UiO er lovpålagt å ha organisatoriske tiltak for å sikre at personvernregelverket (GDPR) følges. Internkontrollundersøkelsen er et ledd i oppfyllelsen av denne forpliktelsen. En god internkontroll bidrar til å forhindre potensielle avvik eller uønskede hendelser. Det er derfor viktig at man er oppriktig i sine svar, slik at oppfølgingen fra personvernombudet og IT-sikkerhet og -jus skal bli så god og tilrettelagt som mulig.
I etterkant av undersøkelsen utarbeider utøver av behandleransvaret en oppsummerende rapport som peker på de viktigste resultatene. Denne sendes til universitetsdirektøren med kopi til Enhet for intern revisjon og på e-post til alle som svarer på undersøkelsen.
Spørsmål til undersøkelsen kan sendes til utøver av behandleransvaret på internkontroll-personopplysninger@usit.uio.no
Spørsmålene for internkontroll av behandling av personopplysninger for 2023 i PDF-format
1. Hvem svarer man på vegne av?
- Fakultetsdirektør: Svarer på vegne av fakultetsadministrasjonen
- Avdelingsdirektører: Svarer på vegne av avdelingen
- Instituttledere: Svarer på vegne av instituttet
- Senterledere: Svarer på vegne av senteret
2. Forberedelser til internkontrollen
Internkontrollen skal først og fremst kartlegge enhetens kunnskap om og etterlevelse av UiOs rutiner for personvern om informasjonssikkerhet, samt hvilke behov enheten har. Internkontrollen gir også den aktuelle lederen mulighet for egenevaluering av lokal internkontroll.
Før man svarer på internkontrollen, ber vi dere gjennomgå innmeldinger din enhet har i "Meldeappen" (oversikt over behandlinger av personopplysninger): https://www.uio.no/for-ansatte/arbeidsstotte/personvern/meir-om-personvern/personopplysninger/
Vi ønsker at den aktuelle lederen selv besvarer spørreundersøkelsen, men i invitasjonsmailen til å svare vil vi også legge ved spørsmålene i PDF-format, hvis medarbeidere skal bistå med forberedelse av internkontrollen før den svares på.
3. Hva er LSIS?
Undersøkelsen har noen spørsmål om enhetens kjennskap til, og etterlevelse av, Ledelsessystemet for informasjonssikkerhet (LSIS). LSIS er et sett med dokumenter som beskriver og angir hvordan arbeidet med informasjonssikkerhet ved UiO skal foregå. For å sikre at dette arbeidet forvaltes riktig, er det viktig at alle som arbeider og studerer ved UiO er kjent med hvordan informasjonssikkerheten ved universitetet skal ivaretas.
Et tillegg til LSIS er for eksempel "Klassifiseringsguiden" og "Lagringsguiden" som angir hvor ulik informasjon ved UiO kan lagres og bearbeides.
4. Hva er eksportkontroll?
Eksportkontroll innebærer at visse varer, teknologi og tjenester ikke kan eksporteres fra Norge uten lisens utstedt av Utenriksdepartementet (UD). Særlig relevant for UiO er at immateriell teknologi og kunnskapsoverføring er dekket av regelverket, slik at kunnskapsoverføring i forskningssamarbeid, utstyr eller teknologi kan være lisenspliktig.
Særlig gjelder det å opparbeide risikobevissthet knyttet til forskningssamarbeid, studentutveksling, ansettelser (inklusive gjesteforelesere og professor II) mm fra land hvor det er begrunnet mistanke eller konkret informasjon om aktivitet knyttet til utvikling og bruk av masseødeleggelsesvåpen.
I «Policy for informasjonssikkerhet og personvern i høyere utdanning og forskning» fremgår det at det er viktig at institusjonene har kontroll på eksportkontrollregelverket. I tillegg har også media de siste årene hatt fokus på etterlevelsen av dette regelverket i UH-sektoren, både generelt og etter konkrete hendelser. Derfor har spørsmål om regelverket vært en del av internkontrollen de siste årene.
Les mer om eksportkontroll på nettsiden til Utenriksdepartementet.
5. Hva tilbys av ressurser på personvern og informasjonssikkerhet ved UiO?
- E-læringskurs i personvern for vitenskapelig ansatte
- E-læringskurs i personvern for administrativt ansatte
- UiOs nettsider om personvern for ansatte
- Seksjon for IT-sikkerhet og -jus eller personvernombudet holder presentasjoner eller kurs på forespørsel fra enhetene.
- Enhetene har egne personvernkontakter. UiO har et personvernombud. Utøver av behandleransvaret ved UiO svarer også på personvernrelaterte spørsmål. Kontaktpunkter for spørsmål om personvern ligger her.
- UiO har egne avtalemaler for å ivareta personvernet i kontraktsforhold. Disse ligger her.
- Personverntjenester i Sikt er UiOs tjenesteleverandør for vurderinger av personvern i forskningsprosjekter. Disse kan også rådgi og gi generell informasjon om ivaretakelse av personvern i forskning.