Jeg er systemeier

Hvis du, gjennom din stilling, er utpekt som system- eller tjenesteeier medfølger dette ansvaret for at personvernet er ivaretatt i systemet eller tjenesten din. Her gir vi informasjon om hva ansvaret innebærer og hva du må tenke på i de ulike stegene, fra innkjøp/utvikling til avvikling av systemet eller tjenesten.

Systemeier

Fagdirektørene sentralt og fakultetsdirektørene er utpekt som eiere av systemer og tjenester innenfor sine respektive ansvarsområder. System- og tjenesteeier er blant annet ansvarlig for spesifikasjon av funksjons- og kvalitetskrav til utvikling og drift av systemet. I dette inngår også ansvaret for enkelte personvernoppgaver ved behandling av personopplysninger i sine systemer eller tjenester.

Strategisk koordineringsgruppe for administrative IT-systemer (SKAIT) har utarbeidet en sjekkliste for administrative IT-system- og tjenester hvor også krav til behandling av personopplysninger fremgår. Se eksempelvis hvordan dette fremstår i praksis for analyseverktøyet Kuben.

Hvilket ansvar for personvernet har system- og tjenesteeiere (fagdirektører og fakultetsdirektører)?

System- og tjenesteeiernes (fagdirektører og fakultetsdirektører) ansvar for personvernet ved behandling av personopplysninger omfatter følgende oppgaver:

  1. Ved innkjøp/utvikling av systemet eller tjenesten

  • beskrive og dokumentere hva personopplysningene som behandles i systemet eller tjenesten skal brukes til: hva er formålet/hensikten med systemet eller tjenesten?
  • beskrive og ha oversikt over hvilke typer personopplysninger som skal behandles i systemet eller tjenesten
  • beskrive hvilken lovlig grunn UiO har til å behandle personopplysninger i systemet eller tjenesten
  • beskrive kravene til nødvendig beskyttelse av personopplysningene som skal behandles i systemet eller tjenesten for å sikre at systemet eller tjenesten har tilstrekkelig teknologi og mekanismer for å oppfylle kravene.
  1. Før bruken av systemet eller tjenesten starter

  1. Mens systemet eller tjenesten er i bruk

  1. Ved avvikling av systemet eller tjenesten

  • avgjøre hvilke personopplysninger som skal slettes, eventuelt anonymiseres, og hvilke som skal arkiveres
  • sørge for at alle personopplysninger som ikke skal arkiveres blir forsvarlig slettet eller anonymisert
  • sørge for at personopplysninger som skal tas vare på blir arkivert

Ta kontakt hvis du har spørsmål.

Publisert 14. nov. 2016 12:35 - Sist endret 13. juli 2020 13:45