template.back.to.overview Personvern og informasjonssikkerhet ved behandling av personopplysninger

Hvilket ansvar for personvernet har du som teknisk-administrativ saksbehandler?

Teknisk-administrativ er den som er bruker av et system, slik som for eksempel FS (Felles Studentsystem), Office 365, P360, SAP og OTRS for å utføre en arbeidsoppgave. For å kunne utføre denne arbeidsoppgaven må du kanskje håndterer personopplysninger. Det skjer da i en behandling/arbeidsprosess. Du har et selvstendig ansvar når du håndterer personopplysninger elektronisk eller manuelt, uavhengig av om det skjer på sentralt nivå og ved fakultet/senter.

Du oppfordres til å ta kontakt med din nærmeste leder eller personvernkontakt for å få råd og veiledning om hvordan du skal ivareta dine personvernoppgaver. 

Du skal:

• sørge for tilfredsstillende datakvalitet på de personopplysningene du behandler (tilstrekkelige, relevante, korrekte og oppdaterte)

• følge etablerte rutiner og retningslinjer på din enhet og interne regler for OsloMet. Spør din nærmeste leder eller personvernkontakt hvis du ikke finner dette.

• melde inn behov for opplæring i rutiner og retningslinjer til din nærmeste leder

• melde inn avvik

Se nettside der du får noen tips til opplæringsressurser.

• Sjekk om du behandler personopplysninger; dvs. at behandlingen ikke er tilstrekkelig anonym. Husk at behandlingen må være anonym helt fra innsamlingstidspunktet for å anses anonym, se nettside om anonyme, anonymiserte og avidentifiserte opplysninger.

• Pass på at du ikke samler inn flere personopplysninger enn nødvendig for formålet (for å få utført din arbeidsoppgave). Krav om dataminimering.

• Har du et lovlig grunnlag for behandlingen (datatilsynet.no), slik som en lovhjemmel, avtale, samtykke eller «berettiget interesse»? Ved bruk av samtykke, se retningslinjer for foto, streaming og filmopptak og Samtykke og informasjonsskriv i forskning eller andre undersøkelser/intervjusituasjoner.

• Sjekk at informantene har fått opplyst sine rettigheter i et informasjonsskriv eller i personvernerklæringen. Når du samler inn personopplysninger har du som regel informasjonsplikt overfor den eller de du samler inn personopplysninger om. Er det mangler i personvernerklæringen skal denne oppdateres.

• Sjekk om behandlingen allerede er registrert i systemet for oversikt over behandling av personopplysninger ved OsloMet.

• Er det gjort en klassifisering av personopplysningene og behandles disse i tråd med OsloMet sin Lagringsguide  og andre nettsider om lagring og behandling av personopplysninger?

• Sørg for oppdatering av personopplysningene, slik at de er riktige til enhver tid.

• Skal du dele personopplysningene med andre ansatte? Husk at alle ansatte har taushetsplikt om noens personlige forhold, etter forvaltningsloven § 13 første ledd nummer 1. Nødvendig å vite-prinsippet gjelder her. Det innebærer at opplysninger om noens personlige forhold bare skal deles med de som trenger kunnskap om dem for å løse sine oppgaver eller behandle en sak.  ​​​​​​​​Dette er særlig viktig for personopplysninger som faller innenfor «særlige kategorier» eller som for øvrig er sensitive eller beskyttelsesverdige.  Se nettside om Taushetsplikt og nettside om Tilgang til taushetsbelagt materiale.
• Skal du overføre personopplysninger til eksterne/andre behandlingsansvarlige
• Skal du overføre personopplysninger til utlandet?

• Er det gjort en risikovurdering?

• Er det vurdert om en personvernkonsekvensvurdering er nødvendig å gjennomføre?

• Bør det signeres en avtale som regulerer personvern?

• Pass på at du ikke lagrer personopplysninger som er identifiserbare lengre enn nødvendig (lagringsbegrensning). Du må da sjekke ut hvilke retningslinjer som gjelder for arkivering og sletting, som gjelder for den aktuelle behandlingen/arbeidsprosessen.

Du må kunne dokumentere og arkivere alle vurderinger, avtaler som regulerer personvern og andre dokumenter som viser at du følger personvernregelverket.

SDI har satt opp en nettside Dokumentasjon av personvern i P360 (hioa365.sharepoint.com) som gir deg informasjon om hva slags type dokumentasjon innen personvern som skal lagres i Public 360 og tips til hvordan du kan strukturere dokumentasjonen på best mulig måte. 

• Bruk pullprint-løsningen ved utskrift der den er tilgjengelig. Da blir ikke utskrifter med potensielt personsensitiv informasjon liggende på kopirommet. I tillegg sparer du miljøet.

• Lås inn dokumenter som inneholder personopplysninger - ikke la dette bli liggende på pulten når du går hjem.

• Ikke send personnummer, bankkontonummer eller særlige kategorier av personopplysninger (sensitive personopplysninger) på e-post uten kryptering. Internt kan du sende slik epost, forutsatt at du merker eposten med Fortrolig. Eventuelle vedlegg må imidlertid krypteres også internt.

• Bruk ansattnummer og studentnummer eller navn og fødselsdato fremfor personnummer, der det er mulig.

• Ikke lagre dokumenter på hjemmeområde eller ukrypterte minnepinner.​ Bruk fellesområder der få andre har tilgang.

• Husk alltid å låse eller logge av PC-en når du forlater den.

• Din bruker i systemene er personlig og skal aldri deles med andre.

• Hold passordene dine hemmelig.

Les mer om hva du må tenke på når du sender eller mottar epost i sikkerhetsinstruks 2-9 og nettsiden om bruk av e-post ved OsloMet. 

OBS: Hvis du mottar e-post med sensitive personopplysninger ukryptert, må du så raskt som mulig lagre dette på et sikkert sted i henhold til Lagringsguiden (hvis opplysningene er nødvendige for OsloMet for et bestemt formål) og slette opplysningene fra outlook. Pass på å ikke sende opplysningene videre eller svare avsender på ukryptert epost.

Du må være oppmerksom på at opplysningene i seg selv ikke trenger å være sensitive, men at opplysningene røper f.eks. et pasientforhold. Dette kan også være tilfelle ved utsendelse av en undersøkelse. Hvis utsendelsen, med link til en undersøkelse, røper et pasientforhold, anses eposten å inneholde sensitive personopplysninger. Eposten skal derfor sendes kryptert.

Se også

• Hvordan kryptere epost, filer og dokumenter
• Sikker sending av e-post, filer og dokumenter

Har du behov for å ta i bruk eller anskaffe ny applikasjon, programvare, nytt teknisk utstyr eller et IT-system? Husk å klargjøre behovet, samt forhold rundt bruk og forvaltning før du går videre.​​​

Ta kontakt med personvernkontakt for din enhet, fakultet/senter for bistand ved behov.