Personvern i arbeidsdagen

I lys av nyhetene de siste dagene om helseopplysninger som er kommet på avveie, minner vi om noen punkter om personvern i arbeidshverdagen.

en hånd som trykker på en virtuell sikkerhetslås

Det er viktig å sørge for at sensitive persondata ikke kommer på avveie: Foto Colourbox.

Viktig med personvern

Det er viktig å ha fokus på personvern. Dersom personvernet ikke sikers på forsvarlig måte, kan ytterste konsekvens være, at et forskningsprosjekt, masteroppgaver eller doktorgrader stoppes, samt at mennesker kan risikere å bli utsatt for identitetstyveri skulle personnummer komme på avveie.

Her kan du lese om hvordan fakultetet beskriver  hvordan man best skal planlegge og gjennomføre forskningen i tro med helseforskningsloven:

 

Personvern

Jurist Maren Jegersberg  ved UIO definerer personvernet slik: «Personvern handler om retten til å få ha ditt privatliv i fred og vernet av individers rett til å ha innflytelse på bruk og spredning av personopplysninger om seg selv».

De grunnleggende byggesteinene i personvernet er rett og mulighet til selvbestemmelse og medbestemmelse samt kontroll på hvordan opplysningene blir brukt om deg.

Det er svært alvorlig dersom sensitive opplysninger, eller personnummer kommer på avveie. I 2015 lå det 986 personnummere åpent ute på nettet, og i 2006 førte registering av bokskap til at 500 personnummer ved en feiltakelse ble lastet ned til en datamaskin i Asia . Slike hendelser kan føre til at enkeltmennesker risikerer identitetstyveri resten av livet.

 

Men hva er egentlig personvernopplysninger?

Personvernopplysninger er informasjon, data eller opplysninger som gjør at man kan identifisere en person: navn, telefonnummer, bilder eller bankkontonummer.  I tillegg finnes det særlige sensitive personvernopplysninger som handler om etnisitet, religiøs overbevisning, strafferettslige forhold, seksuell orientering, helseopplysninger eller medlemskap i fagforeninger.

Mye lagret data

UiO behandler personopplysninger til svært mange mennesker.  I studentdatabasen FS finnes det informasjon om 800000 personer og 7500 ansatte med personopplysninger i ephorte, i tillegg kommer også informasjon om deltakere i forskningsprosjekter og besøkende ved UiO.  Ved OD lagres pasientopplysningene i SALUD.

Lovverket

Det er flere lover som bestemmer hvordan vi skal bruke personopplysninger:

Personopplysningsloven med forskrift

Lov om helsepersonell

Helseregisterloven

Helseforskningsloven

Forvaltningsloven med forskrift

Må ha et formål

Dersom man skal registrere personopplysninger sier loven at disse opplysningene skal lagres med et spesielt formål for øye. Forsvinner formålet, forsvinner også retten til å lagre opplysningene. Alle som har registrerte opplysninger om seg selv har rett til å vite hvilke opplysninger som er lagret, rett til å få dem rettet eller slettet dersom det er lagret unødvendige opplysninger om dem.

Hva betyr regelverket for deg som ansatt?

I kraft av å være ansatte på Universitet har man tilgang til mange kjernesystemer hvor det er lagret mye informasjon om mange mennesker.  Når man jobber i disse systemene er det viktig at man bare søker etter den informasjonen man trenger.( Det er nemlig forbudt å søke etter informasjon man ikke trenger, og det vil også lett bli oppdaget).

Bruk av epost i hverdagen

Når du sender epost fra en UiO bruker til en annen, så kan du være sikker på at den går direkte til mottaker. Men dersom du sender en epost ut av huset, vil du ikke vite om den har vært på avveie før den når mottaker. Tenk igjennom hva du sender fra deg av informasjon i en epost, og husk, at dersom du ikke er sikker på om eposten er tilstrekkelig sikret mot lekkasje, så skal det ikke sendes beskyttelsesverdig innhold. Husk også at du ikke må ha samme passord på jobb som du har på din privat epost. Her finner du reglementet for elektronisk kommunikasjon. 

Nettpublisering             

Når noe er på nett, betyr det at dette er åpent og tilgjengelig for alle. Tenk da gjennom om det som ligger ute kan identifisere noen, eller noe ved mennesker som det hverken er nødvendig, eller ønskelig at det blir opplyst om. Dersom en forelesning er avlyst pga sykdom, er det kun viktig å vite at forelesning er avlyst, ikke at foreleseren er syk. Når vi bruker nettskjema for å samle inn data er det et viktig prinsipp å ikke be om mer enn vi trenger, og kun til det formålet vi ber om.

Når noe går galt

Ting vil gå galt, det er menneskelig å feile. Det viktigste vi gjør dersom personopplysninger kommer på å avveie er å følge rutinen for å rapportere dem.  Her finner du UiOs rutiner dersom dette skulle skje

Husk å melde fra i linja, til nærmeste leder:  – UiOs IT-sikkerhetsgruppe (Computer Security Incident Response Team) , kopi av varsling til CERT skal til behandlingsansvarlig (behandlingsansvarlig@uio.no). Informer ansatte/kolleger når det er nødvendig. Du skal ikke selv undersøke avviket og dets omfang.

 

Husk å melde fra i linja, til nærmeste leder. Kontakt Lokal IT for assistanse til avklaring av omfang, rapportering og oppfølging.

Avvik skal rapporteres til UiO-Cert – UiOs IT-sikkerhetsgruppe (Computer Security Incident Response Team) (cert@uio.no), kopi av varsling til CERT skal til behandlingsansvarlig (behandlingsansvarlig@uio.no).

 Informer ansatte/kolleger når det er nødvendig. Du skal ikke selv undersøke avviket og dets omfang.

 

 

 

 

 

Av Astrid Skiftesvik Bjørkeng
Publisert 4. mai 2017 14:58 - Sist endret 10. jan. 2019 14:46