Policy for sikkerhet, informasjonssikkerhet og personvern

Formålet med policy for sikkerhet, informasjonssikkerhet og personvern er å ivareta de verdier som utvikles, behandles og forvaltes gjennom OsloMets forskning, utdanning, herunder kunstnerisk utviklingsarbeid, formidling, nyskaping og administrasjon, og overholdelse av gjeldende lover og regler. Policy for sikkerhet, informasjonssikkerhet og personvern stadfester mål og strategi for disse områdene i virksomheten, og setter rammer for arbeidet med ivaretakelse av OsloMets verdier, og for den digitale sikkerheten i OsloMets IKT-infrastruktur. I det følgende vil dokumentet også bli omtalt som «policyen» i kortform.

Policy for sikkerhet, informasjonssikkerhet og personvern inngår i OsloMets styringssystem for sikkerhet, informasjonssikkerhet og personvern som skal gi rammene for en systematisk og helhetlig praksis mellom styrende, gjennomførende og kontrollerende del av arbeidet med sikkerhet, informasjonssikkerhet og personvern. Styringssystemet skal være en integrert del av OsloMets helhetlige virksomhetsstyring.

Policyen for informasjonssikkerhet og personvern gjelder fra 01.07.2020 og fram til revisjon.

• Godkjent av: Rektor 17.03.2023
• Forvaltes av: Direktør OI
• Klassifisering: Åpen
• Gjelder fra: 01.04.2023
• Gjelder til: Frem til revisjon
• Unntatt offentlighet: Nei
• Referanse ISO: 27001; 5.1.1, 5.1.2
• Referanse LOV/Regel: eForvaltningsforskriften §15 og § 20, personvernforordningen artikkel 5, 24, 32, Lov om nasjonal sikkerhet
• Referanse interne dokumenter: Policyen er overordnet retningslinjer på sikkerhet, informasjonssikkerhets- og personvernområdet
• Versjon 1.10
• Endringslogg: Fra versjon 1.0 til versjon 1.10: Versjon 1.0 vedtatt i 2020. Endringer per mars 2023 er formaljusteringer for å hensynta OsloMets eksisterende organisering, samt inkludering av tekst vedr forebyggende sikkerhet.

OsloMets policy for sikkerhet, informasjonssikkerhet og personvern gjelder for

• Alle ansatte ved OsloMet
• Alle studenter ved OsloMet
• Alle som har tilgang til, og/eller bearbeider og forvalter informasjon gjennom OsloMets IKT-infrastruktur

• Personopplysningsloven (og personvernforordningen – GDPR) gir regler for vern av fysiske personer i forbindelse med behandling av personopplysninger, plikter for OsloMet som behandlingsansvarlig, bruk av personvernombud og rettigheter for den registrerte
• Forvaltningsloven (og eForvaltningsforskriften) – krav til saksbehandling, dokumentasjon og forsvarlighet, også krav til internkontroll og informasjonssikkerhet
• Offentleglova – krav om at OsloMet som offentlig virksomhet skal være åpen for innsyn, samtidig unnta for innsyn der loven åpner for eller krever det.
• Arkivloven - inneholder regler om hvilke dokumenter som skal arkiveres og krav til arkiveringen
• Helseforskningsloven – krav til organisering, roller og ansvar i helseforskning
• Helseregisterloven og helsepersonelloven – regler om behandling av pasientdata og taushetsplikt for helsepersonell
• Forskningsetikkloven – regler om at forskning skal skje i henhold til anerkjente forskningsetiske normer, for forsker og institusjon
• Åndsverkloven - inneholder regler om immaterielle rettigheter og bruk av bilder
• Beskyttelsesinstruksen – stiller krav til klassifisering og håndtering av informasjon
• Sikkerhetsloven – stiller krav til forbyggende sikkerhet
• Eksportkontrolloven – gir regler om kontroll med og forbud mot eksport av strategiske varer, tjenester og teknologi, herunder forbud mot ulovlig kunnskapsoverføring I tillegg kan andre lover og forskrifter være relevante: ekomloven, politiregisterloven, behandlingsbiobankloven, pasientjournalloven, mv.

Arbeidet med sikkerhet, informasjonssikkerhet og personvern skal også forholde seg til enhver tid relevante og gjeldende styringsdokumenter, herunder Sikt sine policyer, Nasjonal strategi for digital sikkerhet, anbefalinger fra Nasjonal sikkerhetsmyndighet mm.

IKT-infrastruktur: Med OsloMets IKT-infrastruktur menes alt utstyr, digital informasjon, informasjonssystemer og tjenester som benyttes til informasjonsbehandling og kommunikasjon.

Informasjonssikkerhet: Informasjonssikkerhet handler om å sikre informasjon ut ifra krav om konfidensialitet, integritet og tilgjengelighet.

Informasjonsverdier: Deles inn i to kategorier:

Primærverdier handler om hva vi gjør og hvordan, og informasjonen vi benytter:

• forretningsprosesser og aktiviteter
• informasjon, herunder personopplysning

Sekundærverdier handler om de verktøyene vi bruker og kompetansen hos de som bruker verktøyene:

• hardware (maskinvare)
• software (programvare)
• nettverk
• ansatte
• studenter
• andre som benytter OsloMets IKT-infrastruktur
• lokasjoner
• organisasjonsstrukturer

Med mindre annet fremkommer uttrykkelig, inngår også skjermingsverdig informasjon i begrepet "informasjonsverdier».

Integritet: Integritet betyr å sikre at informasjon er korrekt, gyldig og fullstendig og ikke kan endres utilsiktet eller av uvedkommende.

Internkontroll: Systematiske styrings- og kontrolltiltak som skal sikre at institusjonens aktiviteter planlegges, organiseres, utføres, sikres og vedlikeholdes i samsvar med krav fastsatt i eller i medhold av lov, og styrende dokumenter.

Forebyggende sikkerhetsarbeid: planlegging, tilrettelegging, gjennomføring og kontroll av forebyggende tiltak mot sikkerhetstruende virksomhet og følger av slik virksomhet

Konfidensialitet: Konfidensialitet betyr å sikre at informasjonen ikke blir kjent for uvedkommende, men at informasjon og informasjonssystemer bare er tilgjengelig for de som har et tjenstlig behov.

Risikoeier: En risikoeier er en leder som er pekt ut som ansvarlig for å nå ett eller flere mål for virksomheten og for å få utført tilhørende arbeidsoppgaver. Risikoeieransvaret følger linjen. I andre kontekster kalles de gjerne mål- og resultatansvarlig, oppgaveeier eller prosesseier.

Risikostyring: Risikostyring refererer til et samordnet sett av aktiviteter og metoder som brukes til å lede en organisasjon og å kontrollere de mange risikoene som kan påvirke måloppnåelsen.

Skjermingsverdige verdier: informasjon, informasjonssystemer, objekter og infrastruktur. Begrepet skjermingsverdige verdier er en samlebetegnelse som favner alle verdier som skal beskyttes etter loven, av hensyn til de skadefølger som kan påføres nasjonale sikkerhetsinteresser dersom verdiene blir kjent for uvedkommende, går tapt, blir endret eller blir utilgjengelig

Styringssystem: Styringssystemet for informasjonssikkerhet ved OsloMet følger ISO 27001standarden, og angir et systematisk arbeid ut fra et sett med styrende dokumenter og prosessbeskrivelser med angitte roller og ansvarsforhold, en aktiv internkontroll og forbedringssløyfer.

Systemeier: En systemeier er en leder som er ansvarlig for å utvikle, forvalte og/eller drifte et informasjonssystem på vegne av OsloMet. Systemeier benytter ofte en utpekt systemforvalter som operativt ansvarlig for de oppgaver systemeier har ansvaret for. En som oppbevarer data, kan også anses som systemeier. Det vil være i tilfeller der følgende er oppfylt:

• informasjonen tilhører eller er underlagt OsloMets regelverk
• informasjonen benyttes, transporteres eller lagres på
  • IT-systemer
  • personlige enheter
  • annet medium hvor OsloMet IT eller linjeleder ikke er systemeier

Tilgjengelighet: Tilgjengelighet betyr å sikre at informasjon og informasjonssystemer er tilgjengelig ved behov innenfor de tilgjengelighetskrav som er satt.

OsloMet skaper, formidler og forvalter informasjonsverdier på vegne av samfunnet, ansatte, studenter og samarbeidspartnere. OsloMet skal ivareta konfidensialitet, integritet og tilgjengelighet til informasjonsverdiene i henhold til gjeldende lover, forskrifter, føringer fra myndighetene, samfunnsoppdraget og informasjonseiernes interesser.

OsloMet skal ha oversikt over sine verdier (inkludert skjermingsverdige verdier), informasjon og hvilke personopplysninger som behandles. Ved behandling av personopplysninger stiller regelverket (personopplysningsloven) krav til informasjonssikkerheten. Ved behandling av personopplysninger aksepteres ikke brudd på konfidensialiteten og integriteten.

Arbeidet med forebyggende sikkerhet etter sikkerhetsloven (heretter referert til som sikkerhet), informasjonssikkerhet og personvern er et gjennomgående risikoområde som må håndteres innen alle OsloMets virksomhetsområder. Arbeidet med skal bygge på prosesser for kontinuerlig forbedring. OsloMet skal ivareta arbeid med sikkerhet, informasjonssikkerhet og personvern som en integrert del av øvrig virksomhetsstyring og gjennom sitt systematiske kvalitetsarbeid. Ved all informasjonsbehandling foreligger det en risiko for brudd på konfidensialitet, integritet og tilgjengelighet. Risikoaksept og tiltak skal stå i forhold til sannsynligheten for og konsekvensen av sikkerhetsbrudd som fremkommer i risiko- og sårbarhetsanalyser. Restrisiko skal være akseptert av risikoeier som del av lederansvaret.

Internkontroll og sikkerhetsarbeid skal så langt det er hensiktsmessig være integrert på tvers av internkontrollområder. Det skal gjennomføres sikkerhetsrevisjoner som verifiserer at OsloMet og eksterne myndigheters krav til sikkerhet, informasjonssikkerhet og personvern er ivaretatt og fungerer etter sin hensikt. Sikkerhetsrevisjoner skal gjennomføres regelmessig/jevnlig.

Styringssystemet skal gjennomgås minimum hvert andre år.

OsloMet har vedtatt følgende mål:

• Sikkerhet, informasjonssikkerhet og personvern skal være en integrert og en naturlig del i alle prosesser, tjenester og systemer ved OsloMet.
• Informasjonsverdiene som behandles innen OsloMets virksomhetsområder forskning, utdanning, nyskaping, formidling og administrasjon skal vurderes og håndtereres slik at informasjonen sikres og personvernet ikke krenkes.
• Informasjonsverdienes konfidensialitet, integritet og tilgjengelighet skal ha riktig sikkerhetsnivå basert på klassifisering og risikovurderinger.
• Registrertes rettigheter, herunder forskningsdeltakeres rettigheter, skal sikres. Offentlighetens rett til innsyn etter offentleglova skal ivaretas.
• Alle ansatte, studenter, og øvrige som har tilgang til, og/eller bearbeider og forvalter informasjon gjennom OsloMets IKT-infrastruktur, skal være kjent med og etterleve OsloMets krav til informasjonssikkerhet, gitt i sikkerhetsinstruksen.
• Alle studenter og ansatte skal ha enkel tilgang til relevant sikkerhetsinformasjon og sikkerhetsopplæring, slik at de kan bidra til forebyggende sikkerhet og vet hva de skal gjøre når noe skjer.
• Ingen skal ha tilgang til OsloMets informasjonsverdier før arbeids- eller oppdragskontrakt er inngått og taushetserklæring og sikkerhetsinstruks er signert
• Brudd på etterlevelse kan sanksjoneres.

Ved OsloMet aksepteres ikke lovbrudd.

Ved OsloMet aksepteres ikke aktivitet som setter liv og helse i fare. Innenfor sikkerhet, informasjonssikkerhet og personvern innebærer det at brudd på konfidensialitet og integritet som setter liv og helse i fare ikke aksepteres.

Risikoaksept skal framkomme som resultat av fremsatte krav i retningslinje for risikostyring av informasjonssikkerhet. Det skal angis akseptert risiko for informasjonssikkerhet for alle systemer som inngår i OsloMets virksomhetsarkitektur.

Styringssystemet for sikkerhet, informasjonssikkerhet og personvern ved OsloMet utformes og implementeres etter ISO 27001-standarden, veiledere fra NSM og Datatilsynet. Arbeidet skal følge relevante lover og regler og beste praksis på området samt være tilrettelagt på en måte som vil fungere for OsloMet som organisasjon. Arbeidet med sikkerhet, informasjonssikkerhet og personvern skal operasjonaliseres gjennom en helhetlig arbeidsflyt mellom en styrende, gjennomførende og kontrollerende del:

Styrende del angir krav, føringer, organisering og roller for arbeidet med sikkerhet, informasjonssikkerhet og personvern.

Gjennomførende del består av linjelederes, systemeieres og brukeres gjennomføring av kravene i de styrende dokumentene for sikkerhet, informasjonssikkerhet, og personvern. På et overordnet nivå handler dette om klassifisering av informasjon, risikovurderinger og risikoreduserende tiltak innenfor de respektives ansvarsområder.

Kontrollerende del består av avvikshåndtering, rapportering, intern/ekstern revisjon og ledelsens gjennomgang.

OsloMet skal nå sine mål for sikkerhet, informasjonssikkerhet og personvern ved å fokusere på tre kjerneområder. Det første er lederes implementering av risikostyring i enhetene, det andre er utvikling av sikkerhetskultur, kompetanseutvikling/opplæring og holdninger og det tredje er utvikling av en robust infrastruktur som ivaretar den digitale sikkerheten:

1. Styring og kontroll med sikkerhet, informasjonssikkerhet og personvern er et lederansvar og en del av den ordinære virksomhetsstyringen og internkontrollen. Ledere skal ha en god risikoforståelse og oversikt over de informasjonsverdier som enheten håndterer, slik at de er i stand til å ta informerte valg og gjøre prioriteringer ved innføring av sikkerhetstiltak.
2. Arbeidet med sikkerhetskultur, kompetanseutvikling og opplæring skal være en systematisk og kontinuerlig forbedringsprosess. Økt kompetanse skal gjøre ansatte og studenter i stand til å klassifisere informasjonen de behandler, gjennomføre risikovurderinger og velge nødvendige tiltak for å beskytte informasjonen i arbeidsprosessene.
3. OsloMet skal sikre IKT-infrastrukturen gjennom en systematisk implementering av kravene i retningslinjene som er utformet iht. kontrollpunkter i ISO 27001, Tillegg A og NSMs grunnprinsipper for IKT-sikkerhet. Krav til informasjonssikkerhet og personvern skal ivaretas i design, anskaffelse, utvikling, drift, forvaltning og avhending av IKT-systemer og infrastruktur. Sikkerhetslovens krav til sikkerhetsgraderte anskaffelser skal ivaretas der det er relevant.

Arbeidet med sikkerhet, informasjonssikkerhet og personvern berører virksomheten på alle nivå. Ansvar og myndighet for dette skal følge det ordinære linjeansvaret. Sikkerhet, informasjonssikkerhet og personvern, vil nedenfor bli omtalt som «sikkerhet og personvern».

Alle IKT-systemer ved OsloMet skal ha en systemeier. Ledere som har ansvar for mål, tjenester, prosesser og arbeidsoppgaver, skal også ha ansvaret for tilhørende informasjonsbehandling og sikkerhet og personvern og er således risikoeiere innenfor sitt ansvarsområde. Videre er noen roller presisert gjennom styringssystemet for informasjonssikkerhet og er gitt særskilt ansvar for definerte områder.

Styret

• er øverste ansvarlig for sikkerhet og personvern og skal årlig orienteres om arbeidet
• er ansvarlig for at det gjennomføres internrevisjon av sikkerhet og personvern ved OsloMet.

Rektor

• er overordnet sikkerhet og personvern i OsloMet. Rektor er også overordnet behandlingsansvarlig for behandling av personopplysninger ved OsloMet
• er overordnet risikoeier for risiko knyttet til sikkerhet, informasjonssikkerhet og personvern
• skal årlig orientere styret om arbeidet med sikkerhet og personvern

Direktør OI

• er ansvarlig for at kravene i Policy for sikkerhet, informasjonssikkerhet og personvern er kjent og blir implementert i virksomheten gjennom et fungerende styringssystem for sikkerhet og personvern
• skal sørge for tilstrekkelig finansiering av arbeidet med sikkerhet og personvern
• skal sørge for at Informasjonssikkerhetsleder og personvernombudet regelmessig blir invitert til å delta i rektors ledermøte
• er ansvarlig for at sikkerhet og personvern som en av flere virksomhetsområder inngår i en helhetlig internkontroll
• skal påse at det etableres en kontinuerlig prosess for å understøtte god sikkerhetskultur herunder ansvarlig for systematisk sikkerhetsopplæring av studenter og ansatte.
• er ansvarlig for at policy for sikkerhet, informasjonssikkerhet og personvern revideres hvert andre år for å sikre ønsket effekt og effektivitet i arbeidet med sikkerhet og personvern

IT direktør

• er ansvarlig for å holde en løpende og oppdatert oversikt over OsloMets IKT infrastruktur, og at sikkerhet og personvern i og mellom systemene ivaretas
• er ansvarlig for at ansatte og studenter ved OsloMet har tilgang til nødvendige tjenester og materiell, slik at de kan beskytte OsloMets informasjon og informasjonssystemer
• skal påse at relevante parter blir varslet ved alvorlige brudd på sikkerhet og personvern
• er ansvarlig for forvaltningen av OsloMets elektroniske virksomhetssertifikat
• skal konsulteres når policyen revideres for å sikre ønsket effekt og effektivitet i arbeidet med informasjonssikkerhet

Informasjonssikkerhetsleder (CISO)

• skal påse at det utvikles handlingsplaner som sørger for et systematisk og kontinuerlig arbeid med sikkerhet og informasjonssikkerhet
• er ansvarlig for innsamling og rapportering til ledelsens årlige gjennomgang av arbeidet med informasjonssikkerhet
• er ansvarlig for å iverksette nødvendige tiltak for å sikre en forsvarlig avviksbehandling ved brudd på sikkerhet, informasjonssikkerhet og personopplysningssikkerhet
• Informasjonssikkerhetsleder er premissgiver for sikkerhet, informasjonssikkerhet og personopplysningssikkerhet
• tilsvarer rollen sikkerhetsleder etter sikkerhetsloven

IT-sikkerhetsleder

• leder CSIRT (Cyber Security Incident Response Team)
• deltar i arbeid med sikkerhet generelt og sikkerhetsgruppen spesielt, dialog med interne og eksterne aktører, deltagelse i ROS og arkitekturoppgaver for prosjekter og andre aktiviteter, samt kontinuitetsplan
• samarbeider med og rådgi Informasjonssikkerhetsleder vedrørende styringssystem informasjonssikkerhet (ISMS) Forvalte og bidra i utvikling av IKT-kontinuitetsplan
• bidra i arbeidet med sikkerhetsarkitektur
• orienterer linjeledere der det er relevante hendelser, behov eller trusler som må kommuniseres

Prorektorer, viserektor, direktører og avdelingsledere i fellesadministrasjonen

• er ansvarlig for etterlevelsen av krav til sikkerhet og personvern, herunder krav til behandling av personopplysninger ved enheten
• er ansvarlig for å følge opp at lovverk og rutiner og godkjenninger følges, og at avvik lukkes
• er ansvarlig for å holde en løpende og oppdatert oversikt over IKT-systemer som anvendes og behandlinger av personopplysninger ved enheten
• er ansvarlig for at ansatte i enheten har tilstrekkelig opplæring innen sikkerhet og personvern, og kan ivareta sin plikt til å vurdere risiko ved nye prosjekt og behandlinger, samt melde avvik ved brudd på informasjonssikkerheten
• er ansvarlig for at alle ansatte innen enheten har tilgang til nødvendige tjenester og materiell, slik at de kan beskytte OsloMets informasjon og informasjonssystemer
• er ansvarlig for en systematisk gjennomgang av databehandleravtaler og andre avtaler av betydning for sikkerhet og personvern, og gjennomgang av avvik ved avdelingen på minimum årlig basis
• er ansvarlig for at internkontrollen i sikkerhet og personvern fungerer ved enheten

Dekan/senterleder

• er ansvarlig for etterlevelsen av krav til sikkerhet og personvern ved fakultetet/senter
• er ansvarlig for å følge opp at lovverk og rutiner og godkjenninger følges, og at avvik lukkes
• er ansvarlig for å holde en løpende og oppdatert oversikt over IKT-systemer som anvendes og behandlinger av personopplysninger ved fakultet/senter
• er ansvarlig for at ansatte i enheten har tilstrekkelig opplæring innen sikkerhet, informasjonssikkerhet og personvern, og kan ivareta sin plikt til å vurdere risiko ved nye prosjekt og behandlinger, samt melde avvik ved brudd på sikkerhet og personvern
• er ansvarlig for at alle ansatte innen enheten har tilgang til tjenester og materiell slik at de kan beskytte OsloMets informasjon og informasjonssystemer • er ansvarlig for at alle instituttledere er kjent med gjeldende rutiner og retningslinjer i sikkerhet, informasjonssikkerhet og personvern
• er ansvarlig for å fastsette nødvendige lokale rutiner ved behov
• er forskningsansvarlig etter helseforskningsloven for eget fakultet og skal ha oversikt over forskningsporteføljen ved fakultetet • er ansvarlig for at studentene ved OsloMet har nødvendig opplæring i kravene til sikkerhet og personvern
• er ansvarlig for å gjennomføre dialog med respektive underliggende enheter om informasjonssikkerhetsarbeidet, herunder oppfølgingen av rutiner og avvik, på minimum årlig basis
• er ansvarlig for at internkontrollen i sikkerhet, informasjonssikkerhet og personvern fungerer ved fakultetet/senteret

Instituttleder

• er ansvarlig for etterlevelsen av kravene til sikkerhet, informasjonssikkerhet og personvern ved instituttet er ansvarlig for å holde en løpende og oppdatert oversikt over IKT-systemer som anvendes og behandlinger av personopplysninger ved instituttet
• er ansvarlig for at ansatte er kjent med relevante lover og regler, samt rutiner for sikkerhet, informasjonssikkerhet og personvern og forskningsetiske retningslinjer
• er ansvarlig for at ansatte istandsettes til å ivareta sine plikter til å vurdere risiko ved nye prosjekt og behandlinger, samt melder avvik ved brudd på sikkerhet og personvern
• er ansvarlig for at internkontrollen i sikkerhet, informasjonssikkerhet og personvern fungerer ved instituttet/enheten

Avdelingsdirektører

• Operasjonelt ansvar for implementering og etterlevelse av regelverk, policy og retningslinjer for personvern følger linjeansvaret på OsloMet.
• Overordnet ansvar for beslutning om og forankring av rutiner og retningslinjer innen det enkelte fagområde, ligger til fagdirektør i fellesadministrasjonen. Utarbeidelse av rutiner og retningslinjer forutsetter virksomhetsorientert forankring og samarbeid. Retningslinjer og rutiner forutsettes videre å dekke både arbeidsprosess og etterlevelse av personvernregelverket og interne retningslinjer på området i samsvar med mål for overordnet virksomhetsstyring og internkontroll av Informasjonssikkerhet og personvern.
• For HR gjelder at direktør for HR har det daglige ansvaret for behandling av personopplysninger om ansatte
• For personopplysninger om studenter gjelder at direktør for Avdeling for utdanning har det daglige ansvaret for behandling av personopplysningene om studentene.

Leder HR-avdelingen

• er ansvarlig for organisasjonsutvikling og endringsledelse i arbeidet med sikkerhet og personvern herunder påse at ledere er kjent med, og har tilstrekkelig kompetanse og risikoforståelse, til å ivareta sitt ansvar for å utøve risikostyring innen området informasjonssikkerhet

Systemeier

• er ansvarlig for at IT-systemets utvikling, forvaltning og/eller drift møter kravene til informasjonssikkerhet og at det gjennomføres jevnlige risiko- og sårbarhetsanalyser
• er ansvarlig for at det inngås databehandleravtale knyttet til systemet og for oppfølging/ revisjon av denne

Prosjektleder

• er ansvarlig for det operative ansvaret og internkontroll ved gjennomføringen av forskningsprosjekt og andre prosjekter, fra planlegging til avslutning, herunder at krav i relevant lovverk og forskningsetiske og interne retningslinjer, etterleves
• er ansvarlig for å sørge for nødvendige godkjenninger og meldinger, samt ansvar for at avtaler som er påkrevet for ivaretakelse av sikkerhet, informasjonssikkerhet og personvern, inngås
• er ansvarlig for å gjennomføre risikovurdering, samt vurdering av om en personvernkonsekvensvurdering (DPIA) skal gjennomføres, og for selve gjennomføringen dersom den er nødvendig
• er ansvarlig for å sørge for tilgangsstyring dersom det er behov for konfidensialitet, f.eks. ved behandling av personopplysninger, i prosjektet • er ansvarlig for at relevante og nødvendige dokumentasjonskrav ivaretas i prosjektet

Prosjektveileder/studentveileder

• er ansvarlig for at studenter i studentprosjekt er gjort kjent med OsloMets rutiner og retningslinjer og overordnet regelverk innen sikkerhet, informasjonssikkerhet og personvern

Personvernombudet

• skal overordnet utøve sine oppgaver på en uavhengig måte, jfr. personvernforordningen Art. 38 nr. 3 og etter Instruks for personvernombud ved OsloMet
• skal gi råd om hvordan OsloMet som behandlingsansvarlige best mulig kan ivareta personverninteressene
• skal på anmodning gi råd om vurdering av mulige personvernkonsekvenser (DPIA)
• skal kontrollere gjennomføringen av personvernkonsekvensvurderinger • skal kontrollere overholdelsen av regelverket • skal holde seg informert om avvik ved brudd på personvernet
• skal være kontaktpunkt for Datatilsynet og de registrerte

Alle brukere

• er ansvarlige for å sette seg inn i relevant lovgivning for sikkerhet, informasjonssikkerhet og personvern, herunder personopplysningsloven samt helseforskningsloven, åndsverksloven og eForvaltningsforskriften
• er ansvarlige for å gjøre seg kjent med Sikkerhetsinstruks og relevante retningslinjer for sikkerhet, informasjonssikkerhet og personvern ved bruk av OsloMets IKT infrastruktur og i forskningsprosjekter og andre prosjekter
• er pliktige til å melde avvik (uønsket hendelse) ved brudd på sikkerhet og personvern i henhold til gjeldende retningslinje for avviksbehandling når de gjøres kjent med avvik