Behandling av personopplysninger - overordnede rammer

12.1.1 Definisjoner

Administrativ behandling: en hver behandling av personopplysninger som er foretatt i andre øyemed enn forskning.

Behandling som ledd i forskning: en hver behandling av personopplysninger som er foretatt i forskningsøyemed.

Personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson (jf Personopplysningsloven § 2 punkt 1).

Behandling av personopplysninger: enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter (jf Personopplysningsloven § 2 punkt 2).

Registrert: den som en personopplysning kan knyttes til (jf Personopplysningsloven § 2 punkt 6).

Sensitive personopplysninger: opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger (jf Personopplysningsloven § 2 punkt 8).

Behandlingsansvarlig: Den som bestemmer formålet ved behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Ved universitetet er Universitetsdirektøren behandlingsansvarlig.

Behandlingsansvarliges representant: På vegne av Universitetsdirektøren skal IT-direktøren v/ stabsjuristene, utøve behandlingsansvarliges daglige ansvar.

Informasjonssikkerhet: opprettholdelse av et adekvat nivå av konfidensialitet, integritet og tilgjengelighet for alle informasjonsressurser tilhørende UiO.

Internkontroll: ”Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet. Den behandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda (hentet fra Personopplysningsloven § 14).”

Personvernombud: Personvernombudet er under utførelse av sitt virke et uavhengig ombud hvis oppgave er å sikre at den behandlingsansvarlige i hele eller nærmere avgrensede deler av virksomheten følger personopplysningsloven med forskrift. Personvernombudet skal også føre en oversikt over opplysningene som nevnt i Personopplysningsloven § 32.

Fjernsynsovervåking: ”...vedvarende eller regelmessig gjentatt personovervåking ved hjelp av fjernbetjent eller automatisk virkende fjernsynskamera, fotografiapparat eller lignende apparat (hentet fra Personopplysningsloven § 36).”

Import av data: med import av data menes her innsamling av data fra enhver annen kilde enn innenfor eget system/behandling og/eller innhenting fra den registrerte selv eller noen som avgir data på dennes vegne.

Eksport av data: med eksport av data menes her enhver avgivelse av data foruten til eget system/behandling eller til den registrerte selv eller noen som mottar data på dennes vegne.

Avvik: Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik.

Anonyme opplysninger: Opplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger, direkte eller indirekte, kan knyttes til en enkeltperson.

Avidentifiserte opplysninger: Personopplysninger der navn, fødselsnummer og andre direkte personentydige kjennetegn er fjernet og erstattet av en kode, slik at opplysningene ikke umiddelbart kan knyttes til en enkeltperson.

12.1.2 Grunnprinsipper for behandling av personopplysninger

All håndtering av personopplysninger skal foregå i henhold til gjeldende lover og forskrifter. UiO skal ikke behandle personopplysninger i større utstrekning enn nødvendig for å oppfylle UiOs formål (jf Personopplysningslovens § 1). Universitetslovens § 1-3 beskriver institusjonens virksomhet (formål).

For de enkelte registrerte skal UiOs behandling av personopplysninger utgjøre så lite inngrep ovenfor enkeltmenneskers personverninteresser som mulig, både praktisk, teknisk og økonomisk (jf Personopplysningslovens §§ 8, 9, 11 og 28). Den enkelte ansvarlige skal i forkant av og underveis i en behandling av personopplysninger, avveie om behandlingen som sådan er i overensstemmelse med denne policy og gjeldende lovverk.

12.1.3 Felles infrastruktur på UiO – herunder forholdet mellom sentral og lokal vurdering og dokumentasjon av informasjonssikkerhet

I Reglementshåndbokens kapittel 12 henvises det en del steder til at den enkelte ansvarlige skal dokumentere forskjellige rutiner enten direkte i det aktuelle meldeskjemaet og/eller som vedlegg/lenke til dette. I forhold til informasjonssikkerhet har UiO en del standard tjenester. Sentrale i dette henseende er systemer for backup, sikring av servere mot innbrudd/strømbrudd/brann/lekkasje, sikring av nettinfrastruktur og tilgangskontroll.

Den enkelte ansvarlige må påse at hvert enkelt element i relasjon til informasjonssikkerheten er tilfredsstillende ivaretatt. Behandlinger som ikke har særskilte egenskaper og dermed ikke særskilte behov, vil ofte være tilstrekkelig dekket av de sentrale tjenester som USIT leverer. Alternativt må den enkelte ansvarlige sørge for tilfredsstillende løsninger. For dokumentasjon av sentrale IT-tjenester og IT-sikkerhet se Sikkerhetshåndboken

12.1.4 Stadfesting av behandlingsansvarlig

Universitetsdirektøren er behandlingsansvarlig for alle behandlinger av personopplysninger som inngår i universitetets virksomhet. Den behandlingsansvarlige har det overordnede ansvaret for all behandling av personopplysninger ved UiO og oppfyllelsen av alle plikter som følge av det.

Universitetsdirektøren har utpekt en representant som skal utøve behandlingsansvarliges daglige ansvar. Nåværende utpekt er IS-direktøren v/ rådgiver Märtha Felton.

For hvert enkelt institutt er instituttleder ansvarlig for enhetens behandlinger. Innen sentraladministrasjonen er fagdirektør for hver enkelt avdeling ansvarlig. På enheter som ikke har instituttleder er kontorsjef eller tilsvarende ansvarlig. Instituttleder/fagdirektør eller tilsvarende delegerer igjen til den daglig ansvarlige.

12.1.5 Anonyme og avidentifiserte opplysninger

Anonyme opplysninger er opplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger, direkte eller indirekte, kan knyttes til en enkeltperson. I slike tilfeller er det ikke snakk om personopplysninger og verken melding eller konsesjon er nødvendig.

Avidentifiserte opplysninger er opplysninger der navn, fødselsnummer og andre direkte personentydige kjennetegn er fjernet og erstattet av en kode, slik at opplysningene ikke umiddelbart kan knyttes til en enkeltperson. Kodelisten oppbevares atskilt fra opplysningene og er sikret på forsvarlig måte. Avidentifiserte opplysninger er imidlertid ikke det samme som anonyme opplysninger, men å betrakte som personopplysninger. Bruk av slike omfattes derfor av de bestemmelser som gjelder for behandling av personopplysninger.

Publisert 13. mars 2007 12:17 - Sist endret 16. jan. 2018 18:24