Jeg er systemeier

Hvis du gjennom din stilling er utpekt som system- eller tjenesteier medfølger dette ansvaret at personvernet er ivaretatt i systemet eller tjenesten din. Her gir vi informasjon om hva ansvaret innebærer og hva du må tenke på i de ulike stegene, fra innkjøp/utvikling til avvikling av systemet eller tjenesten.

Systemeier

Fagdirektørene sentralt og fakultetsdirektørene er utpekt som eiere av systemer og tjenester innenfor sine respektive ansvarsområder. System- og tjenesteeier er blant annet ansvarlig for spesifikasjon av funksjons- og kvalitetskrav til utvikling og drift av systemet. I dette inngår også ansvaret for enkelte personvernoppgaver ved behandling av personopplysninger i sine systemer eller tjenester.

Strategisk koordineringsgruppe for administrative IT-systemer (SKAIT) har utarbeidet en sjekkliste for administrative IT-system- og tjenester hvor også krav til behandling av personopplysninger fremgår. Se eksempelvis hvordan dette fremstår i praksis for analyseverktøyet Kuben.

Hvilket ansvar for personvernet har system- og tjenesteeiere (fagdirektører og fakultetsdirektører)?

System- og tjenesteeiernes (fagdirektører og fakultetsdirektører) ansvar for personvernet ved behandling av personopplysninger omfatter følgende oppgaver:

  1. Ved innkjøp/utvikling av systemet eller tjenesten

  • beskrive og dokumentere hva personopplysningene som behandles i systemet eller tjenesten skal brukes til: hva er formålet/hensikten med systemet eller tjenesten?
  • beskrive og ha oversikt over hvilke typer personopplysninger som skal behandles i systemet eller tjenesten
  • beskrive hvilken lovlig grunn UiO har til å behandle personopplysninger i systemet eller tjenesten
  • beskrive kravene til nødvendig beskyttelse av personopplysningene som skal behandles i systemet eller tjenesten for å sikre at systemet eller tjenesten har tilstrekkelig teknologi og mekanismer for å oppfylle kravene.
  1. Før bruken av systemet eller tjenesten starter

  1. Mens systemet eller tjenesten er i bruk

  • kontrollere at personopplysningene som behandles i systemet eller tjenesten ikke brukes til helt andre formål enn hva som er planlagt uten at behandlingsgrunnlaget dekker dette, herunder samtykke eller lovhjemmel. (lenke til behandlingsgrunnlag)
  • kontrollere at personopplysningene som behandles i systemet eller tjenesten har tilfredsstillende kvalitet, det vil si at opplysningene er tilstrekkelige og relevante, korrekte og oppdaterte
  • kontrollere at det ikke registreres overskuddsinformasjon i systemet eller tjenesten (personopplysninger som ikke er nødvendige for å ivareta formålet/hensikten med systemet eller tjenesten)
  • slette eller anonymisere overskuddsinformasjon som likevel er blitt registrert i systemet eller tjenesten
  • besvare henvendelser fra og ivareta rettighetene til den som personopplysningene gjelder
  • foreta jevnlige risikovurderinger av informasjonssikkerheten til personopplysningene som behandles i systemet eller tjenesten
  • iverksette tiltak som sørger for at informasjonssikkerheten til personopplysningene som behandles i systemet eller tjenesten er tilfredsstillende
  • jevnlig kontrollere at eventuelle databehandlere overholder vilkårene i inngåtte databehandleravtaler.
  • melde inn avvik som oppstår ved behandling av personopplysninger i systemet eller tjenesten.
  • melde inn vesentlige endringer i bruken av systemet eller tjenesten til personvernombudet ved UiO
  • bistå ved årlig internkontroll (revisjon) og stedlige kontroller gjennomført av ansatte i IT-direktørens stab. Se veiledning for gjennomføring av årlig internkontroll.
  1. Ved avvikling av systemet eller tjenesten

  • avgjøre hvilke personopplysninger som skal slettes, eventuelt anonymiseres, og hvilke som skal arkiveres
  • sørge for at alle personopplysninger som ikke skal arkiveres blir forsvarlig slettet eller anonymisert
  • sørge for at personopplysninger som skal tas vare på blir arkivert

Ta kontakt hvis du har spørsmål.

Publisert 14. nov. 2016 12:35 - Sist endret 17. jan. 2017 10:02