- GDPR - hva betyr det for deg?
- Personvernpolicy
- Personvernerklæring
- Melding til personvernombudet
- Personvernombud
- Risikovurdering
- Personvernkonsekvensvurdering (DPIA)
- Databehandleravtale
- Særlige kategorier (sensitive personopplysninger)
- Samtykkeerklæring og informasjonsskriv
- Anonymiserte-, anonyme- eller avidentifiserte data
- Sjekkliste for anonymisering
- Sjekkliste for anonym behandling
- Behandling av lydopptak- og videoopptak
- Innsyn og informasjonsplikt
- Les mer om personvern på sikresiden.no
GDPR - hva betyr det for deg
Lurer du på hva GDPR har å si for deg i din hverdag? Se nettside om hva du bør tenke på når du behandler personopplysninger og lenker til nyttig informasjon og kurs.
Personvernpolicy
OsloMet har en personvernpolicy som skal legges til grunn for internkontroll av personvern, er overordnet alle retningslinjer for personvern og gjelder for all behandling av personopplysninger i alle deler av OsloMets virksomhet.
Personvernerklæring
Denne personvernerklæringen handler om hvordan OsloMet samler inn og bruker personopplysninger.
Melding til personvernombudet
I forskning
Etter ikrafttredelse av ny personopplysningslov fungerer Norsk senter for forskningsdata (NSD) som personvernrådgiver i forskning og vurderer behandlingsgrunnlag (lovligheten) og informasjonssikkerheten til personopplysninger i forskningsprosjekter på vegne av OsloMets personvernombud.
Ved OsloMet vil det si at alle prosjekter nå skal meldes til NSD, også helseforskning. Melding til NSD og søknad til De regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK) bør sendes samtidig. Se også nettside om Personvern i forskning.
REK skal fremdeles gjøre etiske vurderinger og gi dispensasjon fra taushetsplikt, men skal ikke lenger vurdere om prosjektets behandling av personopplysninger oppfyller kravene i personvernregelverket.
NSD tar kontakt med institusjonelt personvernombud ved vurdering av personvernkonsekvenser (DPIA) i de prosjektene dette er aktuelt. Personvernombudet gir sine anbefalinger med hensyn til vurderingen og forslag til tiltak. Dette forelegges instituttleder/dekan/senterleder som tar endelig beslutning i forhold til akseptabelt risikonivå.
Administrative behandlinger og behandlingsaktiviteter innen undervisning
Nye og endrede behandlingsaktiviteter skal registreres inn i systemet Ardoq av personvernkontakt opprettet i hver enkelt enhet/fakultet/senter. Link til systemet ligger i gruppen Personvernkontakter i Teams.
Personvernkontakten og Personvernombudet skal bistå behandlingsansvarlig i å
- samle inn informasjon for å identifisere behandlingsaktiviteter
- analysere og sjekke at behandlingsaktivitetene er i tråd med regelverket
Lenke til oversikt for 2017 og 2018.
Alle systemer og tjenester skal kartlegges. Det er systemeier/tjenesteeier som skal sørge for dette. Spørsmålene i kartleggingen bør besvares av personer som har god kjennskap til den tekniske løsningen (med tilhørende arbeidsprosesser) som OsloMet er ansvarlig for og hvor personopplysninger behandles. Imidlertid kan en med personvernkompetanse være behjelpelig i kartleggingen.
Per i dag skal dere benytte skjema for kartlegging av systemer/tjenester ved OsloMet. Skjemaet er laget med utgangspunkt i mal for rammeverk for GDPR (behandlingsansvarlig) på nettsiden Ressurser for arbeidet med GDPR i UH-sektoren.
Ferdig utfylt skjema sendes personvernombudet ved OsloMet, Ingrid Jacobsen, personvernombud@oslomet.no for kvalitetssikring og oppbevaring.
Personvernombud
OsloMet har et uavhengig personvernombud som blant annet har i oppgave å ivareta personverninteressene til ansatte, studenter, gjesteforskere, gjester og respondenter eller informanter i forskningsprosjekter.
Risikovurdering
Det skal foretas risikovurdering av alle behandlinger av personopplysninger som reguleres av personvernlovgivningen. Uønskede hendelser skal avdekkes og tiltak skal gjøres for å hindre at noe skjer. På den måten kan man være forberedt på hva man bør gjøre hvis det likevel skjer. Se nettside om Risikovurdering på sikresiden.no. Her ligger en e-læring og ulike maler for risikovurdering. Risikovurderingen bør arkiveres i P360 og være lett å finne ved et eventuelt tilsyn. Risikovurdering i forskning, se nettside om verdivurdering og risikovurdering.
Personvernkonsekvensvurdering (DPIA)
En personvernkonsekvensvurdering (DPIA) skal foretas for å sikre personvernet til den registrerte i en teknisk løsning eller i et prosjekt. Dette er nødvendig i de tilfeller hvor det er høy risiko for fysiske personers "rettigheter og friheter". Med dette menes blant annet ytringsfrihet, religionsfrihet, privatlivets fred, tankefrihet, bevegelsesfrihet, rett til ikke å bli diskriminert og personvern.
Du skal ved ALLE behandlinger vurdere om det bør gjennomføres en DPIA. Personvernombudet skal ALLTID rådføres i vurderingen av om det bør gjøres en DPIA og i selve gjennomføringen. I forskning hjelper NSD (Norsk senter for forskningsdata) deg med vurderingen og gjennomføringen. Personvernombudet ved OsloMet rådføres i gjennomføringen også i forskning.
Til hjelp i vurderingen av om en DPIA skal gjennomføres, se mal for vurderingen av om en DPIA skal gjennomføres. Du kan også få hjelp i vurderingen og i selve gjennomføringen, via Datatilsynets veileder, Artikkel 29 gruppens retningslinjer (EN) og e-læring i forskning "TA hensyn og gjør en DPIA" som ligger på sikresiden.no.
Er du fortsatt usikker på om du har plikt til å gjennomføre en DPIA? Datatilsynet har nå publisert en liste over en del aktiviteter som ALLTID vil kreve at det gjennomføres en vurdering av personvernkonsekvenser før behandlingen settes igang.
Både vurderingen av om det skal gjennomføres en DPIA og den gjennomførte DPIA-en skal arkiveres i P360.
Databehandleravtale
Hvis du setter deler av behandlingen ut til virksomheter utenfor OsloMet (databehandler) skal databehandleravtale inngås. Det er ditt ansvar at en avtale er på plass. Det er i UH-sektoren utarbeidet et forslag til databehandleravtale og en sjekkliste for databehandleravtaler i henhold til ny personvernlovgivning (GDPR som trådte i kraft 20. juli 2018). Denne databehandleravtalemalen skal brukes, men tilpasses i hvert enkelt tilfelle. Det finnes også en engelsk versjon av databehandleravtalen. Sjekklisten kan brukes ved behov for kvalitetssikring av databehandleravtaler som leverandører av skytjenester eller andre typer nettbaserte tjenester tilbyr.
Databehandleravtalen skal arkiveres i P360. Se også rutine for dokumenthåndtering og Datatilsynets veileder om databehandleravtale ( Datatilsynets nettsider omhandler nåværende lovgivning). Saksnummer skal videreformidles til personvernombudet personvernombud@oslomet.no.
Særlige kategorier (sensitive personopplysninger)
Hva som er særlige kategorier (sensitive personopplysninger) defineres i EUs personvernforordning (GDPR).
Samtykkeerklæring og informasjonsskriv
Anonymiserte- anonyme eller avidentifiserte data
Et av de første spørsmålene du bør stille deg er om du skal bruk anonyme data, anonymiserte data eller data som bare er avidentifiserte. Så lenge opplysninger og vurderinger på noe vis kan knyttes til enkeltpersoner anses de å være personopplysninger, se nettside om Anonymiserte-, anonyme eller avidentifiserte data.
Sjekkliste for anonymisering
Ønsker du å bruke personopplysninger til et nytt formål uten å be om tillatelse, fra eksterne eller den registrerte, må opplysningene anonymiseres. Se sjekkliste for anonymisering.
Sjekkliste for anonym behandling
Ønsker du å unngå behandling av personopplysninger for å slippe å forholde deg til personvernregelverket og å be om tillatelse, fra eksterne eller den registrerte. Se sjekkliste for anonym behandling.
Behandling av lyd- og videoopptak
Lyd- og videoopptak kan være svært personidentifiserende. Jo mer sensitiv informasjon som behandles, dess høyere bør sikkerhetstiltakene være. Vurderingene bør være lik både i forskning og i administrasjon/undervisning.
Innsyn og informasjonsplikt
Alle registrerte har krav på innsyn i egne personopplysninger og OsloMet har informasjonsplikt i forhold til de registrerte. Personopplysninger skal sikres tilstrekkelig.