Organiseringen av arbeidet med personvern
Ansvaret for arbeidet med personvern ved behandling av personopplysninger er organisert på følgende måte:
Det overordnede ansvaret
Styret ved rektor har det overordnede ansvaret for personvernet ved all behandling av personopplysninger ved UiO.
Styret ved rektor har delegert det overordnede ansvaret på følgende måte:
- Universitetsdirektøren har det daglige ansvaret for personvernet ved behandling av personopplysninger i forskning, undervisning, administrasjon og formidling
- IT-direktøren er ansvarlig for den praktiske utøvelsen av universitetsdirektørens personvernansvar.
Ansvaret for personvern i administrasjonen
Fagdirektørene sentralt og fakultetsdirektørene er utpekt som eiere av systemer og tjenester innenfor sine respektive ansvarsområder.
System- og tjenesteeiere har ansvaret for enkelte personvernoppgaver ved behandling av personopplysninger i sine systemer eller tjenester.
Administrative ledere for saksbehandling har ansvaret for enkelte personvernoppgaver ved behandling av personopplysninger. Dette gjelder administrative ledere både på sentralt nivå og ved grunnenhetene.
-
Saksbehandlere har et selvstendig ansvar for personvernet når de håndterer personopplysninger elektronisk eller manuelt. Dette gjelder saksbehandlere både på sentralt nivå og ved grunnenhetene.
Ansvaret for personvern i forskningen
Medisinsk og helsefaglig forskning er underlagt helseforskningsloven eller andre særlover på helseområdet, for eksempel helseregisterloven eller bioteknologiloven. Forskere skal følge de spesielle rutiner og retningslinjer som gjelder for personvern og behandling av personopplysninger innenfor disse fagområdene. Se kvalitetssystemet for medisinsk og helsefaglig forskning.
All øvrig forskning ved UiO skal skje i henhold til retningslinjene i denne veiledningen.
Ansvaret for personvern og behandling av personopplysninger i forskning som ikke regnes som medisinsk eller helsefaglig, er organisert på følgende måte:
-
dekaner og instituttledere har ansvaret for enkelte personvernoppgaver ved behandling av personopplysninger i forskning ved sine enheter
-
prosjektledere i forskning har et selvstendig ansvar for personvernet til respondenter eller informanter i forskningsprosjekter (ph.d.-studenter regnes som prosjektledere for sine ph.d.-prosjekter)
-
studentveiledere har ansvar for personvernet til respondenter eller informanter i studentforskning på bachelor- og masternivå
-
studenter har et selvstendig ansvar for personvernet til respondenter eller informanter i studentforskning på bachelor- og masternivå
Hva innebærer det at styret ved rektor og universitetsdirektøren har det overordnede ansvaret for arbeidet med personvern?
Det er styret og rektor som i siste instans er ansvarlig for at UiO ikke krenker den enkeltes personvern ved behandling av personopplysninger i forskning, undervisning, administrasjon og formidling.
I henhold til delegasjon, innebærer dette videre at universitetsdirektøren – på vegne av styret og rektor – skal sørge for at:
- arbeidet med personvern og behandling av personopplysninger er hensiktsmessig organisert
- det stilles krav til arbeidet med personvern og behandling av personopplysninger
- arbeidet med personvern og behandling av personopplysninger prioriteres og tilføres tilstrekkelige ressurser
- arbeidet med personvern og behandling av personopplysninger følges opp og kontrolleres
Personopplysningsloven med forskrift pålegger ledelsen (styret ved rektor og universitetsdirektør) et særlig ansvar for informasjonssikkerheten til personopplysninger som behandles ved UiO.
Hva innebærer det at IT-direktøren utøver det daglige ansvaret for arbeidet med personvern?
IT-direktøren – på vegne av universitetsdirektøren – følger opp og kontrollerer arbeidet med personvern og behandling av personopplysninger i sentraladministrasjonen og ved grunnenhetene.
IT-direktøren skal påse og legge til rette for at sentraladministrasjonen og grunnenhetene ivaretar:
- de lover og regler som gjelder for personvern og behandling av personopplysninger
- de krav som styret og rektor stiller til arbeidet med personvern og behandling av personopplysninger
IT-direktørens oppfølgings- og kontrollansvar utøves på følgende måter:
- Gjennom årlig internkontroll (revisjon) av behandling av personopplysninger. Se veiledning for internkontroll her.
- Gjennom stedlige kontroller i sentraladministrasjonen og ved grunnenhetene av behandling av personopplysninger
- Gjennom utarbeidelse av rutiner og regler for behandling av personopplysninger
- Gjennom informasjon om hvilke rutiner og regler som gjelder for behandling av personopplysninger
- Gjennom opplæring av ledere/ansatte og kompetanseheving (seminar og kurs)
- Gjennom juridisk rådgiving (håndtering av konkrete henvendelser fra ansatte, studenter, gjesteforskere eller gjester)
- Gjennom håndtering av avvik
- Gjennom ivaretakelse av UiOs plikter som databehandler for andre universiteter og høyskoler
- Gjennom rapportering av funn fra årlig internkontroll, stedlige kontroller og alvorlige avvik til universitetsdirektøren
Utøvelsen av den daglige oppfølgingen er delegert til juristene i IT-direktørens stab.
Lovpålagt internkontroll
Det følger av personvernforordningen artikkel 24 at behandling av personopplysninger ved UiO skal omfatte internkontroll. Internkontroll ved UiO skal gjennomføres etter bestemmelsene i UiOs regelverk om personvern. I kapittel 12.7 ”Internkontroll” står det blant annet at:
"Én gang per år skal enhetene, ved hjelp av en mal for egenkontroll (se veiledning), foreta en rapportering fra grunnenhet til fakultetsdirektør/fagdirektør. På fakultet/avdeling skal den innsamlede informasjonen sammenfattes ved hjelp av ovennevnte mal. Behandlingsansvarliges representant utarbeider en konklusjon på bakgrunn av dette som sendes til Universitetsdirektøren."
Som et element i å sikre området ytterligere gjennomføres det i tillegg stedlige gjennomganger ved hver grunnenhet ved universitetet, hvor målet er å ha besøkt alle grunnenheter i løpet av en 5-årsperiode. Den stedlige gjennomgangen gjennomføres i samarbeid med personvernombudet.
Informasjonssikkerhet ved UiO?
Informasjonssikkerhet handler om at UiO skal sørge for at personopplysninger som behandles i forskning, undervisning, administrasjon og formidling er tilfredsstillende beskyttet mot tre typer uønskede hendelser:
- personopplysninger kommer uvedkommende i hende (brudd på konfidensialiteten)
- uvedkommende sletter, endrer eller manipulerer personopplysninger (brudd på integriteten)
- personopplysninger er ikke tilgjengelige for de som har behov for tilgang når behovet oppstår (brudd på tilgjengeligheten)
Det er universitetsdirektøren som er rettslig ansvarlig for at personopplysninger som behandles ved UiO er tilfredsstillende sikret mot slike uønskede hendelser.
Risikovurderinger anvendes for å avgjøre om personopplysningene er tilfredsstillende sikret mot uønskede hendelser (brudd på konfidensialiteten, integriteten og tilgjengeligheten).
Risikovurderinger skal foretas (i) før interne eller eksterne systemer og tjenester tas i bruk, (ii) dersom oppbygningen og virkemåten til systemer og tjenester endres vesentlig og (iii) med jevne mellomrom (annethvert år).
Risikovurderinger av informasjonssikkerheten til personopplysninger som behandles i interne eller eksterne systemer og tjenester handler om to forhold:
- identifisere faktiske og mulige uønskede hendelser som kan skje i forbindelse med bruken av systemet eller tjenesten
- vurdere sannsynligheten for og skadevirkningen (konsekvensen) av hver enkelt uønsket hendelse
Dersom risikovurderingen viser at informasjonssikkerheten ikke er tilfredsstillende, for eksempel at visse uønskede hendelser er svært sannsynlige og har stor potensiell skadevirkning (konsekvens), plikter UiO å iverksette tiltak som reduserer risikoen for at hendelsene inntreffer.
Tiltakene kan være mange av de samme som nevnes i redegjørelsen av hva avvik er ovenfor.
Det er eierne av elektroniske systemer eller tjenester som UiO drifter selv som har ansvaret for å gjennomføre risikovurderinger av disse systemene eller tjenestene.
Det er også utnevnt eiere for systemer eller tjenester som driftes av eksterne databehandlere. Eierne av slike systemer eller tjenester har ansvaret for å gjennomføre risikovurderinger av informasjonssikkerheten hos de eksterne databehandlerne.
UiO er pliktig til å ha et eget styringssystem for ivaretakelse av informasjonssikkerheten til personopplysninger. I UiOs styringssystemet finnes nærmere beskrivelser av hvilke krav som toppledelsen (rektor og undervisningsdirektør) stiller til arbeidet med informasjonssikkerhet og hvordan arbeidet er organisert.
Se UiOs styringssystem for informasjonssikkerhet.
Personopplysningssikkerhet
Dersom det er sannsynlig at en type behandling UiO ønsker å gjennomføre vil medføre en høy risiko for fysiske personers rettigheter og friheter etter personvernforordningen, er UiO pliktig å foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet. En slik vurdering skal foretas før behandlingen har startet.
Vurderinger av personvernkonsekvenser har blant annet avløst den tidligere konsesjonsordningen ved Datatilsynet, og skal særlig gjennomføres dersom det vil bli benyttet ny teknologi ved behandlingen.
Hva er forsvarlig sletting av personopplysninger?
Personopplysninger, inkludert forskningsdata, er forsvarlig slettet når de ikke lenger kan gjenskapes og gjenfinnes.
Forsvarlig sletting innebærer for eksempel at det ikke lenger skal finnes kopier av personopplysningene som er lagret på private lagringsområder, minnepinner eller mobile dataenheter.
Det innebærer også at alle sikkerhetskopier av opplysningene skal slettes.
Tilsvarende gjelder for personopplysninger som inngår i manuelle personregistre, for eksempel datasett (registre) som inneholder opplysninger om respondenter i forskningsprosjekter innhentet ved hjelp av papirbaserte spørreskjema.
Alternativet til sletting er anonymisering, det vil si at alle identifiserende opplysninger (navn, adresse, fødselsnummer, osv.) slettes. Øvrige opplysninger (opplysninger som ikke identifiserer de aktuelle personene) kan da beholdes for senere bruk.