Nye behov og oppfølging

Se nettside om innmelding av behov for ny IT-tjeneste. 

Ta kontakt med din enhet sin personvernkontakt så tidlig som mulig i prosessen. Det bør skje før beslutninger tas og tidlig nok til at man kan få på plass gode prosesser, rutiner og krav.

Sjekkliste

• Kontroller om det i systemet behandles personopplysninger; dvs. at behandlingen ikke er tilstrekkelig anonym, se nettside om anonyme, anonymiserte og avidentifiserte opplysninger.

• Kontroller at det ikke registreres flere personopplysninger enn nødvendig for formålet (for å få utført de arbeidsoppgaver som skal utføres i systemet). Krav om dataminimering.

• Foreligger det et lovlig grunnlag for behandlingen, slik som en lovhjemmel, avtale, samtykke eller «berettiget interesse» som dekker formålet?

• Kontroller at informantene har fått opplyst sine rettigheter i et informasjonsskriv eller i personvernerklæringen. Når det samles inn og det registreres personopplysninger i et system har du som regel informasjonsplikt overfor den eller de det samles inn personopplysninger om. Er det mangler i personvernerklæringen skal denne oppdateres.

• Registrer systemet i excel-skjema og gjør en personvernvurdering, se nettside om Oversikt over behandling av personopplysninger (protokoll).

• Er det gjort en klassifisering av personopplysningene som skal behandles i systemet?

• Skal du overføre personopplysninger til eksterne/andre behandlingsansvarlige

• Skal du overføre personopplysninger til utlandet?

• Er det gjort en risikovurdering?

• Er det vurdert om en personvernkonsekvensvurdering er nødvendig å gjennomføre?

• Bør det signeres en avtale som regulerer personvern?

• Pass på at det ikke lagres personopplysninger, som er identifiserbare, lengre enn nødvendig (lagringsbegrensning). Er det mulig å gjøre tiltak som kan redusere muligheten for unødvendig lagring (prinsipp om innebygd personvern)? Du bør da sjekke ut hvilke retningslinjer som gjelder for arkivering og sletting for de behandlinger/prosesser som skal foregå i det aktuelle systemet.

Utform informasjon til ansatte, studenter, gjesteforskere eller gjester om deres personvernrettigheter, samt hold informasjonen på nett oppdatert. Informasjonen kan knyttes til OsloMet sin personvernerklæring, eller det opprettes en egen nettside om systemet, som henviser til den generelle personvernerklæringen ved OsloMet. Det viktigste er at de ansatte, studenter, forsker osv. får opplyst sine rettigheter og hvem de skal kontakte.

Du må kunne dokumentere og arkivere alle vurderinger, avtaler som regulerer personvern og andre dokumenter som viser at du følger personvernregelverket. SDI har satt opp en nettside Dokumentasjon av personvern i P360 som gir deg informasjon om hva slags type dokumentasjon innen personvern som skal lagres i Public 360 og tips til hvordan du kan strukturere dokumentasjonen på best mulig måte. 

• Kontroller at personopplysningene som behandles i systemet ikke brukes til andre og uforenlige formål enn hva som er planlagt, uten at det lovlige grunnlaget dekker dette; herunder samtykke eller lovhjemmel, se Datatilsynets nettside om behandlingsgrunnlag (datatilsynet.no).

• Kontroller at personopplysningene som behandles i systemet har tilfredsstillende kvalitet, det vil si at opplysningene er tilstrekkelige og relevante, korrekte og oppdaterte.

• Kontroller at det ikke registreres overskuddsinformasjon i systemet (personopplysninger som ikke er nødvendige for å ivareta formålet/hensikten med systemet).

• Slett eller anonymisere overskuddsinformasjon som likevel er blitt registrert i systemet.

• Besvar henvendelser fra og ivareta rettighetene til den som personopplysningene gjelder.

• Foreta jevnlige risikovurderinger av informasjonssikkerheten til personopplysningene som behandles i systemet. Ved større endringer i systemet, skal det gjennomføres en ny risikovurdering og aktuelle skjema skal oppdateres. Ny risikovurdering arkiveres i P360. Det skal foretas en risikovurdering hvert tredje år eller oftere iht. interne retningslinjer.

• Verksett tiltak som sørger for at informasjonssikkerheten til personopplysningene som behandles i systemet er tilfredsstillende.

• Jevnlig kontroller at eventuelle databehandlere overholder vilkårene i inngåtte databehandleravtaler.

• Meld inn avvik som oppstår ved behandling av personopplysninger i systemet.

• Registrere endringer i bruken av systemet, se nettside om Oversikt over behandling av personopplysninger (protokoll). Skjema oppdateres og ny versjon lagres på opprettet Teams for formålet.

• Vurder om systemet etterlever krav til styringssystem for sikkerhet, informasjonssikkerhet og personvern.

• Avgjør hvilke personopplysninger som skal slettes, eventuelt anonymiseres, og hvilke som skal arkiveres.

• Sørg for at alle personopplysninger som ikke skal arkiveres blir forsvarlig slettet eller anonymisert.

• Sørg for at personopplysninger som skal tas vare på blir arkivert.

Registrer og meld behov.