PERSONVERN. Har du kontroll? Veileder for personvern i forskning

Transkript

1 PERSONVERN Har du kontroll? Veileder for personvern i forskning

2 Denne veilederen er rettet mot deg som er leder eller ansatt i forskningsadministrasjonen. Her finner du praktiske råd og tips om hvordan du og din institusjon kan sikre godt personvern i forskningen. 2

3 PERSONVERN GIR TILLIT Forskning er ofte avhengig av data om enkeltpersoner. Derfor har vi lover som gjør det lettere å bruke personopplysninger til forskning enn til andre formål. Men det er ikke likegyldig hvordan opplysningene behandles. Godt personvern er nødvendig, ikke bare for den det forskes på. Det er også avgjørende for forskningen. Godt personvern gir tillit og troverdighet. Når folk opplever at de kan stole på forskerne, gir det høy svarprosent, og fleksible vilkår fra myndighetene. Forskningen er derfor tjent med godt personvern. Personvern handler om å hindre krenkelse av privatlivet. Privatliv er en lovfestet menneskerett. Utgangspunktet er at vi eier opplysningene om oss selv. Personopplysningene kan «lånes ut» til en rekke formål. Noen ganger basert på samtykke. Andre ganger fordi samfunnsbehov gjør det nødvendig. Personopplysninger skal alltid behandles slik at det innebærer minst mulig krenkelse for den det gjelder. Forskere som vil bruke opplysninger om andre, må sørge for lovlig innsamling, trygg lagring og gode slette- eller arkiveringsrutiner. Det er viktig med klare ansvarsforhold, og kjennskap til hvilke plikter som følger med. Forskningen i Norge er høyt respektert, mye takket være tilrettelegging i lovverket og godt samarbeid mellom forskningsmiljø og tilsynsmyndighetene. Men tillit til forskningen kommer ikke av seg selv. Den må opprettholdes. Godt personvern krever målrettet arbeid. Som personvernombud for forskning har NSD i mange år bidratt i dette arbeidet. PERSONVERN ER ET LEDERANSVAR Godt personvern er ikke bare nyttig for forskningen. Personvern er en lovpålagt plikt. Hver forskningsinstitusjon skal behandle personopplysninger lovlig, forsvarlig og sikkert. Det skal ikke være opp til den enkelte forsker å finne ut hvilke regler som finnes. Tvert imot har institusjonen plikt til å informere forskerne, lage retningslinjer og kontrollere at de blir fulgt. Arbeidet med å sikre lovlig, forsvarlig og trygg bruk av personopplysninger kalles internkontroll. Personopplysningsloven pålegger virksomheten å ha et internkontrollsystem. Det skal bestå av rutiner som ledere og ansatte skal følge. Formålet er å sikre at rettsreglene for behandling av personopplysningene implementeres i virksomheten. Ledelsen skal lage et dokument som beskriver rutinene, og gjøre det kjent for alle ansatte. Internkontrollsystemet skal oppdateres med jevne mellomrom. 3

4 PERSONVERN KREVER MÅLRETTET ARBEID Alle nivåer ved forskningsinstitusjonen skal ha rutiner for internkontroll. Hver enkelt leder/ansatt må kjenne sin rolle og sine forpliktelser. Institusjonens øverste leder har det juridiske ansvaret for behandlingen av personopplysninger. Lederen kan delegere, men ikke fraskrive seg ansvaret. Forskere og studenter foretar den daglige behandlingen av personopplysninger. Forskningsadministrasjonen fungerer som et «bindeledd», og skal bistå ledelsen og forskerne i det praktiske arbeidet med internkontroll. NSD Personvern har en rådgivende rolle, og bidrar bl.a. med forhånds- og etterkontroll av alle innmeldte prosjekter. Oppnevnelsen av personvernombud fritar ikke institusjonen for ansvar. Ledere og ansatte i forskningsadministrasjonen må selv arbeide aktivt med internkontroll. Øverste administrative leder Juridisk ansvar. Skal sørge for: - dokument som beskriver virksomhetens internkontrollrutiner - at rutinene er kjent for alle medarbeidere Forskningsadministrasjon Praktisk arbeid med internkontroll: - informere forskere/studenter om rutiner - kontrollere at rutinene blir fulgt - forebygge og følge opp avvik Forskere og studenter Skal behandle person opplysninger i tråd med rutinene NSD Personvern Rådgivende rolle: - veileder forskere, studenter, ledelse og forskningsadministrasjon i person - vern spørsmål - forhånds- og etterkontrollerer hvert prosjekt - drifter Meldingsarkivet som gir ledelsen oversikt og kontroll med prosjektene - varsler ledelsen om avvik 4

5 I denne veilederen skal vi se nærmere på de tre kjerneoppgavene til forskningsadministrasjonen: Informere forskere/studenter om hvilke rutiner de må følge Kontrollere at rutinene blir fulgt Forebygge og følge opp avvik NSD PERSONVERN HJELPER DEG Godt personvern trenger ikke være vanskelig. Men det forutsetter god kompetanse, både på lovverk og praktiske problemstillinger. NSD Personvern har lang erfaring på forskningsfeltet. Vi gir veiledning om hva internkontroll er og råd om hvordan det praktiske arbeidet kan utføres. Et sentralt hjelpemiddel er Meldingsarkivet. Meldingsarkivet gir oversikt og mulighet for å føre tilsyn med personopplysningene som brukes i forskning. 5

6 PERSONVERN ER Å INFORMERE Alle rutiner som forskere og studenter skal følge ved behandling av person opp lysninger skal være beskrevet i virksomhetens internkontrolldokument. Ledelsen har ansvaret for å lage og oppdatere dette dokumentet. Det er ikke nok å ha et dokument med rutinebeskrivelser. Rutinene må være kjent for alle ansatte. FORSKERE OG STUDENTER MÅ FÅ OPPLÆRING Forskningsadministrasjonens oppgave er å sørge for at alle forskere og studenter vet hvilke rutiner de må følge. Internkontrolldokumentet bør publiseres på institusjonens nettsider. Det kan gjerne også distribueres til alle via epost. Videre bør forskere og studenter få opplæring på kurs og i møter. DEL INFORMASJON OM MELDEPLIKTEN Spesielt viktig er det å sørge for at alle forskere og studenter er godt orientert om meldeplikten til NSD Personvern. Brudd på meldeplikten i seg selv er ulovlig og straffbart. Manglende forhåndskontroll gjør at forsker/student mister viktig veiledning om hvordan prosjektet kan gjennomføres i tråd med regelverket. Det øker sjansen for flere lovbrudd. Manglende melding gjør at prosjektene uteblir fra Meldingsarkivet. Institusjonen mister da oversikt og dokumentasjon på prosjekter som behandler personopplysninger. NSD Personverns brosjyre om meldeplikten bør spres til alle forskere og studenter. Brosjyren kan distribueres via epost, institusjonens nettsider og/eller i papirform. Dette bør gjøres rutinemessig ved semesterstart. Forskere og studenter som er usikre på om deres prosjekt er meldepliktig, kan ta meldeplikttesten. Ved fortsatt tvil bør de kontakte NSD Personvern for veiledning, eller sende inn meldeskjema for å få en konkret vurdering. SØRG FOR AT FORSKERE OG STUDENTER GIR MELDING I GOD TID Forskere og studenter skal melde forskningsprosjektene senest 30 dager før oppstart. De bør sende inn meldeskjema så snart prosjektopplegget er klart, og ikke gå i gang med datainnsamling før de har fått tilbakemelding fra NSD Personvern. Utdanningsinstitusjoner må legge opp studieplanen slik at dette er mulig for studentene (f.eks. ved at de skriver teorikapittel i saksbehandlingstiden). Ved svært knappe tidsfrister eller lang saksbehandlingstid, kan forsker/student kontakte NSD og be om prioritering. Slik forespørsel må begrunnes skriftlig. 6

7 HVER MELDING MÅ INNEHOLDE NØDVENDIG INFORMASJON Forskningsadministrasjonen bør oppfordre forskere og studenter til å gå inn på NSD Personverns nettsider og følge veiledningen i meldeskjema. Alle nødvendige dokumenter skal vedlegges: f.eks. informasjonsskriv og samtykkeskjema, intervjuguide, spørreskjema, observasjonsguide, evt. prosjektplan og andre godkjenninger. NSD tar kontakt med forsker og student hvis meldingen er mangelfull. Men godt utfylte meldeskjema gjør prosessen smidigere for alle parter og kan gi betydelig kortere saksbehandlingstid. Spesielt viktig er det at informasjonsskriv til forskningsdeltagerne er godt utarbeidet. Forskere og studenter bør følge malen på NSD Personverns nettsider. PROSJEKTENDRINGER MÅ MELDES PÅ FORHÅND Hvis prosjektopplegget endres slik at tillatelsene ikke lenger er dekkende, skal forsker/student sende endringsmelding til NSD Personvern og avvente tilbakemelding før endringen foretas. Endringsmelding kreves f.eks. ved vesentlige forandringer i intervjuguide og spørreskjema, nytt utvalg, bruk av flere datainnsamlingsmetoder, utvidelse av prosjektperioden eller ny prosjektansvarlig. Ny datainnsamling eller nytt delprosjekt bør som regel meldes i nytt meldeskjema. I paraplyprosjekter er det ofte best med ett meldeskjema for hvert delprosjekt. Forskeren bør da opplyse i meldeskjemaet om prosjektnumre for de tilhørende delprosjektene, og velge titler som viser at meldingene henger sammen. Innmelding på denne måten gir institusjonen god oversikt i Meldingsarkivet. SØRG FOR GOD VEILEDNING AV STUDENTER Studenter som skal samle inn data om enkeltpersoner trenger god oppfølging fra veileder. Veilederen må kjenne reglene for meldeplikt og sørge for at studenten sender meldeskjema på forhånd når det er påkrevd. Veileder og student bør først gjøre en grundig vurdering av om det virkelig er behov for personopplysninger i prosjektet. Loven tillater bare behandling av personopplysninger når det er nødvendig for formålet. Prosjekter skal derfor gjennomføres med anonyme data så fremt det er mulig mht. problemstilling/analyse. Spesielt bør bachelorprosjekter og mindre studentoppgaver utformes slik at de ikke trenger personopplysninger. Studenter som skal behandle personopplysninger trenger opplæring om informasjonssikkerhet på forhånd. Spesielt trenger de veiledning om institusjonen tillater bruk av privat pc, mobiltelefon, minnepenn, skytjenester og epost til innsamling og lagring av personopplysninger. 7

8 Studenter som skal samle inn sensitive personopplysninger eller forske på sårbare grupper trenger ekstra oppfølging fra veileder. Veileder bør sørge for at prosjektopplegget følger forskningsetiske retningslinjer for det aktuelle fagfeltet. INFORMASJONSSIKKERHET GI RETNINGSLINJER Alle personopplysninger som brukes i forskning skal lagres forsvarlig og utilgjengelig for andre. Forskeren har taushetsplikt og skal ivareta deltagernes konfidensialitet. I noen tilfeller kan forskeren innhente tillatelse (f.eks. samtykke) til å dele personidentifiserbare forskningsdata med andre forskere, eller publisere dem. Utover dette skal personopplysninger oppbevares slik at de bare er tilgjengelig for forsker og eventuelt student. Institusjonen har en lovpålagt plikt til å utarbeide retningslinjer for datasikkerhet og formidle disse til alle forskere og studenter. Som hovedregel bør direkte personopplysninger holdes adskilt fra datamaterialet. Personidentifiserbare forskningsdata bør ikke lagres for mange steder om gangen (f.eks. slette fra opptaker når data er overført til pc). Det er viktig at ledelsen tar stilling til hvilke enheter som tillates for innsamling og lagring av forskningsdata. Bruk av usikre enheter som privat/bærbar pc, mobiltelefon, minnepenn, skytjenester og epost er relativt utbredt. Hvis ledelsen velger å tillate dette: Hvilke krav skal stilles til sikkerhet for å forebygge f.eks. datainnbrudd og tap av utstyr? Er det noen typer personopplysninger det ikke er tillatt for (f.eks. sensitive, taushetsbelagte opplysninger)? Flere institusjoner pålegger forskere og studenter å lagre person - identifiserbare data på en egen forskningsserver. Denne kan tilrettelegges for pålogging i felt, slik at data sendes på sikker måte direkte til forskningsserver. En slik løsning er praktisk for forskerne og helt klart å anbefale. IT-avdelingen kan sørge for beskyttelse av forskningsdataene gjennom sikkerhetsinnstillinger, og se til at de anonymiseres når tillatelsene utløper eller prosjektet avbrytes. Lagring på forskningsserver gir dermed institusjonen god kontroll med personopplysningene, både underveis i prosjektene og ved prosjektslutt. 8

9 PERSONVERN ER Å HA OVERSIKT Institusjonen skal sørge for at personopplysninger som brukes til forskning behandles lovlig, forsvarlig og sikkert. NSD Personvern hjelper med dette gjennom forhånds- og etterkontroll av innmeldte forsknings- og studentprosjekter. Men kontrollen NSD utfører kan ikke avdekke alle avvik. NSD kan for eksempel ikke vite om forskere og studenter melder inn alt de skal gjøre, eller om de utfører prosjektet slik de har meldt. Forskningsadministrasjonen, som har bedre kjennskap til forskningsaktiviteten, bør derfor gjøre egne kontroller ved hjelp av Meldingsarkivet. HUSK JEVNLIG SJEKK I MELDINGSARKIVET Forskningsadministrasjonen bør jevnlig gå inn i Meldingsarkivet for å holde oversikt. Rutiner for dette bør implementeres i årshjulet. Ansatte med ansvar for mange/store prosjekter bør gjennomføre flere og mer omfattende kontroller. Men også de som har ansvar for færre prosjekter må følge med for å forebygge og rydde opp i avvik. Det er spesielt viktig å føre tilsyn med prosjekter som behandler sensitive personopplysninger og prosjekter som har konsesjon fra Datatilsynet. KONTROLLÉR AT MELDEPLIKTEN OVERHOLDES Forskningsadministrasjonen har gode forutsetninger for å kontrollere om forskere og studenter faktisk melder alle meldepliktige prosjekter til NSD. Sjekk i Meldingsarkivet om antall prosjekter samsvarer med det reelle antall prosjekter som behandler personopplysninger. Hvis institusjonen (eller underavdelinger) melder færre prosjekter enn de skal, bør forskningsadministrasjonen sørge for bedre informasjon om meldeplikten. KONTROLLÉR AT PROSJEKTENE ER FORANKRET VED INSTITUSJONEN Innmelding av prosjekter er basert på tillit. Den som sender meldeskjema må oppgi navn på institusjon, forsker og eventuelt student. En sjelden gang har det forekommet at institusjonen ikke kan gå god for et innmeldt prosjekt. Det kan være fordi forskeren ikke tilhører institusjonen, fordi en annen institusjon er ansvarlig, eller fordi prosjektopplegget strider med interne retningslinjer. Relativt ofte skjer det at studenter sender inn meldeskjema før prosjektopplegget er godkjent av veileder, eller oppgir veileder ansatt ved en annen institusjon. Forskningsadministrasjonen bør se etter i Meldingsarkivet at forskere og studenter tilhører institusjonen, og at institusjonen kan stille seg bak prosjektene. Hvis noe ikke stemmer, kontakt NSD Personvern, så hjelper vi med å rette feilen. 9

10 KONTROLLER AT FORSKER HAR TILLATELSER OG AT VILKÅR FØLGES OPP Forskeren skal sørge for nødvendige tillatelser til behandling av personopplysninger. Men det øverste ansvaret har institusjonens ledelse. Forskningsadministrasjonen bør derfor gjøre regelmessige kontroller via Meldingsarkivet. Her kan man enkelt hente ut lister over prosjekter for nærmere oppfølging: f.eks. prosjekter som behandler sensitive opplysninger, studentprosjekter og konsesjonspliktige prosjekter. Les igjennom saksdokumentene og kontroller at tillatelsene stemmer med datamaterialet som faktisk samles inn, og hvordan/hvor lenge personopplysninger behandles. Vær oppmerksom på at tillatelsene fra NSD Personvern, Datatilsynet og andre (som registereiere og dispensasjonsmyndigheter) ofte inneholder vilkår. Det kan f.eks. være krav om bedre informasjon til forskningsdeltagerne, om ikke å registrere sensitive opplysninger, eller om å innhente andre tillatelser. Forskeren må følge opp vilkårene og anbefalingene, gjerne i samråd med forskningsadministrasjonen. INFORMASJONSSIKKERHET GJØR RISIKOVURDERINGER Institusjonen skal gi retningslinjer for informasjonssikkerhet til forskere og studenter. I det enkelte forskningsprosjekt skal ansvarlig forsker (eller veileder og student) gjøre risikovurderinger og velge en type lagring som gir tilstrekkelig beskyttelse av data. Lagringsformen skal ta hensyn til hvilken belastning det vil innebære for de registrerte om personopplysningene skulle komme på avveie. Her må man ta utgangspunkt i datamaterialets art og omfang. Det er strengere krav til beskyttelse av sensitive, følsomme og/eller taushetsbelagte data. NSD gir råd og veiledning i saksbehandlingen. Men forskningsinstitusjonen har det juridiske ansvaret for at data sikkerheten er god nok i hvert prosjekt. Derfor anbefaler vi å ta stikkprøvekontroller av enkeltprosjekter i Meldingsarkivet. Gjør gjerne egne risikovurderinger, og kontroller at institusjonens retningslinjer for datasikkerhet følges. RYDD I PROSJEKTER NÅR FORSKER/ STUDENT SLUTTER Når forskere/studenter slutter, sjekk i Meldingsarkivet om de har aktive prosjekter som må ryddes opp i først. Husk å gi beskjed til NSD Personvern. Hvis datamaterialet er anonymisert, skal vi orienteres om det. Hvis persondata lagres videre ved institusjonen, skal det oppnevnes ny daglig ansvarlig. Send endringsmelding, med bekreftelse fra ny og tidligere prosjektansvarlig. Hvis forsker/student skal ta med seg personidentifiserbare forskningsdata til nytt arbeidssted, send endringsmelding med bekreftelse fra ny og tidligere behandlingsansvarlig institusjon (på instituttnivå eller høyere). 10

11 PERSONVERN ER Å FOREBYGGE Når personopplysninger behandles i strid med lov eller institusjonens retningslinjer regnes det som avvik. Det er en fordel for forskeren og institusjonen om avvikene oppdages og ryddes opp internt, fremfor at de avdekkes og sanksjoneres av Datatilsynet. Forskningsadministrasjonen kan oppdage avvik gjennom egne kontroller, eller ved varsel fra NSD Personvern. Det er viktig med gode rutiner for å følge opp avvikene. Oppfølging innebærer både å rydde opp i det konkrete avviket, og å undersøke om internkontrollrutinene bør forbedres for å unngå likende avvik i fremtiden. BRUDD PÅ MELDEPLIKTEN Hvis et forskningsprosjekt er satt i gang uten nødvendig forhåndstillatelse, må melding ettersendes NSD så snart som mulig. Det er nødvendig å skaffe lovlig grunnlag for det som skal skje videre i prosjektet. Når NSD får melding om at datainnsamling er i gang, gir vi råd til forskeren om hvordan eventuelle avvik kan ryddes opp i. Det kan f.eks. være nødvendig å gi ny informasjon til forskningsdeltagerne, innhente nytt samtykke, eller bedre informasjonssikkerheten. Ved stadige brudd på meldeplikten, eller mistanke om undermelding, må virksomheten jobbe systematisk for å forebygge. Forskningsadministrasjonen må skjerpe rutinene for orientering om meldeplikten, og sørge for at alle forskere, veiledere og studenter er kjent med sine plikter. Det bør kontrolleres at antall meldinger stemmer overens med det man kan forvente. Det bør også foretas stikkprøvekontroll av enkeltprosjekter, f.eks. ved å sjekke om forskere og studenter som behandler personopplysninger faktisk har meldt sine prosjekter. TILLATELSER SOM IKKE ER DEKKENDE Hvis tillatelsene for et forskningsprosjekt ikke dekker den faktiske behandlingen av personopplysninger, er det et avvik. Eksempler: Forskeren har innhentet andre typer data enn planlagt (f.eks. sensitive eller taushetsbelagte) uten å sende endringsmelding eller søke dispensasjon fra taushetsplikt. Studenten følger ikke vilkår i tillatelsene, f.eks. om å gi bedre informasjon til deltagerne. Eller forsker lagrer koblingsnøkkel selv, mens konsesjonen sier den skal lagres hos tredjepart. Dette er en type avvik som NSD vanskelig kan avdekke. Ved siden av forskeren, er det forskningsadministrasjonen som har best mulighet til å oppdage det. Det gjøres ved å lese saksdokumenter i Meldingsarkivet og sammenligne tillatelsene med de forskningsdataene som 11

12 faktisk brukes. Avvik følges opp ved å søke nødvendige tillatelser (f.eks. sende endringsmelding), eller ved å oppfylle vilkårene som er gitt i tillatelsene (f.eks. slette sensitive opplysninger, sende ut tilleggs - informasjon til deltagerne, eller oversende koblingsnøkkelen til tredjepart). Samtidig bør internkontrollrutinene skjerpes, ved bedre internopplæring av forskere, prosjektgrupper, veiledere og studenter. PERSONOPPLYSNINGER BEHANDLES ETTER AT TILLATELSER ER UTLØPT NSD Personvern retter alltid en henvendelse til forsker/student ved prosjektslutt. Vi ber da om tilbakemelding på om datamaterialet er anonymisert, eller om det skal lagres videre i personidentifiserbar form. Hvis personopplysninger skal lagres videre, må behandlingen ha lovlig grunnlag. Dette vil NSD Personvern vurdere når vi får statusmeldingen. Hvis prosjektleder ikke svarer, varsler vi institusjonen. Institusjonen har da ansvar for å følge opp saken. Postkassen i Meldingsarkivet gir oversikt over prosjekter med uavklart status. Forskningsadministrasjonen bør sjekke postkassen i Meldingsarkivet med jevne mellomrom, og lese saksdokumentene. Det er viktig å finne ut hva som har skjedd med personopplysningene. Når dette er avklart, skal forskeren eller forskningsadministrasjon gi tilbakemelding til NSD Personvern. Da vil prosjektet markeres med grønt kryss i postkassen. Det er ikke alltid man lykkes med å avklare status for personopplysningene. Da får man ikke ryddet opp i det konkrete avviket. Forskningsadministrasjonen bør likevel sørge for at internkontrollrutinene bedres for å unngå liknende avvik fremover. En vanlig grunn til manglende tilbakemelding, er at forskeren ikke lenger er ansatt ved institusjonen og har glemt å rydde opp i prosjektene sine. Dette kan unngås hvis forskningsadministrasjonen har rutiner for å sjekke Meldingsarkivet hver gang en ansatt skal slutte. Prosjektene overføres da til ny daglig ansvarlig eller ny forskningsinstitusjon, eller forskningsmaterialet anonymiseres. Når studenter som fullfører eller avbryter studiet og glemmer å gi beskjed, kan det være vanskeligere for institusjonen å finne ut hva som har skjedd med personopplysningene. Det gjelder særlig hvis studenten har lagret data på privat pc. Risikoen for ulovlig behandling av personopplysninger etter prosjektslutt minimeres hvis institusjonen pålegger studenter og forskere å lagre personidentifiserbare forskningsdata på en forskningsserver. Da kan IT-avdelingen anonymisere dataene etter at forskeren/studenten har sluttet. 12

13 FOR DÅRLIG INFORMASJONSSIKKERHET Manglende sikkerhetstiltak kan føre til at forskningsdata med personopplysninger kommer på avveie. For dårlig sikring kan være lovbrudd i seg selv, selv om opplysningene ikke tilflyter uvedkommende. Eksempler på sikkerhetsbrudd: En student glemmer minnepinnen med lydopptak på arbeidsplassen der hun har gjort intervjuer. Forskere utveksler ukrypterte helseopplysninger ved hjelp av nettsky/epost. En databehandler har ikke fått instruks om når han skal slette sine kopier av spørreskjema. Hvis dårlig informasjonssikkerhet avdekkes i et konkret prosjekt, bør forskningsadministrasjonen: Undersøke om personopplysninger har kommet på avveie, og i så tilfelle rydde opp i avviket Gi pålegg til forskeren om hvordan persondata skal lagres videre Vurdere om rutiner for informasjonssikkerhet og forsker - opplæring bør forbedres, og i så fall rapportere dette til ledelsen 13

14 PERSONOPPLYSNINGER PÅ AVVEIE Når uautoriserte personer eller virksomheter har fått tilgang til personidentifiserbare forskningsdata, innebærer det brudd på personopplysningsloven. NSD Personvern kan da kontaktes for råd og hjelp. Datatilsynet anbefaler at den ansvarlige virksomheten gjør følgende tiltak: begrense krisen. Utnevn en person som leder krisehånd - teringen, og gjerne en arbeidsgruppe. Innfør strakstiltak for å stoppe eller begrense lekkasjen. Vurder om noen skal varsles umiddelbart (f.eks. nærmeste leder, de berørte, Datatilsynet, politiet). kartlegg hva som har skjedd. Hvor mye og hvilken type informasjon kom på avveie? Om hvem og hvor mange? Hvor identifiserbare og hvor sensitive opplysninger? Hvem var mottagerne? Hvilke skader kan hendelsen medføre? Er det risiko for at informasjon utnyttes/spres videre? Eller har informasjonen kommet til rette? Hvorfor skjedde avviket? Ble informasjonen mistet eller stjålet? Skyldtes det systemfeil eller var det en enkelthendelse? vurder om involverte parter skal varsles. De berørte varsles hvis det er lovpålagt eller det kan begrense videre skade (f.eks. risiko for ID-tyveri, fysisk skade eller ydmykelse). Institusjonen har plikt til å varsle Datatilsynet hvis hendelsen har ført til uautorisert utlevering av konfidensielle personopplysninger. Virksomheten bør vurdere om også andre skal varsles, som samarbeidsinstitusjoner, databehandlere, interesseorganisasjoner eller politiet. 14

15 innfør skadeopprettende tiltak. Få klarhet i hvor informasjonen har lekket og om det er fare for at den er spredd videre (spesielt på Internett). Sett inn målrettede tiltak for å stoppe lekkasjen. Informer aktørene og gi råd om hva de bør gjøre. Forandre identifikatorer (som løpenummer) for å redusere verdien av data på avveie. Bistå de berørte. Koble eventuelt inn Datatilsynet eller politiet for å få hjelp til skadebegrensningen. hindre gjentagelse. Gjør en grundig analyse av hvorfor avviket skjedde. Vurder risikoen for gjentagelse. Gå gjennom virksomhetens internkontrollsystem for å finne ut om rutiner bør forbedres for å hindre liknende avvik fremover. Se spesielt på rutiner for sikkerhet (fysisk og teknisk), opplæring av ansatte, og samarbeidet med andre institusjoner og databehandlere. GOD INTERNKONTROLL HINDRER AVVIK Systematisk arbeid med internkontroll er den beste garantien mot avvik. Det er bedre å bruke ressurser på å forebygge, enn å rydde opp. Ny teknologi og flere registre gir nye muligheter for forskningen. Samtidig kan det skape større fare for spredning, lekkasje og misbruk av personopplysninger. Forskningsinstitusjonene må holde seg oppdatert, og med jevne mellomrom forbedre sine systemer for internkontroll og informasjonssikkerhet. Forskningen skal ha tilgang til personopplysninger når det er behov for det. Men bruken er lovregulert, og skal medføre minst mulig krenkelse av privatlivet til dem det forskes på. Dette er ikke bare den enkelte forskers ansvar. Det er først og fremst institusjonens og ledernes ansvar. NSD Personvern er tilgjengelig for råd og veiledning. 15

16 Personvern gir tillit. ta vare På Personvernet. Norsk samfunnsvitenskapelig datatjeneste AS nsd.no/personvern