Veiledning til den årlige internkontrollen

Svaralternativene er som følger:

  • Helt dekket = Dette alternativet brukes når du er så godt som sikker på at "ja, dette stemmer for min enhet".
  • Dette alternativet brukes når du er så godt som sikker på at "nei, dette stemmer ikke for min enhet".

@uio.no

1. Organisatorisk tilhørighet

Av administrative hensyn behøver vi å vite hvor den enkelte hører til. Vi bruker organisatorisk enhet og ikke hvem som har svart i utformingen av sluttrapporten.

2. Informasjon og kunnskap om behandlinger av personopplysninger

  1. Er det kjent ved din enhet hvem som har et overordnet ansvar for behandlinger av personopplysninger ved UiO?
    Det er universitetsdirektøren som har det overordnede ansvaret for alle behandlinger av personopplysninger, både administrative behandlinger og behandlinger som skjer i forskning. Hun er behandlingsansvarlig. Det betyr ikke at hver enkelt som i sitt arbeid behandler personopplysninger er uten ansvar. Alle som på en eller annen måte behandler personopplysninger ved UiO er ansvarlig for å gjøre seg kjent med de regler og rutiner som finnes, for å passe på at behandling skjer på rett måte og for å rapportere avvik til behandlingsansvarlig dersom avvik blir oppdaget.
  2. Har de som behandler personopplysninger ved din enhet, fått informasjon eller opplæring i hvordan disse opplysningene skal behandles og det regelsett som regulerer behandlinger av personopplysninger?
    Bruken av personopplysninger er i Norge regulert av bestemmelsene i personopplysningsloven og personopplysningsforskriften. Ved UiO reguleres behandlinger av personopplysninger i tillegg av bestemmelsene i Regler om personvern og IT-sikkerhetshåndboken. I tillegg til dette gjelder lokale rutiner utviklet for den enkelte enhet. Se også http://www.uio.no/om/regelverk/personvern/ og kapitlene 12.2.2 og 12.2.4
  3. Er det kjent ved din enhet hvor den enkelte kan få veiledning om behandling av personopplysninger?
    Sentralt kan spørsmål knyttet til behandlinger av personopplysninger stilles til behandlingsansvarlig@uio.no eller personvernombudet.
  4. Kjenner den enkelte som er ansvarlig for behandling av personopplysninger ved din enhet til at det foreligger meldeplikt ved behandlinger av personopplysninger, og at det ved enkelte behandlinger også foreligger krav om konsesjon?
    Alle behandlinger av personopplysninger skal være innmeldt via meldeapplikasjonen til Personvernombudet ved UiO (https://app.uio.no/behandling-personopplysninger/) eller NSD dersom behandlingen skjer i forskning senest 30 dager før behandlingen starter. (Hver enhet oppfordres til å gjennomgå sine innmeldte behandlinger slik at disse er à jour når svar sendes.)
    For enkelte typer behandlinger kreves det at man har fått konsesjon (datatilsynet.no).
    Se mer om dette i UiOs regelverk om personvern  kapitlene 12.2.3, 12.3.5 og 12.4.5.

3. Kartlegging og innmelding av behandlinger av personopplysninger

I henhold til personopplysningsloven § 2, 2) defineres en "behandling av personopplysninger" som følgende: "Enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter."

  1. Har din enhet kontroll over alle behandlinger som inneholder personopplysninger ved enheten?
    Alle enheter og avdelinger har en plikt til å ha både oversikt over de behandlinger de er ansvarlige for og påse at disse er à jour. Se mer om dette her: kapitlene 12.3.2  og 12.4.2.
  2. Foreligger det rutiner som sikrer at både nye behandlinger, og endringer i eksisterende behandlinger, blir meldt inn til personvernombudet eller Norsk Samfunnsvitenskapelig Datatjeneste (NSD)?
    En administrativ behandling av personopplysninger skal meldes til personvernombudet ved UiO. En behandling av personopplysninger som skjer som en del av et forskningsprosjekt skal meldes til NSD. Se mer om dette her: kapitlene 12.2.3, 12.3.5 og 12.4.5.
  3. Håndterer din enhet behandlinger av personopplysninger som trenger konsesjon?
    Se mer om dette her: kapittel 12.2.3.
  4. Har enheten sikret at administrative behandlinger som inneholder sensitive personopplysninger ikke forekommer ved UiO uten at det er gitt eksplisitt tillatelse fra behandlingsansvarlig?
    I henhold til personopplysningsloven § 2, 8) er sensitive personopplysninger: opplysninger om a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e) medlemskap i fagforeninger. Se mer om dette her: kapittel 12.2.3.
  5. Har enheten tilgang til NSD sin portal slik at de har tilgang til oversikten over egne innmeldinger (og status på disse behandlingene)?
    NSD er personvernombud for alle behandlinger av personopplysninger som skjer i forskning. Les mer om NSD og personvernombud her.

4. Innsyn, informasjon og samtykke

  1. Både ansatte og studenter ved UiO kan når som helst be om å få innsyn i alle behandlinger av deres personopplysninger. Vil din enhet være i stand til å gi en slik oversikt dersom dere mottar en slik henvendelse?
    Se mer om dette her: kapitlene 12.5.1, 12.5.2 og 12.5.3.
  2. I henhold til personopplysningsloven §16 skal et krav om innsyn besvares innen 30 dager. Er din enhet i stand til å håndtere et krav om innsyn innen denne fristen?
    Se mer om dette her: kapittel 12.5.2 
  3. For de systemene som baserer sin innsamling av personopplysninger på samtykke - er det etablert rutiner som sikrer at han eller hun som avgir samtykke har fått tilstrekkelig informasjon om hva de samtykker til? Se mer om dette i Personopplysningslovens kapittel 3 (lovdata.no) og Datatilsynet sine nettsider (datatilsynet.no).

5. Eksport av data

  1. Det er kun systemeier som kan ta beslutning om eksport av data. Har enheten sørget for at de følger denne regelen?
    Systemeiere for sentraladministrative systemer skal ha rutiner for hva slags og til hvilket formål de kan utlevere personopplysninger. Ved tvil skal utlevering av personopplysninger vurderes i samråd med behandlingsansvarliges representant. I UiOs regelverk om personvern kapittel 12.11.1 defineres eksport av data som enhver avgivelse av data foruten til eget system/behandling eller til den registrerte selv eller noen som mottar data på dennes vegne. Se mer om dette her: kapittel 12.11.1.
  2. For SAPUiO og FS er det henholdsvis Avdeling for administrativ støtte og Avdeling for studieadministrasjon som er systemeiere. Dette innebærer at det kun er disse avdelingene som kan foreta beslutninger om hvorvidt eksport av personopplysninger skal forekomme. Vet du om din enhet har sørget for at det aldri blir eksportert uttrekk som inneholder personopplysninger fra disse systemene uten godkjennelse fra systemeier?
    Se mer om dette her: kapittel 12.11.1
  3. Har enheten sikret at det er inngått en dekkende databehandleravtale i de tilfellene der enhetene har ansvar for innsamlede personopplysninger som blir behandlet av en ekstern aktør?
    Når en virksomhet setter ut hele eller deler av sin behandling av personopplysninger til en annen virksomhet må partene inngå en databehandleravtale. En databehandleravtale signeres av virksomheten som har ansvar for behandling av personopplysninger (behandlingsansvarlig) og den som skal utføre behandlingen (databehandler). Kontakt behandlingsansvarlig via behandlingsansvarlig@uio.no dersom du har behov for en databehandleravtale.

6. Informasjonssikkerhet

Informasjonssikkerhet defineres i UiO Regelverk Personvern som opprettholdelse av et adekvat nivå av konfidensialitet, integritet og tilgjengelighet for alle informasjonsressurser tilhørende UiO. Kun personer som gjennom sitt virke har behov for å behandle personopplysninger for å oppfylle UiOs formål skal behandle slike (Det er UHL. § 1-3 som angir institusjonens virksomhet).

Ved UiO har vi flere forskjellige informasjonssystem som brukes til behandling av personopplysninger, for eksempel SAPUiO FS. Det er den ansvarlige for den enkelte behandling av personopplysninger som må påse at informasjonssikkerheten ved hver behandling av personopplysninger er tilfredsstillende ivaretatt.

UiO v/USIT tilbyr en del standardtjenester for informasjonssikkerhet, så som systemer for backup, sikring av servere mot innbrudd/strømbrudd/brann/lekkasje, sikring av nettinfrastruktur og tilgangskontroll. Oftest vil disse standardtjenestene være tilstrekkelig til å ivareta informasjonssikkerheten, men hvis en behandling har spesielle egenskaper og dermed særskilte behov må den enkelte ansvarlige sikre behandlingen med utvidede tiltak.

For dokumentasjon av sentrale IT-tjenester og IT-sikkerhet se IT-Sikkerhetshåndboken.

  1. Foreligger det dokumenterte rutiner for bruk av informasjonssystemet?
    Alle som på en eller annen måte behandler personopplysninger ved UiO er ansvarlig for å gjøre seg kjent med de regler og rutiner som finnes, for å passe på at behandling skjer på rett måte og for å rapportere avvik tilbehandlingsansvarlig dersom avvik blir oppdaget. Dersom det ikke eksisterer slike rutiner, kan dette være et godt tidspunkt å spørre seg om de trengs. For spørsmål rundt dette kan personvernombudet og behandlingsansvarlig kontaktes.
  2. Er det kjent at dokumentasjon av informasjonssikkerhet skal lagres i minst 5 år etter at den erstattes med ny gjeldende utgave? 
  3. Er det etablert en ordning med autorisasjon av tilganger til systemet?
    Dette håndheves normalt av enhetens ledere eller personalavdelingen, og disse kan spørres om dette er ukjent.
  4. Er det truffet sikkerhetstiltak som hindrer uautorisert bruk og gjør det mulig å oppdage forsøk på uautorisert bruk?
    Dette dreier seg både om fysisk sikring og IT-sikkerhet, og både nærmeste leder og lokal-IT kan spørres om dette dersom det er ukjent.
  5. Registreres forsøk på uautorisert bruk?
    Dette dreier seg både om fysisk sikring og IT-sikkerhet, og både nærmeste leder og lokal-IT kan spørres om dette dersom det er ukjent.

7. Sletting

Når formålet for å behandle personopplysninger ikke lenger eksisterer eller når hjemmelsgrunnlag av andre årsaker ikke lenger foreligger skal opplysningene slettes (jf bestemmelsen i personopplysningsloven § 28). Den enkelte ansvarlige skal ha rutiner som sørger for at slik sletting blir gjennomført.

  1. Har enheten rutiner som sikrer at personopplysninger slettes når formålet med innsamlingen og behandlingen av personopplysningene ikke lenger eksisterer?
    Se mer om dette her: kapittel 12.9.1 

8. Håndtering av avvik

Avvik ved behandlinger av personopplysninger henviser til den situasjon der en behandling ikke skjer ihht. de regler og rutiner som gjelder ved UiO. Det kan for eksempel være at et fødselsnummer er publisert på web eller at sensitive data ikke lagres på sikker nok mate.

Avvik skal meldes umiddelbart til UiO-CERT som er UiOs IT-sikkerhetsgruppe.

Se mer om rutiner for håndtering av avvik.

  1. Er UiOs rutiner rundt håndtering av avvik kjent for enheten?
    Se mer om dette her: kapittel 12.12.1
  2. Har enheten din hatt avvik som ikke har blitt rapportert til UiO-CERT/behandlingsansvarlig?
    Om UiO-CERT: http://www.uio.no/tjenester/it/sikkerhet/cert/

9. Fjernsynsovervåkning

Det er kun Eiendomsavdelingen som har anledning til å sette opp kamera for overvåkning av områder på UiO. Se mer om dette her: kapittel 12.10.1

  1. Har enhetsledelsen sikret at det kun er overvåkningskamera satt opp av Eiendomsavdelingen på enhetens område? 
Publisert 9. des. 2016 14:14 - Sist endret 11. mai 2019 16:32