Nye personvernforskrifter - GDPR

Nye personvernforskrifter - GDPR

14. mai sendte vi ut en infomail til alle våre kunder om de nye personvernforskriftene -  GDPR.
Denne informasjonen kan en lese her.

Nye personvernforskrifter - GDPR

Mange av våre brukere stiller for tiden spørsmål knyttet til de nye personvernforskriftene (GDPR) som er underveis. Spørsmålene knytter seg både til forståelse av disse forskriftene - og konsekvenser i Agrando sine løsninger.
 
Agrando har siden 2016 arbeidet sammen med Kirkerådet om en sikkerhetsrevisjon av våre systemer med tanke på de nye personvernforskriftene. Det er svært positivt at vi får forskrifter som bedre enn før sikrer behandlingen av personinformasjon.
 
Agrando legger til rette for at alle våre systemer som behandler personinformasjon skal understøtte sikker databehandling. Dette er selvsagt like viktig for alle våre kunder og våre tilpasninger er uavhengig av kirkesamfunn.
 
Vi minner også om at saken tas opp i egen workshop på årets LabOradager. Informasjon og påmelding her 
 
  
Konsekvenser i Agrando sine systemer

#1 Pålogging
Når man i et datasystem får tilgang til sensitive personopplysninger via Internett skal systemet ha en form for sterk autentisering, også kalt f.eks. to-faktor. (https://www.datatilsynet.no/regelverk-og-skjema/behandle-personopplysninger/sterk-autentisering/).
Alle våre systemer som gir tilgang til slik informasjon blir sikret med to-faktor-autentisering. Dette gjelder:

  • Medarbeideren
  • TID for prester – TID for fellesråd
  • Nettsidene

Denne sikre påloggingen vil bli aktivert 22. mai. Alle brukere vil få nærmere og spesifikk informasjon.
 

#2 Nettsider
Nettsidene går gjennom en omfattende endring (i tillegg til påloggingen nevnt ovenfor).

  • All kommunikasjon på nettsidene blir sikret (HTTPS)
  • Alle nettsider blir helt isolerte for å redusere risiko for datalekkasje og driftsforstyrrelser.

Noen kunder er allerede over på nye nettsider. Forslag til helt nytt design blir presentert på årets LabOradager. Etter dette vil alle kunder fortløpende få tilbud om overgang.

 
#3 Rett til å vite – og bli glemt
I den nye personvernforordningen gis registrerte personer rett til å få vite hva som er registrert om seg selv, og hvorfor (https://www.datatilsynet.no/regelverk-og-skjema/veiledere/de-registrertes-rettigheter-etter-nytt-regelverk/?id=7781). Den registrerte har også rett til å be om at registrert informasjon slettes (https://www.datatilsynet.no/regelverk-og-skjema/veiledere/de-registrertes-rettigheter-etter-nytt-regelverk/?id=7783).
 
Medarbeideren utvides derfor med funksjonalitet for å:

  • Søk etter all info om angitt person
  • Mulighet for sletting av all informasjon dersom behandlingsansvarlig finner kravet gyldig.

  
#4 Logging av oppslag
En omfattende logging etableres i Medarbeideren slik at alle oppslag/endringer som vedrører personinformasjon kan spores. Dette blir knapt synlig for den enkelte bruker, det vil kun være noe som skjer automatisk i «bakgrunnen».
 

#5 LabOra Menighet
LabOra Menighet blir endret slik at:

  • En får mulighet til å fjerne overskuddsinformasjon.
  • Systemet får støtte for overføring av kirkelige handlinger fra før 2013 til Kirkerådet for videre behandling. Denne informasjonen har en tidligere ikke kunne overføre direkte til e-kirkebok.

 
 
Tidspunkt for innføring av EU-direktivet i Norge blir etter 25. mai
I Danmark/Sverige/Finland er disse forskriftene gyldige som lov fra og med 25. mai. I Norge skal de først inkorporeres i norsk lov. Endelig dato er ikke pr. nå klar. Mer informasjon om dette finnes her: https://www.regjeringen.no/no/tema/lov-og-rett/innsikt/ny-personopplysningslov-og-innlemmelse-i-eos-avtalen/id2592984/
 
 
Må vi ha samtykke for å behandle personinformasjon?
Vi får mange spørsmål om dagen særlig knyttet til eventuelt behov for samtykke etter de nye personvernforskriftene. Den informasjon som har kommet fra Kirkerådet er i stor grad blitt tolket slik at de nye personvernforskriftene krever samtykke for all bruk av personinformasjon i menigheter/fellesråd.
 
Agrando ønsker i denne sammenheng å si følgende:

  • Den enkelte menighet/fellesråd har selv hovedansvaret for at personinformasjon behandles på et lovlig behandlingsgrunnlag.
     
  • De nye personvernforskriftene betyr ikke at normalt menighetsarbeid ikke lenger er mulig. Det meste en har gjort før kan en også gjøre når den nye personvernforskriften trer i kraft.
     
  • I normal kirkelig virksomhet er ikke samtykke det eneste mulige grunnlaget for databehandling. Samtykke er ett av totalt seks likeordnede behandlingsgrunnlag i de nye forskriftene. Det er menigheten/fellesrådet som behandlingsansvarlig som selv har ansvar får å vurdere og velge behandlingsgrunnlag.
     
  • I de fleste situasjoner der menigheten henter inn personinformasjon knyttet til påmeldinger (f.eks. dåp og konfirmasjon), er informasjonen nødvendig for gjennomføring av aktiviteten. Samtykke er ikke relevant behandlingsgrunnlag når en ikke har noe valg.
     
  • Videre oppbevaring og bruk av slike data er ikke ulovlig om en har formål som er forenlige med det opprinnelige formålet (Testspørsmål: Blir mottager overrasket over å bli kontaktet på nytt?).
     
  • De nye personvernforskriftene krever at en har et personvernombud som skal ha oppmerksomhet mot riktig databehandling. Så langt Agrando forstår, har Kirkerådet besluttet å oppnevne et personvernombud sentralt som skal ivareta denne funksjonen for menigheter/fellesråd.
     
  • Agrando har også reist spørsmål til Kirkerådet om å etablere en bransjenorm som eventuelt også andre trossamfunn og leverandører kan slutte seg til. Dette ville i stor grad forenklet utfordringene for den enkelte menighet/fellesråd.


For den spesielt interesserte ...
Her finner du hele direktivet på engelsk: http://www.privacy-regulation.eu/en/index.htm
Endelig norsk tekst er enda ikke klar.
Det er to artikler i direktivet som er særlig viktige:
Artikkel 6 om de forskjellige behandlingsgrunnlag: http://www.privacy-regulation.eu/en/article-6-lawfulness-of-processing-GDPR.htm
Artikkel 9 om sensitiv personinformasjon: http://www.privacy-regulation.eu/en/article-9-processing-of-special-categories-of-personal-data-GDPR.htm

Den svenske kirken og den anglikanske kirken i England har i stor grad valgt "legitimate interests" som behandlingsgrunnlag for bruk av personinformasjon. Dette behandlingsgrunnlaget kan du lese mer om her: https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/


Del denne artikkel på e-post