Personvern | Helse, miljø og sikkerhet - Ansatt

Personvern

Personvern

Personopplysninger kan være bilde, video, lydopptak eller tekst. Alle som behandler opplysninger på vegne av OsloMet skal kjenne rutinene og følge dem.

I oversikten under finner du alt som inngår for å sikre personvern og rutiner for hvordan alle som behandler personopplysninger ved OsloMet skal forholde seg til.

Personvern og korona

Personverforordningen (GDPR) er ikke til hinder for tiltak som kan bekjempe pandemien, men grunnleggende rettigheter må beskyttes. Dette understreker Det europeiske personvernrådet (EDPB) (datatilsynet.no). 

For OsloMet gjelder det at vi fortsatt skal begrunne hva vi gjør og må kunne svare på: 

  • Hvilke data samles inn?
  • Hva er formålet med innsamling av data? 
  • Hvordan og hvor lenge skal dataene brukes? 
  • Hvem har tilgang til opplysningene?
  • Hvordan sikres data slik at uvedkommende ikke får tilgang? 

Les gjerne kronikken fra Datatilsynets direktør Bjørn Erik Thon skriver blandt annet følgende i sin kronikk, Personvern i en krisetid, 6. april 2020.

Se også sikresiden.no sin nettside om Personvern i koronasituasjonen.

Les mer om personvern på sikresiden.no

  • Hva betyr personvern (GDPR) for deg?

    Hva betyr personvern (GDPR) for deg?

    Lurer du på hva personvern (GDPR) har å si for deg i din hverdag? Se nettside om hva du bør tenke på når du behandler personopplysninger og lenker til nyttig informasjon og kurs.

  • Policy for informasjonssikkerhet og personvern, -erklæring og -ombud

    Policy for informasjonssikkerhet og personvern

    OsloMet fikk fastsatt en policy for informasjonssikkerhet og personvern mai 2020 som skal legges til grunn for ivaretagelse av de informasjonsverdier, herunder personopplysninger, som utvikles, behandles og forvaltes gjennom OsloMets forskning, utdanning, herunder kunstnerisk utviklingsarbeid, formidling, nyskaping og administrasjon, og overholdelse av lover og regler.

    Personvernerklæring

    Denne personvernerklæringen handler om hvordan OsloMet samler inn og bruker personopplysninger.

    Personvernombud

    OsloMet har et uavhengig personvernombud som blant annet har i oppgave å ivareta personverninteressene til ansatte, studenter, gjesteforskere, gjester og respondenter eller informanter i forskningsprosjekter.

  • Oversikt over behandling av personopplysninger (protokoll)

    I forskning

    Norsk senter for forskningsdata (NSD)

    Etter ikrafttredelse av ny personopplysningslov fungerer NSD som personvernrådgiver i forskning og vurderer behandlingsgrunnlag (lovligheten) og informasjonssikkerheten til personopplysninger i forskningsprosjekter på vegne av OsloMet og OsloMets personvernombud.

    Ved OsloMet vil det si at alle prosjekter nå skal meldes til NSD, også helseforskning. Melding til NSD og søknad til De regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK) bør sendes samtidig. Disse prosjektene registreres i NSD sitt meldearkiv, som er en del av OsloMet sin protokoll etter personvernforordningen art. 30, i tillegg til OsloMet sin forskningsdatabase. Se også nettside om Personvern i forskning.

    REK skal fremdeles gjøre etiske vurderinger og gi dispensasjon fra taushetsplikt, men skal ikke lenger vurdere om prosjektets behandling av personopplysninger oppfyller kravene i personvernregelverket.

    NSD tar kontakt med institusjonelt personvernombud ved vurdering av personvernkonsekvenser (DPIA) i de prosjektene dette er aktuelt. Personvernombudet gir sine anbefalinger med hensyn til vurderingen og forslag til tiltak. Dette forelegges instituttleder/dekan/senterleder som tar endelig beslutning i forhold til akseptabelt risikonivå.

    Forskningsdatabasen

    Forskningsdatabasen er en intern database der du skal registrere metainformasjon om forskningen. På denne måten blir forskningen søkbar og tilgjengelig for andre tilsatte ved OsloMet, og det blir lettere å orientere seg om relevante forskningsprosjekter. Forskningsdatabasen regnes som protokoll over personopplysninger i forskning etter personvernforordningen, og informasjonen brukes til lovpålagt internkontroll.

    Første versjon av Forskningsdatabasen ble lansert i juni 2020.

    Du kan lese mer om forskningsdatabasen i veileder for forskningsdatabasen, hvilke prosjekter som skal registreres der, hva som skal registreres og hvordan.

    Innen administrasjon og undervisning

    Nye og endrede behandlingsaktiviteter innen administrasjon og undervisning skal registreres inn i systemet Ardoq av personvernkontakt opprettet i hver enkelt enhet/fakultet/senter. Link til systemet ligger i gruppen Personvernkontakter i Teams.

    Personvernkontakten og Personvernombudet skal bistå behandlingsansvarlig i å

    1. samle inn informasjon for å identifisere behandlingsaktiviteter
    2. analysere og sjekke at behandlingsaktivitetene er i tråd med regelverket

    Lenke til oversikt for 2017 og 2018.

    Kartlegging av systemer og tjenester

    Alle systemer og tjenester skal kartlegges. Det er systemeier/tjenesteeier som skal sørge for dette, sammen med tjeneste/systemforvalter. Spørsmålene i kartleggingen bør besvares av personer som har god kjennskap til den tekniske løsningen (med tilhørende arbeidsprosesser) som OsloMet er ansvarlig for og hvor personopplysninger behandles. Imidlertid kan en med personvernkompetanse være behjelpelig i kartleggingen.

    Per i dag skal dere benytte skjema for kartlegging av systemer/applikasjoner/tjenester ved OsloMet. Skjemaet er laget med utgangspunkt i mal for rammeverk for GDPR (behandlingsansvarlig) på nettsiden Ressurser for arbeidet med GDPR i UH-sektoren.

    Ferdig utfylt skjema sendes personvernombudet (PVO) ved OsloMet, Ingrid Jacobsen, personvernombud@oslomet.no for kvalitetssikring og oppbevaring.

    Oppfølging:

    Røde merknader fra PVO skal følges opp, og etter oppdatering returneres til PVO. Tjeneste/systemforvalter har ansvar for at dette gjøres sammen med personvernkontakt (PVK).

    For alle system skal det minimum foreligge to, og ofte, fire av følgende dokument:

    1. Risikovurdering (ROS). Denne skal utføres med fokus på personvern og lagres i P360.

    2. DPIA: Utfylling av skjema for DPIA-vurdering (også om det IKKE vurderes nødvendig) – skal signeres av systemeier.

    3. Lovlig grunnlag «Berettiget interesse»: krever utfylling av eget skjema som skal lagres i P360.

    4. Databehandleravtale

    Det er Personvernkontakt som i utgangspunktet skal lagre aktuelle dokument i P360.

    Andre oppfølgingspunkt:

    • Oppdatering av informasjon om systemet på nettsider.

    • Etablere rutiner (leverandørstyring, revisjon av informasjon, avvikshåndtering, …).

    • Eventuell dataoverføring til tredjeland - vurdering av overføringsgrunnlag.

    • Vurdere om systemet etterlever krav til styringssystem for informasjonssikkerhet.

    Løpende oppdatering av informasjon:

    • Ved større endringer i system/tjenesten, skal det gjennomføres ny ROS-vurdering og aktuelle skjema skal oppdateres. Ny ROS-vurdering lagres i P360
    • Ved mindre endringer, bør skjema oppdateres og ny versjon lagres på opprettet Teams for formålet.
    • Generelt skal det foretas ROS-vurderinger hvert tredje år.

  • Særlige kategorier (sensitive personopplysninger)

    Hva som er særlige kategorier (sensitive personopplysninger) defineres i EUs personvernforordning (GDPR).

  • Det lovlige grunnlaget "berettiget interesse" - vurdering

    Ved bruk av det lovlige grunnlaget "berettiget interesse" i personverforordningen (GDPR) art. 6 nr. 1 f) skal det gjøres en dokumentert vurdering - en balansetest. OsloMet sin interesse i behandlingen skal veies opp mot konsekvensene dette har for den registrerte; dvs. den ansatte, studenten, forskningsdeltaker o.l.

    Se skjema for vurdering av "berettiget interesse". Dette skjema bør lagres i P360 sammen med en dokumentert risikovurdering og andre dokumenter knyttet til behandlingen/arbeidsprosessen.

    Se også Datatilsynets nettside om "berettiget interesse (legitime interesse)".

  • Lagring og klassifisering

    Lurer du på hvor du bør lagre dokumenter, filer og forskningsmateriale? Les om dine lagringsmuligheter ved OsloMet i OsloMet sin Lagringsguide. ​​​​

    For å velge riktig lagringssted må du først klassifisere det som skal lagres. Lær mer om klassifisering og hvordan du vurderer konfidensialitetsklasse.

    I forskning, se også nettside, Lagring av forskningsdata.

  • Prøv deg på Personvernspillet 2021

    OsloMet kan nå tilby Personvernspillet 2021 fra sikresiden.no til alle ansatte og studenter som skal skrive oppgave fordi de fleste av oss behandler personopplysninger gjennom forskning, undervisning eller administrasjon. I den nasjonale sikkerhetsmåneden oktober 2020 var OsloMet en av deltakerne i piloten.

  • Risikovurdering

    Det skal foretas risikovurdering av alle behandlinger av personopplysninger som reguleres av personvernlovgivningen. Uønskede hendelser skal avdekkes og tiltak skal gjøres for å hindre at noe skjer. På den måten kan man være forberedt på hva man bør gjøre hvis det likevel skjer. Se nettside om Risikovurdering på sikresiden.no. Her ligger en e-læring og ulike maler for risikovurdering. Risikovurderingen skal gjøres før behandlingen starter og arkiveres i P360, slik at den er lett å finne ved et eventuelt tilsyn. Saksnummer registreres på behandlingen/arbeidsprosessen i behandlingsoversikten til OsloMet i systemet Ardoq. Dette gjøres av personvernkontakten ved aktuell enhet. 

    Risikovurdering i forskning, se nettside om verdivurdering og risikovurdering.

  • Personvernkonsekvensvurdering (DPIA)

    Begrunnelse for hvorfor det skal gjøres en DPIA

    En personvernkonsekvensvurdering (DPIA) skal foretas for å sikre personvernet til den registrerte i en teknisk løsning, ved en behandling/arbeidsprosess eller i et prosjekt. Dette er nødvendig i de tilfeller hvor det er høy risiko for fysiske personers "rettigheter og friheter". Med dette menes blant annet ytringsfrihet, religionsfrihet, retten til likestilling, privatlivets fred, tankefrihet, bevegelsesfrihet, rett til ikke å bli diskriminert og personvern.

    Vurder å gjennomføre en DPIA

    Du skal ved ALLE behandlinger vurdere om det bør gjennomføres en DPIA. Personvernombudet kan rådføres i vurderingen av om det bør gjøres en DPIA, men skal ALLTID rådføres i selve gjennomføringen i de tilfeller det er nødvendig.

    I forskning hjelper NSD (Norsk senter for forskningsdata), som er OsloMets personvernrådgiver i forskning, deg med vurderingen og gjennomføringen. Personvernombudet ved OsloMet rådføres i gjennomføringen også i forskning. DPIA-en arkiveres i NSD sitt meldingsarkiv.

    Til hjelp i vurderingen av om en DPIA skal gjennomføres, se mal for vurderingen av om en DPIA skal gjennomføres (engelsk versjon).

    Du kan også få hjelp i vurderingen og i selve gjennomføringen, via 

    Er du fortsatt usikker på om du har plikt til å gjennomføre en DPIA? Datatilsynet har nå publisert en liste over en del aktiviteter som ALLTID vil kreve at det gjennomføres en vurdering av personvernkonsekvenser før behandlingen settes igang. Er du i tvil og mener at ditt tilfelle ligger i en gråsone, gjennomfør en DPIA.

    Du kan ta kontakt med personvernkontakten i din enhet for bistand i vurdering og gjennomføring.

    Mal for gjennomføring av en DPIA

    Til bruk for gjennomføringen av en DPIA, se Mal for gjennomføring av en DPIA.

    Til gjennomføringen anbefales du å samle personer du mener har kompetanse og innsikt i hvordan systemet/behandlingen/arbeidsprosessen foregår og hvordan den kan påvirke personvernet til de registrerte (ansatte, studenter, pasienter, forskningsdeltakere m.fl.).

    Husk å involvere personvernombudet i gjennomføringen, fortrinnsvis sende utkast til gjennomlesning. Ved behov kan personvernombudet også kalles inn til et møte.

    Både vurderingen av om det skal gjennomføres en DPIA og den gjennomførte DPIA-en skal arkiveres i P360 (gjelder ikke forskning). At DPIA er vurdert, og eventuelt gjennomført, skal registreres i protokoll (Ardoq) av personvernkontakt der saksnummer i P360 føres opp.

  • Avtalemaler for personvern (tre varianter)

    Vi har tre avtalevarianter innen personvern. På nettside om avtalemaler for personvern finner du aktuelle maler og informasjon om når du skal bruke de ulike malene.

    ​​

  • Overføring av personopplysninger til utlandet

    Skal du overføre personopplysninger til utlandet er det en del ting du skal sjekke ut, se nettside Overføring av personopplysninger til utlandet.

  • Overføring av personopplysninger mellom behandlingsansvarlige

    Ved overføring av data til andre virksomheter/institusjoner som er selvstendig behandlingsansvarlige er det flere sentrale forhold som bør kontrolleres. Se sjekkliste for overføring av personopplysninger mellom behandlingsansvarlige. ​​

  • Avvik

    Oppstår en hendelse/et avvik knyttet til behandling av personopplysninger skal det fylles ut et skjema for melding om avvik og sendes til sikkerhet@oslomet.no.

    Hva er avvik etter personvernregelverket?

  • Bruk av e-post

    Les mer om hva du må tenke på når du sender eller mottar epost i sikkerhetsinstruks 2-9 og nettsiden om bruk av e-post ved OsloMet. 

    OBS: Hvis du mottar e-post med sensitive personopplysninger ukryptert, må du så raskt som mulig lagre dette på et sikkert sted i henhold til Lagringsguiden (hvis opplysningene er nødvendige for OsloMet for et bestemt formål) og slette opplysningene fra outlook. Pass på å ikke sende opplysningene videre eller svare avsender på ukryptert epost.

    Du må være oppmerksom på at opplysningene i seg selv ikke trenger å være sensitive, men at opplysningene røper f.eks. et pasientforhold. Dette kan også være tilfelle ved utsendelse av en undersøkelse. Hvis utsendelsen, med link til en undersøkelse, røper et pasientforhold, anses eposten å inneholde sensitive personopplysninger. Eposten skal derfor sendes kryptert.

    Se også hvordan kryptere epost, filer og dokumenter.

  • Samtykkeerklæring og informasjonsarkiv

    Ved vurdering av om det fotografiet du tenker å bruke trenger et lovlig grunnlag og hvilket lovlig grunnlag, sjekk ut datatilsynets nettside om Deling av bilder og åndsverksloven § 104.

    Aktuelle lovlige grunnlag er "samtykke" (portrettfoto) eller "berettiget interesse" (situasjonsbilde og foto der personene som igjenkjennes ikke er hovedmotivet i bildet).

  • Anonymitet

    Et av de første spørsmålene du bør stille deg er om du skal bruk anonyme data, anonymiserte data eller data som bare er avidentifiserte. Så lenge opplysninger og vurderinger på noe vis kan knyttes til enkeltpersoner anses de å være personopplysninger, se nettside om Anonyme-, anonymiserte eller avidentifiserte data.

    Sjekkliste for anonym behandling

    Ønsker du å unngå behandling av personopplysninger for å slippe å forholde deg til personvernregelverket og å be om tillatelse, fra eksterne eller den registrerte. Se sjekkliste for anonym behandling.

    Sjekkliste for anonymisering

    Ønsker du å bruke personopplysninger til et nytt formål uten å be om tillatelse, fra eksterne eller den registrerte, må opplysningene anonymiseres. Se sjekkliste for anonymisering.

  • Behandling av lyd- og videoopptak

    Lyd- og videoopptak kan være svært personidentifiserende. Jo mer sensitiv informasjon som behandles, dess høyere bør sikkerhetstiltakene være. Vurderingene bør være lik både i forskning og i administrasjon/undervisning. På grunn av koronaviruset og stenging av universitetet foreligger behov for nye muligheter ved digital undervisning. Se punkt om bruk av Zoom.

  • Bruk av Zoom

  • Transkribering - Manuelt eller automatisk?

    Transkribering av en lydfil kan generelt sett gjøres på to ulike måter. Den ene er å gå gjennom lydfilen manuelt, og skrive ned det man hører underveis. Dette kalles også for manuell transkripsjon. Se nettside om Transkribering.

  • Innsyn i personlige områder og utlevering av personopplysninger

    I utgangspunktet har ingen ved OsloMet eller utenforstående tilgang til studenter og ansattes personlige e-postkasse, personlige lagringsområder eller den enkeltes aktivitet på nett. Se nettside om innsyn i personlige områder og utlevering av personopplysninger og nettside om Kanaler for internkommunikasjo (utlevering av lister med e-postadresser til ansatte og studenter).

Kontakt

Kontakt

Ingrid S. Jacobsen

Telefon :
67 23 55 34
E-post :
Url :
Ingrid S. Jacobsen

Rektors Stab: Emelie Høglund

Telefon :
67 23 55 93
E-post :

Avd. Utdanning: Marius Stene Fuglum

Telefon :
67 23 53 81
E-post :

Avd. Utdanning: Royne Kreutz

Telefon :
67 23 58 90
E-post :

Avd. FoU Morten Bjørnskau Johannesen

Telefon :
67 23 86 14
E-post :

HR: Malin Smit

Telefon :
67 23 83 72
E-post :

ØK: Gisle Mossige

Telefon :
67 23 58 85
E-post :

SDI: Olga Pakhomova

Telefon :
67 23 57 64
E-post :

Avdeling Eiendom: Kjersti Weston

Telefon :
67 23 84 34
E-post :

Avdeling IKT: Stig Muren

Telefon :
67 23 58 40
E-post :

Universitetsbiblioteket: ?

Telefon :
67 23

Avd. SK: Hallvard Lavoll

Telefon :
67 23 51 09
E-post :

Fakultet HV: Kristine Sandaker

Telefon :
67 23 62 44
E-post :

Fakultet HV: Berit Nygård

Telefon :
63 23 80 90
E-post :

HV: FoU Eirik Dåstøl Langeland

Telefon :
67 23 54 65
E-post :

Fakultet LUI: Jorunn Wiig Strømberg

Telefon :
67 23 71 08
E-post :

LUI: FoU Nina Hestnes

Telefon :
67 23 70 76
E-post :

Fakultet SAM: Mette Sandberg

Telefon :
67 23 73 58
E-post :

SAM: FoU Inger Johanne Flatland

Telefon :
67 23 60 87
E-post :

Fakultet TKD: Sigrun Vedø

Telefon :
67 23 69 05
E-post :

Fakultet TKD: FOU og Adm./underv. Cecilia Roberts

Telefon :
67 23 85 56
E-post :

SPS FoU: Jon Anstein Olsen

Telefon :
67 23 67 80
E-post :

SPS Adm: Gunda Ruud

Telefon :
67 23 53 69
E-post :

SPS Adm: Beate Elvebakk

Telefon :
67 23 57 78
E-post :

SVA: Elsbet Vestvatn

Telefon :
992 88 396
E-post :

SVA FoU: Silvia Alfreider

Telefon :
988 91 994
E-post :