The Global Protection of Personal Health Data

The workshop is an activity of the IMIA Working Group ‘Security in Health Information Systems’ (SiHIS). It is focused to the growing global problem: how to protect personal health data in today’s global eHealth and digital health environment. It will review available trust building mechanisms, security measures and privacy policies. Technology alone does not solve this complex problem and current protection policies and legislation are considered woefully inadequate. Among other trust building tools, certification and accreditation mechanisms are dis-cussed in detail and the workshop will determine their acceptance and quality. The need for further research and international collective action are discussed. This workshop provides an opportunity to address a critical growing problem and make pragmatic proposals for sustainable and effective solutions for global eHealth and digital health.

The Ontario Municipal Freedom of Information and Protection of Individual Privacy Act: an analysis of its application to school boards

In Canada freedom of information must be viewed in the context of governing -- how do you deal with an abundance of information while balancing a diversity of competing interests? How can you ensure people are informed enough to participate in crucial decision-making, yet willing enough to let some administrative matters be dealt with in camera without their involvement in every detail. In an age when taxpayers' coalition groups are on the rise, and the government is encouraging the establishment of Parent Council groups for schools, the issues and challenges presented by access to information and protection of privacy legislation are real ones. The province of Ontario's decision to extend freedom of information legislation to local governments does not ensure, or equate to, full public disclosure of all facts or necessarily guarantee complete public comprehension of an issue. The mere fact that local governments, like school boards, decide to collect, assemble or record some information and not to collect other information implies that a prior decision was made by "someone" on what was important to record or keep. That in itself means that not all the facts are going to be disclosed, regardless of the presence of legislation. The resulting lack of information can lead to public mistrust and lack of confidence in those who govern. This is completely contrary to the spirit of the legislation which was to provide interested members of the community with facts so that values like political accountability and trust could be ensured and meaningful criticism and input obtained on matters affecting the whole community. This thesis first reviews the historical reasons for adopting freedom of information legislation, reasons which are rooted in our parliamentary system of government. However, the same reasoning for enacting such legislation cannot be applied carte blanche to the municipal level of government in Ontario, or - ii - more specifially to the programs, policies or operations of a school board. The purpose of this thesis is to examine whether the Municipal Freedom of Information and Protection of Privacy Act, 1989 (MFIPPA) was a neccessary step to ensure greater openness from school boards. Based on a review of the Orders made by the Office of the Information and Privacy Commissioner/Ontario, it also assesses how successfully freedom of information legislation has been implemented at the municipal level of government. The Orders provide an opportunity to review what problems school boards have encountered, and what guidance the Commissioner has offered. Reference is made to a value framework as an administrative tool in critically analyzing the suitability of MFIPPA to school boards. The conclusion is drawn that MFIPPA appears to have inhibited rather than facilitated openness in local government. This may be attributed to several factors inclusive of the general uncertainty, confusion and discretion in interpreting various provisions and exemptions in the Act. Some of the uncertainty is due to the fact that an insufficient number of school board staff are familiar with the Act. The complexity of the Act and its legalistic procedures have over-formalized the processes of exchanging information. In addition there appears to be a concern among municipal officials that granting any access to information may be violating personal privacy rights of others. These concerns translate into indecision and extreme caution in responding to inquiries. The result is delay in responding to information requests and lack of uniformity in the responses given. However, the mandatory review of the legislation does afford an opportunity to address some of these problems and to make this complex Act more suitable for application to school boards. In order for the Act to function more efficiently and effectively legislative changes must be made to MFIPPA. It is important that the recommendations for improving the Act be adopted before the government extends this legislation to any other public entities.

Le cadre européen de protection des données personnelles en matière pénale. Dimensions interne et externe = The European framework for the protection of personal data in criminal matters. Internal and external dimensions. Bruges Political Research Paper No. 29, May 2013

No abstract.

Openness and privacy in Ontario: an evaluation of the implementation of FIPPA : (The Freedom of Information and Protection of Privacy Act, 1987, Chapter 25 and Ontario Regulation 532/87) /

Since the early 1970's, Canadians have expressed many concerns about the growth of government and its impact on their daily lives. The public has requested increased access to government documents and improved protection of the personal information which is held in government files and data banks. At the same time, both academics and practitioners in the field of public administration have become more interested in the values that public servants bring to their decisions and recommendations. Certain administrative values, such as accountability and integrity, have taken on greater relative importance. The purpose of this thesis is to examine the implementation of Ontario's access and privacy law. It centres on the question of whether or not the Freedom of Information and Protection of Privacy Act, 1987, (FIPPA) has answered the demand for open access to government while at the same time protecting the personal privacy of individual citizens. It also assesses the extent to which this relatively new piece of legislation has made a difference to the people of Ontario. The thesis presents an overview of the issues of freedom of information and protection of privacy in Ontario. It begins with the evolution of the legislation and a description of the law itself. It focuses on the structures and processes which have been established to meet the procedural and administrative demands of the Act. These structures and processes are evaluated in two ways. First, the thesis evaluates how open the Ontario government has become and, second, it determines how Ill carefully the privacy rights of individuals are safeguarded. An analytical framework of administrative values is used to evaluate the overall performance of the government in these two areas. The conclusion is drawn that, overall, the Ontario government has effectively implemented the Freedom of Information and Protection of Privacy Act, particularly by providing access to most government-held documents. The protection of individual privacy has proved to be not only more difficult to achieve, but more difficult to evaluate. However, the administrative culture of the Ontario bureaucracy is shown to be committed to ensuring that the access and privacy rights of citizens are respected.

Contextualizing the tensions and weaknesses of information privacy and data breach notification laws

Data breach notification laws have detailed numerous failures relating to the protection of personal information that have blighted both corporate and governmental institutions. There are obvious parallels between data breach notification and information privacy law as they both involve the protection of personal information. However, a closer examination of both laws reveals conceptual differences that give rise to vertical tensions between each law and shared horizontal weaknesses within both laws. Tensions emanate from conflicting approaches to the implementation of information privacy law that results in different regimes and the implementation of different types of protections. Shared weaknesses arise from an overt focus on specified types of personal information which results in ‘one size fits all’ legal remedies. The author contends that a greater contextual approach which promotes the importance of social context is required and highlights the effect that contextualization could have on both laws.

La protection des données personnelles en droit international privé

Les nouvelles technologies et l’arrivée de l’Internet ont considérablement facilité les échanges transnationaux de données entre les entreprises publiques et/ou privées et également entre les personnes elles-mêmes. Cependant cette révolution numérique n’a pas été sans conséquences sur l’utilisation de nos données personnelles puisque cette abondance de données à la portée de tiers peut conduire à des atteintes : la commercialisation des données personnelles sans le consentement de l’intéressé par des entreprises ou encore la diffusion de sa photographie, de son nom, de son prénom à son insu en sont des exemples. La question qui vient alors se poser est en cas de litige, c’est-à-dire en cas d’atteintes au droit à la protection de nos données personnelles, présentant un ou des éléments d’extranéité, quels tribunaux pouvons-nous saisir ? Et quelle est la loi qui sera applicable ? Les droits québécois, de l’Union européenne, et suisse présentent différents critères de rattachement intéressants et adaptés à des situations prenant place hors et sur internet. Le droit commun de chacun de ces systèmes est envisagé, puis appliqué aux données personnelles dans le cadre d’une situation normale, et ensuite à internet si la situation diffère. La doctrine est également analysée dans la mesure où certaines solutions sont tout à fait intéressantes, et cela notamment sur internet. Un premier chapitre est consacré à la compétence internationale des tribunaux et aux critères de rattachement envisageables en droit commun à savoir notamment : le tribunal de l’État de survenance du préjudice, le tribunal de l’État de la faute ou encore le tribunal du domicile de la victime. Et ceux prévus ou non par la doctrine tels que l’accessibilité et le ciblage par exemple. Les conflits de lois sont étudiés dans un deuxième chapitre avec également l’énumération les différents facteurs de rattachement envisageables en droit commun comme la loi de l’État du préjudice, la loi de l’État de la faute ou encore la loi de l’État favorisant la victime. Et également ceux prévus par la doctrine : la loi de l’État « offrant la meilleure protection des données à caractère personnel » ou encore la loi de l’État où est établi le « maître du fichier ». Le tribunal le plus compétent au regard des principes généraux de droit international privé en cas d’atteintes au droit de la protection des données personnelles hors et sur internet est le tribunal de l’État du domicile de la victime. Et la meilleure loi applicable est la loi de l’État du domicile ou de la résidence principale du demandeur et du défendeur à l’instance, et dans le cas où la situation ne présente pas d’éléments d’extranéité, la meilleure loi est la loi favorisant la victime.

La protection des données personnelles en droit international privé

Les nouvelles technologies et l’arrivée de l’Internet ont considérablement facilité les échanges transnationaux de données entre les entreprises publiques et/ou privées et également entre les personnes elles-mêmes. Cependant cette révolution numérique n’a pas été sans conséquences sur l’utilisation de nos données personnelles puisque cette abondance de données à la portée de tiers peut conduire à des atteintes : la commercialisation des données personnelles sans le consentement de l’intéressé par des entreprises ou encore la diffusion de sa photographie, de son nom, de son prénom à son insu en sont des exemples. La question qui vient alors se poser est en cas de litige, c’est-à-dire en cas d’atteintes au droit à la protection de nos données personnelles, présentant un ou des éléments d’extranéité, quels tribunaux pouvons-nous saisir ? Et quelle est la loi qui sera applicable ? Les droits québécois, de l’Union européenne, et suisse présentent différents critères de rattachement intéressants et adaptés à des situations prenant place hors et sur internet. Le droit commun de chacun de ces systèmes est envisagé, puis appliqué aux données personnelles dans le cadre d’une situation normale, et ensuite à internet si la situation diffère. La doctrine est également analysée dans la mesure où certaines solutions sont tout à fait intéressantes, et cela notamment sur internet. Un premier chapitre est consacré à la compétence internationale des tribunaux et aux critères de rattachement envisageables en droit commun à savoir notamment : le tribunal de l’État de survenance du préjudice, le tribunal de l’État de la faute ou encore le tribunal du domicile de la victime. Et ceux prévus ou non par la doctrine tels que l’accessibilité et le ciblage par exemple. Les conflits de lois sont étudiés dans un deuxième chapitre avec également l’énumération les différents facteurs de rattachement envisageables en droit commun comme la loi de l’État du préjudice, la loi de l’État de la faute ou encore la loi de l’État favorisant la victime. Et également ceux prévus par la doctrine : la loi de l’État « offrant la meilleure protection des données à caractère personnel » ou encore la loi de l’État où est établi le « maître du fichier ». Le tribunal le plus compétent au regard des principes généraux de droit international privé en cas d’atteintes au droit de la protection des données personnelles hors et sur internet est le tribunal de l’État du domicile de la victime. Et la meilleure loi applicable est la loi de l’État du domicile ou de la résidence principale du demandeur et du défendeur à l’instance, et dans le cas où la situation ne présente pas d’éléments d’extranéité, la meilleure loi est la loi favorisant la victime.