Personvern ved UiO

Organiseringen av arbeidet med personvern

Ansvaret for arbeidet med personvern ved behandling av personopplysninger er organisert p? f?lgende m?te:

Det overordnede ansvaret

Styret ved rektor har det overordnede ansvaret for personvernet ved all behandling av personopplysninger ved UiO.

Styret ved rektor har delegert det overordnede ansvaret p? f?lgende m?te:

• Universitetsdirekt?ren har det daglige ansvaret for personvernet  ved behandling av personopplysninger i forskning, undervisning, administrasjon og formidling
• IT-direkt?ren er ansvarlig for den praktiske ut?velsen av universitetsdirekt?rens personvernansvar.

Ansvaret for personvern i administrasjonen

Fagdirekt?rene sentralt og fakultetsdirekt?rene er utpekt som eiere av systemer og tjenester innenfor sine respektive ansvarsomr?der.

System- og tjenesteeiere har ansvaret for enkelte personvernoppgaver ved behandling av personopplysninger i sine systemer eller tjenester.

Administrative ledere for saksbehandling har ansvaret for enkelte personvernoppgaver ved behandling av personopplysninger. Dette gjelder administrative ledere b?de p? sentralt niv? og ved grunnenhetene.

• Saksbehandlere har et selvstendig ansvar for personvernet n?r de h?ndterer personopplysninger elektronisk eller manuelt. Dette gjelder saksbehandlere b?de p? sentralt niv? og ved grunnenhetene.

Ansvaret for personvern i forskningen

Medisinsk og helsefaglig forskning er underlagt helseforskningsloven eller andre s?rlover p? helseomr?det, for eksempel helseregisterloven eller bioteknologiloven. Forskere skal f?lge de spesielle rutiner og retningslinjer som gjelder for personvern og behandling av personopplysninger innenfor disse fagomr?dene. Se kvalitetssystemet for medisinsk og helsefaglig forskning.  

All ?vrig forskning ved UiO skal skje i henhold til retningslinjene i denne veiledningen.

Ansvaret for personvern og behandling av personopplysninger i forskning som ikke regnes som medisinsk eller helsefaglig, er organisert p? f?lgende m?te:

• dekaner og instituttledere har ansvaret for enkelte personvernoppgaver ved behandling av personopplysninger i forskning ved sine enheter

• prosjektledere i forskning har et selvstendig ansvar for personvernet til respondenter eller informanter i forskningsprosjekter (ph.d.-studenter regnes som prosjektledere for sine ph.d.-prosjekter)

• studentveiledere har ansvar for personvernet til respondenter eller informanter i studentforskning p? bachelor- og masterniv?

• studenter har et selvstendig ansvar for personvernet til respondenter eller informanter i studentforskning p? bachelor- og masterniv? 

Hva inneb?rer det at styret ved rektor og universitetsdirekt?ren har det overordnede ansvaret for arbeidet med personvern?

Det er styret og rektor som i siste instans er ansvarlig for at UiO ikke krenker den enkeltes personvern ved behandling av personopplysninger i forskning, undervisning, administrasjon og formidling.

I henhold til delegasjon, inneb?rer dette videre at universitetsdirekt?ren ¨C p? vegne av styret og rektor ¨C skal s?rge for at:

• arbeidet med personvern og behandling av personopplysninger er hensiktsmessig organisert
• det stilles krav til arbeidet med personvern og behandling av personopplysninger
• arbeidet med personvern og behandling av personopplysninger prioriteres og tilf?res tilstrekkelige ressurser
• arbeidet med personvern og behandling av personopplysninger f?lges opp og kontrolleres

Personopplysningsloven med forskrift p?legger ledelsen (styret ved rektor og universitetsdirekt?r) et s?rlig ansvar for informasjonssikkerheten til personopplysninger som behandles ved UiO.

Hva inneb?rer det at IT-direkt?ren ut?ver det daglige ansvaret for arbeidet med personvern?

IT-direkt?ren ¨C p? vegne av universitetsdirekt?ren ¨C f?lger opp og kontrollerer arbeidet med personvern og behandling av personopplysninger i sentraladministrasjonen og ved grunnenhetene.

IT-direkt?ren skal p?se og legge til rette for at sentraladministrasjonen og grunnenhetene ivaretar:

• de lover og regler som gjelder for personvern og behandling av personopplysninger
• de krav som styret og rektor stiller til arbeidet med personvern og behandling av personopplysninger

IT-direkt?rens oppf?lgings- og kontrollansvar ut?ves p? f?lgende m?ter:

• Gjennom ?rlig internkontroll (revisjon) av behandling av personopplysninger. Se veiledning for internkontroll her.
• Gjennom stedlige kontroller i sentraladministrasjonen og ved grunnenhetene av behandling av personopplysninger
• Gjennom utarbeidelse av rutiner og regler for behandling av personopplysninger
• Gjennom informasjon om hvilke rutiner og regler som gjelder for behandling av personopplysninger
• Gjennom oppl?ring av ledere/ansatte og kompetanseheving (seminar og kurs)
• Gjennom juridisk r?dgiving (h?ndtering av konkrete henvendelser fra ansatte, studenter, gjesteforskere eller gjester)
• Gjennom h?ndtering av avvik
• Gjennom ivaretakelse av UiOs plikter som databehandler for andre universiteter og h?yskoler
• Gjennom rapportering av funn fra ?rlig internkontroll, stedlige kontroller og alvorlige avvik til universitetsdirekt?ren

Ut?velsen av den daglige oppf?lgingen er delegert til juristene i IT-direkt?rens stab.

Lovp?lagt internkontroll

Det f?lger av personvernforordningen artikkel 24 at behandling av personopplysninger ved UiO skal omfatte internkontroll. Internkontroll ved UiO skal gjennomf?res etter bestemmelsene i UiOs regelverk om personvern. I kapittel 12.7 ¡±Internkontroll¡± st?r det blant annet at:

"?n gang per ?r skal enhetene, ved hjelp av en mal for egenkontroll (se veiledning), foreta en rapportering fra grunnenhet til fakultetsdirekt?r/fagdirekt?r. P? fakultet/avdeling skal den innsamlede informasjonen sammenfattes ved hjelp av ovennevnte mal. Behandlingsansvarliges representant utarbeider en konklusjon p? bakgrunn av dette som sendes til Universitetsdirekt?ren."

Som et element i ? sikre omr?det ytterligere gjennomf?res det i tillegg stedlige gjennomganger ved hver grunnenhet ved universitetet, hvor m?let er ? ha bes?kt alle grunnenheter i l?pet av en 5-?rsperiode. Den stedlige gjennomgangen gjennomf?res i ÑDz©ÓéÀÖ¹ÙÍø_ÑDz©ptÊÖ»ú¿Í»§¶ËµÇ¼ med personvernombudet.

Informasjonssikkerhet ved UiO?

Informasjonssikkerhet handler om at UiO skal s?rge for at personopplysninger som behandles i forskning, undervisning, administrasjon og formidling er tilfredsstillende beskyttet mot tre typer u?nskede hendelser:

• personopplysninger kommer uvedkommende i hende (brudd p? konfidensialiteten)
• uvedkommende sletter, endrer eller manipulerer personopplysninger (brudd p? integriteten)
• personopplysninger er ikke tilgjengelige for de som har behov for tilgang n?r behovet oppst?r (brudd p? tilgjengeligheten)

Det er universitetsdirekt?ren som er rettslig ansvarlig for at personopplysninger som behandles ved UiO er tilfredsstillende sikret mot slike u?nskede hendelser.

Risikovurderinger anvendes for ? avgj?re om personopplysningene er tilfredsstillende sikret mot u?nskede hendelser (brudd p? konfidensialiteten, integriteten og tilgjengeligheten).

Risikovurderinger skal foretas (i) f?r interne eller eksterne systemer og tjenester tas i bruk, (ii) dersom oppbygningen og virkem?ten til systemer og tjenester endres vesentlig og (iii) med jevne mellomrom (annethvert ?r). 

Risikovurderinger av informasjonssikkerheten til personopplysninger som behandles i interne eller eksterne systemer og tjenester handler om to forhold:

1. identifisere faktiske og mulige u?nskede hendelser som kan skje i forbindelse med bruken av systemet eller tjenesten
2. vurdere sannsynligheten for og skadevirkningen (konsekvensen) av hver enkelt u?nsket hendelse

Dersom risikovurderingen viser at informasjonssikkerheten ikke er tilfredsstillende, for eksempel at visse u?nskede hendelser er sv?rt sannsynlige og har stor potensiell skadevirkning (konsekvens), plikter UiO ? iverksette tiltak som reduserer risikoen for at hendelsene inntreffer.

Tiltakene kan v?re mange av de samme som nevnes i redegj?relsen av hva avvik er ovenfor.

Det er eierne av elektroniske systemer eller tjenester som UiO drifter selv som har ansvaret for ? gjennomf?re risikovurderinger av disse systemene eller tjenestene.

Det er ogs? utnevnt eiere for systemer eller tjenester som driftes av eksterne databehandlere. Eierne av slike systemer eller tjenester har ansvaret for ? gjennomf?re risikovurderinger av informasjonssikkerheten hos de eksterne databehandlerne. 

UiO er pliktig til ? ha et eget styringssystem for ivaretakelse av informasjonssikkerheten til personopplysninger. I UiOs styringssystemet finnes n?rmere beskrivelser av hvilke krav som toppledelsen (rektor og undervisningsdirekt?r) stiller til arbeidet med informasjonssikkerhet og hvordan arbeidet er organisert.

Se UiOs styringssystem for informasjonssikkerhet.

Personopplysningssikkerhet

Dersom det er sannsynlig at en type behandling UiO ?nsker ? gjennomf?re vil medf?re en h?y risiko for fysiske personers rettigheter og friheter etter personvernforordningen, er UiO pliktig ? foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet. En slik vurdering skal foretas f?r behandlingen har startet.

Vurderinger av personvernkonsekvenser har blant annet avl?st den tidligere konsesjonsordningen ved Datatilsynet, og skal s?rlig gjennomf?res dersom det vil bli benyttet ny teknologi ved behandlingen.

Hva er forsvarlig sletting av personopplysninger?

Personopplysninger, inkludert forskningsdata, er forsvarlig slettet n?r de ikke lenger kan gjenskapes og gjenfinnes.  

Forsvarlig sletting inneb?rer for eksempel at det ikke lenger skal finnes kopier av personopplysningene som er lagret p? private lagringsomr?der, minnepinner eller mobile dataenheter.

Det inneb?rer ogs? at alle sikkerhetskopier av opplysningene skal slettes.

Tilsvarende gjelder for personopplysninger som inng?r i manuelle personregistre, for eksempel datasett (registre) som inneholder opplysninger om respondenter i forskningsprosjekter innhentet ved hjelp av papirbaserte sp?rreskjema.  

Alternativet til sletting er anonymisering, det vil si at alle identifiserende opplysninger (navn, adresse, f?dselsnummer, osv.) slettes. ?vrige opplysninger (opplysninger som ikke identifiserer de aktuelle personene) kan da beholdes for senere bruk.