Västra Götalandsregionens arbete kring dataskyddsförordningen (GDPR)

Relevanta dokument
Information till personuppgiftsansvarig om dataskyddsombud

GDPR (General Data Protection Regulation) Dataskyddsförordningen

Ett eller flera dataskyddsombud?

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Handlingsplan för persondataskydd

3 Tillsättning av dataskyddsombud för hälso- och sjukvårdsnämndens personuppgiftsbehandlin gar HSN

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Granskning av landstingets hantering av personuppgifter

Regler för behandling av personuppgifter vid Högskolan Dalarna

Mjölby Kommun PROTOKOLLSUTDRAG. 33 Dnr KS/2018:41. GDPR - utse ombud

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Sammanträdesdatum Arbetsutskott (1) 73 Dnr KS/2018:41. Organisation med anledning av ny dataskyddsförordning

GDPR och hantering av personuppgifter

Information om dataskyddsförordningen

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

GDPR NYA DATASKYDDSFÖRORDNINGEN

Ny dataskyddsförordning (GDPR) - Projektdirektiv för anpassning i

GDPR. General Data Protection Regulation. dataskyddsförordningen

Ingegerd Lenander (KD), Markaryd

Dataskyddsförordningen för prefekter och administrativa chefer

Allmänna Råd. Datainspektionen informerar Nr 3/2017

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

Dataskyddsförordningen (DSF/GDPR)

Södertörns brandförsvarsförbund

Dataskyddsombud för miljö- och hälsoskyddsnämnden

Information om behandling av personuppgifter

Dataskyddsombud, organisation och finansiering

Lindesbergs kommuns arbete med dataskyddsförordningen

Riktlinjer för hantering av personuppgifter

Utredning om förberedelser inför att dataskyddsförordningen träder i kraft maj 2018

PERSONUPPGIFTER NY DATASKYDDSFÖRORDNING INOM EU

Vården och reglerna om dataskydd

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Den nya Dataskyddsförordningen

Skolan och Dataskyddsförordningen

När en konsekvensbedömning ska genomföras

Välkomna till kurs i den nya dataskyddsförordningen

WHITE PAPER. Dataskyddsförordningen

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

GDPR UTBILDNINGSDAG SKKF

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Kollektivtrafiknämnden

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Behandling av personuppgifter vid Göteborgs universitet

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Dataskyddsförordningen - GDPR

INTEGRITETSPOLICY Information om behandling av personuppgifter för dig som är medlem i brf Gandalf

Policy för integritet vid hantering av personuppgifter

PuL och GDPR en översiktlig genomgång

Utseende av dataskyddsombud

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Datainspektionen lämnar följande synpunkter.

Vad finns det för stöd kommunerna? Pål Resare, Förbundsjurist Sveriges Kommuner och Landsting

Riktlinjer för personuppgiftshantering

Dataskyddsförordningen

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

DATASKYDD (GDPR) Del 2: Förvaltningsledning

GUSTAF FAGERBERG AB - INTEGRITETSPOLICY

Dataskyddsförordningen

Finansdepartementet Avdelningen för offentlig förvaltning Föreskriftsrätt för Lantmäteriet enligt förordningen om lägenhetsregister Maj

INTEGRITETSPOLICY Så här behandlar vi personuppgifter

GDPR och annat om personlig integritet som man bör tänka på

Dataskyddsförordningen

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Dataskyddsförordningen (GDPR)

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Dataskyddsförordningen

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Dataskyddsombud i kommuner, landsting och regioner

Vad står förkortningen GDPR för? GDPR är en förkortning för General Data Protection Regulation.

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Policy för behandling av personuppgifter

En guide om GDPR och vad du behöver tänka på

Dataskyddsförordningen och kvalitetsregister

GDPR ur verksamhetsperspektiv

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Riktlinjer för dataskydd

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Riktlinjer för hantering av personuppgifter

Dataskyddsförordningen

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

GDPR. Dataskyddsförordningen

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

EU:s allmänna dataskyddsförordning:

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Kanslichef - Tillsvidare

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

GDPR dataskydd. vid Alandica Kultur & Kongress. (för personal, kunder och samarbetspartners)

Integritetspolicy. Vårt dataskyddsarbete

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Rapportering vid personuppgiftsincidenter

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Transkript:

1 (5) Bilaga 1 Datum 2018-02-16 Handläggare: Fredrika Holm Telefon: 070-577 86 51 E-post: fredrika.holm@vgregion.se Till samtliga förvaltningschefer och Verkställande direktörer i de majoritetsägda bolagen Västra Götalandsregionens arbete kring dataskyddsförordningen (GDPR) Sammanfattning GDPR gäller från och med den 25 maj 2018 och berör alla styrelser, nämnder och bolag inom Västra Götalandsregionen (VGR). GDPR ställer krav på en bättre kontroll över vilka personuppgifter som behandlas och hur man gör det. Den personuppgiftsansvarige ska kunna visa att man efterlever de grundläggande principerna för personuppgiftsbehandling. GDPR medför nya detaljregler som kräver mer kontroll och administration. Personuppgiftsombudet (PUO:s) kontrollerande och rådgivande funktion för organisationen förtydligas vilket innebär att rollen måste förändras. PUO byter namn till dataskyddsombud (DSO). Regionalt projekt är tillsatt för att säkerställa en regiongemensam anpassning till GDPR. Varje personuppgiftsansvarig (förvaltningschef/vd) ska utse en kontaktperson som ansvarar för anpassningsarbetet på lokal nivå. Namnet på den som utsetts mailas till det regionala projektet (sakerhet-beredskap@vgregion.se) senast den 28 februari 2018. Vad är GDPR? I april 2016 beslutade Europaparlamentet och Rådet om en ny EU-förordning om dataskydd, sk dataskyddsförordningen (General Data Protection Regulation; GDPR). GDPR blir direkt tillämplig i Sverige och alla andra EU-medlemsländer den 25 maj 2018. GDPR kommer att ersätta det nuvarande dataskyddsdirektivet och därigenom upphör Personuppgiftslagen (PuL), liksom Datainspektionens föreskrifter som har anslutning till PuL att gälla. Regeringen har tillsatt ett flertal utredningar som ser Postadress: Skaraborgs Sjukhus 541 85 Skövde Besöksadress: Lövängsvägen 541 42 Skövde Telefon: 0500-43 10 00 Webbplats: www.vgregion.se/skas E-post: diariet.skas@vgregion.se

2 (5) över vilken ytterligare lagstiftning som måste anpassas men nuvarande förslag innebär inte några väsentliga ändringar av patientdatalagen (PdL). GDPR:s påverkan på Västra Götalandsregionen Varje styrelse, nämnd och bolag inom VGR är personuppgiftsansvarig för sin personuppgiftsbehandling. GDPR berör därför alla styrelser, nämnder och bolag inom VGR. Ansvaret för behandling av personuppgifter och vilka skyldigheter sådan behandling medför förtydligas och utökas genom GDPR. Inom VGR hanteras idag en stor mängd personuppgifter av olika känslig karaktär. I och med GDPR ställs inte bara krav på att hanteringen av de personuppgifter som flödar sker på ett lagligt sätt utan också på att de som hanterar personuppgifter kan visa på att de satta lagkraven efterlevs. De ändamål som är tillåtna att behandla personuppgifter för enligt nu gällande lagstiftning är emellertid till stor del desamma även i GDPR. Det kommer därför inte att ske några stora förändringar i med vilket rättsligt stöd som VGR kan fortsätta att behandla personuppgifter. Personuppgiftsansvariga kommer däremot inte längre att kunna behandla personuppgifter med stöd av en intresseavvägning, vilket kan innebära att man i vissa fall kan behöva motivera något tydligare med vilket stöd man får behandla personuppgifter. GDPR innebär också att de registrerades rättigheter och skyddet för den personliga integriteten stärks. GDPR ställer krav på en utökad informationsskyldighet till registrerade, vilket innebär att den information som idag lämnas till patienter och andra registrerade behöver kompletteras. Ett nytt krav införs om att informationen ska vara begriplig och lämnas i en lättillgänglig form. De registrerade har även rätt att få veta var deras personuppgifter registreras och de har även rätt till att uppgifterna raderas i den mån den som behandlar personuppgifter inte har lagligt stöd, exempelvis journalföring, för att spara uppgifterna. Detta innebär att den som behandlar personuppgifter (personuppgiftsansvarig) måste veta hur och var personuppgifter hanteras, måste kunna motivera och ha lagstöd för den behandling som äger rum samt även måste kunna ha möjlighet att radera uppgifter i de fall sådan skyldighet inträder. Andra skillnader som GDPR medför är exempelvis att det blir obligatoriskt för personuppgiftsansvariga att ha ett dataskyddsombud. Personuppgiftsombuden (PuO) byter namn till dataskyddsombud (DSO) och får en starkare och förändrad roll i organisationen då den kontrollerande och rådgivande funktionen i förhållande till den personuppgiftsansvarige renodlas. Den personuppgiftsansvarige ska säkerställa att DSO på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter men DSO har en självständig roll i förhållande till den personuppgiftsansvarige. Den personuppgiftsansvariga nämnden eller styrelsen kan välja att utse PuO till DSO men organisationen måste självständigt bedriva ett aktivt dataskyddsarbete som inte leds av dataskyddsombudet. Enligt GDPR är det den personuppgiftsansvariges skyldighet att säkerställa att DSO har tillräcklig kompetens.

3 (5) För mer information kring dataskyddsombudens roll och uppdrag, se https://skl.se/download/18.2ced2eb215cc46662ca11a3a/1498030987866/v%c3%a4gledni ng%20kring%20dataskyddsombud.pdf Aktörer som behandlar personuppgifter för VGR:s räkning, så kallade personuppgiftsbiträden, kommer också att omfattas av nya bestämmelser i GDPR. Till exempel blir personuppgiftsbiträdet skyldig att föra en förteckning över sin personuppgiftsbehandling. De nya bestämmelserna kan också i viss omfattning göra det möjligt att ställa vissa högre krav på leverantörer som behandlar personuppgifter på uppdrag av VGR. Inom VGR hanteras som ovan nämnt varje dag en mängd olika personuppgifter, framför allt i våra patientdatasystem, men även såväl i det personaladministrativa arbetet som i medarbetarnas G: och H: mappar för att nämna några exempel. GDPR kommer att innebära att en omfattande inventering måste genomföras för att kunna få kontroll på den hantering som sker. All hantering som sker ska kunna motiveras och skälen för personuppgiftsbehandlingen ska även dokumenteras. När hanteringen inte längre har lagstöd ska behandlingen avslutas. Detta ställer höga krav på att rutiner för kontinuerlig kontroll på personuppgiftsbehandlingen finns och efterföljs. Sammanfattningsvis innebär GDPR större krav på VGR och medarbetare vilket innebär att kompetensen inom organisationen behöver säkerställas och att det kommer att behöva införas ett flertal nya administrativa rutiner vilket kan komma att kräva mer resurser. Regionalt projekt Ett regionalt projekt har startat inom VGR för att säkerställa en regiongemensam anpassning till de nya reglerna. Projektet syftar till att tydliggöra roll-och ansvarsfördelningen vid anpassningen mellan regional och lokal nivå samt gentemot objekten, ansvara för att de regionala anpassningarna genomförs samt att ta fram lämpliga lösningsförslag så att samtliga personuppgiftsansvariga inom VGR ska kunna göra rätt i det anpassningsarbete som måste ske på lokal nivå. Inom projektet finns också ett delprojekt som drivs av VGR IT. Förankring och samordning inom projektet sker i Funktionsgrupp Säkerhet och beredskap, undergrupp Informationssäkerhet. På Intranätet finns en projektsida där uppdaterad information kring projektet kommer att publiceras löpande, se http://intra.vgregion.se/sv/insidan/amnesomraden/projekt/projekt/anpassning-till- Dataskyddsforordningen/. Pågående arbeten inom projektet Intensivt arbete pågår inom projektet och flera arbetsgrupper är tillsatta för att utreda och leverera regiongemensamma lösningar inom olika områden där GDPR medför förändringar. Exempelvis pågår arbete med att ta fram information kring de förändringar

4 (5) som GDPR medför då dataskyddsombudet (DSO) ersätter personuppgiftsombudet (PuO) samt upprättande av en DSO-instruktion. Arbete pågår även med att ta fram en rutin för hur kraven på incidentrapportering som ställs i GDPR framöver ska ske. Parallellt med de utredningar som pågår arbetar projektet med att ta fram ett informationspaket som ska kunna förmedlas ut inom VGR. Ett mer grundläggande utbildningspaket kommer att tas fram härefter. Härutöver pågår även intensivt arbete med att ta fram en instruktion för inventering. Inventeringen kommer att vara det primära i det anpassningsarbete som behöver genomföras. I arbetet med att ta fram en inventeringsinstruktion ingår att hitta en lösning för hur kravet på registerföring ska hanteras utifrån de utökade dokumentationskrav som GDPR ställer. Samarbete pågår även med det Sharepoint-projekt som finns etablerat inom regionen då det finns flera gemensamma beröringspunkter projekten emellan. Kontaktperson För att det arbete som sker inom projektet på ett framgångsrikt sätt ska nå ut till personuppgiftsansvariga styrelser, nämnder och bolag är kanalen mellan projektet och de personuppgiftsansvariga oerhört viktigt. Projektet ser därför att respektive personuppgiftsansvarig utser en kontaktperson som ansvarar för det lokala anpassningsarbetet. Kontaktpersonen har att ansvara för att utbildningsmaterial kommer respektive myndighet och medarbetare inom den tillgodo samt utgör en kanal såväl till övriga inom verksamheten som till och från projektet. Kontaktpersonen har att säkerställa att inventeringen och övrigt anpassningsarbete genomförs. Kontaktpersonen utgör även den personuppgiftsansvariges länk till dataskyddsombudet (DSO). På grund av DSO:s förändrade roll är det lämpligt att utse en kontaktperson som inte samtidigt är DSO. Anpassningsarbetet till GDPR kommer att kräva en hel del resurser. Kontaktpersonen behöver därför få utrymme att arbeta med dessa frågor i den mån det behövs tillsammans med övriga nödvändiga resurser för att ett framgångsrikt arbete ska kunna genomföras. Kontaktperson ska utses för varje personuppgiftsansvarig. Namnet på den som utsetts mailas till det regionala projektet (sakerhet-beredskap@vgregion.se) senast den 28 februari 2018. Styrgruppen för GDPR-projektet Eva Arrdal, Göran Ejbyfeldt, Johan Flarup och Erik Lagersten

5 (5) FAKTARUTA GDPR EU:s dataskyddsförordning om behandling av personuppgifter, DSF eller GDPR (General Data Protection Regulation) beslutades i april 2016 och gäller som lag i alla medlemsstater från och med den 25 maj 2018. Syftet med GDPR är att stärka och skydda enskildas grundläggande fri-och rättigheter såsom integritet, rätt till privatliv och skydd för personuppgifter. Det nya regelverket syftar även till att skapa en enhetlighet och likvärdig nivå på skyddet av personuppgifter inom EU samt utgör en anpassning till det nya digitala samhället. GDPR ersätter det tidigare dataskyddsdirektivet, personuppgiftslagen (PuL) och nu gällande föreskrifter kring PuL från Datainspektionen. Bristande följsamhet till GDPR kan bestraffas med höga administrativa sanktionsavgifter. GDPR förutsätter att Sverige antar eller anpassar befintliga nationella regler vad gäller personuppgiftsbehandling. För närvarande pågår ett intensivt lagstiftningsarbete i frågor som rör dataskydd och personlig integritet. Några nya eller reviderade regler är ännu inte antagna. GDPR kommer enligt nuvarande förslag att kompletteras av en ny dataskyddslag, vilket innebär att nuvarande PuL, enligt förslaget, ersätts av både GDPR och den föreslagna dataskyddslagen. Enligt nuvarande förslag kan VGR fortsätta behandla personuppgifter med stöd av patientdatalagen (PdL) men GDPR, och föreslagen dataskyddslag, påverkar dock vilka kompletterande generella hanteringsregler man har att förhålla sig till vid exempelvis behandling av patientuppgifter. För mer info kring GDPR eller det regionala projektets arbete, se projektsida Anpassning till dataskyddsförordningen på VGR:s Intranät

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss