RETNINGSLINJER FOR BEHANDLING AV PERSONOPPLYSNINGER I FORVALTNING OG FORSKNING VED NTNU

Transkript

1 1 RETNINGSLINJER FOR BEHANDLING AV PERSONOPPLYSNINGER I FORVALTNING OG FORSKNING VED NTNU

2 INNHOLDSOVERSIKT 1 BAKGRUNN 2 STYRENDE DOKUMENTER FOR BEHANDLING AV PERSONOPPLYSNINGER VED NTNU 2.1 NTNUs MÅL OG PRINSIPPER FOR BEHANDLING AV PERSONOPPLYSNINGER 2.2 ORGANISERING, ROLLER OG ANSVAR VEDRØRENDE BEHANDLING AV PERSONPPLYSNINGER VED NTNU REKTOR ROLLER OG ANSVAR VEDRØRENDE FORVALTNINGS - MESSIG BEHANDLING AV PERSONOPPLYSNINGER I LINJE OG STAB - Leder på fakultet, institutt og i de sentrale avdelingene/seksjonene ROLLER OG ANSVAR VEDRØRENDE BEHANDLING AV FORSKNINGSDATA - Forskningsansvarlig/behandlingsansvarlig - Prosjektleder/daglig ansvarlig SYSTEMANSVARLIGE FOR SENTRALADMINISTRATIVE IT BASERTE DATASYSTEMER SOM INNEHOLDER PERSON- OPPLYSNINGER ANSVAR FOR SIKRING AV PERSONINFORMASJON I DATANETT OG INFORMASJONSSYSTEM 2.3 KATEGORISERING AV PERSONOPPLYSNINGER ETTER FØLSOMHET OG FORMÅL MED BEHANDLINGEN 2.4 SIKRING AV PERSONINFORMASJON I DATANETT OG - SYSTEMER Implikasjoner av medlemskap i UNINETT NTNUs interne sikkerhetsbestemmelser og - rutiner 2

3 3 GJENNOMFØRENDE DOKUMENTER FOR BEHANDLING AV PERSONOPPLYSNINGER VED NTNU 3.1 RETNINGSLINJER FOR FORVALTNINGSMESSIG BEHANDLING AV PERSONOPPLYSNINGER VED NTNU Ansvar og oppgaver tillagt enhetsledere på fakultets- og avdelingsnivå Kritiske funksjonsområder/behandlinger i forhold til personopplysningssikkerhet. - Arbeidsrutiner / IT - teknisk - og fysisk - Informasjonsutveksling - Taushetsplikt / opplæring - Kopiering / lagring - Makulering / sletting 3.2 RETNINGSLINJER FOR BEHANDLING AV PERSONOPPLYSNINGER I FORSKNING VED NTNU MEDISINSK OG HELSEFAGLIG FORSKNING SOM REGULERES AV HELSEFORSKNINGSLOVEN Behandling av forskningsprosjekter - med forhåndsgodkjenning av REK FORSKNINGS- OG STUDENTPROSJEKTER SOM BEHANDLER PERSONOPPLYSNINGER MEN SOM IKKE GÅR INN UNDER HELSEFORSKNINGSLOVEN Behandling av forskningsprosjekter - med melding til NSD Forskningsansvarliges ansvar og oppgaver Prosjektleders ansvar og oppgaver 4 RUTINER OG SYSTEMER FOR BEHANDLING AV PERSON -OPPLYSNINGER VED NTNU 3

4 - Vilkår for og innhenting av samtykke til innsamling av persondata ( grunnkrav for behandling av personopplysninger ) - Informasjon om behandling av personopplysninger - Melde og konsesjonsplikt - Lagring, retting og sletting av personopplysninger i forvaltningen - Lagring, retting og sletting av personopplysninger i forskning - Nettverks- og systemsikkerhet - Tilgangssikring / autorisasjon - Adgangskontroll - Kameraovervåking 5 KONTROLL OG TILSYN (Kontrollerende dokumenter) 4

5 1 BAKGRUNN Behandling av personopplysninger er regulert i Lov om behandlinger av personopplysninger (Personopplysningsloven) og forskrift (Personopplysningsforskriften) som trådte i kraft 1. jan Personopplysningsloven er en generell lov for behandling av personopplysninger som skjer helt eller delvis med elektroniske hjelpemidler og for behandling av sensitive personopplysninger i manuelle registre. Ved behandling av personopplysninger i offentlig forvaltning mer generelt, kommer også bestemmelsene om offentlighet, meroffentlighet og taushetsplikt i Offentlighetsloven og Forvaltningsloven til anvendelse. Behandling av helseopplysninger i forskning reguleres av Helseforskningsloven og forskrifter som trådte i kraft 1. juli Personopplysningsloven gjelder som utfyllende bestemmelser dersom ikke annet følger av Helseforskningsloven. Sikkerhetskravene i Personopplysningsloven ( 13) er tilpasset personvernstandarder og krav til metodikk innen EU /EØS - området og har også som formål å heve og harmonisere sikkerhetsnivået for behandling av personopplysninger som er hjemlet i annen lovgivning Behandlinger av personopplysninger med elektroniske hjelpemidler og opprettelse av manuelle registre som inneholder sensitive opplysninger, er som hovedregel underlagt konsesjonsplikt etter Personopplysningsloven. Meldesystemet representerer en forenkling i forhold til kravene om konsesjonsbehandling. Meldinger er ikke gjenstand for forhåndskontroll og behandlingen forutsetter ikke godkjenning av Datatilsynet før den kan starte. Datatilsynet skal registrere meldingene, kvittere for mottakelsen og i etterkant ha mulighet for å kontrollere at innholdet i meldingene stemmer overens med både virkelighet og regelverk. NTNU har, i likhet med de øvrige norske universitetene, inngått avtale med Norsk samfunnsvitenskapelige datatjeneste (NSD) om Datafaglig saksbehandling om forsknings- og studentprosjekt som omfattes av bestemmelsene i personopplysningsloven. Avtalen innebærer at NSD er NTNUs personvernombud for forskning og at meldeplikten til Datatilsynet erstattes med meldeplikt til NSD i forskningsprosjekter som ikke er medisinske eller helsefaglige. NSD er etter avtalen ansvarlig for informasjon, veiledning og saksbehandling i forhold til enkeltprosjekter som meldes inn for godkjenning og nødvendig oppfølging for å sikre at vilkårene for godkjenning etterleves. Personvernombudet skal også være institusjonens kontaktperson mot Datatilsynet. Personvernombudet skal bistå Rektor (som behandlingsansvarlig) i arbeidet med å ivareta personvernet i organisasjonen. 5

6 De fleste forskningsprosjekter som behandler personopplysninger elektronisk, har meldeplikt istedenfor konsesjonsplikt. Dette forutsetter at de er tilrådd av personvernombud. Unntaket fra konsesjonsplikt gjelder ikke forskningsprosjekter av stort omfang (5000 forskningsobjekter eller mer) og lang varighet (15 år eller mer) samt forskning på store datasett som ikke er pseudonymisert eller avidentifisert på annen sikker måte (jfr. Sentrale begreper og definisjoner ). Etter at Helseforskningsloven trådte i kraft fra skal medisinske og helsefaglige prosjekter være forhåndsgodkjent av Den regionale komiteen for medisinsk og helsefaglig forskningsetikk (REK). Behandling av helseopplysninger i medisinsk og helsefaglig forskning skal ikke lenger meldes til NSD. REK foretar en forskningsetisk vurdering av prosjektet og vurderer om prosjektet oppfyller kravene etter Helse - forskningsloven. REK kan også sette vilkår for forskningen. For behandling av personopplysninger i forvaltning, er det ikke utnevnt noe eget personvernombud ved NTNU. Melding og søknad om konsesjon etter Personopplysningslovens bestemmelser skjer derfor direkte til Datatilsynet fra ledere og systemansvarlige i linje og stab etter delegasjon. 6

7 2 STYRENDE DOKUMENTER FOR BEHANDLING AV PERSONOPPLYSNINGER VED NTNU Personopplysningslovens bestemmelser gir de overordnete rammene for behandling av personopplysninger. På bakgrunn av en kartlegging ved NTNU, har Rektor utformet retningslinjer og krav for behandling av personopplysninger i organisasjonen. Retningslinjene skal også gjelde for enheter ved NTNU som ivaretar nasjonale fellesfunksjoner etter 1-4 i Universitets- og høgskoleloven - så framt enhetene har tilgang til NTNUs interne IT systemer og nettverk og ikke annet er avtalemessig bestemt. Retningslinjene er organisert rundt følgende tema - mål og prinsipper for behandling av personopplysninger - kategorisering av personopplysninger etter følsomhet og formål ved behandlingen - funksjons- og ansvarsfordeling ved behandling av personopplysninger - sikring av personinformasjonen i datanett og datasystemer - retningslinjer og rutiner for behandlingen Rektor har besluttet egne retningslinjer for behandling av personopplysninger i behandlingen av skikkethetssaker. Disse retningslinjene fremgår av følgende side på Innsida: 7

8 2.1 NTNUs MÅL OG PRINSIPPER FOR BEHANDLING AV PERSONOPPLYSNINGER Informasjonsbehandlingen ved NTNU skal ivareta følgende hensyn Offentlighetens rett til innsyn etter prinsippet om meroffentlighet. Beskyttelse av den enkelte mot at personvernet blir krenket ved behandling av personopplysninger i organisasjonen. Sikre at den enkelte - som registrert eller som part - ved forespørsel til NTNU får de opplysninger de har krav på etter Personopplysningsloven, Helseforskningsloven og Forvaltningsloven Legge forholdene til rette for forskning som omfatter innsamling og bearbeiding av personrelaterte data - samtidig som forskningsdeltakernes rettigheter og krav etter gjeldende lovverk blir ivaretatt på en god måte. Sikkerhet ved behandling av personopplysninger Behandling og lagring av personopplysninger av ikke sensitiv karakter, skal så langt det er hensiktsmessig og sikkerhetsmessig forsvarlig, skje ved bruk av elektroniske hjelpemidler. Ved behandling av sensitiv informasjon skal sikring av konfidensialitet prioriteres foran integritet og tilgjengelighet. Elektroniske hjelpemidler skal bare benyttes til behandling av sensitive opplysninger så fremt sikring av konfidensialitet kan ivaretas på en tilfredsstillende måte. Sikkerheten ved behandling av sensitive personopplysninger skal - uavhengig av behandlingsmåte - dokumenteres i form av skriftlige prosedyrer og rutiner. Disse skal godkjennes av Organisasjonsdirektøren før elektronisk databehandling tas i bruk Sikkerhetstiltak skal iverksettes slik at personer utenfor virksomheten ikke skal kunne forårsake hendelser med alvorlige konsekvenser for enkeltmenneskers personvern. Egne medarbeidere skal heller ikke, ved uaktsomhet eller av mangel på kunnskap om eller kjennskap til behandling av sensitiv personinformasjon, kunne forårsake slike hendelser. Utlevering av personinformasjon i NTNUs databaser til andre formål enn det de er samlet inn for, skal godkjennes av Organisasjonsdirektøren. Informasjon som er innsamlet og lagret for generell personalforvaltning og om studenter for administrative formål, skal normalt ikke utleveres til utenforstående med mindre de som ber om opplysningene har rett til innsyn etter offentlighetsloven. Dette gjelder opplysninger som ikke er taushetsbelagt. Også sammenstillinger av ikke taushetsbelagte opplysninger kan utleveres, hvis de kan sammenstilles med enkle fremgangsmåter for eksempel opplysninger om navn, adresse og telefon for studenter /ansatte på studieprogram / arbeidssted. 8

9 2.2 ORGANISERING, ROLLER OG ANSVAR VEDRØRENDE BEHANDLING AV PERSONOPPLYSNINGER VED NTNU ORGANISASJONS- OG DELEGASJONSSTRUKTUR Ansvars- og funksjonsfordelingen for behandling av personopplysninger følger organisasjons- og delegasjonsstrukturen ved NTNU med Styret som overordnet ansvarlig og med delegasjoner som følger linjen. Etter Styrets delegasjoner er Rektor overordnet ansvarlig for at melde- og konsesjonsplikten til NSD og Datatilsynet blir overholdt, samt for etablering og implementering av systemer og rutiner for å ivareta kravene til behandling av personinformasjon i forskning. Dette ansvaret er i samsvar med den generelle organisasjons- og myndighetsstrukturen delegert til - systemeier for sentraladministrative datasystemer - arkivansvarlig for felles sentrale elektroniske arkiver og for manuelle arkiver med sensitive opplysninger - fakultetsledelsen ved dekanus for administrative IT baserte systemer og for manuelle arkiver med sensitiv informasjon på fakultets- og instituttnivå - fakultets- / instituttledelsen for å føre tilsyn med at behandlingen av personopplysninger i student- og forskningsprosjekter skjer i henhold til bestemmelsene i Personopplysningsloven og Helseforskningsloven herunder sikre at melde og søknadsplikt til henholdsvis NSD og REK overholdes. ROLLEBESKRIVELSE REKTOR Rektor er behandlingsansvarlig i henhold til Pol. 13 og 14, og skal sørge for tilfredsstillende informasjonssikkerhet gjennom avklaring av myndighets- og ansvarsforhold knyttet til etablering og vedlikehold av systemer, prosedyrer og rutiner for arbeidet med personinformasjon. Rektor rapporterer til styret om status for personopplysningssikkerheten ved NTNU Organisasjonsdirektøren er delegert myndighet til å iverksette tiltak for sikre at personopplysningssikkerheten ivaretas i henhold til Styrets mål og lovbestemte krav. Organisasjonsdirektøren har også et rådgivnings - og veiledningsansvar vedrørende tolkning og praktiseringen av relevante bestemmelser i Forvaltnings-, Offentlighets- og Personopplysningsloven. 9

10 2.2.2 ROLLER OG ANSVAR VEDRØRENDE FORVALTNINGSMESSIG BEHANDLING AV PERSONOPPLYSNINGER I LINJE OG STAB Leder på fakultet, institutt og i de sentrale avdelingene/seksjonene har etter delegasjon - som behandlingsansvarlig i egen enhet - ansvaret for at behandlingen av personopplysninger skjer i samsvar med lov og gjeldende retningslinjer. Enhetsledere på fakultets- og avdelingsnivå har innenfor sin enhet ansvar for å utarbeide, kvalitetssikre og samordne prosedyrer og rutiner for behandling av personopplysninger ved grunnenhetene (institutter og seksjoner). fastsette rolle- og funksjonsfordelingen på områder der personinformasjon samles inn, bearbeides eller lagres (arkiv-, personal-, økonomi-, studie- og IT - funksjonene). Dokumentert funksjons- og ansvarsbeskrivelse skal danne basis for de enkelte ansattes tilgang til taushetsbelagte opplysninger i manuell form og til sentrale eller lokale dataområder/datafiler med personinformasjon (jfr. Rutine 7) dokumentere prosedyrer og rutiner for å sikre at ansatte innenfor eget ansvarsområde som får tilgang til personopplysninger, er kjent med de krav til informasjonssikkerhet som gjelder, får nødvendig opplæring og får tilrettelagt arbeidssituasjonen på en slik måte at tilfredsstillende personvernsikkerhet kan ivaretas. ( jfr. Rutine 4) tilrettelegge arbeidssituasjonen både fysisk - og IT- teknisk for behandling og lagring av gradert personinformasjon (jfr. Retningslinjer for utforming av sikkerhetstiltak ved behandling av personopplysninger) føre tilsyn med at behandlingen av personinformasjon skjer i henhold til vedtatte prosedyrer og rutiner. Eventuelle avvik skal følges opp som grunnlag for forbedringer av prosedyrer og rutiner (avvikshåndtering) ROLLER OG ANSVAR VEDRØRENDE BEHANDLING AV FORSKNINGSDATA Forskningsansvarlig/behandlingsansvarlig Den forskningsansvarlige (instituttleder ved DMF og dekanus ved de øvrige fakultetene) har det overordnete ansvaret for alle forskningsprosjekt som foregår ved virksomheten. Forskningsansvarlig skal tilrettelegge for at forskning blir utført slik at etiske, medisinske, helsefaglige, vitenskapelige, personvern- og informasjonssikkerhetsmessige forhold blir ivaretatt fra planlegging til avslutning og for etter- forvaltning av forskningsdata (personopplysninger) og humant biologisk materiale. Forskningsansvarlig skal sørge for rutiner, infrastruktur og internkontrollsystemer for forskningsvirksomheten i henhold til gjeldende lovverk og for at disse er implementert og følges i praksis. Forskningsansvarlig skal involveres før søknad sendes REK/NSD og informeres om utfallet av behandlingen i REK/NSD. Forskningsansvarlig skal i forkant eller i etterkant av REKs/NSDs behandling vurdere om prosjektet faller innenfor enhetens strategi og om de nødvendige ressurser foreligger. Etter at et prosjekt er klarert av REK/NSD skal det godkjennes av forskningsansvarlige før det settes i gang. 10

11 Den forskningsansvarlige skal ha oversikt over sin forskningsportefølje. Den forskningsansvarlige skal stanse forskning som er medisinsk, etisk eller juridisk uforsvarlig eller som er i strid med de forutsetninger tillatelse er gitt på grunnlag av. Forskningsansvarlig skal gjennomføre systematiske tiltak som fremmer god forskning og som sikrer at forskningen planlegges, organiseres, gjennomføres og avsluttes i samsvar med helseforskningsloven med forskrift. Prosjektleder/daglig leder Prosjektleder skal sørge for at forskningsetiske, medisinske, helsefaglige, vitenskapelige og personvernmessige forhold ivaretas i henhold til gjeldende lovgivning og god vitenskapelig praksis i den daglige driften av forskningsprosjektet. Dette omfatter planlegging, forhåndsgodkjenning, gjennomføring og avslutning med publisering av forskningsresultater og etter-forvaltning av forskningsdata, herunder: Sørge for at det utarbeides søknad og evt. forskningsprotokoll i tråd med god vitenskapelig praksis og de krav som stilles i relevante lover med forskrifter. I søknaden til REK/NSD oppgi hvem som er forskningsansvarlig for prosjektet med kontaktinformasjon (instituttets eller fakultetets epost-adresse) Sende søknad samt forskningsprotokoll via REKs /NSDs søknadsportal: ( ) / ( ) Sende søknad til andre instanser i tillegg til REK/ NSD der dette kreves. Involvere forskningsansvarlig i forkant av at søknad om godkjenning/melding sendes REK /NSD og legge fram søknad og protokoll dersom forskningsansvarlig ber om det. Prosjektleder skal også informere forskningsansvarlig om utfallet av REKs/NSDs behandling. Sørge for at personell som er involvert i prosjektet har tilstrekkelig kompetanse og kjennskap til lovgivers føringer og krav Avvente igangsetting av prosjekt til forskningsansvarliges godkjenning foreligger Melde fra til forskningsansvarlig og Helsetilsynet om alvorlige, uønskede og uventede medisinske hendelser. Forskningsdeltakerne skal omgående informeres dersom de har blitt påført skade, eller det har oppstått komplikasjoner som følge av forskningsprosjektet. Omgående stanse, eventuelt bringe i orden, forskning som er medisinsk, etisk eller juridisk uforsvarlig eller for øvrig i strid med de tillatelser som er gitt og øvrige krav som stilles til forskningen. Sørge for at prosjektet gjennomføres i henhold til godkjent søknad/ forskningsprotokoll Ved vesentlige endringer skal søknad/melding sendes REK/NSD. Nytt samtykke/anbefaling må som hovedregel innhentes ved vesentlige endringer. Prosjektleder har informasjonsplikt overfor deltakere i forskningsprosjekter. Deltakelse i forskningsprosjekter skal som hovedregel være basert på et dokumentert samtykke 11

12 Prosjektleder er ansvarlig for de data som prosjektet samler inn og bruker, og skal ha tilgang til alle forskningsdata som prosjektet omfatter. Prosjektleder tildeler tilgangsrettigheter og holder oversikt over hvem som har tilgang til dataene. Prosjektleder er også ansvarlig for håndteringen av aktive forskningsdata og for sletting / lagring av data på en betryggende måte ved prosjektets avslutning. Prosjektleder skal sørge for åpenhet og for at forskningsresultater blir publisert i overensstemmelse med god vitenskapelig praksis og følge forfatterskapsreglene i Vancouverkonvensjonen Student på lavere nivå enn doktorgrad kan ikke være prosjektleder SYSTEMANSVARLIGE FOR SENTRALADMINISTRATIVE IT BASERTE DATASYSTEMER SOM INNEHOLDER PERSONOPPLYSNINGER skal føre oversikter over ansatte som er tildelt tilgangsrettigheter. Der tilgangen tildeles andre enn ansatte ved systemansvarliges enhet, skal godkjenning være betinget av anbefaling / bekreftelse fra vedkommendes nærmeste overordnede eller enhet for registrert studietilhørighet. (jfr. Rutine 7) ANSVARLIGE FOR SIKRING AV PERSONINFORMASJON I DATANETT OG INFORMASJONSSYSTEMER Det IT tekniske sikkerhetsnivået på system og nett skal tilfredsstille de kravene Personopplysningsloven stiller for å behandle personopplysninger i kategori F3 og F4 (jfr. Pkt 2.3 ). IT - seksjonen ved leder er tillagt et helhetlig ansvar for IT sikkerheten ved NTNU, med Nett gruppen som ansvarlig for felles nett- og sikkerhetsarkitektur og for drift, videreutvikling og overvåkning (logging) av NTNUs datanettverk. IT- seksjonen ivaretar også den IT tekniske driften av alle sentraladministrative datasystemer ( jfr. Rutine 6). Systemeier for fellesadministrative IT baserte informasjonssystemer er ansvarlig for sikring av informasjonen i systemene mht. konfidensialitet, integritet og tilgjengelighet. Systemeier skal også administrere og kvalitetssikre prosedyrer og rutiner for lagring og sletting av data.( jfr. Rutine 4) og for adgangskontroll til systemene (jfr. Rutine 7). Systemeier skal fortløpende vurdere informasjonssikkerheten i forhold til nye tjenester og systemløsninger, endringer i teknologi, endrete standarder og prosedyrer samt gjeldende lov/avtaleverk. Det er systemeiers ansvar å etablere og vedlikeholde et sikkerhetsnivå som er tilpasset personopplysningenes følsomhet og de risikofaktorer som eksisterer innenfor de rammene NTNU har bestemt. Systemeier skal også følge opp bestemmelsene i Personopplysningsloven vedr. melde - og konsesjonsplikt.(jfr. Rutine 3). 12

13 For IT systemer (servere / databaser) som eies og driftes på fakultets-/ instituttnivå er de respektive fakultets-/ instituttledere ansvarlige for personopplysningssikkerheten. Dette omfatter ansvar for nødvendig soneinndeling med tilhørende tilgangkontroll - basert på institusjonelle retningslinjer og krav til behandling av personopplysninger og intern ansvars- og oppgavefordeling ved enheten. Soneinndeling med oversikt over personer med tilgangsrettigheter til databaser som inneholder personopplysninger skal dokumenteres (jfr. Rutine 7). Det skal også for desentrale servere og databaser etableres prosedyrer og rutiner for lagring, bearbeiding og sletting av data (jfr. Rutine 4 og Rutine 5 ) IT sikkerheten ved behandling av persondata i forsknings - og studentprosjekter skal vurderes i forhold til dataenes følsomhet i de enkelte prosjekter. Sikkerhetsnivået for de nett og servere som planlegges benyttet skal beskrives i melding/søknad til NSD/REK - som grunnlag for godkjenning av prosjektene (jfr. Rutine 3A, Rutine 3B, Rutine 5 og Rutine 6 ). 13

14 2. 3 KATEGORISERING AV PERSONOPPLYSNINGER ETTER FØLSOMHET OG FORMÅL MED BEHANDLINGEN. Behandling av personopplysninger ved NTNU er i hovedsak knyttet til følgende funksjoner og formål. Generell personalforvaltning herunder tilsetting, karriere- og kompetanseutvikling, stillings- og lønnsopprykk, sykefravær, arbeidsmiljømessige forhold, arbeidsrettslige problemstillinger og lignende. Studenters forhold til institusjonen i forbindelse med opptak til studier, godkjenning /innpassing av tidligere utdanning, dispensasjonssaker, annullering av eksamen /utestengning, klager på enkeltvedtak. forskning Med bakgrunn i kartlegging av personopplysninger og behandlingen av disse, deles personinformasjonen ved NTNU inn i følgende kategorier gradert etter følsomhet. F1 - Sensitiv informasjon (jfr. Sentrale begreper og definisjoner) F2 - Informasjon om personlige forhold som er unntatt fra offentlighet etter sitt innhold ( 6 nr.6 i Offentlighetsloven) eller som er taushetsbelagt etter i Forvaltningsloven. Dette omfatter; - vurderinger knyttet til personlig egnethet og kvalifikasjoner i tilsettings- / oppsigelsessaker - eksamensbesvarelser og eksamensresultater for enkeltpersoner * - saksopplysninger vedrørende annullering av eksamen eller prøve, utestenging fra studier og skikkethetsvurderinger med hjemmel i 4-7 til 4-10 i Universitets- og høgskoleloven. F3 - Spesielle opplysninger av grunnopplysningskarakter som indirekte kan avsløre sensitiv info og/eller som innebærer særlig risiko for misbruk - herunder pålagte trekk, identifikasjonsinformasjon (eg. personnummer) og bankkontonummer - spesielt i forbindelse med elektronisk behandling av data F4 - Grunnopplysninger om ansatte, om studenter med norsk statsborgerskap (herunder opplysninger om generell studiekompetanse, e mail adresse, personkode /studentnummer, betaling av semesteravgift) og tilleggsopplysninger om studenter som ikke er norske statsborgere (herunder opplysninger om lånebehov, oppholdstillatelse, statsborgerskap, ankomst / utreisedato, levert helseskjema**, levert bekreftelse på tub. sjekk** og erstatningsnummer for personnummer), (jfr. Sentrale begreper og definisjoner) * Eksamensbesvarelser er i utgangspunktet ikke unntatt fra offentlighet med mindre de inneholder opplysninger som er taushetsbelagt etter Forvaltningslovens 13. Men de kan unndras fra innsyn etter Off. lovens 26, 1. avsnitt. Når det gjelder eksamensresultater for enkeltpersoner begrunnes dette i forhold til unntak knyttet til kunngjøring av sensur. Normalt benyttes kandidatnummer, men i forbindelse med muntlig brukes navn ** ikke spesifikke helseopplysninger Det vises også til Veiledning om offentlighet og unntak fra offentlighet for et utvalg sakstyper 14

15 2.4 SIKRING AV PERSONINFORMASJON I DATANETT OG DATASYSTEMER Implikasjoner av medlemskap i UNINETT Som medlemsinstitusjon i UNINETT er NTNU forpliktet på de retningslinjer og den policy som gjelder for nettverket. Medlemsorganisasjonene skal gjennomføre nødvendige lokale sikkerhetstiltak på de systemer og nett de selv drifter. De skal sørge for at brudd på reglene stoppes og forhindre gjentakelser i framtiden. Brukere av UNINETTs tjenester er gjennom de avtaler som er inngått med medlemsinstitusjonene i form av ansettelsesavtaler, retningslinjer for studenter/ elever etc., forpliktet til å følge UNINETTs regelverk. Ved hver medlemsinstitusjon skal det finnes en person som har som oppgave å være kontaktperson for UNINETT. Ved NTNU er dette IT-sikkerhetsleder NTNUs interne sikkerhetsbestemmelser og rutiner Informasjonssikkerhet ved NTNU er regulert av følgende interne bestemmelser: policy for informasjonssikkerhet ved NTNU prinsipper for informasjonssikkerhet ved NTNU NTNUs IT-reglement Tilhørende retningslinjer og prosedyrer NTNUs IT reglement definerer også hvem som kan bruke nettet, hva som er tillatt bruk, hvem som har ansvaret for at reglementet blir fulgt, muligheter for driftspersonell til å spore og slå ned på misbruk av nettet og hvilke sanksjoner som vil følge av brudd på reglementet (jfr. Rutine 6). 15

16 3 GJENNOMFØRENDE DOKUMENTER FOR BEHANDLING AV PERSONOPPLYSNINGER VED NTNU 3.1 RETNINGSLINJER FOR FORVALTNINGSMESSIG BEHANDLING AV PERSONOPPLYSNINGER VED NTNU Leder på fakultet, institutt og i de sentrale avdelingene/seksjonene har ansvar for at behandlingen av personopplysninger i egen enhet skjer i samsvar med lov og gjeldende retningslinjer. Enhetsledere på fakultets- og avdelingsnivå har innenfor sin enhet ansvar for å utarbeide, kvalitetssikre og samordne prosedyrer og rutiner for behandling av personopplysninger ved grunnenhetene (institutter og seksjoner). fastsette rolle- og funksjonsfordelingen på områder der personinformasjon samles inn, bearbeides eller lagres (arkiv-, personal-, økonomi-, studie- og IT funksjonene). Dokumentert funksjons- og ansvarsbeskrivelse skal danne basis for de enkelte ansattes tilgang til taushetsbelagte opplysninger i manuell form og til sentrale eller lokale dataområder/datafiler med personinformasjon (jfr. Rutine 7) dokumentere prosedyrer og rutiner for å sikre at ansatte innenfor eget ansvarsområde som får tilgang til personopplysninger, er kjent med de krav til informasjonssikkerhet som gjelder, får nødvendig opplæring og får tilrettelagt arbeidssituasjonen på en slik måte at tilfredsstillende personvernsikkerhet kan ivaretas. ( jfr. Rutine 4) tilrettelegge arbeidssituasjonen både fysisk og IT- teknisk for behandling og lagring av gradert personinformasjon (jfr. Retningslinjer for utforming av sikkerhetstiltak ved behandling av personopplysninger) føre tilsyn med at behandlingen av personinformasjon skjer i henhold til vedtatte prosedyrer og rutiner. Eventuelle avvik skal følges opp som grunnlag for forbedringer av prosedyrer og rutiner (avvikshåndtering) Følgende funksjonsområder/behandlinger av personopplysninger er gjennom kartleggingen identifisert som kritiske i forhold til personopplysningssikkerhet. Arbeidsrutiner / IT - teknisk og fysisk Informasjonsutveksling Taushetsplikt / opplæring Kopiering / lagring Makulering / sletting I Retningslinjer for utforming av sikkerhetstiltak ved behandling av person opplysninger ved NTNU har Organisasjonsdirektøren etter fullmakt fra Rektor fastlagt 16

17 operasjonelle retningslinjer med beskrivelse av tiltak for å sikre at personopplysnings sikkerheten blir ivaretatt på en tilfredsstillende måte innenfor hvert av risikoområdene. 3.3 RETNINGSLINJER FOR BEHANDLING AV PERSONOPPLYSNINGER I FORSKNING VED NTNU Behandlingsansvarlig institusjon er normalt den som forskeren er ansatt ved. Dersom forskeren er ansatt i eller på annen måte tilknyttet flere virksomheter, må det før prosjektet startes opp, avklares hvilken institusjon som har behandlingsansvaret. Ved NTNU er Rektor formelt behandlingsansvarlig. Som ledd i kvalitetssikringsarbeidet skal instituttleder i forbindelse med årlige gjennomganger og rapportering av forskningsvirksomheten ved enheten. gjøre oppslag i NSDs og REKs databaser for forsknings- og studentprosjekter Dette for å sikre at alle prosjekter blir meldt/forhåndsgodkjent. MEDISINSK OG HELSEFAGLIG FORSKNING SOM REGULERES AV HELSEFORSKNINGSLOVEN FORHÅNDSGODKJENNING Medisinsk og helsefaglig forskning reguleres av Helseforskningsloven. Forsknings- og studentprosjekter innenfor medisinsk og helsefaglig forskning som skal skaffe ny kunnskap om helse og sykdom, skal forhåndsgodkjennes av Regional komité for medisinsk og helsefaglig forskningsetikk (REK). (Jfr. Rutine 3B) Dette gjelder medisinsk og helsefaglig forskning på mennesker, humant biologisk materiale eller helseopplysninger. Slik forskning omfatter også pilotstudier og utprøvende behandling. REK REK skal foreta en forskningsetisk vurdering av prosjektet og vurdere om prosjektet oppfyller kravene i Helseforskningsloven. REK kan sette vilkår for godkjenning av prosjektet. Vedtak vedrørende forhåndsgodkjenning kan påklages til Den nasjonale forskningsetiske komité for medisin og helsefag. Behandling av forskningsprosjekter - med forhåndsgodkjenning av REK Det vises til institusjonens retningslinjer for håndtering av medisinske og helsefaglige prosjekter (Jfr. også Rutine 3B) 17

18 FORSKNINGS- OG STUDENTPROSJEKTER SOM BEHANDLER PERSONOPPLYSNINGER MEN SOM IKKE GÅR INN UNDER HELSEFORSKNINGSLOVEN MELDEPLIKT Forsknings- og studentprosjekter som behandler personopplysninger elektronisk, men som ikke samler inn data av medisinsk eller helsefaglig karakter, reguleres av Personopplysningsloven. Alle slike prosjekt skal meldes til Norsk samfunnsvitenskapelig datatjeneste (NSD) som er NTNUs personvernombud for forskning. (Jfr. Rutine 3A) NSD skal ha meldingen på standard meldeskjema som er tilgjengelig på NSD sine hjemmesider - senest 30 dager før behandlingen kan starte. NSD tilbyr også en oversikt over alle innmeldte prosjekter i en database som er offentlig tilgjengelig på følgende nettside; Behandling av sensitive personopplysninger (opplysninger om helseforhold, seksuelle forhold, rase, etnisk bakgrunn eller politisk, filosofisk eller religiøs oppfatning) krever i utgangspunktet konsesjon fra Datatilsynet. Hvis forskningsprosjektet er tilrådd av personvernombudet (NSD), vil det være unntatt fra konsesjonsplikt. Forskningsprosjekter av stort omfang og lang varighet, samt forskning på store datasett som ikke er pseudonymisert eller avidentifisert på annen sikker måte, krever konsesjon fra Datatilsynet. Frafallsanalyser er bare unntatt i den grad de er basert på samtykke. NSD vurderer om prosjektet behøver konsesjon fra Datatilsynet og vil sende saken videre til Datatilsynet dersom de mener det kan være nødvendig med konsesjon. NSD NSD vurderer prosjektet i forhold til personopplysningslovens bestemmelser for å påse at forslag til innsamling, oppbevaring, databehandling, publisering, arkivering og eventuelle planer om gjenbruk av data tilfredsstiller de krav som loven stiller til personvern (Jfr. Rutine 5) Vurderingene skal skje i nær dialog med prosjektleder. Behandling av forskningsprosjekter - med melding til NSD Behandling av personopplysninger i forskning som ikke er av medisinsk- eller helsefaglig karakter, er regulert gjennom avtale med Norsk Samfunnsvitenskapelig Datatjeneste (NSD). Formålet med avtalen med NSD, er å sikre forskere og studenter tilgang til persondata uten at dette kommer i konflikt med gjeldende regelverk. Samtidig skal avtalen ivareta personvernet til de som berøres av forskningen og sikre betryggende arkivering av persondata etter at prosjektene er avsluttet. 18

19 Alle forskningsprosjekter ved NTNU som innebærer innsamling eller bearbeiding av personopplysninger og som ikke krever godkjenning av REK, skal meldes til NSD. Fakultets- / instituttledelsen skal også etablere rutiner for å sikre dette. NSD er på sin side ansvarlig for informasjon, veiledning og saksbehandling i forhold til enkeltprosjekter som blir meldt. Fakultetsledelsen skal i samarbeid med NTNUs kontaktperson mot NSD sørge for at forskningsmiljøene blir løpende informert om avtalen og andre forhold av betydning for behandlingen av personopplysninger i forskning. Instituttlederne skal sørge for at informasjonen er lett tilgjengelig på instituttene for enkeltforskere i form av brosjyrer, oppslag eller lignende. Prosjektledere og studentveiledere har det daglige operative ansvaret for behandlingen av personopplysninger i forskningsprosjekter, respektive studentprosjekter. De skal sørge for at melde- og konsesjonspliktig innsamling, bearbeiding eller lagring av personopplysninger blir meldt til NSD (jfr. Rutine 3A ). Vedkommende er også ansvarlig for at behandlingen oppfyller Personopplysningslovens bestemmelser m.h.t. samtykke (jfr. Rutine 1), innsyn (jfr. Rutine 2) og lagring retting og sletting (jfr. Rutine 5). Forskningsansvarlig har det overordnede ansvaret for forskningsvirksomheten innen sitt ansvars- og virksomhetsområde. Ved NTNU har Rektor delegert denne myndigheten til fakultetets leder (dekan). Denne myndigheten kan delegeres videre til instituttleder. Fakultets- /instituttledelsen skal etablere rutiner for å sikre at det blir sendt søknad til REK og melding til NSD forut for oppstart av alle forskningsprosjekter. Den forskningsansvarlige har også plikt til å stanse forskning som er ulovlig, medisinsk eller etisk uforsvarlig eller for øvrig i strid med de tillatelser som er gitt og øvrige krav som stilles til forskningen. Prosjektleder har ansvar for den daglige driften av forskningsprosjektet og skal ha nødvendige forskningskvalifikasjoner og erfaring for å kunne oppfylle prosjektlederes plikter. Prosjektlederskap krever normalt doktorgradskompetanse eller tilsvarende. Ph.d.- kandidater vil unntaksvis kunne være prosjektledere, men som regel vil veileder eller andre forskere være prosjektleder i prosjekter Ph.d.-kandidater deltar i. Det er prosjektleders ansvar at prosjektet gjennomføres i henhold til godkjennelser som er gitt og å ivareta etiske, medisinske, helsefaglige, vitenskapelige, personvern- og informasjonssikkerhetsmessige forhold i den daglige driften og melde fra om uønskede eller alvorlige hendelser og forhold som kan være i strid med de tillatelser som er gitt og øvrige krav som stilles til forskningen. 19

20 Prosjektleder skal involvere forskningsansvarlig for å sikre at enhetens leder har oversikt over alle forsknings- og studentprosjekter ved enheten og at prosjektet har nødvendig støtte fra ledelsen (For nærmere beskrivelse av forskningsansvarliges og prosjektleders rolle og ansvar i behandlingen av personopplysninger i forskning vises det til rollebeskrivelsen). 4. OPERASJONELLE KRAV TIL BEHANDLING AV PERSONOPPLYSNINGER Operasjonelle krav til behandling av personopplysninger ved NTNU er beskrevet i Rutine 1 til 9 (jfr. VEDLEGGSLISTE). 5 KONTROLL OG TILSYN ROLLER OG ANSVAR - Rektor skal jevnlig orientere Styret om status for personopplysningssikkerheten ved NTNU. Dersom resultater av revisjoner eller informasjon fra avviksregistreringer på avdelings-, fakultets- eller instituttnivå gir grunnlag for det, skal Rektor fremme forslag til endringer i mål / policy - Organisasjonsavdelingens leder har på Rektors vegne et overordnet ansvar for å føre tilsyn med at etablerte systemer og rutiner for behandling av personopplysninger oppfyller kravene i Personopplysningsloven og for at det innenfor de ulike ansvarsområder er etablert tilfredsstillende kontroll- og oppfølgingsrutiner. - Dekaner og avdelingsdirektører er som linjeledere ansvarlig for å føre tilsyn med at behandlingen av personinformasjon skjer i henhold til vedtatte prosedyrer og rutiner. Eventuelle avvik skal følges opp som grunnlag for forbedringer av prosedyrer og rutiner (avvikshåndtering) og rapporteres til Rektor v/organisasjonsdirektøren. KONTROLLERENDE DOKUMENTASJON -Beskrivelse av virksomhetens mål og retningslinjer for behandling av personopplysninger for forsknings- og forvaltningsformål - herunder ansvars- og myndighetsforhold (forskr. 4 2.ledd a) - Forvaltning: Håndbok for behandling av personalopplysninger - Forskning: Retningslinjer for håndtering av medisinske og helsefaglige prosjekter Håndbok for behandling av personalopplysninger 20

21 - Retningslinjer og rutiner innenfor de enkelte behandlings- /forskningsansvarliges ansvarsområder for - internkontroll tilpasset egenart, aktiviteter og risikoforhold - utarbeidelse og dokumentasjon av rutiner for å motta meldinger om avvik og sikre at avvik rettes - systematisk overvåking og gjennomgang av internkontrollsystemer for å sikre at de fungerer som forutsatt og bidrar til kontinuerlig forbedring i virksomheten - System for å sikre forskningsansvarlig oversikt over sin forskningsportefølje med rutiner for hvordan forskningsansvarlig skal ivareta sine kontrolloppgaver - oppslag i NSDs meldingsarkiv og søkemulighet i REKs arkiver etter avtale med REKs - retningslinjer for oppfølging gjennom medarbeidersamtaler og stikkprøver innenfor de enkelte forskningsansvarliges ansvarsområder Daglig leder / prosjektleder og andre som behandler personopplysninger skal uten ubegrunnet opphold rapportere til behandlings -/forskningsansvarlig ved enheten dersom det oppdages at personopplysninger behandles i strid med fastlagte rutiner eller ved mistanke om brudd på informasjonssikkerheten. BEHANDLING AV AVVIK Akseptabelt risikonivå Personopplysningsforskriften 2 4 stiller krav til at det skal gjennomføres risiko - vurderinger for å kartlegge sannsynligheten for, og konsekvenser av sikkerhetsbrudd. En forutsetning for å kunne ha en forsvarlig risikostyring er at konkrete hendelser kan vurderes i forhold til forhåndsdefinerte kriterier for akseptabelt risikonivå. (akseptkriterier). Akseptkriterier påvirkes av ytre rammevilkår og lovpålagte krav. Akseptabelt risikonivå skal angi hvilke personopplysninger og behandlinger som utføres, hendelser med betydning for personvernet og akseptable nivåer for sannsynlighet og konsekvens. En beskrivelse av akseptabelt risikonivå skal inngå som underlag for gjennomføring av risikovurdering. Ved behandling av personopplysninger ved NTNU skal nødvendige sikkerhetstiltak være iverksatt for å oppfylle følgende krav - Personer utenfor virksomheten/prosjektet ikke skal kunne forårsake uønskede hendelser som medfører konsekvenser for enkeltmenneskers personvern - Egne medarbeidere /prosjektdeltakere skal ha tilstrekkelig kjennskap til hvilke sikkerhetsbestemmelser som gjelder i virksomheten/prosjektet slik at uønskede hendelser reduseres til et minimum - Ved behandling / utlevering av sensitive personopplysningene som kan medføre tap av anseelse og integritet for dem det gjelder, skal sikring av opplysningenes konfidensialitet gis prioritet foran hensynet til tilgjengelighet og integritet. 21

22 - Medarbeidere skal ikke kunne forårsake konfidensialitetsbrudd ved uaktsomt eller ved forsett eller ved at personer utenfor virksomheten med overlegg gis tilgang til disse. - Sikkerhetskopier med medisinsk eller helsefaglig informasjon som bringes ut av virksomheten skal være kryptert, slik at tap av disse ikke får konsekvenser for konfidensialiteten uten at både krypteringsnøkkel og sikkerhetskopi kommer på avveie - Sensitive personopplysninger skal ikke kunne utleveres gjennom informasjonssystemet ved uaktsomhet. Ovenstående akseptkriteriene danner grunnlaget for vurderinger av hvilke virkemidler som kreves iverksatt for å oppnå tilfredsstillende sikkerhetsnivå ved behandling av personopplysninger ved NTNU. Dersom forskningsprosjekter behandler personopplysninger på annen måte enn det som er omfattet av institusjonelle retningslinjer, pålegges prosjektleder selv å klargjøre hvilke akseptkriterier som skal gjelde i angjeldende forskningsprosjekt. Behandling av avvik Dersom personopplysninger håndteres i strid med fastlagte rutiner, eller det er mistanke om eller dokumentert brudd på informasjonssikkerhet, skal virksomhetsansvarlig iverksette avviksbehandling. For medisinske og helsefaglige forskningsprosjekter er ansvaret for avviksbehandlingen lagt til forskningsansvarlig Formålet med avviksbehandling er å lukke avviket så raskt som mulig, gjenopprette normaltilstand og hindre gjentagelse. Dersom det ikke er samsvar mellom fastlagte rutiner og hvordan personopplysninger håndteres eller informasjonssystemet benyttes, skal resultatet fra avviksbehandlingen brukes som grunnlag ved gjennomgang og endring av aktuelle rutiner. Avviksbehandling består av: oppdagelse av avviket. rapportering av avviket til daglig leder/prosjektleder (av den medarbeideren som oppdager avviket). Daglig leder/prosjektleder rapporterer videre til behandlings- /forskningsansvarlig ved alvorlige brudd på retnings-linjene. iverksettelse av strakstiltak, blant annet med det formål å avgrense eventuelle følgeskader. Strakstiltakene kan utføres av prosjektleder eller den medarbeideren som oppdager avviket, eventuelt av ansatt med ansvar for håndteringsrutiner eller den berørte delen av informasjonssystemet. iverksettelse av korrigerende tiltak for permanent å gjenopprette normaltilstand. Ansvaret for dette er lagt til forskningsansvarlige evt. i samarbeid med lokal eller sentral IT sikkerhetsansvarlig dersom avviket er av knyttet til IT sikkerheten. vurdering av hvorvidt korrigerende tiltak fungerer etter sin hensikt. Vurderingen utføres etter noe tid av forskningsansvarlig, evt. lokal eller sentral IT - sikkerhetsansvarlig. Eksempler på situasjoner som gjør det nødvendig å iverksette avviksbehandling: utilsiktet utlevering av personopplysninger, eller ved mistanke om slik utlevering. lagring av personopplysninger uten samtykke eller annet behandlingsgrunnlag. 22

23 når medarbeidere benytter informasjonssystemet uten autorisasjon. feil i utstyr eller program som kan ha innvirkning på informasjonssikkerheten eller driften av informasjonssystemet. henvendelse om innsyn har blitt avvist grunnet medarbeiderens manglende kjennskap til rutinene. Andre eksempler kan være utskift som kommer på feil skiver, bærbart utstyr blir stjålet, papirjournal ligger åpent tilgjengelig, bruker forlater arbeidsstasjonen usikret, bruker låner ut brukernavn og passord til andre, brukers tilgang blir ikke fjernet ved fratredelse/prosjektavslutning, helse- og personopplysninger blir sendt i usikret e-post, autorisert bruker får ikke tilgang, urettmessig tilegnelse av taushetsbelagte opplysninger (snoking). 23

24 VEDLEGGSLISTE Vedlegg til pkt.1 Sentrale begreper og definisjoner Vedlegg til pkt.3.1 Retningslinjer for utforming av sikkerhetstiltak ved behandling av personopplysninger ved NTNU - Arbeidsrutiner /IT teknisk og fysisk - Informasjonsutveksling - Taushetsplikt / opplæring - Kopiering / lagring - Makulering / sletting Vedlegg til pkt.3.2 System- og rutinebeskrivelser Rutine 1: Vilkår for og innhenting av samtykke til innsamling av persondata (grunnkrav ) Rutine 2: Informasjon om behandling av personopplysninger Rutine 3A: Melde og konsesjonsplikt Rutine 3B: Godkjenning av medisinsk og helsefaglig forskning Rutine 4: Lagring, retting og sletting av personopplysninger i forvaltningen 4.1: Krav til sikkerhet ved innsamling og behandling av persondata 4.2: Retting av personopplysninger 4.3: Sletting /videre lagring av personopplysninger 4.4: Rutiner og prosedyrer for back up og sletting av sikkerhetskopier Rutine 5: Lagring, retting og sletting av personopplysninger i forskning 5.1: Krav til sikkerhet i forbindelse med innsamling og behandling av personopplysninger 5.2: Retting av personopplysninger 5.3: Sletting/videre lagring av personopplysninger 5.4: Rutiner og prosedyrer for back up og sletting av sikkerhetskopier 5.5 Gjenbruk av personopplysninger i forskning Rutine 6: Nettverks- / systemsikkerhet Rutine 7: Tilgangssikring / autorisasjon Rutine 8: Adgangskontroll Rutine 9: Kameraovervåking 24

25 SENTRALE BEGREPER OG DEFINISJONER - Personopplysning; opplysninger og vurderinger som kan knyttes til en enkeltperson - Helseopplysning; Taushetsbelagte opplysninger i henhold til helsepersonelloven 21, og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til enkeltperson. - Behandling av personopplysning; enhver bruk av personopplysninger, som for eksempel innsamling registrering, sammenstilling, lagring, og utlevering, eller en sammenstilling av slike bruksområder - Personregister/ helseregister; registre, fortegnelser med videre der person/helseopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen - Behandlingsansvarlig/ databehandlingsansvarlig; den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal tas i bruk - Databehandler; den som behandler personopplysninger på vegne av behandlingsansvarlige - Samtykke; en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv ( jfr. Rutine 1 ) - Anonyme opplysninger; opplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson - Avidentifiserte (helse)opplysninger; (helse)opplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identiteten bare kan tilbakeføres ved en sammenstiling med de samme opplysninger som tidligere ble fjernet - Pseudonyme (helse)opplysninger; (helse)opplysninger der identitet er kryptert eller skjult på annet vis, men likevel individualisert slik at det lar seg gjøre å følge hver person gjennom (helse)systemet uten at identiteten røpes. Sensitive opplysninger; opplysninger om ; - Rasemessig eller etnisk bakgrunn - Politisk, religiøs eller filosofisk oppfatning - Misstanke, siktelse, tiltale, pådømmelse for straffbar handling - Helseforhold - Seksuelle forhold - Medlemskap i fagforeninger 25

26 Grunnopplysninger (etter Datatilsynets kategoribeskrivelse ); navn, adresse, statsborgerskap/bosted/land, anropsnummer for teletjenester, rullenummer / arbeidstakernummer, rubriseringsdata ( som kategori, type ansatt/representant, distrikt, type varer, kontonummer i regnskap, representantkategori, andre opplysninger til bruk i statistikk og annen bedriftsintern avregning ), kjønn, nærmeste pårørende, sivilstand, antall barn og barnas fødselsår, stillingsbetegnelse, yrkesopplysninger som etter overenskomst eller tariffavtale har betydning for lønns- og arbeidsvilkår, opplysninger om utdannelse og praksis, lønns- og provisjonsopplysninger, pensjonsopplysninger, sluttårsak, fraværsdato, type fravær og varighet ( angivelse av sykdommens art tillates ikke registrert utover det som er pålagt ved lov 4. februar 1977 nr 4 om arbeidervern og arbeidsmiljø mv 20), ansettelses- og sluttdato (permisjoner e l), dødsdato, firmabil eller lignende, utlånte eiendeler, lån til ansatte eller garanti for lån, opplysning om den ansatte er mobiliseringsdisponert, (ja/nei), evt. militært løpenummer, grad, og rulleførende avdeling Informasjonssikkerhet omfatter (jfr. Personopplysningsloven 13.) - Sikring av konfidensialitet ( beskytelse mot at uvedkommende får innsyn i opplysningene ) - Sikring av integritet ( beskyttelse mot utilsiktet endring av opplysningene ) - Sikring av tilgjengelighet ( sørge for tilstrekkelig og relevant informasjon) 26

27 RETNINGSLINJER FOR UTFORMING AV SIKKERHETSTILTAK VED BEHANDLING AV PERSONOPPLYSNINGER VED NTNU ARBEIDSRUTINER / FYSISK OG IT - TEKNISK Det er den enkelte enhets- / arbeidsleders ansvar å sørge for at de fysiske rammebetingelsene ligger til rette for sikker behandling av personopplysninger. Kravene til fysisk tilrettelegging skal ses i sammenheng med de håndterings-, lagrings- og arkiveringsrutiner som benyttes ved behandling av personopplysninger i vedkommende enhet (jfr. Pkt ) Retningslinjer for fysisk avskjerming og arbeidsrutiner ved manuell behandling av personopplysninger o Personinformasjon i kategori F1 og F2 (jfr. Pkt. 2.3) skal arkiveres i låsbare skap som bare personalmedarbeidere eller saksbehandlerne med ansvar for angjeldende saksområde, har tilgang til. Arkivskapene skal plasseres i arkiv på kontorer som holdes låst utenom ordinær arbeidstid. o saksbehandlere på ett ansvarsområde (arkiv, personal, økonomi og studieområdet) skal normalt ikke ha tilgang til personinformasjon innen kategoriene F1 og F2 på andre ansvarsområder. Retningslinjer for elektronisk behandling av persondata på enhetsnivå o Datasikkerheten i lokale IT systemer, servere og databaser skal ivaretas gjennom soneinndeling med tilhørende tilgangskontroll - basert på intern ansvars- og oppgavefordeling. Generelle prinsipper og retningslinjer for inndelig av nettet i soner (subnett) med tilhørende sikkerhetskrav finnes i Sikkerhetsarkitektur for nettet ved NTNU utarbeidet av ITEA. o Saksbehandlere som bearbeider personinformasjon i kategori F1 og F2 skal ved bruk av standard tekstbehandlingsutstyr bare benytte personlige passordbelagte filområder/ eventuelt passordbelagte felles filområder for angjeldende saksbehandlergruppe (personal-, økonomi-, studie-, mv.) o Soneinndeling med oversikt over personer med tilgangsrettigheter til ulike databaser som inneholder personopplysninger, skal dokumenteres av enhetsleder / systemeier 27

28 INFORMASJONSUTVEKSLING Det er den enkelte enhets- / arbeidsleders ansvar å utarbeide interne prosedyrer og rutiner for sikker utveksling av personopplysninger Det skal av hensyn til personopplysningssikkerheten ikke opprettes fellesområder for behandling/ formidling av personinformasjon i kategori F1 og F2 (jfr. Pkt. 2.3) på tvers av saksområder. Fellesområder med tilgang for alle fakultetets, instituttets eller avdelingens ansatte skal ikke benyttes for å lagre eller kommunisere personinformasjon som ikke allerede er offentlig kjent f. eks. ved at opplysningene finnes på enhetens web- hjemmeside, i telefonkatalogen eller lignende E post kan benyttes som kommunikasjonsmedium for personinformasjon i kategori F3 F4 under forutsetning av at rutiner for sletting av midlertidig lagret informasjon er etablert og følges opp. Opplysninger i kategori F1 og F2 som skal benyttes i saksbehandling og / eller som beslutningsgrunnlag, skal normalt formidles pr. brev. Dersom annen oversendelsesmåte (f. eks. faks) avtales, skal bare utstyr som er plassert i lukkede områder benyttes etter forutgående avtale om oversendingstidspunkt. TAUSHETSPLIKT / OPPLÆRING Nærmeste overordnede er ansvarlig for at saksbehandlere får nødvendig opplæring i de bestemmelser som gjelder for behandling av personopplysninger og for å innhente bekreftet aksept på de plikter (herunder taushetsplikten) dette innebærer. Retningslinjer for behandling av personopplysninger ved NTNU kan inngå som element i opplæringsfunksjonen. Alle som rutinemessig arbeider med personopplysninger i kategori F 1 og F 2 (jfr. Pkt. 2.3) skal dokumentere kjennskap til personopplysningslovens bestemmelser og underskrive taushetserklæring. Alle ansatte som gjennom vedlikehold og drift av NTNUs IT nettverk og systemer får tilgang til personopplysninger i kategori F 1 og F 2, skal dokumentere kjennskap til personopplysningslovens bestemmelser og underskrive taushetserklæring. Krav til og opplysninger om taushetsplikten for medlemmer i utvalg og styrer innarbeides rutinemessig i oppnevningsbrevet til medlemmene Det vises for øvrig til Veiledning om offentlighet og unntak fra offentlighet for et utvalg sakstyper 28