Personvern | Helse, miljø og sikkerhet - Ansatt

Privacy Procedures

Privacy Procedures

Personal data may include images, videos, audio or text. Anyone processing information about others must familiarize themselves with, and follow, the legal requirements for this.

GDPR - what does it mean to you?

Wondering what GDPR has to say to you in your everyday life? (in Norwegian only).  See website about what to be aware of when processing personal information and links to useful information and courses.

Protection of privacy statement

This privacy statement (In Norwegian only) concerns how HiOA collects and processes personal data. 

Notification requirement and concession 

The processing of personal data must be registered or conceded, unless otherwise prescribed by laws or regulations.

Data Protection Officer

From 01.03.2017, HiOA has got its own Data Protection Officer for Administrative Processing (In Norwegian only). The Data Protection Officer will receive notification formes on administrative processing and is a resource person who will help strengthen HiOA's handling of privacy issues.

Data processing agreement

If certain parts of the processing have been made the responsibility of external companies (data processors), a data processing agreement  must be signed. The UH-sector has made a proposal for data processing agreement under new privacy legislation (GDPR, which will enter into force on 1  July 2018). Here is an english version too. This data processor agreement template is to be used, but has to be customized in each case. There is also made a checklist for data processing agreements (in Norwegian only).The checklist can be used for the quality assurance of data processing agreements offered by providers of cloud services or other types of online services.

It is your responsibility to ensure that the agreement is in place. The data processing agreement must be filed in P360. See procedures for document management and the Norwegian Data Protection Authority's guidelines for data processor agreement.  Case number must be communicated to the Data Protection Officer  Ingrid.Jacobsen@hioa.no.

Sensitive personal information

What is sensitive personal information (in Norwegian only) is defined in the Norwegian Personal Data Act.

Access to information and disclosure requirements

All those registered are allowed access to their personal data (In Norwegian only). HiOA has a disclosure requirement in relation to these individuals. Personal data must be sufficiently secured.

More information about protection of privacy on webpage sikresiden.no

  • Hva betyr personvern (GDPR)

    GDPR - hva betyr det for deg

    Lurer du på hva GDPR har å si for deg i din hverdag? Se nettside om hva du bør tenke på når du behandler personopplysninger og lenker til nyttig informasjon og kurs.

    Særlige kategorier (sensitive personopplysninger)

    Hva som er særlige kategorier (sensitive personopplysninger) defineres i EUs personvernforordning (GDPR).

  • Personvernpolicy, -erklæring og -ombud

    Personvernpolicy

    OsloMet har en personvernpolicy som skal legges til grunn for internkontroll av personvern, er overordnet alle retningslinjer for personvern og gjelder for all behandling av personopplysninger i alle deler av OsloMets virksomhet.

    Personvernerklæring

    Denne personvernerklæringen handler om hvordan OsloMet samler inn og bruker personopplysninger.

    Personvernombud

    OsloMet har et uavhengig personvernombud som blant annet har i oppgave å ivareta personverninteressene til ansatte, studenter, gjesteforskere, gjester og respondenter eller informanter i forskningsprosjekter.  

  • Oversikt over behandling av personopplysninger (protokoll)

    I forskning

    Etter ikrafttredelse av ny personopplysningslov fungerer Norsk senter for forskningsdata (NSD) som personvernrådgiver i forskning og vurderer behandlingsgrunnlag (lovligheten) og informasjonssikkerheten til personopplysninger i forskningsprosjekter på vegne av OsloMet og OsloMets personvernombud.

    Ved OsloMet vil det si at alle prosjekter nå skal meldes til NSD, også helseforskning. Melding til NSD og søknad til De regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK) bør sendes samtidig. Se også nettside om Personvern i forskning.

    REK skal fremdeles gjøre etiske vurderinger og gi dispensasjon fra taushetsplikt, men skal ikke lenger vurdere om prosjektets behandling av personopplysninger oppfyller kravene i personvernregelverket.

    NSD tar kontakt med institusjonelt personvernombud ved vurdering av personvernkonsekvenser (DPIA) i de prosjektene dette er aktuelt. Personvernombudet gir sine anbefalinger med hensyn til vurderingen og forslag til tiltak. Dette forelegges  instituttleder/dekan/senterleder som tar endelig beslutning i forhold til akseptabelt risikonivå.

    Innen administrasjon og undervisning

    Nye og endrede behandlingsaktiviteter innen administrasjon og undervisning skal registreres inn i systemet Ardoq av personvernkontakt opprettet i hver enkelt enhet/fakultet/senter. Link til systemet ligger i gruppen Personvernkontakter i Teams.

    Personvernkontakten og Personvernombudet skal bistå behandlingsansvarlig i å

    1. samle inn informasjon for å identifisere behandlingsaktiviteter
    2. analysere og sjekke at behandlingsaktivitetene er i tråd med regelverket

    Lenke til oversikt for 2017 og 2018.

    Kartlegging av systemer og tjenester

    Alle systemer og tjenester skal kartlegges. Det er systemeier/tjenesteeier som skal sørge for dette. Spørsmålene i kartleggingen bør besvares av personer som har god kjennskap til den tekniske løsningen (med tilhørende arbeidsprosesser) som OsloMet er ansvarlig for og hvor personopplysninger behandles. Imidlertid kan en med personvernkompetanse være behjelpelig i kartleggingen.

    Per i dag skal dere benytte skjema for kartlegging av systemer/tjenester ved OsloMet. Skjemaet er laget med utgangspunkt i mal for rammeverk for GDPR (behandlingsansvarlig) på nettsiden Ressurser for arbeidet med GDPR i UH-sektoren.

    Ferdig utfylt skjema sendes personvernombudet ved OsloMet, Ingrid Jacobsen, personvernombud@oslomet.no for kvalitetssikring og oppbevaring.

  • Særlige kategorier (sensitive personopplysninger)

    Hva som er særlige kategorier (sensitive personopplysninger) defineres i EUs personvernforordning (GDPR).

  • Det lovlige grunnlaget "berettiget interesse" - vurdering

    Ved bruk av det lovlige grunnlaget "berettiget interesse" i personverforordningen (GDPR) art. 6 nr. 1 f) skal det gjøres en dokumentert vurdering - en balansetest. OsloMet sin interesse i behandlingen skal veies opp mot konsekvensene dette har for den registrerte; dvs. den ansatte, studenten, forskningsdeltaker o.l. Se skjema for vurdering av "berettiget interesse". Dette skjema bør lagres i P360 sammen med en dokumentert risikovurdering og andre dokumenter knyttet til behandlingen/arbeidsprosessen. Se også Datatilsynets nettside om "berettiget interesse (legitime interesse)".

  • Lagring og klassifisering

    Lurer du på hvor du bør lagre dokumenter, filer og forskningsmateriale? Les om dine lagringsmuligheter ved OsloMet. ​​​​​​​

    For å velge riktig lagringssted må du først klassifisere informasjonen som skal lagres.

  • Risikovurdering

    Det skal foretas risikovurdering av alle behandlinger av personopplysninger som reguleres av personvernlovgivningen. Uønskede hendelser skal avdekkes og tiltak skal gjøres for å hindre at noe skjer. På den måten kan man være forberedt på hva man bør gjøre hvis det likevel skjer. Se nettside om Risikovurdering på sikresiden.no. Her ligger en e-læring og ulike maler for risikovurdering. Risikovurderingen skal gjøres før behandlingen starter og arkiveres i P360, slik at den er lett å finne ved et eventuelt tilsyn. Saksnummer registreres på behandlingen/arbeidsprosessen i behandlingsoversikten til OsloMet i systemet Ardoq. Dette gjøres av personvernkontakten ved aktuell enhet. Risikovurdering i forskning, se nettside om verdivurdering og risikovurdering.

  • Personvernkonsekvensutredning (DPIA)

    Begrunnelse for hvorfor det skal gjøres en DPIA

    En personvernkonsekvensvurdering (DPIA) skal foretas for å sikre personvernet til den registrerte i en teknisk løsning, ved en behandling/arbeidsprosess eller i et prosjekt. Dette er nødvendig i de tilfeller hvor det er høy risiko for fysiske personers "rettigheter og friheter". Med dette menes blant annet ytringsfrihet, religionsfrihet, retten til likestilling, privatlivets fred, tankefrihet, bevegelsesfrihet, rett til ikke å bli diskriminert og personvern.

    Vurder å gjennomføre en DPIA

    Du skal ved ALLE behandlinger vurdere om det bør gjennomføres en DPIA. Personvernombudet skal ALLTID rådføres i vurderingen av om det bør gjøres en DPIA og i selve gjennomføringen. I forskning hjelper NSD (Norsk senter for forskningsdata) deg med vurderingen og gjennomføringen. Personvernombudet ved OsloMet rådføres i gjennomføringen også i forskning. 

    Til hjelp i vurderingen av om en DPIA skal gjennomføres, se mal for vurderingen av om en DPIA skal gjennomføres (engelsk versjon). 

    Du kan også få hjelp i vurderingen og i selve gjennomføringen, via 

    Er du fortsatt usikker på om du har plikt til å gjennomføre en DPIA? Datatilsynet har nå publisert en liste over en del aktiviteter som ALLTID vil kreve at det gjennomføres en vurdering av personvernkonsekvenser før behandlingen settes igang.

    Mal for gjennomføring av en DPIA

    Til bruk for gjennomføringen av en DPIA, se Mal for gjennomføring av en DPIA.

    Både vurderingen av om det skal gjennomføres en DPIA og den gjennomførte DPIA-en skal arkiveres i P360.

  • Avtalemaler for personvern

    Mal for databehandleravtale

    Hvis du setter deler av behandlingen ut til en virksomhet/institusjon/fysisk person utenfor OsloMet skal databehandleravtale  inngås. Dette er tilfelle når OsloMet (behandlingsansvarlig) overfører personopplysninger til en ekstern virksomhet/institusjon/fysisk person (databehandler) som skal behandle personopplysninger på vegne av OsloMet og som OsloMet ikke har noen instruksjonsmyndighet over. OsloMet bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes.

    Eksterne er alle OsloMet ikke har noen instruksjonsmyndighet over. Personer OsloMet har instruksjonsmyndighet over og anses som interne er

    • personer som anses som studenter ved OsloMet og signerer en taushetserklæring
    • ansatte som har en arbeidsavtale og signerer en taushetserklæring, gjelder også personer som knyttes til OsloMet via engasmenet o.l

    Tilsvarende gjelder hvis OsloMet får overført/får tilgang til personopplysninger som en ekstern virksomhet/institusjon/fysisk person er behandlingsansvarlig for og OsloMet ikke er med og bestemmer formål eller middel for behandlingen.  OsloMet behandler da personopplysninger på vegne av den eksterne virksomheten og har rollen som databehandler.

    Det er ditt ansvar at en avtale er på plass. Det er i UH-sektoren utarbeidet et forslag til databehandleravtale og en sjekkliste for databehandleravtaler i henhold til ny personvernlovgivning (GDPR som trådte i kraft 20. juli 2018). Denne databehandleravtalemalen skal fortrinnsvis brukes ved OsloMet, men tilpasses i hvert enkelt tilfelle. Det finnes også en engelsk versjon av databehandleravtalen som ligger på samme nettside.  

    • Sjekklisten kan brukes ved behov for kvalitetssikring av databehandleravtaler som leverandører av skytjenester eller andre typer nettbaserte tjenester tilbyr.
    • En databehandleravtale er et viktig juridisk dokument som må være på plass så tidlig som mulig.

    Digitaliseringsdirektoratets standard databehandleravtale er klar til bruk. Den dekker personvernforordningens minimumskrav, og har en generell avtaletekst og et bilagssett som må fylles ut i hvert enkelt tilfelle.

    I flg. Datatilsynets nettsider: Norske virksomheter kan ta i bruk en  ny standarddatabehandleravtale som det danske datatilsynet har vedtatt. Den er tilgjengelig på dansk og engelsk.

    Husk at prosjektmedarbeidere (forskning) som tolker, transkriberingsassistenter og forskningsassistenter anses som databehandlere, dersom de er eksterne, og må signere en databehandleravtale om hvordan personopplysningene skal behandles.

    Databehandleravtalen kan signeres etter at det er gjort en risikovurdering og skal arkiveres i P360. Se Registrering i Public 360 og Datatilsynets veileder om databehandleravtale. Saksnummer registreres på behandlingen/arbeidsprosessen i behandlingsoversikten til OsloMet i systemet Ardoq (gjelder de behandlinger som skal registreres i Ardoq). Dette gjøres av personvernkontakten ved aktuell enhet. 

    Avtalemal for felles behandlingsansvar

    OsloMet har fått utarbeidet en avtalemal for felles behandlingsansvar, med utgangspunkt i UiO sin mal (engelsk versjon).  Malen kan  benyttes i de tilfeller OsloMet og en ekstern virksomhet/institusjon må anses å ha et felles behandlingsansvar og det skal skje en overføring av personopplysninger mellom virksomhetene/institusjonene.

    Det foreligger et felles behandlingsansvar, dersom to eller flere behandlingsansvarlige i fellesskap fastsetter formålene med og midlene for behandlingen.

    Avtale om felles behandlingsansvar skal arkiveres i P360.

    Avtalemal for dataoverføring

    OsloMet har fått på plass en avtalemal for dataoverføring, for det meste kopiert fra NTNU sin mal (engelsk versjon). Malen kan benyttes i de tilfeller OsloMet skal overføre personopplysninger til en ekstern virksomhet/institusjon og begge parter har et selvstendig behandlingsansvar. Malen kan også benyttes i de tilfeller OsloMet mottar personopplysninger fra en annen selvstendig behandlingsansvarlig.

    Det foreligger selvstendige behandlingsansvarlige hvis begge (alle) behandlingsansvarlige skal benytte personopplysningene til egne formål som ikke fastsettes i fellesskap.

    Avtale om dataoverføring skal arkiveres i P360.

    Se nettside om

  • Overføring av personopplysninger til utlandet

    Skal du overføre personopplysninger til utlandet er det en del ting du skal sjekke ut, se nettside Overføring av personopplysninger til utlandet.

  • Bruk av e-post

    Les mer om hva du må tenke på når du sender eller mottar epost i sikkerhetsinstruks 2-9 og nettsiden Om bruk av e-post ved OsloMet. 

    OBS: Hvis du mottar e-post med sensitive personopplysninger ukryptert, må du så raskt som mulig lagre dette på et sikkert lagringssted i henhold til Lagringsguide (hvis opplysningene er nødvendige for OsloMet for et bestemt formål) og slette opplysningene fra outlook. Pass på å ikke sende opplysningene videre eller svare avsender på ukryptert epost.

    Du må være oppmerksom på at opplysningene i seg selv ikke trenger å være sensitive, men at opplysningene røper f.eks. et pasientforhold. Dette kan også være tilfelle ved utsendelse av en undersøkelse. Hvis utsendelsen, med link til en undersøkelse, røper et pasientforhold, anses eposten å inneholde sensitive personopplysninger. Eposten skal derfor sendes kryptert.

    Se også Bruk av e-post og skytjenester i forskningsprosjekter.

  • Samtykkeerklæring og informasjonsarkiv

    Ved vurdering av om det fotografiet du tenker å bruke trenger et lovlig grunnlag og hvilket lovlig grunnlag, sjekk ut datatilsynets nettside om Deling av bilder og åndsverksloven § 104.

    Aktuelle lovlige grunnlag er "samtykke" (portrettfoto) eller "berettiget interesse" (situasjonsbilde og foto der personene som igjenkjennes ikke er hovedmotivet i bildet).

  • Anonymitet

    Anonymiserte-, anonyme eller avidentifiserte data

    Et av de første spørsmålene du bør stille deg er om du skal bruk anonyme data, anonymiserte data eller data som bare er avidentifiserte. Så lenge opplysninger og vurderinger på noe vis kan knyttes til enkeltpersoner anses de å være personopplysninger, se nettside om Anonymiserte-, anonyme  eller avidentifiserte data.

    Sjekkliste for anonymisering

    Ønsker du å bruke personopplysninger til et nytt formål uten å be om tillatelse, fra eksterne eller den registrerte, må opplysningene anonymiseres. Se sjekkliste for anonymisering.

    Sjekkliste for anonym behandling

    Ønsker du å unngå behandling av personopplysninger for å slippe å forholde deg til personvernregelverket og å be om tillatelse, fra eksterne eller den registrerte. Se sjekkliste for anonym behandling.

  • Behandling av lyd- og videoopptak

    Lyd- og videoopptak kan være svært personidentifiserende. Jo mer sensitiv informasjon som behandles, dess høyere bør sikkerhetstiltakene være. Vurderingene bør være lik både i forskning og i administrasjon/undervisning. På grunn av koronaviruset og stenging av universitetet foreligger behov for nye muligheter ved digital undervisning. Se videoopptak av Zoom-samling.  Her er også  link til personvernrutiner for forsker og personvernrutiner for studenter.

  • Innsyn i personlige områder og utlevering av personopplysninger

    I utgangspunktet har ingen ved OsloMet eller utenforstående tilgang til studenter og ansattes personlige e-postkasse, personlige lagringsområder eller den enkeltes aktivitet på nett. Se nettside om innsyn i personlige områder og utlevering av personopplysninger og nettside om Kanaler for internkommunikasjon  (utlevering av lister med  e-postadresser til ansatte og studenter).

Kontakt

Kontakt

Ingrid S. Jacobsen

Phone :
67 23 55 34
E-mail :
Url :
Ingrid S. Jacobsen

Rektors Stab: Emelie Høglund

Phone :
67 23 55 93
E-mail :

Avd. Utdanning: Marius Stene Fuglum

Phone :
67 23 53 81
E-mail :

Avd. Utdanning: Royne Kreutz

Phone :
67 23 58 90
E-mail :

Avd. FoU Espen Eidlaug

Phone :
67 23 50 38
E-mail :

HR: Malin Smit

Phone :
67 23 83 72
E-mail :

ØK: Gisle Mossige

Phone :
67 23 58 85
E-mail :

SDI: Olga Pakhomova

Phone :
67 23 57 64
E-mail :

Avdeling Eiendom: Tom E. Syvertsen

Phone :
99 20 35 75
E-mail :

Avdeling IKT: Stig Muren

Phone :
67 23 58 40
E-mail :

Universitetsbiblioteket (Medieseksjonen): Henrik Thorsen

Phone :
67 23 52 26
E-mail :

Universitetsbiblioteket: ?

Avd. SK: Hallvard Lavoll

Phone :
67 23 51 09
E-mail :

Fakultet HV: Vibeke Emma Myrebøe Meijer

Phone :
67 23 84 15
E-mail :

Fakultet HV: Berit Nygård

Phone :
63 23 80 90
E-mail :

HV: FoU Eirik Dåstøl Langeland

Phone :
67 23 54 65
E-mail :

Fakultet LUI: Jorunn Wiig Strømberg

Phone :
67 23 71 08
E-mail :

LUI: FoU Nina Hestnes

Phone :
67 23 70 76
E-mail :

Fakultet SAM: Mette Sandberg

Phone :
67 23 73 58
E-mail :

SAM: FoU Inger Johanne Flatland

Phone :
67 23 60 87
E-mail :

Fakultet TKD: Sigrun Vedø

Phone :
67 23 69 05
E-mail :

Fakultet TKD: FOU og Adm./underv. Cecilia Roberts

Phone :
67 23 85 56
E-mail :

SPS: Jon Anstein Olsen

Phone :
67 23 67 80
E-mail :

SVA: Elsbet Vestvatn

Phone :
992 88 396
E-mail :

SVA FoU: Silvia Alfreider

Phone :
988 91 994
E-mail :