Hopp til hovedinnhold

Om personvern ved UiS

Personvern handler om at hver og en av oss skal få bestemme over alle opplysningene om oss selv. Vi har en grunnleggende rett til å ha privatlivet i fred, og til å ha innflytelse på bruken og spredningen av opplysninger om oss.

Publisert: Endret:

Organiseringen av arbeidet med personvern

Ansvaret for arbeidet med personvern ved behandling av personopplysninger er organisert på følgende måte: 

Det overordnede ansvaret 

Universitets-styret ved styreleder er formelt ansvarlig for at informasjonssikkerhet og personvern ved UiS skjer i tråd med gjeldene lover og regler. Utøvelse av dette ansvaret er delegert til Rektor. Delegasjonsreglementet ved UiS regulerer videre delegering.  

Ansvaret for personvern i UiS-organisasjonen 

Beslutnings- og rapporterings-linja i informasjonssikkerhet- og personvernarbeidet følger styringslinja i universitetets organisasjon. Delegering av fullmakter og oppgaver innen informasjonssikkerhet- og personvern-området er beskrevet i delegasjonsreglementet  for UiS.

UiS-IT har en egen IKT-sikkerhetsgruppe / Incident Response Team (IRT), som har ansvar for teknisk forebyggende tiltak og håndtering av IKT-sikkerhetshendelser ved UiS. 

Saksbehandlere har et selvstendig ansvar for personvernet (link til UiS: jeg er systemeier) når de håndterer personopplysninger elektronisk eller manuelt. Dette gjelder saksbehandlere både på sentralt nivå og ved øvrige enheter. 

Ansvaret for personvern i forskningen 

Medisinsk og helsefaglig forskning er underlagt helseforskningsloven eller andre særlover på helseområdet, for eksempel helseregisterloven eller bioteknologiloven. Forskere skal følge de spesielle rutiner og retningslinjer som gjelder for personvern og behandling av personopplysninger innenfor disse fagområdene.

Forskningsansvarlige ved UiS har det overordnede ansvaret for forskningsprosjekter, og skal ha de nødvendige forutsetningene for å kunne oppfylle den forskningsansvarliges plikter. 

De har ansvar for at UiS Politikk og reglement for informasjonssikkerhet og personvern samt gjeldende retningslinjer og prosedyrer blir fulgt opp og etterleves innenfor sitt ansvarsområde. 

Ansvaret for personvern og behandling av personopplysninger i forskning følger UiS spesifiserte rollebeskrivelser.

Hva er behandling av personopplysninger? 

Med behandling av personopplysninger menes alle typer bruk av personopplysninger, som for eksempel: 

  • innsamling
  • registrering 
  • lagring 
  • sammenstilling 
  • bruk 
  • overføring 
  • publisering 
  • sletting 

Med personopplysninger menes enhver opplysning om en identifisert eller identifiserbar fysisk person. 

Vurderinger eller opplysninger regnes som personopplysninger uavhengig av om de foreligger som tekst, bilder, lyd- eller videoopptak. 

Eksempler på personopplysninger kan være: 

  • navn, adresse, alder, telefonnummer, e-postadresse og fødselsnummer 
  • innholdet i eksamensbesvarelser, bachelor- eller masteroppgaver og kandidatenes karakterer 
  • innhold i saksdokumenter, utredninger eller vurderinger som omhandler ansatte eller studenter 
  • innholdet i e-postkommunikasjon mellom ansatte og studenter eller mellom to eller flere studenter 
  • video- og lydopptak som gjøres ved bruk av overvåkningskamera og hvor enkeltpersoner kan gjenkjennes 
  • bilder av ansatte eller studenter som publiseres på hjemmesiden 
  • logging av aktivitet i datasystemer hvor loggene kan knyttes til bestemte ansatte eller studenter, for eksempel registrering av hvem som til enhver tid er pålogget ulike datasystemer 

I personvernlovgivningen omtales enkeltpersoner som «de registrerte». 

Hva er alminnelige personopplysninger? 

Med alminnelige personopplysninger menes alle typer vurderinger og opplysninger som kan knyttes til en identifisert eller identifiserbar fysisk person, men som personvernforordningen ikke definerer som særlige kategorier av personopplysninger (sensitive personopplysninger).

All administrativ behandling av alminnelige personopplysninger skal registreres i UiS sitt register over behandlingsaktivteter. 

 

All behandling av alminnelige personopplysninger i forskningsprosjekter skal  meldes til Norsk Samfunnsvitenskapelig Datatjeneste (NSD). 

Merk at fødselsnummer ikke regnes som en særlig kategori av personopplysninger (sensitiv personopplysning), men ettersom fødselsnummer ofte anvendes for å identifisere enkeltpersoner, inneholder personopplysningsloven spesielle vilkår for behandling av denne opplysningstypen. 

Vilkårene i loven er at fødselsnummer bare kan brukes når: 

  • det er saklig behov for sikker identifisering av enkeltpersoner 
  • sikker identifisering ikke kan oppnås på andre måter, for eksempel ved bruk av ansatt- eller studentnummer 

Les mer om  reglene for bruk av fødselsnummer

Hva er særlige (sensitive) kategorier av personopplysninger? 

Med særlige kategorier av personopplysninger, også kalt sensitive personopplysninger, menes vurderinger og opplysninger som kan knyttes til bestemte enkeltpersoner og som krever et særskilt vern. Spredning av disse opplysningene kan skape betydelig risiko for personer det gjelder. Kategoriene er hentet direkte fra personvernlovgivningen og omhandler: 

  • helseopplysninger og helserelaterte forhold 
  • genetiske og biometriske opplysninger med det formål å entydig identifisere en fysisk person 
  • etnisk eller rasemessig opprinnelse 
  • politiske, filosofiske eller religiøse oppfatninger og livssyn 
  • seksuell orientering eller seksuelle forhold 
  • fagforeningsmedlemskap 

Eksempler på sensitive personopplysninger kan være: 

  • informasjon om studenters sykdom eller diagnoser 
  • helseopplysninger registrert i forbindelse med ansattes sykefravær 
  • informasjon om eksamensfusk eller forsøk på fusk 
  • behov for tilrettelagt eksamen av helsemessige grunner 
  • opplysninger om ansattes alkohol- eller rusmisbruk 
  • opplysninger om fagforeningsaktivitet 
  • informasjon om holdninger til ulike religiøse eller politiske spørsmål som respondenter i spørreundersøkelser bes om å oppgi. 

Særlige kategorier av personopplysninger skal sikres ekstra godt mot brudd på  informasjonssikkerheten. 

Hva er avidentifiserte og anonyme opplysninger? 

Avidenfiserte opplysninger 

Avidentifiserte (pseudonyme) opplysninger regnes som personopplysninger. 

Avidentifisering oppnås vanligvis ved at informasjon som kan identifisere enkeltpersoner (navn, adresse, telefonnummer, osv.) enten fjernes eller ikke blir registrert, for eksempel ved at kandidatnummer registreres på eksamensbesvarelsen i stedet for studentens navn. Da vil det fortsatt være mulig å finne ut hvilken enkeltperson (student) som opplysningene (eksamensbesvarelsen) refererer til, for eksempel ved at ansatte i administrasjonen kobler sammen kandidatnummer og navn etter at sensuren har falt. 

Avidentifiserte personopplysninger kan anonymiseres dersom koblingen mellom identifiserende opplysninger og øvrige vurderinger eller opplysninger slettes på forsvarlig måte, for eksempel ved at lister med oversikt over kandidatnummer og tilhørende navn på eksamenskandidater destrueres. 

Anonymiserte opplysninger 

Anonymiserte opplysninger regnes ikke som personopplysninger. Reglene i personvernforordningen og personopplysningsloven med forskrift gjelder derfor ikke for behandling av slike opplysninger. 

Anonymisering oppnås vanligvis ved at informasjon som kan identifisere enkeltpersoner, for eksempel navn, adresse, telefonnummer, e-postadresse og fødselsnummer, slettes på forsvarlig måte. Det vil da ikke lenger være mulig å finne ut hvilken enkeltperson de gjenværende vurderingene eller opplysningene refererer seg til.

Hva er krenkelser av personvernet? 

Det er behandlingsansvarlig (UiS ved rektor) som er ansvarlig for at det ikke skjer krenkelser av personvernet ved elektronisk eller manuell behandling av personopplysninger i forskning, undervisning, administrasjon og formidling. 

Krenkelser av personvernet kan skje på mange måter, for eksempel dersom: 

  • uvedkommende får tak i helseopplysninger om ansatte eller studenter 
  • særlige kategorier av personopplysninger (sensitive opplysninger) om respondenter eller informanter i forskning kommer på avveie 
  • opplysninger om studenter eller ansatte som registreres i UiSs IT-systemer er utdaterte, misvisende eller svært mangelfulle 
  • opplysninger om informanter eller respondenter i forskning brukes til helt andre og uforenlige formål enn hva de har samtykket til 
  • ansatte registrerer, endrer eller sletter studentopplysninger i UiSs IT-systemer uten å ha lov til å gjøre dette 
  • overvåkningskamera settes opp i eller utenfor universitetsbygninger uten at UiS har et godt begrunnet behov for slik overvåkning 
  • ledere skaffer seg tilgang til ansatte eller studenters personlige lagringsområder eller private e-postkommunikasjon uten å ha rett til å gjøre dette 
  • UiS publiserer detaljerte opplysninger om ansatte eller studenter på sine hjemmesider uten at det er gitt samtykke til publiseringen 

Felles for disse (og andre) krenkelser av personvernet er at behandlingsansvarlig (UiS) håndterer personopplysninger på en slik måte at den opplysningene gjelder har mistet medbestemmelse over, og kontrollen med hva som skjer med sine opplysninger. 

Den som utsettes for personvernkrenkelser kan kreve erstatning fra behandlingsansvarlig (UiS) dersom han/hun har lidd overlast som følge av dette. 

Behandlingsansvarlig (UiS) kan ilegges overtredelsesgebyr fra Datatilsynet eller bli politianmeldt ved alvorlige krenkelser av personvernet.

Hva betyr det at UiS er behandlingsansvarlig? 

Behandlingsansvarlig er et begrep som anvendes i personvernforordningen om den personen, virksomheten eller institusjonen som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes. 

Personer, virksomheter eller institusjoner blir behandlingsansvarlige for behandling av personopplysninger når de alene eller sammen med andre bestemmer: 

  • hvilke midler, også elektroniske hjelpemidler, som anvendes til å behandle personopplysningene 
  • hva som er formålet eller hensikten med behandlingen av personopplysningene 

Det betyr for eksempel at dersom UiS bestemmer at det skal anskaffes en nettbasert tjeneste hvor studenter, ansatte og gjesteforskere kan lagre og dele elektroniske dokumenter vil UiS være behandlingsansvarlig for disse personopplysningene (dokumentene).    

UiS behandlingsansvar omfatter all behandling av alminnelige, sensitive og avidentifiserte/pseudonymiserte personopplysninger. Behandling av anonymiserte opplysninger faller utenfor behandlingsansvaret. 

Behandlingsansvaret omfatter personopplysninger som behandles ved hjelp av UiS egne elektroniske systemer og tjenester. Dette inkluderer behandling av personopplysninger i forbindelse med innføring og drift av elektroniske kontrolltiltak , for eksempel kameraovervåkning eller systemer for elektronisk adgangskontroll. 

Behandlingsansvaret omfatter også personopplysninger som behandles ved hjelp av eksterne databehandlere.   

Til slutt omfatter behandlingsansvaret personopplysninger som inngår (eller er ment å inngå) i manuelle personregistre. Dette er papirbaserte registre som er organisert på en slik måte at vurderinger eller opplysninger om bestemte enkeltpersoner, for eksempel ansatte eller studenter, lett kan gjenfinnes. 

Den behandlingsansvarliges personvernplikter 

I rollen som behandlingsansvarlig har UiS en rekke personvernplikter. Pliktene følger hovedsakelig av bestemmelsene i personvernforordningen og personopplysningsloven. 

UiS skal sørge for at: 

  • elektronisk og manuell behandling av personopplysninger skjer på en lovlig og forsvarlig måte i tråd med personvernprinsippene 
  • den enkelte sikres medbestemmelse over og kontroll med hvordan UiS behandler hans/hennes personopplysninger 

UiS har etablert interne rutiner, retningslinjer og gjennomfører egnede tekniske og organisatoriske tiltak som ivaretar de personvernpliktene UiS er pålagt. 

Les  mer om personvernforordningen.

Den enkeltes personvernrettigheter 

Som behandlingsansvarlig er UiS pliktig til å ivareta personvernrettighetene til den som opplysningene gjelder, det vil si ansatte, studenter, gjesteforskere, gjester eller respondenter og informanter i forskningsprosjekter. 

Den enkeltes personvernrettigheter gjelder ved all elektronisk behandling av alminnelige og særlige kategorier av personopplysninger som skjer i forskning, undervisning, administrasjon og formidling ved UiS. Rettighetene gjelder også ved behandling av personopplysninger som inngår (eller er ment å inngå) i manuelle personregistre. 

Formålet med personvernrettighetene er at de som opplysningene gjelder skal ha medbestemmelse over og kontroll med hvordan UiS behandler deres personopplysninger. 

For å sikre at de registrerte har medbestemmelse over og kontroll med hvordan UiS behandler deres personopplysninger, har den enkelte på visse vilkår disse rettighetene: 

  • rett til informasjon om behandlingsansvarlig, formålet med behandlingen av personopplysninger og eventuelle andre mottakere av personopplysningene 
  • rett til innsyn 
  • rett til retting/korrigering 
  • rett til sletting 
  • rett til begrensning av behandling 
  • rett til dataportabilitet 
  • rett til å protestere 

Hva er elektroniske hjelpemidler? 

Personvernforordningen omfatter all behandling av personopplysninger, herunder hvor elektroniske hjelpemidler blir brukt. 

Med elektroniske hjelpemidler menes for eksempel: 

  • datamaskiner 
  • programvare 
  • datanettverk 
  • bærbare dataenheter (mobiltelefoner, nettbrett, pc, osv.) 
  • elektronisk adgangskontroll 
  • kameraovervåkningssystemer 

Elektroniske hjelpemidler omfatter også datasystemer som benyttes ved UiS, for eksempel FS, SAP, Public360 eller Canvas. 

I tillegg regnes nettbaserte ressurser, for eksempel hjemmesider, skytjenester eller pedagogiske nettjenester, som elektroniske hjelpemidler.  

Hvilke regler gjelder for innføring og drift av elektroniske kontrolltiltak? 

Elektroniske kontrolltiltak kan blant annet ha som formål å beskytte UiSs bygninger og verdier mot hærverk, ødeleggelse eller tyveri. Slike tiltak omfatter for eksempel bruk av kameraovervåkning og systemer for adgangskontroll hvor passeringsdata om studenter eller ansatte registreres og lagres. 

Elektroniske kontrolltiltak omfatter også, på visse vilkår, innsyn i ansatte eller studenters e-post, personlige lagringsområder, private datautstyr og internettbruk. 

Ved innføring av elektroniske kontrolltiltak ved UiS gjelder reglene i arbeidsmiljøloven kapittel 9. Reglene i arbeidsmiljøloven innebærer følgende: 

  • Kontrolltiltak skal ikke innføres uten at det foreligger en saklig grunn for det. 
  • Kontrolltiltak skal bare innføres dersom nytten av tiltaket klart overstiger den personvernulempen som det innebærer for ansatte, studenter, gjesteforskere og gjester. 
  • Kontrolltiltak skal drøftes med representanter for ansatte og studenter før tiltakene innføres. 
  • Det skal gis informasjon til ansatte og studenter om hvordan innførte kontrolltiltak er innrettet og fungerer. 
  • Innførte kontrolltiltak skal jevnlig evalueres og behovet for å opprettholde tiltakene skal vurderes. 

Les mer om  reglene i arbeidsmiljøloven som gjelder ved innføring av kontrolltiltak

Arbeidsmiljøloven har særlige regler om innsyn i ansattes e-post, personlige lagringsområder, private datautstyr og internettlogger. Innsyn i studenters e-post, personlige lagringsområder, private datautstyr og internettlogger reguleres av personvernforordningen. 

Det er utnevnt system- eller tjenesteeiere for alle elektroniske kontrolltiltak som er innført ved UiS. System- eller tjenesteeierne er delegert ansvaret for at reglene om personvern og behandling av personopplysninger følges. 

I tillegg til å ivareta de særlige reglene i arbeidsmiljøloven og personvernforordningen om innføring og drift av elektroniske kontrolltiltak, har system- eller tjenesteeierne for elektroniske kontrolltiltak de samme pliktene som øvrige system- eller tjenesteeiere.

Personer som det registreres opplysninger om ved bruk av elektroniske kontrolltiltak, for eksempel ansatte eller studenter som filmes av overvåkningskamera, har de samme personvernrettighetene som gjelder generelt for behandling av personopplysninger ved UiS.

Hva er databehandlere? 

Databehandlere er eksterne aktører (ofte kommersielle selskaper eller andre universiteter/høyskoler) som har fått i oppdrag å drifte et elektronisk system eller tjeneste på vegne av UiS. 

Eksterne aktører blir databehandlere for UiS når driften av elektroniske systemer eller tjenester innebærer at de får tilgang til personopplysninger som UiS er behandlingsansvarlig for. 

Som behandlingsansvarlig er UiS pliktig til å sørge for at det bare brukes databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i personvernforordningen når de behandler opplysninger om ansatte, studenter, gjesteforskere, gjester eller respondenter/informanter i forskningsprosjekter. 

Dette skal først skje ved at det gjennomføres risikovurderinger av informasjonssikkerheten i de eksterne systemene eller tjenestene som UiS vurderer å anvende. Dersom risikovurderingen viser at informasjonssikkerheten er tilfredsstillende, skal det inngås skriftlige avtaler (databehandleravtaler) med databehandlerne. 

Databehandleravtalene skal regulere 

  • gjenstanden for og varigheten av behandlingen 
  • behandlingens art og formål
  • typen personopplysninger og kategorier av registrerte 
  • den behandlingsansvarliges rettigheter og plikter 
  • hva databehandlerne kan gjøre med personopplysninger som UiS er behandlingsansvarlig for 
  • hvordan personopplysningene skal sikres mot uautorisert tilgang, endring, sletting, tap eller skade 
  • Hvordan persondataene skal tilbakeføres til UiS eller slettes, når kontrakten med den eksterne databehandleren avsluttes. 

Etter at systemer eller tjenester som driftes av eksterne databehandlere er tatt i bruk, er UiS pliktig til å kontrollere at de overholder vilkårene i inngåtte databehandleravtaler. Dette skjer blant annet ved at UiS får tilgang til og gjennomgår databehandlernes egne revisjoner av informasjonssikkerheten i aktuelle systemer eller tjenester.