Sikring av personopplysninger i IT-logg | Helse, miljø og sikkerhet - Ansatt

Sikring av personopplysninger i IT-logg

Sikring av personopplysninger i IT-logg

Redegjørelse for hvordan OsloMet behandler personopplysninger i logger fra IT-systemer.
Publisert
Sist oppdatert

Hjemmelsgrunnlaget for behandling av personopplysninger i logger er personvernforordningen art. 6 nr. 1 f) "berettiget interesse".

Formålet med å logge aktiviteten i IT-systemer er å administrere systemet, sikre stabil drift og avdekke og oppklare uønskede hendelser.

Loggene er kategorisert som:

  • driftslogger - logger som normalt lages i OsloMets eller samarbeidspartneres IT-systemer og er utelukkende av teknisk interesse
  • sikkerhetslogger - logger basert på driftsloggene, men som inneholder data som identifiserer personer, kontoer eller enheter, og sammenstiller disse for å gi et bilde at hva som er gjort av personen, brukerkontoen eller enheten

OsloMet har alminnelige sikkerhetslogger i sine IT-systemer. Det betyr at det meste av aktivitetene som brukere av systemene foretar seg etterlater elektroniske spor. Eksempler på slike elektroniske spor er; brukernavn, maskinadresse, nett-trafikk, tilkoblingstidspunkt, brukeraktivitet etc..

Der adgangskort benyttes for utskriftsløsningen logges det når og hvor kortet brukes. Telefonsentralen vil logge hvem som ringer, til hvilke nummer og tidspunktet for dette.

Personopplysningene gis fra den enkelte ansatte i forbindelse med innleggelse av, for eksempel navn og fødselsnummer i OsloMets øvrige systemer (Lønn, Personal, HR, adgangskort etc.).

Opplysningene eksisterer i loggene som en del av en større teknisk loggaktivitet. De hentes fra en rekke systemer hvor sentrale maskiner sikrer pålitelig trafikk mellom bruker og systemene.

Loggene utleveres i utgangspunktet ikke til andre, da de er ment som tekniske driftslogger for å sikre stabil drift. De kan utleveres til politi eller påtalemyndighet på grunnlag av rettslig kjennelse.

Driftsloggene slettes i ulike intervaller alt ettersom hvilke «oppgaver» maskinene har. Normalt vil loggene slettes på halvårlig basis, men det forekommer at man tar vare på logger i lengre tid, for eksempel for å se utviklingstrekk i bruk av IT-systemer.

Sikkerhetsloggene slettes etter bruk.

Sikkerhetslogger og driftslogger er kun tilgjengelige for dem på IT-avdelingen med administrator-rettigheter og som i tillegg kan identifiseres med personlig bruker. Samtlige på IT-avdelingen har underskrevet taushetserklæring.

Det er etablert en policy for hvordan logger skal håndteres på IT-avdelingen.

IT-direktøren er delegert det daglige ansvaret for behandling av loggene fra IT-systemene som driftes av OsloMet. Det innebærer å sørge for at det er utarbeidet nødvendige rutiner for blant annet å sikre konfidensialitet, kvalitet og at opplysningene ikke lagres lengre enn nødvendig samt sikre at det tilbys nødvendig forutsigbarhet i hvordan opplysningene håndteres.

Personvernkontakter

Ta kontakt med personvernkontakt for din enhet, fakultet/senter for bistand ved behov.