik Thon, direktør i Datatilsynet, ble invitert av Helse Nord IKT for å gi oss et innblikk.
Tidsskifte krever nytt regelverk, sier Bjørn Erik Thon i Datatilsynet. Fv. Helse Nord IKTs sikkerhetssjef Jan Harald Solberg og personvernombud Anna Uhlving. Foto Kari H. Slaattelid

- Det er en grunn til at vi trenger et nytt regelverk. Vi er i et tidsskifte, som gjør at vi må behandle data på en annen måte enn før. Enorme mengder data brukes, forteller en engasjert Bjørn Erik Thon, direktør i Datatilsynet.

Datatilsynet er et statlig tilsyns- og rådgivningsorgan, med totalt 47 medarbeidere. Med bakgrunn i den nye forordningen, har Datatilsynet fått 5 ekstra årsverk for å håndtere og følge opp de nye kravene.

Individualisering er framtiden

- Vi lever i en «appifisert» verden, hvor blant annet klokker, kjøleskap, hus, pulsslag, søvn, slanking, trening, etc. er koblet til apper, fortsetter Thon. Og utfordringen er at vi vet lite om hva de som samler inn data bruker dataene til.

Direktøren kan av egen erfaring fortelle, at brukervilkår og avtaler til 30 vanlige norske apper er en «hel haug» med delvis "ubegripelig" informasjon. Det tok han rundt 35 timer å lese denne bunken!

- Høydepunktet blant kontraktsvilkårene jeg leste, var Itunes Music Store sitt familieabonnement, hvor de forbeholder seg retten til «på ethvert tidspunkt å oppløse familien», smiler direktøren for Datatilsynet. Vi har med andre ord ikke peiling på hva dette brukes til, og vi vet enda mindre om noen år.

 

Bjørn Erik Thon, direktør i Datatilsynet.

Nytt regelverk iverksettes

Alt handler om individualisering. Enorme mengder data kan brukes til noe. Kombinasjonen er algoritmer, kunstig intelligens og automatiske beslutninger.

- Viktige helsebeslutninger i livene våre avgjøres i framtiden av programmer, som regner ut hvilken behandling vi skal ha. Innsatsfaktoren er personopplysninger, påpeker direktøret i Datatilsynet.

25. mai 2018 trer personvernordningen i kraft. En ansvarlig databehandling betyr, at virksomheten selv skal behandle data etter loven. Og plikten til å følge regelverket blir strengere. All konsesjonsbehandling faller bort, og organisasjonen må selv sette seg inn i regelverket.

Viktig med innebygd personvern

Regelverket kan kort oppsummeres i 5 punkter:

  1. Personvernutredning av data. Oversikt over hvilke data man egentlig har – strukturerte og ustrukturerte data. Organisasjonen skal vurdere og identifisere risikoen ved og konsekvensene av den databehandlingen organisasjonen gjennomfører. All databehandling har en risiko, så målet er å redusere risiko.
  2. Forhåndsdrøftelse med Datatilsynet er en plikt, hvis det fortsatt er høy risiko. Hvordan dette skal gjennomføres vil Datatilsynet avklare før mai 2018.  Men de ser elementer av dette nå. Direktoratet for e-helse har mange prosjekter og 7 delprosjekter rundt personvern og informasjonssikkerhet, hvor Datatilsynet er en viktig samtalepartner. Ref. for eksempel Kjernejournalen.
  3. Innebygd personvern. Vi må bygge inn personvern i teknologien helt fra starten av. Et prinsipp er, at personvern er forhåndsinnstilt i bygging av ny teknologi. Det må avklares hva dette betyr teknisk. En skriftlig veileder vil komme for dette, fra Datatilsynet i samarbeid med Den norske dataforening.
  4. Personvernombud. Alle organisasjoner i offentlig sektor skal ha personvernombud. 
  5. Avvikshåndtering. Det er en frist på 72 timer for å sende avviksmelding til Datatilsynet.

- Det vil komme en veiledning fra Datatilsynet på dette. Når det meldes inn, forventes det ikke en fullstendig redegjørelse de første 72 timene, presiserer direktør i Datatilsynet, Bjørn Erik Thon.

Helse Nord IKT har allerede på plass punkt 4 – personvernombud. Under foredraget presenterte Bjørn Erik Thon samtidig det nye personsvernombudet i Helse Nord IKT, Anna Uhlving. Hun jobber i dag som arkivar i Helse Nord IKT.  

Samarbeid på tvers

- Det blir spennende å se hvordan dette blir, hvor krevende det blir. Og vi må nok lage veien mens vi går, sier Anna Uhlving, etter foredraget. Hun er det første personvernombudet i Helse Nord IKT. 

Uhlving mener informasjonen rundt innebygd personvern og risikovurdering var spesielt nyttig, og satser på å komme på kurs i løpet av høsten i regi av Datatilsynet.

Når Helse Nord IKT skal bygge sikkerhet og personvern for framtida, er sikkerhetssjefen enig med personvernombudet, at innebygd personvern i forhold til teknologisk utvikling, anskaffelser, prosjekter og ITIL-prosessser, er viktig.

- Vi må settes oss inn i hva de fem hovedpunktene betyr for oss – hva vi har på plass og hva må vi jobbe mer med, poengterer Jan Harald Solberg, sikkerhetssjef i HN IKT.

Fv. administrerende direktør Oddbjørn Schei og sikkerhetssjef Jan Harald Solberg, i prat med Bjørn Erik Thon fra Datatilsynet, etter foredraget. 

Samarbeidet i fagrådet for informasjonssikkerhet (FRIS), og helseforetakene, og det igangsatte prosjektet Helhetlig informasjonssikkerhet, blir spesielt viktig i dette arbeidet, avslutter Solberg.

Videoopptak fra foredraget 24. august 2017

Programvareutvikling med innebygd personvernMer info om personvernreglene