BEHANDLING AV PERSONOPPLYSNINGER VED NTNU

Transkript

1 BEHANDLING AV PERSONOPPLYSNINGER VED NTNU

2 INNHOLDSOVERSIKT 1 BAKGRUNN 2 MÅL OG STRATEGIER FOR BEHANDLING AV PERSONOPPLYSNINGER VED NTNU (Styrende dokumenter) 2.1 NTNUs MÅL OG PRINSIPPER FOR BEHANDLING AV PERSONOPPLYSNINGER 2.2 ANSVARSFORDELING VED BEHANDLING AV PERSONOPPLYSNINGER Behandlingsansvarliges ansvar Forvaltningsmessig behandling av personopplysninger i linje og stab Behandling av forskningsdata / NSDs rolle som personvernombud Ansvar for sikring av personinformasjon i datanett og informasjonssystemer 2.3 KATEGORISERING AV PERSONOPPLYSNINGER ETTER FØLSOMHET OG FORMÅL MED BEHANDLINGEN 2.4 SIKRING AV PERSONINFORMASJON I DATANETT OG - SYSTEMER Implikasjoner av medlemskap i UNINETT NTNUs interne sikkerhetsbestemmelser og - rutiner 3 BEHANDLINGER AV PERSONOPPLYSNINGER VED NTNU ( Gjennomførende dokumenter ) 3.1 RETNINGSLINJER FOR BEHANDLING AV PERSONOPPLYSNINGER VED NTNU - Arbeidsrutiner / IT - teknisk - og fysisk - Informasjonsutveksling - Taushetsplikt / opplæring - Kopiering / lagring - Makulering / sletting

3 3.2 RUTINER OG SYSTEMER FOR BEHANDLING AV PERSON - OPPLYSNINGER VED NTNU - Vilkår for og innhenting av samtykke til innsamling av persondata (grunnkrav for behandling av personopplysninger) - Informasjon om behandling av personopplysninger - Melde og konsesjonsplikt - Lagring, retting og sletting av personopplysninger i forvaltningen - Lagring, retting og sletting av personopplysninger i forskning - Nettverks- og systemsikkerhet - Tilgangssikring / autorisasjon - Adgangskontroll - Kameraovervåking 4 KONTROLL OG TILSYN (Kontrollerende dokumenter) VEDLEGG: Retningslinjer og rutiner finnes i elektronisk form på NTNUs hjemmeside ( under Administrative hjelpemidler /Personal og HMS/ Behandling av personopplysninger

4 1 BAKGRUNN Behandling av personopplysninger er regulert i Lov om behandlinger av personopplysninger (Personopplysningsloven) og forskrift (Personopplysningsforskriften) som trådte i kraft 1. jan Etter en periode med overgangsregler for behandlinger etter konsesjonsbestemmelsene i Personregisterloven, ble Personopplysningsloven først gjort fullt ut gjeldende fra 1. jan Personopplysningsloven er en generell lov for behandling av personopplysninger som skjer helt eller delvis med elektroniske hjelpemidler og for behandling av sensitive personopplysninger i manuelle registre. Personopplysningsloven med forskrift supplerer Helseregisterloven, som regulerer behandling av helseopplysninger i helseforvaltning og helsetjenesten, der denne ikke regulerer forholdet. Ved behandling av personopplysninger i offentlig forvaltning mer generelt, kommer også bestemmelsene om offentlighet, meroffentlighet og taushetsplikt i Offentlighetsloven og Forvaltningsloven til anvendelse. Behandling av helseopplysninger i forskning reguleres i en rekke spesiallover herunder Helseregisterloven som er en særlov for behandling av helseopplysninger i helseforvaltningen og helsetjenesten. Sikkerhetskravene i Personopplysningsloven ( 13) er tilpasset personvernstandarder og krav til metodikk innen EU /EØS - området og har også som formål å heve og harmonisere sikkerhetsnivået for behandling av personopplysninger som er hjemlet i annen lovgivning Behandlinger av personopplysninger med elektroniske hjelpemidler og opprettelse av manuelle registre som inneholder sensitive opplysninger, er som hovedregel underlagt konsesjonsplikt etter Personopplysningsloven eller Helseregisterloven. Meldesystemet representerer en forenkling i forhold til kravene om konsesjonsbehandling. Meldinger er ikke gjenstand for forhåndskontroll og behandlingen forutsetter ikke godkjenning av Datatilsynet før den kan starte. Datatilsynet skal registrere meldingene, kvittere for mottakelsen og i etterkant ha mulighet for å kontrollere at innholdet i meldingene stemmer overens med både virkelighet og regelverk. Med virkning fra ble Personopplysningsforskriftens 7-27 endret slik at de fleste forskningsprosjekter får meldeplikt istedenfor konsesjonsplikt. Dette forutsetter at prosjektet er tilrådd av et personvernombud. Medisinske og helsefaglige prosjekter skal i tillegg være tilrådd av en regional forskningsetisk komite. Unntaket fra konsesjonsplikt gjelder fortsatt ikke forskningsprosjekter av stort omfang (5000 forskningsobjekter eller mer) og lang varighet (15 år eller mer) samt forskning på store datasett som ikke er pseudonymisert eller avidentifisert på annen sikker måte (jfr. vedlegg: Sentrale begreper og definisjoner).

5 For personopplysninger med meldeplikt er den behandlingsansvarlige (rektor ved NTNU) ansvarlig for å sikre at behandlingen skjer i samsvar med gjeldende lov- og regelverk. Datatilsynet er et uavhengig forvaltningsorgan med kontroll og tilsynsoppgaver for å ivareta enkeltindividets personvern. Informasjon, rådgivende- og kontaktskapende virksomhet er sentrale elementer i tilsynsfunksjonen. På bakgrunn av erfaringene med forvaltningen av Personopplysningsloven, ønsker Datatilsynet på generelt grunnlag å prioritere etterkontroll i form av tilsyn og et bredere informasjonsarbeid fremfor bruk av ressurser på forhåndsgodkjenning gjennom konsesjonsbehandling. Ved etablering av personvernombud etter Personopplysningsforskriftens 7-12, overføres flere av Datatilsynets oppgaver til dette. Personvernombudet skal bistå Rektor (som behandlingsansvarlig) i arbeidet med å ivareta personvernet i organisasjonen. All behandling som ellers ville vært meldepliktig til Datatilsynet, skal meldes ombudet for registrering og sjekk/vurdering mot lovverk og forskrifter og for å sikre at opplysningene er korrekte og tilstrekkelige. Ved mistanke om feil og mangler skal ombudet melde fra til Rektor. Ombudet skal videre søke å fange opp behandlinger som ikke blir meldt og skal bistå Rektor med å etablere et system for internkontroll i henhold til bestemmelsene i Personopplysningslovens 14 og Helseregisterlovens 17. Personvernombudet skal også være institusjonens kontaktperson mot Datatilsynet. NTNU har, i likhet med de øvrige norske universitetene, inngått avtale med Norsk samfunnsvitenskapelige datatjeneste (NSD) om Datafaglig saksbehandling om forsknings- og studentprosjekt som omfattes av bestemmelsene i personopplysningsloven. Avtalen innebærer at NSD er NTNUs personvernombud for forskning og at meldeplikten til Datatilsynet erstattes med meldeplikt til NSD. NSD er etter avtalen ansvarlig for informasjon, veiledning og saksbehandling i forhold til enkeltprosjekter som meldes inn for godkjenning og nødvendig oppfølging for å sikre at vilkårene for godkjenning etterleves. For behandling av personopplysninger i forvaltningssammenheng, er det ikke utnevnt noe eget personvernombud ved NTNU. Rapportering etter Personopplysningslovens bestemmelser skjer derfor direkte til Datatilsynet fra ledere og systemansvarlige i linje og stab etter delegasjon.

6 2 MÅL OG STRATEGIER FOR BEHANDLING AV PERSONOPPLYSNINGER VED NTNU Personopplysningslovens bestemmelser gir de overordnete rammene for behandling av personopplysninger. På bakgrunn av en kartlegging ved NTNU, har Rektor utformet mål og strategier for behandling av personopplysninger i organisasjonen.. Bestemmelsene skal også gjelde for enheter ved NTNU som ivaretar nasjonale fellesfunksjoner etter 1-4 i Universitets- og høgskoleloven - så framt enhetene har tilgang til NTNUs interne IT systemer og nettverk og ikke annet er avtalemessig bestemt.

7 2.1 NTNUs MÅL OG PRINSIPPER FOR BEHANDLING AV PERSONOPPLYSNINGER Informasjonsbehandlingen ved NTNU skal ivareta følgende hensyn Offentlighetens rett til innsyn etter prinsippet om meroffentlighet. Beskyttelse av den enkelte mot at personvernet blir krenket ved behandling av personopplysninger i organisasjonen. Sikre at den enkelte - som registrert eller som part - ved forespørsel til NTNU får de opplysninger de har krav på etter Personopplysningsloven og Forvaltningsloven Sikkerhet ved behandling av personopplysninger Behandling og lagring av personopplysninger av ikke sensitiv karakter, skal så langt det er hensiktsmessig og sikkerhetsmessig forsvarlig, skje ved bruk av elektroniske hjelpemidler. Ved behandling av sensitiv informasjon skal sikring av konfidensialitet prioriteres foran integritet og tilgjengelighet. Elektroniske hjelpemidler skal bare benyttes til behandling av sensitive opplysninger så fremt sikring av konfidensialitet kan ivaretas på en tilfredsstillende måte. Sikkerheten ved behandling av sensitive personopplysninger skal - uavhengig av behandlingsmåte - dokumenteres i form av skriftlige prosedyrer og rutiner. Disse skal godkjennes av Organisasjonsdirektøren før elektronisk databehandling tas i bruk Sikkerhetstiltak skal iverksettes slik at personer utenfor virksomheten ikke skal kunne forårsake hendelser med alvorlige konsekvenser for enkeltmenneskers personvern. Egne medarbeidere skal heller ikke, ved uaktsomhet eller av mangel på kunnskap om eller kjennskap til behandling av sensitiv personinformasjon, kunne forårsake slike hendelser. NTNUs behandling av forskningsdata er regulert gjennom avtale med Norsk samfunnsvitenskapelige datatjeneste (NSD). Formålet med avtalen er å sikre forskere og studenter tilgang til persondata uten at dette kommer i konflikt med personvernet til de som berøres av forskningen. Alle forskningsprosjekter ved NTNU som innebærer innsamling eller bearbeiding av personopplysninger, skal etter avtalen meldes til NSD, som personvernombud. NSD er på sin side ansvarlig for informasjon, veiledning og saksbehandling i forhold til enkeltprosjekter som blir meldt. Utlevering av personinformasjon i NTNUs databaser til andre formål enn det de er samlet inn for, skal godkjennes av Organisasjonsdirektøren. Informasjon som er innsamlet og lagret for generell personalforvaltning og om studenter for administrative formål, skal ikke utleveres til utenforstående.

8 2.2 ANSVARSFORDELING VED BEHANDLING AV PERSONOPPLYSNINGER VED NTNU Ansvars- og funksjonsfordelingen for behandling av personopplysninger følger organisasjons- og delegasjonsstrukturen ved NTNU med Styret som overordnet ansvarlig og med delegasjoner som følger linjen Behandlingsansvarliges ansvar Rektor er behandlingsansvarlig i henhold til Personopplysningslovens 13 og 14, og skal sørge for tilfredsstillende informasjonssikkerhet gjennom avklaring av myndighetsog ansvarsforhold knyttet til etablering og vedlikehold av systemer, prosedyrer og rutiner for arbeidet med personinformasjon. Rektor rapporterer til styret om status for personopplysningssikkerheten ved NTNU Organisasjonsdirektøren er delegert myndighet til å iverksette tiltak for sikre at personopplysningssikkerheten ivaretas i henhold til Styrets mål og lovbestemte krav. Organisasjonsdirektøren har også et rådgivnings - og veiledningsansvar vedrørende tolkning og praktisering av relevante bestemmelser i Forvaltnings-, Offentlighets- og Personopplysningsloven Forvaltningsmessig behandling av personopplysninger i linje og stab Leder på fakultet, institutt og i de sentrale avdelingene/seksjonene har ansvar for at behandlingen av personopplysninger i egen enhet skjer i samsvar med lov og gjeldende retningslinjer. Enhetsledere på fakultets- og avdelingsnivå har innenfor sin enhet ansvar for å utarbeide, kvalitetssikre og samordne prosedyrer og rutiner for behandling av personopplysninger ved grunnenhetene (institutter og seksjoner). fastsette rolle- og funksjonsfordelingen på områder der personinformasjon samles inn, bearbeides eller lagres (arkiv-, personal-, økonomi-, studie- og IT - funksjonene). Dokumentert funksjons- og ansvarsbeskrivelse skal danne basis for de enkelte ansattes tilgang til taushetsbelagte opplysninger i manuell form og til sentrale eller lokale servere/datafiler med personinformasjon (jfr. vedlegg: Rutine 7) dokumentere prosedyrer og rutiner for å sikre at ansatte innenfor eget ansvarsområde som får tilgang til personopplysninger, er kjent med de krav til informasjonssikkerhet som gjelder, får nødvendig opplæring og får tilrettelagt arbeidssituasjonen på en slik måte at tilfredsstillende personvernsikkerhet kan ivaretas. ( jfr. vedlegg: Rutine 4) tilrettelegge arbeidssituasjonen både fysisk - og IT- teknisk for behandling og lagring av gradert personinformasjon (jfr. vedlegg: Retningslinjer for utforming av sikkerhetstiltak ved behandling av personopplysninger)

9 føre tilsyn med at behandlingen av personinformasjon skjer i henhold til vedtatte prosedyrer og rutiner. Eventuelle avvik skal følges opp som grunnlag for forbedringer av prosedyrer og rutiner (avvikshåndtering). Ledere med systemansvar for sentraladministrative IT baserte datasystemer som inneholder personopplysninger, skal føre oversikter over ansatte som er tildelt tilgangsrettigheter. Der tilgangen tildeles andre enn ansatte ved systemansvarliges enhet, skal godkjenning være betinget av anbefaling / bekreftelse fra vedkommendes nærmeste overordnede eller enhet for registrert studietilhørighet (jfr. vedlegg: Rutine 7) Behandling av forskningsdata - NSDs rolle som personvernombud Alle forskningsprosjekter som behandler personopplysninger skal meldes til Norsk samfunnsvitenskapelig datatjeneste (NSD), som etter avtale er ansvarlig for informasjon, veiledning og saksbehandling i forhold til de enkeltprosjekter som meldes inn for godkjenning (jfr. vedlegg: Rutine 5). Behandlingsansvarlig institusjon er normalt den som forskeren er ansatt ved. Dersom forskeren er ansatt i eller på annen måte tilknyttet flere virksomheter, må det før prosjektet startes opp, avklares hvilken institusjon som har behandlingsansvaret. Ved NTNU er Rektor formelt behandlingsansvarlig. Fakultetsledelsen skal i samarbeid med NTNUs kontaktperson mot NSD sørge for at forskningsmiljøene blir løpende informert om avtalen og andre forhold av betydning for behandlingen av personopplysninger i forskning. Instituttlederne skal sørge for at informasjonen er lett tilgjengelig på instituttene for enkeltforskere i form av brosjyrer, oppslag eller lignende. Fakultets- / instituttledelsen skal også etablere rutiner for å sikre at alle forskningsprosjekter som behandler personopplysninger etter Personopplysnings- eller Helseregisterlovens bestemmelser, blir meldt til NSD. Prosjektledere og studentveiledere har det daglige operative ansvaret for behandlingen av personopplysninger i forskningsprosjekter, respektive studentprosjekter. De skal sørge for at melde- og konsesjonspliktig innsamling, bearbeiding eller lagring av personopplysninger blir meldt til NSD (jfr. vedlegg: Rutine 3 ). Vedkommende er også ansvarlig for at behandlingen oppfyller Personopplysningslovens bestemmelser m.h.t. samtykke (jfr. vedlegg: Rutine 1), innsyn (jfr. vedlegg: Rutine 2) og lagring retting og sletting (jfr. vedlegg: Rutine 5).

10 2.2.4 Ansvar for sikring av personinformasjon i datanett og informasjonssystemer Det IT tekniske sikkerhetsnivået på system og nett skal tilfredsstille de kravene Personopplysningsloven stiller for å behandle personopplysninger i kategori F3 og F4 (jfr. Pkt 2.3 ). IT - seksjonen ved leder er tillagt et helhetlig ansvar for IT sikkerheten ved NTNU, med Nett gruppen som ansvarlig for felles nett- og sikkerhetsarkitektur og for drift, videreutvikling og overvåkning (logging) av NTNUs datanettverk. IT- seksjonen skal også ivareta den IT tekniske driften av alle sentraladministrative datasystemer ( jfr. vedlegg: Rutine 6). Systemeier for fellesadministrative IT baserte informasjonssystemer er operativt ansvarlig for sikring av informasjonen i systemene mht. konfidensialitet, integritet og tilgjengelighet. Systemeier skal også administrere og kvalitetssikre prosedyrer og rutiner for lagring og sletting av data.( jfr. vedlegg: Rutine 4) og for adgangskontroll til systemene (jfr. vedlegg: Rutine 7). Systemeier skal fortløpende vurdere informasjonssikkerheten i forhold til nye tjenester og systemløsninger, endringer i teknologi, endrete standarder og prosedyrer samt gjeldende lov/avtaleverk. Det er systemeiers ansvar å etablere og vedlikeholde et sikkerhetsnivå som er tilpasset personopplysningenes følsomhet og de risikofaktorer som eksisterer innenfor de rammene NTNU har bestemt. Systemeier skal også følge opp bestemmelsene i Personopplysningsloven vedr. melde - og konsesjonsplikt. (jfr. vedlegg: Rutine 3). For IT systemer (servere / databaser) som eies og driftes på fakultets-/ instituttnivå er de respektive fakultets-/ instituttledere ansvarlige for personopplysningssikkerheten. Dette omfatter ansvar for nødvendig soneinndeling med tilhørende tilgangkontroll - basert på institusjonelle retningslinjer og krav til behandling av personopplysninger og intern ansvars- og oppgavefordeling ved enheten. Soneinndeling med oversikt over personer med tilgangsrettigheter til databaser som inneholder personopplysninger skal dokumenteres (jfr. vedlegg: Rutine 7). Det skal også for desentrale servere og databaser etableres prosedyrer og rutiner for lagring, bearbeiding og sletting av data (jfr. vedlegg: Rutine 4 og Rutine 5). IT sikkerheten ved behandling av persondata i forsknings - og studentprosjekter skal vurderes i forhold til dataenes følsomhet i de enkelte prosjekter. Sikkerhetsnivået for de nett og servere som planlegges benyttet skal beskrives i melding til NSD - som grunnlag for godkjenning av prosjektene (jfr. vedlegg: Rutine 3, Rutine 5 og Rutine 6).

11 2. 3 KATEGORISERING AV PERSONOPPLYSNINGER ETTER FØLSOMHET OG FORMÅL MED BEHANDLINGEN. Behandling av personopplysninger ved NTNU er i hovedsak knyttet til følgende funksjoner og formål. Generell personalforvaltning herunder tilsetting, karriere- og kompetanseutvikling, stillings- og lønnsopprykk, sykefravær, arbeidsmiljømessige forhold, arbeidsrettslige problemstillinger og lignende. Studenters forhold til institusjonen i forbindelse med opptak til studier, godkjenning /innpassing av tidligere utdanning, dispensasjonssaker, annullering av eksamen /utestengning, klager på enkeltvedtak og lignende. forskning Med bakgrunn i kartlegging av personopplysninger og behandlingen av disse, deles personinformasjonen ved NTNU inn i følgende kategorier gradert etter følsomhet. F1 - Sensitiv informasjon (jfr. vedlegg: Sentrale begreper og definisjoner) F2 - Informasjon om personlige forhold som er unntatt fra offentlighet etter sitt innhold ( 6 nr.6 i Offentlighetsloven) eller som er taushetsbelagt etter i Forvaltningsloven. Dette omfatter; - vurderinger knyttet til personlig egnethet og kvalifikasjoner i tilsettings- / oppsigelsessaker - eksamensbesvarelser og eksamensresultater for enkeltpersoner * - saksopplysninger vedrørende annullering av eksamen eller prøve, utestenging fra studier og skikkethetsvurderinger med hjemmel i 4-7 til 4-10 i Universitets- og høgskoleloven. F3 - Spesielle opplysninger av grunnopplysningskarakter som indirekte kan avsløre sensitiv info og/eller som innebærer særlig risiko for misbruk - herunder pålagte trekk, identifikasjonsinformasjon (eg. personnummer) og bankkontonummer spesielt i forbindelse med elektronisk behandling av data F4 - Grunnopplysninger om ansatte, om studenter med norsk statsborgerskap (herunder opplysninger om generell studiekompetanse, e mail adresse, personkode /studentnummer, betaling av semesteravgift) og tilleggsopplysninger om studenter som ikke er norske statsborgere (herunder opplysninger om lånebehov, oppholdstillatelse, statsborgerskap, ankomst / utreisedato, levert helseskjema**, levert bekreftelse på tub. sjekk** og erstatningsnummer for personnummer). ( jfr. vedlegg: Sentrale begreper og definisjoner) * Eksamensbesvarelser er i utgangspunktet ikke unntatt fra offentlighet med mindre de inneholder opplysninger som er taushetsbelagt etter Forvaltningslovens 13. Men de kan unndras fra innsyn etter Off. lovens 6 nr 6. Når det gjelder eksamensresultater for enkeltpersoner begrunnes dette i forhold til unntak knyttet til kunngjøring av sensur. Normalt benyttes studentnummer, men i forbindelse med muntlig brukes navn fordi faglærer ikke skal kjenne kombinasjonen av nummer og navn. ** ikke spesifikke helseopplysninger Det vises også til Veiledning om offentlighet og unntak fra offentlighet for et utvalg sakstyper (

12 2.4 SIKRING AV PERSONINFORMASJON I DATANETT OG DATASYSTEMER Implikasjoner av medlemskap i UNINETT Som medlemsinstitusjon i UNINETT er NTNU forpliktet på de retningslinjer og den policy som gjelder for nettverket. Medlemsorganisasjonene skal gjennomføre nødvendige lokale sikkerhetstiltak på de systemer og nett de selv drifter. De skal sørge for at brudd på reglene stoppes og forhindre gjentakelser i framtiden. Brukere av UNINETTs tjenester er gjennom de avtaler som er inngått med medlemsinstitusjonene i form av ansettelsesavtaler, retningslinjer for studenter/ elever etc., forpliktet til å følge UNINETTs regelverk. Ved hver medlemsinstitusjon skal det finnes en person som har som oppgave å være UNINETTs sikkerhetskontakt. Ved NTNU er dette Arild Nybraaten ved ITseksjonen Nett NTNUs interne sikkerhetsbestemmelser og rutiner NTNUs retningslinjer for informasjonssikkerhet, Sikkerhetsarkitektur for nettet ved NTNU og NTNUs IT reglement ( angir mål, prinsipper og retningslinjer for bruk av nettet. NTNUs IT reglement definerer også hvem som kan bruke nettet, hva som er tillatt bruk, hvem som har ansvaret for at reglementet blir fulgt, muligheter for driftspersonell til å spore og slå ned på misbruk av nettet og hvilke sanksjoner som vil følge av brudd på reglementet (jfr. vedlegg: Rutine 6).

13 3 BEHANDLINGER AV PERSONOPPLYSNINGER VED NTNU (Gjennomførende dokumenter) 3.1 RETNINGSLINJER FOR BEHANDLING AV PERSONOPPLYSNINGER VED NTNU Følgende funksjonsområder/behandlinger av personopplysninger er gjennom kartleggingen identifisert som kritiske i forhold til personopplysningssikkerhet. Arbeidsrutiner / IT - teknisk - og fysisk Informasjonsutveksling Taushetsplikt / opplæring Kopiering / lagring Makulering / sletting I Retningslinjer for utforming av sikkerhetstiltak ved behandling av person - opplysninger ved NTNU (se vedlegg) har Organisasjonsdirektøren etter fullmakt fra Rektor fastlagt operasjonelle retningslinjer med beskrivelse av tiltak for å ivareta personopplysningssikkerheten på en tilfredsstillende måte innenfor hvert av risikoområdene. 3.2 SYSTEMER OG RUTINER FOR BEHANDLING AV PERSONOPPLYSNINGER Operasjonelle krav til behandling av personopplysninger ved NTNU er beskrevet i Rutine 1 til 9 (jfr. VEDLEGGSLISTE).

14 4 KONTROLL OG TILSYN (Kontrollerende dokumenter) - Rektor skal årlig orientere Styret om status for personopplysningssikkerheten ved NTNU. Dersom resultater av revisjoner eller informasjon fra avviksregistreringer på avdelings-, fakultets- eller instituttnivå gir grunnlag for det, skal Rektor fremme forslag til endringer i mål / policy - Dekaner og avdelingsdirektører er som linjeledere ansvarlig for å føre tilsyn med at behandlingen av personinformasjon skjer i henhold til vedtatte prosedyrer og rutiner. Eventuelle avvik skal følges opp som grunnlag for forbedringer av prosedyrer og rutiner (avvikshåndtering) og rapporteres til Rektor - Organisasjonsavdelingens leder har på Rektors vegne ansvar for å føre tilsyn med at etablerte systemer og rutiner for behandling av personopplysninger oppfyller kravene i Personopplysningsloven, og at det innenfor de ulike ansvarsområder er etablert tilfredsstillende kontroll- og oppfølgingsrutiner.

15 VEDLEGGSLISTE Vedleggene finnes i elektronisk form på NTNUs hjemmeside ( under Administrative hjelpemidler /Personal og HMS / Behandling av person - opplysninger. Vedlegg til pkt.1 Sentrale begreper og definisjoner Vedlegg til pkt.3.1 Retningslinjer for utforming av sikkerhetstiltak ved behandling av personopplysninger ved NTNU - Arbeidsrutiner /IT teknisk og fysisk - Informasjonsutveksling - Taushetsplikt / opplæring - Kopiering / lagring - Makulering / sletting Vedlegg til pkt.3.2 System- og rutinebeskrivelser Rutine 1: Vilkår for og innhenting av samtykke til innsamling av persondata (grunnkrav ) Rutine 2: Informasjon om behandling av personopplysninger Rutine 3: Melde og konsesjonsplikt Rutine 4: Lagring, retting og sletting av personopplysninger i forvaltningen 4.1: Krav til sikkerhet ved innsamling og behandling av persondata 4.2: Retting av personopplysninger 4.3: Sletting /videre lagring av personopplysninger 4.4: Rutiner og prosedyrer for back up og sletting av sikkerhetskopier Rutine 5: Lagring, retting og sletting av personopplysninger i forskning 5.1: Krav til sikkerhet i forbindelse med innsamling og behandling av personopplysninger 5.2: Retting av personopplysninger 5.3: Sletting/videre lagring av personopplysninger 5.4: Rutiner og prosedyrer for back up og sletting av sikkerhetskopier 5.5: Gjenbruk av personopplysninger i forskning Rutine 6: Nettverks- / systemsikkerhet Rutine 7: Tilgangssikring / autorisasjon Rutine 8: Adgangskontroll Rutine 9: Kameraovervåking

16 SENTRALE BEGREPER OG DEFINISJONER - Personopplysning; opplysninger og vurderinger som kan knyttes til en enkeltperson - Helseopplysning; Taushetsbelagte opplysninger i henhold til helsepersonelloven 21, og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til enkeltperson. - Behandling av personopplysning; enhver bruk av personopplysninger, som for eksempel innsamling registrering, sammenstilling, lagring, og utlevering, eller en sammenstilling av slike bruksområder - Personregister/ helseregister; registre, fortegnelser med videre der person/helseopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen - Behandlingsansvarlig/ databehandlingsansvarlig; den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal tas i bruk - Databehandler; den som behandler personopplysninger på vegne av behandlingsansvarlige - Samtykke; en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv (jfr. Rutine 1 ) - Anonyme opplysninger; opplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson - Avidentifiserte (helse)opplysninger; (helse)opplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identiteten bare kan tilbakeføres ved en sammenstiling med de samme opplysninger som tidligere ble fjernet - Pseudonyme (helse)opplysninger; (helse)opplysninger der identitet er kryptert eller skjult på annet vis, men likevel individualisert slik at det lar seg gjøre å følge hver person gjennom (helse)systemet uten at identiteten røpes. Sensitive opplysninger; opplysninger om; - Rasemessig eller etnisk bakgrunn - Politisk, religiøs eller filosofisk oppfatning - Misstanke, siktelse, tiltale, pådømmelse for straffbar handling - Helseforhold - Seksuelle forhold - Medlemskap i fagforeninger

17 Grunnopplysninger (etter Datatilsynets kategoribeskrivelse); navn, adresse, statsborgerskap/bosted/land, anropsnummer for teletjenester, rullenummer / arbeidstakernummer, rubriseringsdata (som kategori, type ansatt/representant, distrikt, type varer, kontonummer i regnskap, representantkategori, andre opplysninger til bruk i statistikk og annen bedriftsintern avregning ), kjønn, nærmeste pårørende, sivilstand, antall barn og barnas fødselsår, stillingsbetegnelse, yrkesopplysninger som etter overenskomst eller tariffavtale har betydning for lønns- og arbeidsvilkår, opplysninger om utdannelse og praksis, lønns- og provisjonsopplysninger, pensjonsopplysninger, sluttårsak, fraværsdato, type fravær og varighet (angivelse av sykdommens art tillates ikke registrert utover det som er pålagt ved lov 4. februar 1977 nr 4 om arbeidervern og arbeidsmiljø mv 20), ansettelses- og sluttdato (permisjoner e l), dødsdato, firmabil eller lignende, utlånte eiendeler, lån til ansatte eller garanti for lån, opplysning om den ansatte er mobiliseringsdisponert, (ja/nei), evt. militært løpenummer, grad, og rulleførende avdeling Informasjonssikkerhet omfatter (jfr. Personopplysningsloven 13) - Sikring av konfidensialitet (beskyttelse mot at uvedkommende får innsyn i opplysningene) - Sikring av integritet (beskyttelse mot utilsiktet endring av opplysningene) - Sikring av tilgjengelighet (sørge for tilstrekkelig og relevant informasjon)

18 RETNINGSLINJER FOR UTFORMING AV SIKKERHETSTILTAK VED BEHANDLING AV PERSONOPPLYSNINGER VED NTNU ARBEIDSRUTINER / FYSISK OG IT - TEKNISK Det er den enkelte enhets- / arbeidsleders ansvar å sørge for at de fysiske rammebetingelsene ligger til rette for sikker behandling av personopplysninger. Kravene til fysisk tilrettelegging skal ses i sammenheng med de håndterings-, lagringsog arkiveringsrutiner som benyttes ved behandling av personopplysninger i vedkommende enhet (jfr. Pkt ). Retningslinjer for fysisk avskjerming og arbeidsrutiner ved manuell behandling av personopplysninger o Personinformasjon i kategori F1 og F2 (jfr. Pkt. 2.3) skal arkiveres i låsbare skap som bare personalmedarbeidere eller saksbehandlerne med ansvar for angjeldende saksområde, har tilgang til. Arkivskapene skal plasseres i arkiv på kontorer som holdes låst utenom ordinær arbeidstid. o saksbehandlere på ett ansvarsområde (arkiv, personal, økonomi og studieområdet) skal normalt ikke ha tilgang til personinformasjon innen kategoriene F1 og F2 på andre ansvarsområder. Retningslinjer for elektronisk behandling av persondata på enhetsnivå o Datasikkerheten i lokale IT systemer, servere og databaser skal ivaretas gjennom soneinndeling med tilhørende tilgangskontroll - basert på intern ansvars- og oppgavefordeling. Generelle prinsipper og retningslinjer for inndelig av nettet i soner (subnett) med tilhørende sikkerhetskrav finnes i Sikkerhetsarkitektur for nettet ved NTNU utarbeidet av ITEA. ( o Saksbehandlere som bearbeider personinformasjon i kategori F1 og F2 skal ved bruk av standard tekstbehandlingsutstyr bare benytte personlige passordbelagte filområder/ eventuelt passordbelagte felles filområder for angjeldende saksbehandlergruppe (personal-, økonomi-, studie-, mv.). o Soneinndeling med oversikt over personer med tilgangsrettigheter til ulike databaser som inneholder personopplysninger, skal dokumenteres av enhetsleder / systemeier.

19 INFORMASJONSUTVEKSLING Det er den enkelte enhets- / arbeidsleders ansvar å utarbeide interne prosedyrer og rutiner for sikker utveksling av personopplysninger Det skal av hensyn til personopplysningssikkerheten ikke opprettes fellesområder for behandling/ formidling av personinformasjon i kategori F1 og F2 (jfr. Pkt. 2.3) på tvers av saksområder. Fellesområder med tilgang for alle fakultetets, instituttets eller avdelingens ansatte skal ikke benyttes for å lagre eller kommunisere personinformasjon som ikke allerede er offentlig kjent f. eks. ved at opplysningene finnes på enhetens web- hjemmeside, i telefonkatalogen eller lignende E post kan benyttes som kommunikasjonsmedium for personinformasjon i kategori F3 F4 under forutsetning av at rutiner for sletting av midlertidig lagret informasjon er etablert og følges opp. Opplysninger i kategori F1 og F2 som skal benyttes i saksbehandling og / eller som beslutningsgrunnlag, skal normalt formidles pr. brev. Dersom annen oversendelsesmåte (f. eks. faks) avtales, skal bare utstyr som er plassert i lukkede områder benyttes etter forutgående avtale om oversendingstidspunkt. TAUSHETSPLIKT / OPPLÆRING Nærmeste overordnede er ansvarlig for at saksbehandlere får nødvendig opplæring i de bestemmelser som gjelder for behandling av personopplysninger og for å innhente bekreftet aksept på de plikter (herunder taushetsplikten) dette innebærer. Retningslinjer for behandling av personopplysninger ved NTNU kan inngå som element i opplæringsfunksjonen. Alle som rutinemessig arbeider med personopplysninger i kategori F 1 og F 2 (jfr. Pkt. 2.3) skal dokumentere kjennskap til personopplysningslovens bestemmelser og underskrive taushetserklæring. Alle ansatte som gjennom vedlikehold og drift av NTNUs IT nettverk og systemer får tilgang til personopplysninger i kategori F 1 og F 2, skal dokumentere kjennskap til personopplysningslovens bestemmelser og underskrive taushetserklæring. Krav til og opplysninger om taushetsplikten for medlemmer i utvalg og styrer innarbeides rutinemessig i oppnevningsbrevet til medlemmene Det vises for øvrig til Veiledning om offentlighet og unntak fra offentlighet for et utvalg sakstyper (jfr. Pkt.2.3)

20 KOPIERING / LAGRING Hovedarkivet ved NTNU har et overordnet ansvar for arkivfunksjonen og er, som systemeier, ansvarlig for å utarbeide prosedyrer og rutiner for bruk av felles elektronisk arkivsystem og oppfølging / kontroll med dette. Hovedarkivet ved NTNU er også tillagt ansvaret for å ivareta institusjonens lovpålagte oppbevaringsplikt. Ansvaret for den fysiske sikkerheten til desentrale arkiver og for at desentrale arkivfunksjoner følger gjeldende lover og regler, ligger til ledelsen ved den enheten / underenheten der arkivfunksjonen er organisert. Hovedarkivet utarbeider, i samarbeid med de involverte underenheter, retningslinjer for dokumenthåndtering - herunder ansvars- og funksjonsfordeling mellom saksbehandler, fakultets- /avdelingsarkivar og leder for Hovedarkivet - med dokumentasjon av behandlingsrutiner for å ivareta personopplysningssikkerheten. Retningslinjer for innhold i og plassering av saksmapper, personalmapper og studentmapper skal utarbeides og følges opp av Hovedarkivet MAKULERING / SLETTING Elektronisk saksbehandling innebærer mellomlagring og sluttlagring av elektroniske dokumenter. Dersom de mellomlagrede datafilene slettes umiddelbart etter at saken er avsluttet og endelig lagring av saksdokumentet i papir- eller elektronisk form er foretatt, vil det tidsvinduet personinformasjonen er tilgjengelig på vedkommende saksbehandlers personlige lagringsområde, representere en svært begrenset sikkerhetsrisiko. Med gode slettingsrutiner vil det heller ikke over tid samles opp personinformasjon på datafilene slik at utbyttet av et eventuelt innbrudd vil være begrenset Enhetsledere på avdelings- og fakultetsnivå skal med utgangspunkt i enhetens nett- og filstruktur (felles- og personlige lagringsområder) utarbeide slettingsrutiner for å minimalisere informasjonsrisikoen ved elektronisk saksbehandling av personopplysninger. I forbindelse med møter i styrer, råd og utvalg som behandler personinformasjon, kopieres det opp saksdokumenter som, hvis de ikke blir makulert etter møtene, kan utgjøre en betydelig personopplysningsrisiko. Leder for den administrative enheten som utvalget er organisert i tilknytning til - ved sekretæren - tillegges ansvaret for innsamling /makulering av saksdokumenter etter møtene.

21 RUTINE 1: VILKÅR FOR OG INNHENTING AV SAMTYKKE TIL INNSAMLING AV PERSONDATA FORMÅL/ HENSIKT Kvalitetssikre behandlingsgrunnlag for innsamling og bearbeiding av persondata for forvaltningsmessige - og forskningsmessige formål SENTRALE FØRINGER OG KRAV Personopplysninger kan bare behandles dersom den registrerte har samtykket (se nedenfor), behandlingen er hjemlet i lov eller behandlingen er nødvendig for å oppfylle nærmere angitte avtaler/ forpliktelser, utøve offentlig myndighet eller for å ivareta berettigete /vitale interesser (jfr. 8 i Personopplysningsloven). Sensitive opplysninger (jfr. Sentrale begreper og definisjoner) kan bare behandles dersom behandlingen oppfyller ett av vilkårene i 8 og i tillegg oppfyller ett av kravene i 9 i Personopplysningsloven. Samtykket skal være en frivillig, uttrykkelig og informert erklæring fra den opplysningene gjelder om at hun godtar handlingen. Det skal gis tilstrekkelig informasjon for å forstå hva samtykket gjelder og konsekvensene av det - herunder navn og adresse på den behandlingsansvarlige hva opplysningene skal brukes til om opplysningene vil bli utlevert til andre og eventuelt til hvem om det er frivillig å gi fra seg opplysningene om forhold som gjør den registrerte i stand til å bruke sine rettigheter etter personopplysningsloven på best mulig måte, som f.eks. om retten til å kreve innsyn, retting og sletting hvor lenge personopplysningene vil bli behandlet eller oppbevart Et samtykke til behandling av personopplysninger kan ikke sette til side noen av bestemmelsene i loven. Behandling av personopplysninger skal bare skje for å ivareta utrykkelig angitte formål som er saklig begrunnet i behandlingsansvarliges virksomhet - herunder utøvelse av offentlig myndighet (jfr. 11 i Personopplysningsloven) eller for forskningsformål.

22 ORGANISERING OG ANSVAR Organisasjonsdirektøren er gitt myndighet til å iverksette tiltak for å sikre at behandlingen av personopplysninger skjer i henhold til NTNUs mål og lovbestemte krav. Ledere på fakultet, institutt og i de sentrale enhetene /seksjonene har ansvar for at vilkårene for innsamling og bearbeiding av personopplysninger er oppfylt i egen enhet (jfr. Pkt ). Prosjektleder /studentveileder er ansvarlig for at vilkårene for innsamling av personopplysninger er oppfylt og følges ved behandling av personopplysninger i forsknings- / studentprosjekter (jfr. Pkt 2.2.3).

23 RUTINE 2: KRAV TIL INFORMASJON OM BEHANDLING AV PERSONOPPLYSNINGER FORMÅL/ HENSIKT Sikre at enhver som ber om det, får de opplysninger de har krav på etter Personopplysningsloven og Forvaltningsloven. SENTRALE FØRINGER OG KRAV Kapittel 3 i Personopplysningsloven regulerer kravene til innsynsrett og informasjonsplikt. INFORMASJONSPLIKT FOR BEHANDLINGSANSVARLIG I FORBINDELSE MED INNSAMLING AV PERSONOPPLYSNINGER Ved innsamling av personopplysninger fra den registrerte eller fra andre enn den registrerte/ tredjeperson (Jfr. 19 og 20 i Personopplysningsloven), skal den behandlingsansvarlige av eget tiltak informere den registrerte om hvilke opplysninger som samles inn og om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte (herunder om retten til å kreve innsyn etter 18 i Personopplysningsloven og om retten til å kreve retting etter 27 og 28). Varsling er ikke påkrevd dersom det er på det rene at den registrerte allerede kjenner til informasjonen (jfr. 19 første ledd i Personopplysningsloven). KRAV PÅ INNSYN ETTER FORESPØRSEL Enhver som ber om det, skal få vite hva slags behandling av personopplysninger behandlingsansvarlige foretar, og kan kreve å få følgende informasjon om en bestemt type behandling: a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) hvem som har det daglige ansvaret for å oppfylle den behandlingsansvarliges plikter, c) formålet med behandlingen,

24 d) beskrivelser av hvilke typer personopplysninger som behandles, e) hvor opplysningene er hentet fra, f) om personopplysningene vil bli utlevert, og eventuelt hvem som er mottaker. Dersom den som ber om innsyn er registrert, skal den behandlingsansvarlige opplyse om a) hvilke opplysninger om den registrerte som behandles, og b) sikkerhetstiltakene ved behandlingen så langt slikt innsyn ikke svekker sikkerheten Den registrerte kan kreve at den behandlingsansvarlige utdyper informasjonen i første ledd bokstav a - f i den grad dette er nødvendig for at den registrerte skal kunne ivareta egne interesser. Retten til informasjon gjelder ikke dersom personopplysningene behandles utelukkende for historiske, statistiske eller vitenskapelige formål og behandlingen ikke får noen direkte betydning for den registrerte. UNNTAK FRA RETTEN TIL INFORMASJON /INNSYN (Jfr. 23 i Personopplysningsloven) For NTNUs behandling av personopplysninger vil dette særlig gjelde opplysninger som d) det i medhold av lov gjelder taushetsplikt for. Jfr. Veiledning om offentlighet og unntak fra offentlighet for et utvalg sakstyper ( e) utelukkende finnes i tekst som er utarbeidet for den interne saksforberedelse og som heller ikke er utlevert til andre, f) det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om, herunder hensynet til den registrerte selv. Dersom forespørsel om innsyn avslås, må dette begrunnes skriftlig med henvisning til unntakshjemmelen PROSEDYRER /RUTINER Henvendelser fra registrerte enkeltpersoner (ansatte og studenter) vedrørende opplysninger om seg selv, kanaliseres normalt gjennom saksbehandlere på det saksområdet forespørselen gjelder. Dersom angjeldende opplysninger lagres / bearbeides i sentrale datasystemer / servere, skal henvendelsen om informasjon rettes til systemansvarlig - for så vidt forespørselen gjelder systemopplysninger og opplysninger om innsamling, behandling og lagring av personopplysninger i systemene mer generelt. ( jfr. Pkt )

25 Før det gis innsyn i opplysninger om en registrert, kan den behandlingsansvarlige kreve at den registrerte leverer en skriftlig og undertegnet begjæring (jfr. 24 i Personopplysningsloven). I tvilstilfeller skal det kreves legitimasjon fra vedkommende som etterspør opplysninger av personlig karakter. Vedkommende som er ansvarlig i forhold til informasjonsplikten, kan i utgangspunktet selv velge hvordan informasjonen skal gis - med mindre det stilles krav om en skriftlig redegjørelse. Svar på henvendelser om innsyn, retting og sletting skal gis uten ugrunnet opphold og senest innen 30 dager fra den dagen henvendelsen kom inn. Informasjonsplikten etter 19 og 20 i Personopplysningsloven omfatter ikke grunnopplysninger om studenter og ansatte (jfr. Sentrale begreper og definisjoner). ORGANISERING OG ANSVAR Ansvaret for å sikre at NTNUs forpliktelser etter Kapittel III i Personopplysningsloven blir ivaretatt på en tilfredsstillende måte, følger ansvarsfordelingen for behandlingen av personopplysninger i organisasjonen mer generelt (Jfr. Pkt. 2.2). Organisasjonsdirektøren er delegert myndighet til å iverksette tiltak for å sikre at informasjonsplikten ivaretas i henhold til lovbestemte krav og interne bestemmelser. Ledere på fakultet, institutt, og i de sentrale enhetene /seksjonene har ansvaret for at informasjonsplikten blir oppfylt innen eget ansvarsområde (egen organisatorisk enhet). Ved behandling av personopplysninger i forsknings- /studentprosjekter er prosjektleder /studentveileder ansvarlig for at innformasjonsplikten blir oppfylt.

26 RUTINE 3: MELDE OG KONSESJONSPLIKT FORMÅL/ HENSIKT Sikre at melde- og konsesjonsplikten etter Personopplysningslovens kapittel 6 blir oppfylt. SENTRALE FØRINGER OG KRAV Ved elektronisk behandling av sensitive opplysninger er konsesjonsplikt hovedregelen. Dette gjelder imidlertid ikke for behandling av opplysninger som er avgitt uoppfordret og for unntak hjemlet i Personopplysningsforskriften (se nedenfor) MELDEPLIKT (jfr. Kap. 6 i Personopplysningsloven) Datatilsynet skal senest 30 dager før behandlingen tar til, ha melding om a) behandling av personopplysninger med elektroniske hjelpemidler b) opprettelse av manuelt personregister som inneholder sensitive personopplysninger Krav til meldingens innhold er oppfylt ved bruk av standard meldeskjema Ny melding må gis ved endring av behandlingsansvarlig, ved innsamling av data for nye formål og etter 3 år. Før behandling av personopplysninger i forsknings - og studentprosjekter skal prosjektene meldes til NSD på egne meldeskjema for godkjenning (jfr. NTNUs informasjonsside om forsknings- og studentprosjekt som medfører bruk av personopplysninger / Medisinske forskningsprosjekt krever i tillegg godkjenning av Regional forskningsetisk komite. UNNTAK FRA MELDEPLIKT Etter Personopplysningsforskriften (Pf) er visse behandlinger unntatt fra melde- eller konsesjonsplikt. Følgende unntak er spesielt relevante for NTNU:

27 1. Aktivitetslogg i datasystem (Pf 7-11) Behandling av personopplysninger som følge av registreringer i aktivitetslogg er unntatt fra meldeplikt. En forutsetning for unntaket er at behandlingen har som formål å a) administrere systemet, eller b) å avdekke/oppklare brudd på sikkerheten i edb-systemet. 2. Personellregistre (Pf 7-16) Arbeidsgivers behandling av ikke-sensitive personopplysninger om nåværende eller tidligere ansatte, personale, representanter, innleid arbeidskrav samt søkere til en stilling er unntatt meldeplikt. Behandling av sensitive opplysninger er unntatt fra konsesjonsplikt og meldeplikt under visse forutsetninger (for nærmere detaljer se Personopplysningsforskriften 7-16.) 3. Studentopplysninger (Pf 7-20) Behandling av personopplysninger om studenter som skjer i medhold av Lov om universiteter og høyskoler eller etter samtykke fra den enkelte student, er unntatt fra både meldeplikt og konsesjonsplikt. 4. Forskningsprosjekter (Pf 7-27) Behandling av personopplysninger i forbindelse med et forskningsprosjekt er unntatt fra konsesjonsplikt dersom prosjektet er tilrådd av personvernombud (NSD). Hvis prosjektet omfatter medisinsk og helsefaglig forskning, skal det i tillegg være tilrådd av en regional forskningsetisk komité. Forskningsprosjekter av stort omfang og lang varighet, samt forskning på store datasett som ikke er pseudonymisert eller avidentifisert på annen sikker måte, er ikke unntatt. Frafallanalyser er bare unntatt i den grad de er basert på samtykke. Forskningsprosjektene er meldepliktige til NSD. ORGANISERING OG ANSVAR Rektor er overordnet ansvarlig for at melde- og konsesjonsplikten til Datatilsynet blir overholdt. Det operative ansvaret er i samsvar med den generelle organisasjonsstrukturen (jfr. Pkt 2.2) delegert til - systemeier for sentraladministrative datasystemer - arkivansvarlig for felles sentrale elektroniske arkiver og for manuelle arkiver med sensitive opplysninger - fakultetsledelsen ved dekanus for administrative IT baserte systemer og for manuelle arkiver med sensitiv informasjon på fakultets- og instituttnivå - prosjektleder / studentveileder for forsknings- / undervisningsprosjekter Fakultets- og instituttledelsen skal føre tilsyn med at student- og forskningsprosjekter som behandler personopplysninger blir meldt til NSD,

28 OPPFØLGING OG KVALITETSSIKRING Organisasjonsdirektøren har ansvar for å føre tilsyn med at bestemmelsene over følges opp. Som ledd i kvalitetssikringsarbeidet skal - kopi av meldinger/ konsesjonssøknader knyttet til forvaltningsmessig behandling av personopplysninger sendes organisasjonsdirektørens kontor. - oppslag i NSDs database for forsknings- / studentprosjekter foretas av enhetsansvarlig faglig leder på institutt- / seksjonsnivå i forbindelse med årlige gjennomganger og rapportering av forskningsvirksomheten ved enheten. Dette for å sikre at alle prosjekter som etter Personopplysningslovens bestemmelser skal meldes, blir meldt til NSD.

29 RUTINE 4: LAGRING, RETTING OG SLETTING AV PERSON- OPPLYSNINGER I FORVALTNINGEN - Rut.4.1: KRAV TIL SIKKERHET VED INNSAMLING OG BEHANDLING AV PERSONOPPLYSNINGER - Rut.4.2: RETTING AV PERSONOPPLYSNINGER - Rut.4.3: SLETTING / VIDERE LAGRING AV PERSON- OPPLYSNINGER - Rut 4.4: RUTINER OG PROSEDYRER FOR BACK UP OG SLETTING AV SIKKERHETSKOPIER FORMÅL/ HENSIKT Sikre at personopplysninger i forvaltning - innsamles og behandles på en betryggende måte - er riktige og fullstendige - ikke lagres lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen Rut.4.1: KRAV TIL SIKKERHET VED INNSAMLING OG BEHANDLING AV PERSONOPPLYSNINGER SENTRALE FØRINGER OG KRAV Enhver behandling av personopplysninger skal ha grunnlag i Personopplysningslovens 8 (jfr. Rutine 1 ). Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Krav til sikkerhet ved behandling og lagring av personopplysninger er hjemlet i 13 og 14 i Personopplysningsloven og i Personopplysningsforskriftens kap Når behandling av personopplysninger skjer helt eller delvis med elektroniske hjelpemidler, skal behandlingsansvarlige etablere og kvalitetssikre prosedyrer, rutiner og instrukser for behandling og lagring av personopplysninger med bakgrunn i føringer og krav i lovverket. institusjonens overordnete mål og retningslinjer samt løpende risikovurderinger (herunder fastlagte kriterier for akseptabel risiko).

30 Vurderingene og sikkerhetstiltakene skal blant annet omfatte: - konfigurasjon av systemer for elektronisk og manuell bearbeiding og lagring av personopplysninger - sikkerhetsbarrierer og nettverkssegmentering (økonomi og funksjonalitet tillegges også vekt ) - etablering av rutiner for bruk av informasjonssystemet av betydning for sikkerheten - fysisk sikring / tiltak for å hindre uautorisert adgang til utstyr som brukes til å behandle personopplysninger. - sikring av konfidensialitet ved å hindre uautoriserte adgang til personopplysninger og opplysninger om informasjonssystemet ev. gjennom bruk av kryptering ved overføring av sensitiv informasjon. - merking av lagringsmedium som inneholder konfidensiell personinformasjon for å sikre nødvendig konfidensialitet. - sletting av informasjon det ikke lenger er behov for. - sikring av tilgjengelighet reservekopiering / back-up. - Sikring av integritet. - sikkerhetstiltak for å hindre / evt. registrere uautorisert bruk av informasjonssystemet. - SIKKERHETSTILTAK OG PROSEDYRER Sikkerhetstiltak knyttet til behandling og lagring av personinformasjon skal etableres i forhold til de trusler mot informasjonssikkerheten som er tilstede. De ansvarlige for behandlingene skal med utgangspunkt i en konkret vurdering av de personopplysningene som behandles; - kategorisere /klassifisere personinformasjon etter gjeldende retningslinjer (jfr. Pkt. 2.3). - foreta en risikovurdering i forhold til manuell og elektronisk behandling og lagring av angjeldende informasjon, og sørge for at krav til fysisk- og elektronisk sikring blir oppfylt etter NTNUs bestemmelse (jfr. Retningslinjer for utforming av sikkerhetstiltak ved behandling av personopplysninger). Ved vurderinger av sikkerheten ved elektronisk bearbeiding og lagring av persondata skal Retningslinjer for informasjonssikkerhet ved NTNU og Sikkerhetsarkitektur for nettet ved NTNU ( legges til grunn for beskrivelse av sikkerhetsnivåer. Rut.4.2: RETTING AV PERSONOPPLYSNINGER SENTRALE FØRINGER OG KRAV Mangelfulle opplysninger skal etter 27 i Personopplysningsloven rettes opp av behandlingsansvarlige av eget tiltak eller på begjæring av den registrerte. Den behandlingsansvarlige skal så vidt mulig sørge for at eventuelle feil ikke får konsekvenser for den registrerte. Sletting av mangelfulle personopplysninger bør suppleres med korrekte og fullstendige opplysninger.