Förstudie inför dataskyddsförordningen Version: 1 Beslutsinstans: Förstudie inför dataskyddsförordningen Sanna Othman Samordningskansliet 2016-12-29 Dnr:36929 ÄNDRINGSFÖRTECKNING Version 1. Datum Ändring Nyutgåva 2(12) Beslutat av Förstudie inför dataskyddsförordningen Sanna Othman Samordningskansliet 2016-12-29 3(12) Dnr:36929 INNEHÅLLSFÖRTECKNING 1. ÄR REGION JÄMTLAND HÄRJEDALEN MEDVETEN OM EU:S NYA DATASKYDDSFÖRORDNING? ......................................................................................................................4 2. VILKA PERSONUPPGIFTER HANTERAR VI? ...........................................................................................4 3. ANVÄNDER VI MISSBRUKSREGELN? ......................................................................................................5 4. VILKEN INFORMATION LÄMNAR VI TILL DE REGISTRERADE? ............................................................5 Aktiviteter 2017 ............................................................................................................... 6 5. HUR SKA VÅR ORGANISATION TILLMÖTESGÅ DE REGISTRERADES RÄTTIGHETER? ....................6 Aktiviteter 2017 ............................................................................................................... 7 6. MED VILKET RÄTTSLIGT STÖD BEHANDLAR VI PERSONUPPGIFTER? ..............................................7 Aktiviteter 2017 ............................................................................................................... 7 7. HUR INHÄMTAR VI SAMTYCKE? ..............................................................................................................8 Aktiviteter 2017 ............................................................................................................... 8 8. BEHANDLAR VI PERSONUPPGIFTER OM BARN? ..................................................................................8 Aktiviteter 2017 ............................................................................................................... 9 9. VAD SKA VI GÖRA VID PERSONUPPGIFTSINCIDENTER? ....................................................................9 Aktiviteter 2017 ............................................................................................................. 10 10. VILKA SÄRSKILDA INTEGRITETSRISKER FINNS MED REGIONENS BEHANDLING? ......................10 11. HAR VI BYGGT IN SKYDD FÖR PERSONUPPGIFTER I VÅRA IT-SYSTEM? ....................................11 Aktiviteter 2017 ............................................................................................................. 11 12. VEM ANSVARAR FÖR DATASKYDDSFRÅGOR I VÅR ORGANISATION? ..........................................11 Aktiviteter 2017 ............................................................................................................. 12 13. HAR REGION JÄMTLAND HÄRJEDALEN VERKSAMHET I FLERA LÄNDER? ...................................12 Förstudie inför dataskyddsförordningen Sanna Othman Samordningskansliet 2016-12-29 4(12) Dnr:36929 1. ÄR REGION JÄMTLAND HÄRJEDALEN MEDVETEN OM EU:S NYA DATASKYDDSFÖRORDNING? Beskrivning En ny EU-förordning om dataskydd kommer att ersätta den svenska personuppgiftslagen. Förordningen kallas på svenska "allmän dataskyddsförordning". Förordningen antogs i april 2016 av Europaparlamentet och börjar gälla från och med 25 maj 2018. Nuläge Politiker och tjänstemannaledningen är medveten om den nya förordningen och det pågår utbildningsinsatser för verksamheten. Aktiviteter 2017 Utbildning kommer att fortgå så länge det finns behov och tills förordningen träder ikraft. 2. VILKA PERSONUPPGIFTER HANTERAR VI? Hur samlas de in och till vem lämnas uppgifterna ut? Beskrivning Region Jämtland Härjedalen hanterar personuppgifter för olika syften, bl.a. hälso- och sjukvård, elevadministration, personaladministration, forskning, kulturverksamhet. Personuppgifter som hanteras är bl.a. namn, adress, personnummer, personliga epostadresser, telefonnummer, fotografier, biobank mm. Exempel: Från personaladministrativa systemet lämnas uppgifter bl.a.till försäkringskassan, pensionsmyndigheten, banker (löneadministration) mm. En del av ovanstående uppgifter samlas in från den anställde själv, skatteverket (folkbokföring). Nuläge Region Jämtland Härjedalen har behov av att se över all personuppgiftshantering, hur uppgifterna samlas in och till vem de lämnas ut. En översyn har påbörjats och kommer att slutföras hösten 2017. Aktiviteter 2017 Inventera register så vi har ett register över alla våra behandlingar och register Uppdatera leverantörsavtal Inventera system med PU Förstudie inför dataskyddsförordningen Sanna Othman Samordningskansliet 2016-12-29 5(12) Dnr:36929 Upphandla e-tjänst registerförteckning, t.ex. draftit Uppdatera systemdokumentation Information till registrerade 3. ANVÄNDER VI MISSBRUKSREGELN? Beskrivning Missbruksregeln innebär behandling av personuppgifter i ostrukturerat material, t.ex. i löpande text på internet. Det har varit tillåtet utan att en PUL-anmälan behöver göras. Denna regel får inte användas längre. Dataskyddsförordningen gäller all automatiserad behandling av personuppgifter både i register och löpande text. Nuläge Regionen använder missbruksregeln. Sociala medier, FB, texter som publiceras i diariet, mail, minnesanteckningar, protokoll, t.ex. minnesanteckningar från samverkansmöten I diariet idag använder vi PUL. Försiktighetsåtgärder finns redan etablerade, dock behöver vi tydliga riktlinjer kring detta då behandling av personuppgifter i ostrukturerat material nu ska hanteras likvärdigt som i strukturerad text. Aktiviteter 2017 Ett regelverk kring hantering av personuppgifter där missbruksregeln tidigare gällde ska tas fram. Informationsinsatser behöver vidtas, hur tar vi in samtycke av medverkande på möten, externa som t.ex. nämns i protokoll, innan protokoll förs mm. Regelverk kring samtyckeshantering bör tas fram. Region Jämtland Härjedalen bör se över bl.a. EU-ansökningar företagsstöd, hur skolorna hanterar missbruksregeln. Diariet och publicering av ostrukturerad material. 4. VILKEN INFORMATION LÄMNAR VI TILL DE REGISTRERADE? Beskrivning När vi samlar in personuppgifter måste vi enligt personuppgiftslagen lämna viss information, till exempel om vår identitet och ändamålet med behandlingen. Dataskyddsförordningen innehåller utökade krav på vilken information som ska lämnas till de registrerade. Bland annat kommer vi att behöva informera om den rättsliga grunden för behandlingen, hur länge personuppgifterna lagras och möjligheten att lämna klagomål till Datainspektionen om man anser att ens personuppgifter har hanterats felaktigt av oss. Viktigt i Förstudie inför dataskyddsförordningen Sanna Othman Samordningskansliet 2016-12-29 6(12) Dnr:36929 sammanhanget är att dataskyddsförordningen ställer krav på att informationen som lämnas ska vara kortfattad, lättbegriplig och utformad med ett tydligt och enkelt språk. Nuläge För kvalitetsregistren informerar vi patienter om rätten att få veta om uppgifter är hämtade från någon annan källa än patientjournalen eller från patienten själv. Vi informerar även om rätten att få sina uppgifter borttagna eller tacka nej till att bli registrerad. Aktiviteter 2017 Information till registrerade bör finnas på Regionens webbplats, informationsbroschyr tas fram om registrerades rättigheter (all personuppgiftshantering, ej endast patient). Informationsinsatser på vår webbplats ska diskuteras med kommunikationsavdelningen. I övrigt se även p.2. Aktiviteter under 2017. 5. HUR SKA VÅR ORGANISATION TILLMÖTESGÅ DE REGISTRERADES RÄTTIGHETER? Beskrivning När vi samlar in personuppgifter måste vi enligt personuppgiftslagen lämna viss information, till exempel om vår identitet och ändamålet med behandlingen. De viktigaste rättigheterna för de registrerade är att: få tillgång till sina personuppgifter få felaktiga personuppgifter rättade få sina personuppgifter raderade invända mot att personuppgifterna används för direktmarknadsföring invända mot att personuppgifterna används för automatiserat beslutsfattande och profilering flytta personuppgifterna (dataportabilitet), dock ej klarlagt om detta krav även gäller landsting och kommuner. Rätt till elektroniskt utlämnande Nuläge Till stor del uppfyller Regionen detta idag, men en översyn av styrdokument behöver göras och ev. kompletteras. Förstudie inför dataskyddsförordningen Sanna Othman Samordningskansliet 2016-12-29 7(12) Dnr:36929 Aktiviteter 2017 Region Jämtland Härjedalens regelverk behöver ses över för att säkerställa att de registrerades rättigheter uppfylls i enlighet med dataskyddsförordningen. Informationsinsatser krävs både internt och externt. Nytt i dataskyddsförordningen är rätten till dataportabilitet. Denna rättighet kommer att göra det lättare att flytta sina personuppgifter från en organisation eller leverantör till en annan. I dagsläget är det inte klart om detta krav även gäller för landsting och kommuner. Nytt är även kravet på elektroniskt utlämnande. Frågor att besvara: Hur görs det rent tekniskt? Vilka typer av uppgifter och system berörs? Hur ska överlämnandet gå till? Vem får vi lämna ut till? 6. MED VILKET RÄTTSLIGT STÖD BEHANDLAR VI PERSONUPPGIFTER? Beskrivning Många organisationer har inte tydligt pekat ut med vilket rättsligt stöd de behandlar personuppgifter. Det är inte ovanligt att organisationer anser sig ha flera alternativa grunder för sin behandling. Med förordningen följer krav på att informera om den rättsliga grunden redan när uppgifterna samlas in. Det är därför viktigt att redan från början ha klart för sig med vilket stöd detta sker. Dessutom är ett flertal av de registrerades rättigheter beroende av den rättsliga grunden för behandlingen. Det finns till exempel större möjligheter för en registrerad att motsätta sig en behandling som sker med stöd av en intresseavvägning. Observera att myndigheter inte kommer att kunna stödja sin behandling på en intresseavvägning. Nuläge De rättsliga grunderna för behandling av personuppgifter är i stort sett oförändrade från patientdatalagen. Vi kan därför redan nu kartlägga vilka behandlingar vi genomför och med vilken rättslig grund vi gör detta. Aktiviteter 2017 Vi bör dokumentera våra slutsatser för att också kunna visa att vi uppfyller dataskyddsförordningens krav. Se även aktiviteter under kap.2 ovan. Förstudie inför dataskyddsförordningen Sanna Othman Samordningskansliet 2016-12-29 8(12) Dnr:36929 7. HUR INHÄMTAR VI SAMTYCKE? Beskrivning Ett giltigt samtycke enligt dataskyddsförordningen har samma innebörd som i personuppgiftslagen. Det måste vara fråga om en frivillig, specifik och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandlingen av personuppgifter som rör honom eller henne. Det får inte råda någon tvekan om att den registrerade godtar behandlingen av personuppgifter. Till exempel godtas inte ett tyst samtycke eller en på förhand ikryssad ruta på en webbplats. Om vi stödjer oss på samtycke för att behandla personuppgifter behöver vi försäkra oss om att kraven på samtycke i förordningen är uppfyllda. Om så inte är fallet, måste vi antingen förändra våra rutiner eller finna en annan rättslig grund för behandlingen. Dataskyddsförordningen ställer tydliga krav på att den som behandlar personuppgifter med stöd av samtycke måste kunna visa att ett samtycke har lämnats. Vi bör fundera över hur vi i efterhand ska kunna visa att ett giltigt samtycke har lämnats. Nuläge Nationella register tar vi in samtycke innan registrering, och registrerade får information vilka rättigheter hen har. Däremot ställs krav enligt lagstiftning t.ex. att vården ska dokumenteras, här behövs inget samtycke. Aktiviteter 2017 Samtyckes registreras i nationella register dock behövs ett register för vilka register vi ska eller har tagit in samtycke. Regelverk kring samtycken ska ses över För vilken typ av behandlingar behövs samtycke? För vilka typer av behandlingar ska inte samtycke användas? Hur ska samtyckena hanteras? 8. BEHANDLAR VI PERSONUPPGIFTER OM BARN? Beskrivning Genom dataskyddsförordningen införs ett förstärkt skydd för barns personuppgifter, särskilt när det gäller kommersiella internettjänster som sociala nätverk. Kort sagt, om vi erbjuder den typen av tjänster till barn måste vi inhämta vårdnadshavares samtycke för att få behandla barnets uppgifter. Detta gäller enligt förordningen, barn under 16 år. Medlemsstaterna kan själva bestämma en lägre åldersgräns, dock lägst 13 år. Reglerna kan få betydande konsekvenser om vår organisation erbjuder denna typ av tjänster till barn. Kom ihåg att vi då också måste kunna visa att vårdnadshavarens samtycke har lämnats. Förstudie inför dataskyddsförordningen Sanna Othman Samordningskansliet 2016-12-29 9(12) Dnr:36929 Eftersom barn enligt förordningen förtjänar särskilt skydd måste all den information som riktar sig till barn vara skriven på ett tydligt och enkelt sätt som barn förstår. Barns skyddsvärda ställning ska också vägas in vid en intresseavvägning. Nuläge I dagsläget tror vi inte att regionen hanterar barns personuppgifter enligt beskrivningen ovan. Dock kan det finnas olika mobila enheter/tjänster som används som t.ex. chat eller videosamtal ev. appar där personuppgifter om barn behandlas. Aktiviteter 2017 Vi bör redan nu fundera på hur vi ska kontrollera en persons ålder och hur vi ska inhämta vårdnadshavares samtycke eller barnets samtycke när det nått viss mognad och utveckling, i samband med behandling av barns personuppgifter online. Inventera i vilka sammanhang hanterar vi barns personuppgifter och där samtycke krävs Berörda verksamheter är t.ex. Ungdomsmottagningarna, länskulturen, BUP och BUH 9. VAD SKA VI GÖRA VID PERSONUPPGIFTSINCIDENTER? Beskrivning Dataskyddsförordningen innehåller nya bestämmelser om vad vi som organisation (PUA)måste göra om vi blir utsatta för dataintrång eller på något annat sätt förlorar kontrollen över de uppgifter vi behandlar. Vi måste dokumentera alla sådana händelser. När det inte är osannolikt att incidenten medför risker för enskildas fri- och rättigheter måste vi anmäla händelsen till tillsynsmyndigheten inom 72 timmar. Om incidenten kan leda till att personer utsätts för allvarliga risker såsom diskriminering, id-stölder, bedrägerier eller finansiella stölder ska vi även informera de registrerade om händelsen så att de kan vidta nödvändiga åtgärder. För att kunna leva upp till de nya skyldigheterna enligt förordningen är det viktigt att vi har tillräckliga rutiner på plats för att vi ska kunna upptäcka, rapportera och utreda personuppgiftsincidenter. Vi bör även fundera över vilka risker en sådan incident kan medföra och när vi behöver anmäla händelsen till tillsynsmyndigheten. Tidsfristerna för att rapportera personuppgiftsincidenter är korta. Det är därför bra att redan nu bestämma var ansvaret för att göra en sådan anmälan ska ligga i vår organisation så att anmälan kan göras i rätt tid. Förstudie inför dataskyddsförordningen Sanna Othman Samordningskansliet 2016-12-29 10(12) Dnr:36929 Nuläge Region Jämtland Härjedalen har ännu inte reglering av den här nya bestämmelsen om anmälan av personuppgiftsincidenter till tillsynsmyndigheten. Interna rutiner finns för kvalitetssäkring och incidentrapportering. Regelverk finns för IT- incidenter. Regelverk finns även för informationssäkerhetsincidenter. Aktiviteter 2017 Se över befintliga styrdokument och komplettera med det som saknas för att uppfylla dataskyddsförordningen. Se till att det finns tillräckliga rutiner på plats för att upptäcka, rapportera och utreda personuppgiftsincidenter innan förordningen träder i kraft. Ta fram ett regelverk Det kan även vara bra att ha regelbundna övningar i incidenthantering 10. VILKA SÄRSKILDA INTEGRITETSRISKER FINNS MED REGIONENS BEHANDLING? Beskrivning Förordningen ställer särskilda krav på den som vill behandla personuppgifter på ett sätt som kan medföra stora integritetsrisker för enskilda. Om Region Jämtland Härjedalen avser att utföra en riskfylld personuppgiftsbehandling måste vi först göra en noggrann analys av vilka konsekvenser behandlingen kan få för enskilda. Sådan riskfylld behandling kan till exempel vara storskaliga register som innehåller känsliga personuppgifter, profilering eller omfattande kameraövervakning på allmän plats. Om vår analys visar att risken är hög, måste vi samråda med tillsynsmyndigheten(datainspektionen) innan behandlingen får påbörjas. Observera även kravet på att utse dataskyddsombud vid riskfylld behandling, se mer under kap. 12. Nuläge Arbete med att genomföra riskanalyser och informationsklassningar har påbörjats. Förbättringspotential finns då det inte görs systematiskt. Aktiviteter 2017 Är regionens personuppgiftsbehandlingar förenad med särskilda risker för enskildas fri- och rättigheter? I så fall bör det göras en konsekvensbedömning avseende dataskydd enligt dataskyddsförordningen. Denna aktivitet bör finnas med i den totala genomlysningen av regionens personuppgiftshantering. Vilka typer av behandlingar kan vara aktuella? Systematik bör införas i att göra riskanalyser och informationsklassningar. Förstudie inför dataskyddsförordningen Sanna Othman Samordningskansliet 2016-12-29 11(12) Dnr:36929 11. HAR VI BYGGT IN SKYDD FÖR PERSONUPPGIFTER I VÅRA IT-SYSTEM? Beskrivning Grundläggande principer inom integritetsskydd är att inte samla in mer information än vad som behövs, inte ha kvar informationen längre än nödvändigt och inte använda uppgifterna till något annat än vad som var syftet när de samlades in. Genom att ta hänsyn till dessa principer när man utvecklar nya eller ändrar befintliga IT-system blir det enklare för organisationen att uppfylla reglerna i förordningen. Att bygga in dataskydd i systemen kallas privacy by design och regleras uttryckligen i förordningen. När verksamheten behandlar personuppgifter ska den vidta lämpliga tekniska och organisatoriska åtgärder för att uppfylla kraven i förordningen både när den fattar beslut om hur behandlingen ska genomföras och under hela den fortsatta behandlingen. Vilka åtgärder som behövs beror på uppgifternas art, omfattning och syfte med behandlingen liksom vilka risker för enskildas rättigheter och friheter som behandlingen kan innebära. Åtgärderna kan till exempel vara pseudonymisering, som medför att uppgifterna inte går att koppla till en enskild person utan ytterligare information (nyckel) som hålls avskild, eller dataminimering, det vill säga att endast behandla de uppgifter som är nödvändiga för varje enskilt ändamål. Nuläge Regionen uppfyller till viss del detta idag. Vi bör redan nu ta hänsyn till och anpassa regler till dataskyddsförordningens regler när vi tar in nya IT-system eller förändrar befintliga. Det ger en större möjlighet att följa reglerna, höja säkerheten och förhindra onödiga framtida kostnader. Aktiviteter 2017 Uppdatera befintligt regelverk så att dataskydd finns med där det är aktuellt. Anpassa regler till dataskyddsförordningens regler när vi tar in nya IT-system eller förändrar befintliga. 12. VEM ANSVARAR FÖR DATASKYDDSFRÅGOR I VÅR ORGANISATION? Beskrivning Förordningen ställer krav på att vissa organisationer ska utse ett dataskyddsombud. Det gäller till exempel offentliga myndigheter och organisationer vars verksamhet involverar Förstudie inför dataskyddsförordningen Sanna Othman Samordningskansliet 2016-12-29 12(12) Dnr:36929 särskilt riskfylld behandling, som exempelvis regelbunden och systematisk övervakning av registrerade i stor skala eller omfattande behandling av känsliga personuppgifter. Den person som utses måste ha tillräcklig kunskap om dataskydd och få det stöd och de befogenheter som krävs för att kunna utföra sitt uppdrag på ett effektivt och oberoende sätt. Nuläge Region Jämtland Härjedalen har ett centralt personuppgiftsombud som är ombud för hela organisationen. Översyn pågår för att skapa en tydlig organisation för personuppgiftshantering och fördelning av ansvar och roller. Aktiviteter 2017 Vi bör besluta om var i organisationen ansvaret för dataskyddsfrågor ska ligga. Skapa en organisation för personuppgiftshantering i Region Jämtland Härjedalen som också innehåller den nya rollen dataskyddsombud. Ansvar och roller bör tydligt beskrivas. Befintliga styrdokument bör uppdateras 13. HAR REGION JÄMTLAND HÄRJEDALEN VERKSAMHET I FLERA LÄNDER? Beskrivning Om regionen bedriver verksamhet i flera olika EU-länder bör vi ta reda på vilken dataskyddsmyndighet som ansvarar för tillsynen av de personuppgiftsbehandlingar vi utför. Huvudregeln i dataskyddsförordningen är att en organisation bara ska behöva svara inför dataskyddsmyndigheten i ett av EU:s medlemsländer. Om vi har verksamhet i flera länder är det därför viktigt att bedöma vilken dataskyddsmyndighet som ansvarar för tillsynen av de personuppgiftsbehandlingar som vi utför. Nuläge Översyn pågår av regionens personuppgiftsbehandlingar. Aktiviteter 2017 Har regionen verksamhet i flera länder? Om ja ska hanteringen av personuppgifter anpassas till dataskyddsförordningen. Riktlinjer bör tas fram för personuppgiftshantering inom EU samt personuppgiftsbehandling eller överföring av personuppgifter till 3:e land (land utanför EU/EES).