PERSONVERN. Har du kontroll? Veileder for personvern i forskning
|
|
- Nils Thorbjørnsen
- 8 år siden
- Visninger:
Transkript
1 PERSONVERN Har du kontroll? Veileder for personvern i forskning
2 Denne veilederen er rettet mot deg som er leder eller ansatt i forskningsadministrasjonen. Her finner du praktiske råd og tips om hvordan du og din institusjon kan sikre godt personvern i forskningen. 2
3 PERSONVERN GIR TILLIT Forskning er ofte avhengig av data om enkeltpersoner. Derfor har vi lover som gjør det lettere å bruke personopplysninger til forskning enn til andre formål. Men det er ikke likegyldig hvordan opplysningene behandles. Godt personvern er nødvendig, ikke bare for den det forskes på. Det er også avgjørende for forskningen. Godt personvern gir tillit og troverdighet. Når folk opplever at de kan stole på forskerne, gir det høy svarprosent, og fleksible vilkår fra myndighetene. Forskningen er derfor tjent med godt personvern. Personvern handler om å hindre krenkelse av privatlivet. Privatliv er en lovfestet menneskerett. Utgangspunktet er at vi eier opplysningene om oss selv. Personopplysningene kan «lånes ut» til en rekke formål. Noen ganger basert på samtykke. Andre ganger fordi samfunnsbehov gjør det nødvendig. Personopplysninger skal alltid behandles slik at det innebærer minst mulig krenkelse for den det gjelder. Forskere som vil bruke opplysninger om andre, må sørge for lovlig innsamling, trygg lagring og gode slette- eller arkiveringsrutiner. Det er viktig med klare ansvarsforhold, og kjennskap til hvilke plikter som følger med. Forskningen i Norge er høyt respektert, mye takket være tilrettelegging i lovverket og godt samarbeid mellom forskningsmiljø og tilsynsmyndighetene. Men tillit til forskningen kommer ikke av seg selv. Den må opprettholdes. Godt personvern krever målrettet arbeid. Som personvernombud for forskning har NSD i mange år bidratt i dette arbeidet. PERSONVERN ER ET LEDERANSVAR Godt personvern er ikke bare nyttig for forskningen. Personvern er en lovpålagt plikt. Hver forskningsinstitusjon skal behandle personopplysninger lovlig, forsvarlig og sikkert. Det skal ikke være opp til den enkelte forsker å finne ut hvilke regler som finnes. Tvert imot har institusjonen plikt til å informere forskerne, lage retningslinjer og kontrollere at de blir fulgt. Arbeidet med å sikre lovlig, forsvarlig og trygg bruk av personopplysninger kalles internkontroll. Personopplysningsloven pålegger virksomheten å ha et internkontrollsystem. Det skal bestå av rutiner som ledere og ansatte skal følge. Formålet er å sikre at rettsreglene for behandling av personopplysningene implementeres i virksomheten. Ledelsen skal lage et dokument som beskriver rutinene, og gjøre det kjent for alle ansatte. Internkontrollsystemet skal oppdateres med jevne mellomrom. 3
4 PERSONVERN KREVER MÅLRETTET ARBEID Alle nivåer ved forskningsinstitusjonen skal ha rutiner for internkontroll. Hver enkelt leder/ansatt må kjenne sin rolle og sine forpliktelser. Institusjonens øverste leder har det juridiske ansvaret for behandlingen av personopplysninger. Lederen kan delegere, men ikke fraskrive seg ansvaret. Forskere og studenter foretar den daglige behandlingen av personopplysninger. Forskningsadministrasjonen fungerer som et «bindeledd», og skal bistå ledelsen og forskerne i det praktiske arbeidet med internkontroll. NSD Personvern har en rådgivende rolle, og bidrar bl.a. med forhånds- og etterkontroll av alle innmeldte prosjekter. Oppnevnelsen av personvernombud fritar ikke institusjonen for ansvar. Ledere og ansatte i forskningsadministrasjonen må selv arbeide aktivt med internkontroll. Øverste administrative leder Juridisk ansvar. Skal sørge for: - dokument som beskriver virksomhetens internkontrollrutiner - at rutinene er kjent for alle medarbeidere Forskningsadministrasjon Praktisk arbeid med internkontroll: - informere forskere/studenter om rutiner - kontrollere at rutinene blir fulgt - forebygge og følge opp avvik Forskere og studenter Skal behandle person opplysninger i tråd med rutinene NSD Personvern Rådgivende rolle: - veileder forskere, studenter, ledelse og forskningsadministrasjon i person - vern spørsmål - forhånds- og etterkontrollerer hvert prosjekt - drifter Meldingsarkivet som gir ledelsen oversikt og kontroll med prosjektene - varsler ledelsen om avvik 4
5 I denne veilederen skal vi se nærmere på de tre kjerneoppgavene til forskningsadministrasjonen: Informere forskere/studenter om hvilke rutiner de må følge Kontrollere at rutinene blir fulgt Forebygge og følge opp avvik NSD PERSONVERN HJELPER DEG Godt personvern trenger ikke være vanskelig. Men det forutsetter god kompetanse, både på lovverk og praktiske problemstillinger. NSD Personvern har lang erfaring på forskningsfeltet. Vi gir veiledning om hva internkontroll er og råd om hvordan det praktiske arbeidet kan utføres. Et sentralt hjelpemiddel er Meldingsarkivet. Meldingsarkivet gir oversikt og mulighet for å føre tilsyn med personopplysningene som brukes i forskning. 5
6 PERSONVERN ER Å INFORMERE Alle rutiner som forskere og studenter skal følge ved behandling av person opp lysninger skal være beskrevet i virksomhetens internkontrolldokument. Ledelsen har ansvaret for å lage og oppdatere dette dokumentet. Det er ikke nok å ha et dokument med rutinebeskrivelser. Rutinene må være kjent for alle ansatte. FORSKERE OG STUDENTER MÅ FÅ OPPLÆRING Forskningsadministrasjonens oppgave er å sørge for at alle forskere og studenter vet hvilke rutiner de må følge. Internkontrolldokumentet bør publiseres på institusjonens nettsider. Det kan gjerne også distribueres til alle via epost. Videre bør forskere og studenter få opplæring på kurs og i møter. DEL INFORMASJON OM MELDEPLIKTEN Spesielt viktig er det å sørge for at alle forskere og studenter er godt orientert om meldeplikten til NSD Personvern. Brudd på meldeplikten i seg selv er ulovlig og straffbart. Manglende forhåndskontroll gjør at forsker/student mister viktig veiledning om hvordan prosjektet kan gjennomføres i tråd med regelverket. Det øker sjansen for flere lovbrudd. Manglende melding gjør at prosjektene uteblir fra Meldingsarkivet. Institusjonen mister da oversikt og dokumentasjon på prosjekter som behandler personopplysninger. NSD Personverns brosjyre om meldeplikten bør spres til alle forskere og studenter. Brosjyren kan distribueres via epost, institusjonens nettsider og/eller i papirform. Dette bør gjøres rutinemessig ved semesterstart. Forskere og studenter som er usikre på om deres prosjekt er meldepliktig, kan ta meldeplikttesten. Ved fortsatt tvil bør de kontakte NSD Personvern for veiledning, eller sende inn meldeskjema for å få en konkret vurdering. SØRG FOR AT FORSKERE OG STUDENTER GIR MELDING I GOD TID Forskere og studenter skal melde forskningsprosjektene senest 30 dager før oppstart. De bør sende inn meldeskjema så snart prosjektopplegget er klart, og ikke gå i gang med datainnsamling før de har fått tilbakemelding fra NSD Personvern. Utdanningsinstitusjoner må legge opp studieplanen slik at dette er mulig for studentene (f.eks. ved at de skriver teorikapittel i saksbehandlingstiden). Ved svært knappe tidsfrister eller lang saksbehandlingstid, kan forsker/student kontakte NSD og be om prioritering. Slik forespørsel må begrunnes skriftlig. 6
7 HVER MELDING MÅ INNEHOLDE NØDVENDIG INFORMASJON Forskningsadministrasjonen bør oppfordre forskere og studenter til å gå inn på NSD Personverns nettsider og følge veiledningen i meldeskjema. Alle nødvendige dokumenter skal vedlegges: f.eks. informasjonsskriv og samtykkeskjema, intervjuguide, spørreskjema, observasjonsguide, evt. prosjektplan og andre godkjenninger. NSD tar kontakt med forsker og student hvis meldingen er mangelfull. Men godt utfylte meldeskjema gjør prosessen smidigere for alle parter og kan gi betydelig kortere saksbehandlingstid. Spesielt viktig er det at informasjonsskriv til forskningsdeltagerne er godt utarbeidet. Forskere og studenter bør følge malen på NSD Personverns nettsider. PROSJEKTENDRINGER MÅ MELDES PÅ FORHÅND Hvis prosjektopplegget endres slik at tillatelsene ikke lenger er dekkende, skal forsker/student sende endringsmelding til NSD Personvern og avvente tilbakemelding før endringen foretas. Endringsmelding kreves f.eks. ved vesentlige forandringer i intervjuguide og spørreskjema, nytt utvalg, bruk av flere datainnsamlingsmetoder, utvidelse av prosjektperioden eller ny prosjektansvarlig. Ny datainnsamling eller nytt delprosjekt bør som regel meldes i nytt meldeskjema. I paraplyprosjekter er det ofte best med ett meldeskjema for hvert delprosjekt. Forskeren bør da opplyse i meldeskjemaet om prosjektnumre for de tilhørende delprosjektene, og velge titler som viser at meldingene henger sammen. Innmelding på denne måten gir institusjonen god oversikt i Meldingsarkivet. SØRG FOR GOD VEILEDNING AV STUDENTER Studenter som skal samle inn data om enkeltpersoner trenger god oppfølging fra veileder. Veilederen må kjenne reglene for meldeplikt og sørge for at studenten sender meldeskjema på forhånd når det er påkrevd. Veileder og student bør først gjøre en grundig vurdering av om det virkelig er behov for personopplysninger i prosjektet. Loven tillater bare behandling av personopplysninger når det er nødvendig for formålet. Prosjekter skal derfor gjennomføres med anonyme data så fremt det er mulig mht. problemstilling/analyse. Spesielt bør bachelorprosjekter og mindre studentoppgaver utformes slik at de ikke trenger personopplysninger. Studenter som skal behandle personopplysninger trenger opplæring om informasjonssikkerhet på forhånd. Spesielt trenger de veiledning om institusjonen tillater bruk av privat pc, mobiltelefon, minnepenn, skytjenester og epost til innsamling og lagring av personopplysninger. 7
8 Studenter som skal samle inn sensitive personopplysninger eller forske på sårbare grupper trenger ekstra oppfølging fra veileder. Veileder bør sørge for at prosjektopplegget følger forskningsetiske retningslinjer for det aktuelle fagfeltet. INFORMASJONSSIKKERHET GI RETNINGSLINJER Alle personopplysninger som brukes i forskning skal lagres forsvarlig og utilgjengelig for andre. Forskeren har taushetsplikt og skal ivareta deltagernes konfidensialitet. I noen tilfeller kan forskeren innhente tillatelse (f.eks. samtykke) til å dele personidentifiserbare forskningsdata med andre forskere, eller publisere dem. Utover dette skal personopplysninger oppbevares slik at de bare er tilgjengelig for forsker og eventuelt student. Institusjonen har en lovpålagt plikt til å utarbeide retningslinjer for datasikkerhet og formidle disse til alle forskere og studenter. Som hovedregel bør direkte personopplysninger holdes adskilt fra datamaterialet. Personidentifiserbare forskningsdata bør ikke lagres for mange steder om gangen (f.eks. slette fra opptaker når data er overført til pc). Det er viktig at ledelsen tar stilling til hvilke enheter som tillates for innsamling og lagring av forskningsdata. Bruk av usikre enheter som privat/bærbar pc, mobiltelefon, minnepenn, skytjenester og epost er relativt utbredt. Hvis ledelsen velger å tillate dette: Hvilke krav skal stilles til sikkerhet for å forebygge f.eks. datainnbrudd og tap av utstyr? Er det noen typer personopplysninger det ikke er tillatt for (f.eks. sensitive, taushetsbelagte opplysninger)? Flere institusjoner pålegger forskere og studenter å lagre person - identifiserbare data på en egen forskningsserver. Denne kan tilrettelegges for pålogging i felt, slik at data sendes på sikker måte direkte til forskningsserver. En slik løsning er praktisk for forskerne og helt klart å anbefale. IT-avdelingen kan sørge for beskyttelse av forskningsdataene gjennom sikkerhetsinnstillinger, og se til at de anonymiseres når tillatelsene utløper eller prosjektet avbrytes. Lagring på forskningsserver gir dermed institusjonen god kontroll med personopplysningene, både underveis i prosjektene og ved prosjektslutt. 8
9 PERSONVERN ER Å HA OVERSIKT Institusjonen skal sørge for at personopplysninger som brukes til forskning behandles lovlig, forsvarlig og sikkert. NSD Personvern hjelper med dette gjennom forhånds- og etterkontroll av innmeldte forsknings- og studentprosjekter. Men kontrollen NSD utfører kan ikke avdekke alle avvik. NSD kan for eksempel ikke vite om forskere og studenter melder inn alt de skal gjøre, eller om de utfører prosjektet slik de har meldt. Forskningsadministrasjonen, som har bedre kjennskap til forskningsaktiviteten, bør derfor gjøre egne kontroller ved hjelp av Meldingsarkivet. HUSK JEVNLIG SJEKK I MELDINGSARKIVET Forskningsadministrasjonen bør jevnlig gå inn i Meldingsarkivet for å holde oversikt. Rutiner for dette bør implementeres i årshjulet. Ansatte med ansvar for mange/store prosjekter bør gjennomføre flere og mer omfattende kontroller. Men også de som har ansvar for færre prosjekter må følge med for å forebygge og rydde opp i avvik. Det er spesielt viktig å føre tilsyn med prosjekter som behandler sensitive personopplysninger og prosjekter som har konsesjon fra Datatilsynet. KONTROLLÉR AT MELDEPLIKTEN OVERHOLDES Forskningsadministrasjonen har gode forutsetninger for å kontrollere om forskere og studenter faktisk melder alle meldepliktige prosjekter til NSD. Sjekk i Meldingsarkivet om antall prosjekter samsvarer med det reelle antall prosjekter som behandler personopplysninger. Hvis institusjonen (eller underavdelinger) melder færre prosjekter enn de skal, bør forskningsadministrasjonen sørge for bedre informasjon om meldeplikten. KONTROLLÉR AT PROSJEKTENE ER FORANKRET VED INSTITUSJONEN Innmelding av prosjekter er basert på tillit. Den som sender meldeskjema må oppgi navn på institusjon, forsker og eventuelt student. En sjelden gang har det forekommet at institusjonen ikke kan gå god for et innmeldt prosjekt. Det kan være fordi forskeren ikke tilhører institusjonen, fordi en annen institusjon er ansvarlig, eller fordi prosjektopplegget strider med interne retningslinjer. Relativt ofte skjer det at studenter sender inn meldeskjema før prosjektopplegget er godkjent av veileder, eller oppgir veileder ansatt ved en annen institusjon. Forskningsadministrasjonen bør se etter i Meldingsarkivet at forskere og studenter tilhører institusjonen, og at institusjonen kan stille seg bak prosjektene. Hvis noe ikke stemmer, kontakt NSD Personvern, så hjelper vi med å rette feilen. 9
10 KONTROLLER AT FORSKER HAR TILLATELSER OG AT VILKÅR FØLGES OPP Forskeren skal sørge for nødvendige tillatelser til behandling av personopplysninger. Men det øverste ansvaret har institusjonens ledelse. Forskningsadministrasjonen bør derfor gjøre regelmessige kontroller via Meldingsarkivet. Her kan man enkelt hente ut lister over prosjekter for nærmere oppfølging: f.eks. prosjekter som behandler sensitive opplysninger, studentprosjekter og konsesjonspliktige prosjekter. Les igjennom saksdokumentene og kontroller at tillatelsene stemmer med datamaterialet som faktisk samles inn, og hvordan/hvor lenge personopplysninger behandles. Vær oppmerksom på at tillatelsene fra NSD Personvern, Datatilsynet og andre (som registereiere og dispensasjonsmyndigheter) ofte inneholder vilkår. Det kan f.eks. være krav om bedre informasjon til forskningsdeltagerne, om ikke å registrere sensitive opplysninger, eller om å innhente andre tillatelser. Forskeren må følge opp vilkårene og anbefalingene, gjerne i samråd med forskningsadministrasjonen. INFORMASJONSSIKKERHET GJØR RISIKOVURDERINGER Institusjonen skal gi retningslinjer for informasjonssikkerhet til forskere og studenter. I det enkelte forskningsprosjekt skal ansvarlig forsker (eller veileder og student) gjøre risikovurderinger og velge en type lagring som gir tilstrekkelig beskyttelse av data. Lagringsformen skal ta hensyn til hvilken belastning det vil innebære for de registrerte om personopplysningene skulle komme på avveie. Her må man ta utgangspunkt i datamaterialets art og omfang. Det er strengere krav til beskyttelse av sensitive, følsomme og/eller taushetsbelagte data. NSD gir råd og veiledning i saksbehandlingen. Men forskningsinstitusjonen har det juridiske ansvaret for at data sikkerheten er god nok i hvert prosjekt. Derfor anbefaler vi å ta stikkprøvekontroller av enkeltprosjekter i Meldingsarkivet. Gjør gjerne egne risikovurderinger, og kontroller at institusjonens retningslinjer for datasikkerhet følges. RYDD I PROSJEKTER NÅR FORSKER/ STUDENT SLUTTER Når forskere/studenter slutter, sjekk i Meldingsarkivet om de har aktive prosjekter som må ryddes opp i først. Husk å gi beskjed til NSD Personvern. Hvis datamaterialet er anonymisert, skal vi orienteres om det. Hvis persondata lagres videre ved institusjonen, skal det oppnevnes ny daglig ansvarlig. Send endringsmelding, med bekreftelse fra ny og tidligere prosjektansvarlig. Hvis forsker/student skal ta med seg personidentifiserbare forskningsdata til nytt arbeidssted, send endringsmelding med bekreftelse fra ny og tidligere behandlingsansvarlig institusjon (på instituttnivå eller høyere). 10
11 PERSONVERN ER Å FOREBYGGE Når personopplysninger behandles i strid med lov eller institusjonens retningslinjer regnes det som avvik. Det er en fordel for forskeren og institusjonen om avvikene oppdages og ryddes opp internt, fremfor at de avdekkes og sanksjoneres av Datatilsynet. Forskningsadministrasjonen kan oppdage avvik gjennom egne kontroller, eller ved varsel fra NSD Personvern. Det er viktig med gode rutiner for å følge opp avvikene. Oppfølging innebærer både å rydde opp i det konkrete avviket, og å undersøke om internkontrollrutinene bør forbedres for å unngå likende avvik i fremtiden. BRUDD PÅ MELDEPLIKTEN Hvis et forskningsprosjekt er satt i gang uten nødvendig forhåndstillatelse, må melding ettersendes NSD så snart som mulig. Det er nødvendig å skaffe lovlig grunnlag for det som skal skje videre i prosjektet. Når NSD får melding om at datainnsamling er i gang, gir vi råd til forskeren om hvordan eventuelle avvik kan ryddes opp i. Det kan f.eks. være nødvendig å gi ny informasjon til forskningsdeltagerne, innhente nytt samtykke, eller bedre informasjonssikkerheten. Ved stadige brudd på meldeplikten, eller mistanke om undermelding, må virksomheten jobbe systematisk for å forebygge. Forskningsadministrasjonen må skjerpe rutinene for orientering om meldeplikten, og sørge for at alle forskere, veiledere og studenter er kjent med sine plikter. Det bør kontrolleres at antall meldinger stemmer overens med det man kan forvente. Det bør også foretas stikkprøvekontroll av enkeltprosjekter, f.eks. ved å sjekke om forskere og studenter som behandler personopplysninger faktisk har meldt sine prosjekter. TILLATELSER SOM IKKE ER DEKKENDE Hvis tillatelsene for et forskningsprosjekt ikke dekker den faktiske behandlingen av personopplysninger, er det et avvik. Eksempler: Forskeren har innhentet andre typer data enn planlagt (f.eks. sensitive eller taushetsbelagte) uten å sende endringsmelding eller søke dispensasjon fra taushetsplikt. Studenten følger ikke vilkår i tillatelsene, f.eks. om å gi bedre informasjon til deltagerne. Eller forsker lagrer koblingsnøkkel selv, mens konsesjonen sier den skal lagres hos tredjepart. Dette er en type avvik som NSD vanskelig kan avdekke. Ved siden av forskeren, er det forskningsadministrasjonen som har best mulighet til å oppdage det. Det gjøres ved å lese saksdokumenter i Meldingsarkivet og sammenligne tillatelsene med de forskningsdataene som 11
12 faktisk brukes. Avvik følges opp ved å søke nødvendige tillatelser (f.eks. sende endringsmelding), eller ved å oppfylle vilkårene som er gitt i tillatelsene (f.eks. slette sensitive opplysninger, sende ut tilleggs - informasjon til deltagerne, eller oversende koblingsnøkkelen til tredjepart). Samtidig bør internkontrollrutinene skjerpes, ved bedre internopplæring av forskere, prosjektgrupper, veiledere og studenter. PERSONOPPLYSNINGER BEHANDLES ETTER AT TILLATELSER ER UTLØPT NSD Personvern retter alltid en henvendelse til forsker/student ved prosjektslutt. Vi ber da om tilbakemelding på om datamaterialet er anonymisert, eller om det skal lagres videre i personidentifiserbar form. Hvis personopplysninger skal lagres videre, må behandlingen ha lovlig grunnlag. Dette vil NSD Personvern vurdere når vi får statusmeldingen. Hvis prosjektleder ikke svarer, varsler vi institusjonen. Institusjonen har da ansvar for å følge opp saken. Postkassen i Meldingsarkivet gir oversikt over prosjekter med uavklart status. Forskningsadministrasjonen bør sjekke postkassen i Meldingsarkivet med jevne mellomrom, og lese saksdokumentene. Det er viktig å finne ut hva som har skjedd med personopplysningene. Når dette er avklart, skal forskeren eller forskningsadministrasjon gi tilbakemelding til NSD Personvern. Da vil prosjektet markeres med grønt kryss i postkassen. Det er ikke alltid man lykkes med å avklare status for personopplysningene. Da får man ikke ryddet opp i det konkrete avviket. Forskningsadministrasjonen bør likevel sørge for at internkontrollrutinene bedres for å unngå liknende avvik fremover. En vanlig grunn til manglende tilbakemelding, er at forskeren ikke lenger er ansatt ved institusjonen og har glemt å rydde opp i prosjektene sine. Dette kan unngås hvis forskningsadministrasjonen har rutiner for å sjekke Meldingsarkivet hver gang en ansatt skal slutte. Prosjektene overføres da til ny daglig ansvarlig eller ny forskningsinstitusjon, eller forskningsmaterialet anonymiseres. Når studenter som fullfører eller avbryter studiet og glemmer å gi beskjed, kan det være vanskeligere for institusjonen å finne ut hva som har skjedd med personopplysningene. Det gjelder særlig hvis studenten har lagret data på privat pc. Risikoen for ulovlig behandling av personopplysninger etter prosjektslutt minimeres hvis institusjonen pålegger studenter og forskere å lagre personidentifiserbare forskningsdata på en forskningsserver. Da kan IT-avdelingen anonymisere dataene etter at forskeren/studenten har sluttet. 12
13 FOR DÅRLIG INFORMASJONSSIKKERHET Manglende sikkerhetstiltak kan føre til at forskningsdata med personopplysninger kommer på avveie. For dårlig sikring kan være lovbrudd i seg selv, selv om opplysningene ikke tilflyter uvedkommende. Eksempler på sikkerhetsbrudd: En student glemmer minnepinnen med lydopptak på arbeidsplassen der hun har gjort intervjuer. Forskere utveksler ukrypterte helseopplysninger ved hjelp av nettsky/epost. En databehandler har ikke fått instruks om når han skal slette sine kopier av spørreskjema. Hvis dårlig informasjonssikkerhet avdekkes i et konkret prosjekt, bør forskningsadministrasjonen: Undersøke om personopplysninger har kommet på avveie, og i så tilfelle rydde opp i avviket Gi pålegg til forskeren om hvordan persondata skal lagres videre Vurdere om rutiner for informasjonssikkerhet og forsker - opplæring bør forbedres, og i så fall rapportere dette til ledelsen 13
14 PERSONOPPLYSNINGER PÅ AVVEIE Når uautoriserte personer eller virksomheter har fått tilgang til personidentifiserbare forskningsdata, innebærer det brudd på personopplysningsloven. NSD Personvern kan da kontaktes for råd og hjelp. Datatilsynet anbefaler at den ansvarlige virksomheten gjør følgende tiltak: begrense krisen. Utnevn en person som leder krisehånd - teringen, og gjerne en arbeidsgruppe. Innfør strakstiltak for å stoppe eller begrense lekkasjen. Vurder om noen skal varsles umiddelbart (f.eks. nærmeste leder, de berørte, Datatilsynet, politiet). kartlegg hva som har skjedd. Hvor mye og hvilken type informasjon kom på avveie? Om hvem og hvor mange? Hvor identifiserbare og hvor sensitive opplysninger? Hvem var mottagerne? Hvilke skader kan hendelsen medføre? Er det risiko for at informasjon utnyttes/spres videre? Eller har informasjonen kommet til rette? Hvorfor skjedde avviket? Ble informasjonen mistet eller stjålet? Skyldtes det systemfeil eller var det en enkelthendelse? vurder om involverte parter skal varsles. De berørte varsles hvis det er lovpålagt eller det kan begrense videre skade (f.eks. risiko for ID-tyveri, fysisk skade eller ydmykelse). Institusjonen har plikt til å varsle Datatilsynet hvis hendelsen har ført til uautorisert utlevering av konfidensielle personopplysninger. Virksomheten bør vurdere om også andre skal varsles, som samarbeidsinstitusjoner, databehandlere, interesseorganisasjoner eller politiet. 14
15 innfør skadeopprettende tiltak. Få klarhet i hvor informasjonen har lekket og om det er fare for at den er spredd videre (spesielt på Internett). Sett inn målrettede tiltak for å stoppe lekkasjen. Informer aktørene og gi råd om hva de bør gjøre. Forandre identifikatorer (som løpenummer) for å redusere verdien av data på avveie. Bistå de berørte. Koble eventuelt inn Datatilsynet eller politiet for å få hjelp til skadebegrensningen. hindre gjentagelse. Gjør en grundig analyse av hvorfor avviket skjedde. Vurder risikoen for gjentagelse. Gå gjennom virksomhetens internkontrollsystem for å finne ut om rutiner bør forbedres for å hindre liknende avvik fremover. Se spesielt på rutiner for sikkerhet (fysisk og teknisk), opplæring av ansatte, og samarbeidet med andre institusjoner og databehandlere. GOD INTERNKONTROLL HINDRER AVVIK Systematisk arbeid med internkontroll er den beste garantien mot avvik. Det er bedre å bruke ressurser på å forebygge, enn å rydde opp. Ny teknologi og flere registre gir nye muligheter for forskningen. Samtidig kan det skape større fare for spredning, lekkasje og misbruk av personopplysninger. Forskningsinstitusjonene må holde seg oppdatert, og med jevne mellomrom forbedre sine systemer for internkontroll og informasjonssikkerhet. Forskningen skal ha tilgang til personopplysninger når det er behov for det. Men bruken er lovregulert, og skal medføre minst mulig krenkelse av privatlivet til dem det forskes på. Dette er ikke bare den enkelte forskers ansvar. Det er først og fremst institusjonens og ledernes ansvar. NSD Personvern er tilgjengelig for råd og veiledning. 15
16 Personvern gir tillit. ta vare På Personvernet. Norsk samfunnsvitenskapelig datatjeneste AS nsd.no/personvern
GDPR-møte
GDPR-møte 24.01.18 Tema: Dagens avtale og hvilke personverntjenester NSD utfører i dag Hvilke krav stiller GDPR til forskningsinstitusjonene? Hva kan NSD gjøre for forskningsinstitusjonene videre og hvordan
DetaljerForskningsdesign. i tråd med lovverk og forskningsetikk
Forskningsdesign i tråd med lovverk og forskningsetikk NARMA vårkonferanse 2017 Marie Strand Schildmann NSD Norsk senter for forskningsdata AS «Forskere, forskningsinstitusjoner og forskersamfunnet generelt
DetaljerPersonvern i forskning
Personvern i forskning NLA Høgskolen 15. januar 2015 Linn-Merethe Rød, Seniorrådgiver Norsk Samfunnsvitenskapelig Datatjeneste AS Seksjon for personverntjenester 12 saksbehandlere med ulik bakgrunn Personvernombud
DetaljerRETNINGSLINJER FOR BEHANDLING AV SØKNADER OM FORSKNING I KRIMINALOMSORGEN
Kriminalomsorgens sentrale forvaltning RETNINGSLINJER FOR BEHANDLING AV SØKNADER OM FORSKNING I KRIMINALOMSORGEN Innledning Retningslinjene omfatter behandling av søknader om adgang til å rekruttere innsatte/domfelte
DetaljerTilbakemelding på melding om behandling av personopplysninger
Vedlegg 1: NSD-kvittering Wolfgang Schmid Postboks 7800 5020 BERGEN Vår dato: 05.10.2017 Vår ref: 55639 / 3 / BGH Deres dato: Deres ref: Tilbakemelding på melding om behandling av personopplysninger Vi
DetaljerDatabehandleravtale for NLF-medlemmer
Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av
DetaljerHvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015
Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets
DetaljerInformasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt
Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.
DetaljerEndelig kontrollrapport
Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning
DetaljerAvtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)
Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig
DetaljerVarslingsordning for brukere, leverandører og ansatte
Varslingsordning for brukere, leverandører og ansatte 1 Hva er varsling? Å varsle er ikke det samme som å klage. Å varsle er å melde fra om ulovlige, farlige eller andre alvorlige eller kritikkverdige
DetaljerNAV-evaluering. - behandling av personopplysninger. Voksenåsen, Oslo. Personvernombudet for forskning. 23.oktober 2007
NAV-evaluering - behandling av personopplysninger Voksenåsen, Oslo 23.oktober 2007 Instanser å forholde seg til Registerforvalter - SSB - Rikstrygdeverket (melding) Fagdepartementet Arbeidsog inkluderingsdepartementet
DetaljerRollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).
Personvern Det er viktig for oss at du føler deg trygg når du bruker vår nettsider, tisip.no og itfag.no. Derfor legger vi stor vekt på å beskytte ditt personvern. Denne erklæringen forklarer hvordan vi
DetaljerGDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018
GDPR General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018 en grunnleggende kjedelig men absolutt nødvendig innføring for lag og foreninger i Asker
DetaljerMeldeplikt når og hvor?
Meldeplikt når og hvor? KAI VICTOR HANSEN, PHD, MSC NORSK HOTELLHHØGSKOLE UNIVERSITETET I STAVANGER KVH 2015 Innhold Hvilke prosjekter er meldepliktige? Når skal en søknad til NSD og når skal den til Regionaletisk
DetaljerHelseforskningsrett med fokus på personvern
Helseforskningsrett med fokus på personvern Sverre Engelschiøn Helseforskningsrett 2009 Sverre Engelschiøn 1 Tema Nærmere om personvern Hva menes med informasjonssikkerhet? Helseregistre og forskning Helseforskningsrett
DetaljerVarslingsordning for brukere, leverandører og ansatte
Varslingsordning for brukere, leverandører og ansatte 1 Etiske normer og verdigrunnlag Kongsvinger kommune har et eget verdigrunnlag. Kjerneverdiene er livsglede, inkludering, verdsetting, engasjement
DetaljerBehandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11
KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES
DetaljerBehandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned
Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse
DetaljerHelseforskningsloven - intensjon og utfordringer
Helseforskningsloven - intensjon og utfordringer Sverre Engelschiøn Gardermoen, 25. oktober 2010 Intensjonen Fremme god og etisk forsvarlig medisinsk i og helsefaglig forskning Ivareta hensynet til forskningsdeltakere
DetaljerHelseforskningsloven - lovgivers intensjoner
Helseforskningsloven - lovgivers intensjoner Sverre Engelschiøn Oslo, 30. mars 2011 Intensjonen Fremme god og etisk forsvarlig medisinsk og helsefaglig forskning Ivareta hensynet til forskningsdeltakere
DetaljerPersonvernerklæring for Webstep AS
Personvernerklæring for Webstep AS Terminologi «Personopplysninger» Betyr enhver opplysning om en identifisert eller identifiserbar fysisk person. Personopplysninger er typisk navn, adresse, telefonnummer,
DetaljerPersonvern i Røyken Eiendom AS
Personvernerklæring for Røyken Eiendom AS, Org.nr. 982 201 489 info@reas.no Røyken Eiendom AS http://www.reas.no/ Vi henviser også til informasjon på Asker kommunes nettsider: Nye Asker kommune https://www.asker.kommune.no/nye-asker-kommune/
Detaljer29. AUGUST Christer Kleppe Personvernombud Helse Bergen HF, Haukeland Universitetssykehus
FAGDAG FOR KVALITETSREGISTRE 29. AUGUST 2016 Christer Kleppe Personvernombud Helse Bergen HF, Haukeland Universitetssykehus PERSONVERNOMBUDET Personvernombudet er en frivillig ordning administrert av Datatilsynet
DetaljerPersonvern, studentoppgaver og undervisning. Johannes Elgvin April 2019
Personvern, studentoppgaver og undervisning Johannes Elgvin April 2019 Personvern hva er det? Retten til privatliv en menneskerettighet Vi eier opplysninger om oss selv, og vi skal kunne ha kontroll over
Detaljer102 Definisjoner og forklaringer
Retningslinjer for vern og utveksling av og helsesdata Regulert av lovverk: Personopplysningsloven, Helsesloven, Forskningsetikkloven Definisjoner og forklaringer er inndelt i kategoriene Personopplysninger,
DetaljerVedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)
Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold
DetaljerPOWEL DATABEHANDLERAVTALE
POWEL DATABEHANDLERAVTALE mellom Powel AS. Behandlingsansvarlig og «Navn på selskap». Databehandler Innhold 1 Formålet med Databehandleravtalen... 3 2 Definisjoner... 3 3 Formål med behandlingen... 3 4
DetaljerRUTINER FOR BEHANDLING AV PERSONOPPLYSNINGER I FORSKNINGS- OG STUDENTPROSJEKTER VED NORGES IDRETTSHØGSKOLE
26. november 2007 RUTINER FOR BEHANDLING AV PERSONOPPLYSNINGER I FORSKNINGS- OG STUDENTPROSJEKTER VED NORGES IDRETTSHØGSKOLE 0. Kontaktpersoner ved spørsmål Spørsmål vedrørende denne rutine kan rettes
DetaljerE-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
DetaljerKontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer
Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein
DetaljerDatabehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"
Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes
DetaljerGDPR - Personvern
Eid Elektro AS skrevet ut av Ove Kjøllesdal 3/9/18 15:37:31 00.110 GDPR - Personvern Hensikt Personopplysningslovens bestemmelser gir de overordnede rammene for behandling av personopplysninger. Prosedyren
DetaljerKiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg
KiNS seminar for fylkeskommunene 2019 Databehandleravtaler Datatilsynet ved seniorrådgiver Ragnhild Castberg Bakgrunn for nytt personvernregelverk Lik behandling innenfor hele EU/EØS Styrke de registrertes
DetaljerDatabehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.
I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale mellom xxx (behandlingsansvarlig) og Eigersund kommune (databehandler) Innhold 1. Om
DetaljerDatabehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS
Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS Innhold Avtalens hensikt...3 Formål...3 Behandlingsansvarliges plikter...4 Databehandlers plikter...4 Bruk av underleverandør...4 Avtale med
DetaljerPersonvernerklæring. Nettbasert behandling av personopplysninger
Personvernerklæring Nettbasert behandling av personopplysninger Denne Personvernerklæringen gjelder for behandlingsansvarlige nettsider som samles inn på www.jatak.no Jatak medlem Alfa Tre Jæren AS 921760515,
DetaljerInnherred samkommune. Levanger kommunes tiltak til kravene i Personopplysningsloven. Orientering ved Personvernombudet. 1www.innherred-samkommune.
Innherred samkommune 1www.innherred-samkommune.no Levanger kommunes tiltak til kravene i Personopplysningsloven Orientering ved Personvernombudet Personopplysningsloven med forskrift 2www.innherred-samkommune.no
DetaljerBrudd på personopplysningssikkerheten
Brudd på personopplysningssikkerheten Hva skal vi snakke om? 1 2 3 4 Hva er brudd på personopplysningssikkerheten? Eksempler på avvik meldt til Datatilsynet Prosessen for å behandle avvik Personvernombudets
DetaljerVEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold
VEILEDER GDPR PERSONVERN DEL 2 - personopplysninger utover ansatteforhold Nye krav fra 20. juli 2018 Forordningen ble norsk lov og den gjeldende loven ble erstattet. Det nye lovverket styrker forbrukernes
DetaljerLagring av forskningsdata i Tjeneste for Sensitive Data
AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER Lagring av forskningsdata i Tjeneste for Sensitive Data Tekst i kursiv skal fjernes og erstattes med relevant tekst, evt. velges ett av flere alternativer. 1
DetaljerRevisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer
Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer Mottaker: Kunnskapsdepartementet Revisjonen er en del av Riksrevisjonens kontroll av disposisjoner i henhold til lov om Riksrevisjonen
DetaljerAVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER
AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER (HERETTER OMTALT SOM «AVTALEN») Databehandleravtale for drift
DetaljerDatabehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden
Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden (behandlingsansvarlig) og Norsk Byggtjeneste AS ( databehandler) Revidert
DetaljerHelseforskningsrett. Sverre Engelschiøn
Helseforskningsrett Sverre Engelschiøn Nærmere om personvern Hva menes med informasjonssikkerhet? Helseregistre og forskning Individets interesse i å utøve kontroll med den informasjonen som beskriver
DetaljerEndelig kontrollrapport
Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig
DetaljerGDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016
GDPR The General Data Protection Regulation Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016 Personloven basert på 1995 vs 2016 Eus direktiv Det har skjedd mye innen teknologien på 20 år,
DetaljerRollefordeling og begrepsforståelse ved UiO etter nytt personvernregelverk
Rollefordeling og begrepsforståelse ved UiO etter nytt personvernregelverk NARMA vårkonferanse 2019 Maren Magnus Voll Personvernombud UiO en stor virksomhet GDPR et kjent regelverk Ca. 13 000 årsverk Ca.
Detaljer*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.
Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier
DetaljerSkytjenester. Forside og Databehandleravtale. Telenor Norge
Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976
DetaljerEndelig kontrollrapport
Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerOrientering om arbeidsgruppe - implementering av ny helseforskningslov
Orientering om arbeidsgruppe - implementering av ny helseforskningslov IT-forum 20.05.2010 IT-forum 20. mai 2010 Arbeidsgruppens sammensetning Prorektor Berit Rokne (leder) Prodekan Robert Bjerknes, MOF
DetaljerInnledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten
Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter
DetaljerKommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerBilag 14 Databehandleravtale
Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerPerspektiver og planer ved Universitetet i Oslo
Perspektiver og planer ved Universitetet i Oslo Nye personvernregler Maren Magnus Jegersberg Juridisk seniorrådgiver UiO Personvern handler om retten til et privatliv og retten til å bestemme over egne
DetaljerKontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger
Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerProsedyre for personvern
Formål: Hensikten med denne prosedyren er å sørge for samsvar med relevant regelverk for vern av personopplysninger. Prosedyren skal også sikre styring, gjennomføring og kontroll av hvordan selskapet håndterer
DetaljerGDPR - PERSONVERN. Advokat Sunniva Berntsen
GDPR - PERSONVERN Advokat Sunniva Berntsen Hvorfor personvern? Viktig i et demokratisk samfunn EMK artikkel 8 Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2.
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Kompetanse Norge Behandlingsansvarlig og xx Databehandler 1 1. Avtalens hensikt
DetaljerPolicy for personvern
2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...
DetaljerNy EU-forordning: informasjonssikkerhet. Tommy Tranvik
Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling
DetaljerLærerstudenter, forskning og bacheloroppgaven: Lærerstudenter som forskere?
Lærerstudenter, forskning og bacheloroppgaven: Lærerstudenter som forskere? Prof. em. Sidsel Lied Landskonferansen for studie- og praksisledere Hamar 11.mai 2016 To viktige presiseringer 1. Når lærerstudenter
DetaljerEndelig Kontrollrapport
Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning
DetaljerKommentarer til mørketallsundersøkelsen og visjoner for Datatilsynet
Kommentarer til mørketallsundersøkelsen og visjoner for Datatilsynet Bjørn Erik Thon direktør 23.09.2010 Side 1 Dagens tekst - Kort om Datatilsynet - Kommentarer til undersøkelsen - Supplering: Hva vi
DetaljerInstruks for personvernombud ved OsloMet
Instruks for personvernombud ved OsloMet Instruks 01.02.2019 Fastsatt av: HR-direktøren Side 1 av 6 1. Innledning Instruks for personvernombudet ved OsloMet storbyuniversitetet, definerer rolle, ansvar
DetaljerNINAs personverndokument
NINAs personverndokument Opprettet: Juni 2018 Sist oppdatert: 1. OM PERSONVERNDOKUMENTET... 1 2. ANSVAR FOR BEHANDLING AV PERSONOPPLYSNINGER HOS OSS... 1 3. GRUNNKRAV FOR BEHANDLING AV PERSONOPPLYSNINGER...
DetaljerVEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE
VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler
DetaljerFÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE
FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE Start din reise mot å etterleve de nye personvernreglene INTRODUKSJON I mai 2018 innføres ny personvernlovgivning i Norge. Disse har vært mye omtalt, både som de
DetaljerOM PERSONVERN TRONDHEIM. Mai 2018
OM PERSONVERN TRONDHEIM Mai 2018 HVORFOR ER VI HER? Ny lovgivning Alle snakker om GDPR Rundreise i alle avdelinger Overordnet innføring i regelverket Hva skjer i NHN Hva skjer med Normen OVERSIKT OVER
DetaljerPersonvernerklæring. Nettbasert behandling av personopplysninger
Personvernerklæring Nettbasert behandling av personopplysninger Denne Personvernerklæringen gjelder for Behandlingsansvarlige Nettsider som samles inn på www.jatak.no Jatak Fræna AS 945 735 406, ved daglig
DetaljerLagring av forskningsdata i Tjeneste for
AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER Databehandleravtale Lagring av forskningsdata i Tjeneste for Sensitive Data 1 l 1. Avtalens parter 1.1 Parter Avtalen inngås mellom databehandlingsansvarlig:
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerKetil Øyesvold Melhus Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN
Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN Dette dokumentet beskriver hvordan oppfyller kravene i personopplysningsloven og EUs personvernforordning, GDPR. Versjon 1 04.12.2018 Innhold
DetaljerRigorøs evaluering EVALUERINGSPLAN KAN INNEHOLDE ROLLER I EVALUERINGEN FORBEREDELSE
Notat til IMT 1431 Designmetoder. Anders Fagerjord, tirsdag 25. november 2014 Rigorøs evaluering EVALUERINGSPLAN KAN INNEHOLDE 1: Målsetninger og formål for evalueringen overblikk over planen Hva som skal
DetaljerDatabehandleravtaler
Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7
DetaljerPersonvern - sjekkliste for databehandleravtale
ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)
DetaljerKonkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale
Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerVarslingsrutiner ved HiST
Varslingsrutiner ved HiST Innledning Denne rutinebeskrivelsen tar utgangspunkt i Fornyings- og administrasjonsdepartementets retningslinjer for utarbeidelse av lokale varlingsrutiner i statlige virksomheter.
DetaljerBehandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold
Behandling av personopplysninger DIGITAL ARENA BARNEHAGE 2018 Tone Tenold PERSONVERN - grunnleggende prinsipper Personvern handler om retten til privatliv og retten til å bestemme over sine egne personopplysninger.
DetaljerNye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen
Nye personvernregler fra mai 2018 - Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen Bakgrunn Ny personvernforordning vedtatt i EU 14. april 2016 Trer i kraft
DetaljerDatabehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021
Kapittel 9 Versjon 1.0 24.05.2019 Databehandleravtale Side 1 av 10 Innhold Databehandleravtale... 3 1 Avtalens hensikt... 4 2 Definisjoner... 4 3 Formål og rettslig grunnlag... 4 3.1 Formål... 4 3.2 Rettslig
DetaljerNorm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Personvernombud Støttedokument Faktaark nr. 35 Versjon: 2.1 Dato: 15.12.2010 Målgruppe Dette faktaarket er spesielt relevant for: Ansvar
DetaljerMed forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.
Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for
DetaljerPersonopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson.
Personvern Murmestrene Fjeldheim & Knudsen AS fokuserer på å ivareta og beskytte personers personopplysninger og behandler personopplysninger i samsvar med den til enhver tid gjeldende lovgivning. Dette
DetaljerPlanlegging og gjennomføring av brukerundersøkelser
Planlegging og gjennomføring av brukerundersøkelser overfor etatens brukere Operativ sikkerhetsdokumentasjon Fokusområde Personvern og taushetsplikt Sikkerhetskrav Personopplysninger skal primært innhentes
DetaljerDatabehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle
Databehandleravtale Denne avtalen ("Databehandleravtalen") inngås som et tillegg til avtale om lisens og bruk av Styreplan og andre produkter og tjenester fra Systemfabrikken AS ("Tjenesteavtalen"), og
DetaljerVedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale
Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike 2019 Basert på Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering
DetaljerEndelig kontrollrapport
Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi
DetaljerAVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)
AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016, Artikkel 28 og 29, jf. Artikkel
DetaljerPersonvern og FS på UiO. FS-Brukerforum
Personvern og FS på UiO FS-Brukerforum FS og personvern på UiO Noen hendelser de siste årene har vist at det er svært viktig å ha fokus på personvern så ikke opplysninger kommer på avveie. UiO sin FS-database
DetaljerNoen refleksjoner rundt etikk og personvern ved planlegging og gjennomføring av ungdomsundersøkelser
Noen refleksjoner rundt etikk og personvern ved planlegging og gjennomføring av ungdomsundersøkelser Tilmann von Soest, NOVA E-post: tvs@nova.no Det er viktig med forskning på barn og ungdom, fordi: Barn
DetaljerEndelig kontrollrapport
Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand
DetaljerVedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016
Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
DetaljerPERSONVERNERKLÆRING OG RETNINGSLINJER FOR BRUK AV INFORMASJONSKAPSLER
PERSONVERNERKLÆRING OG RETNINGSLINJER FOR BRUK AV INFORMASJONSKAPSLER BAKGRUNN: The Warranty Group forstår at personvernet ditt er viktig for deg, og at du bryr deg om hvordan personopplysningene dine
DetaljerPersonvern i Falck Helse
Personvern i Falck Helse Vi Falck Helse er opptatt av at du som deltaker skal ha tillit til oss. Derfor er vi blant annet opptatt av å ivareta ditt personvern. Alle dine personopplysninger skal være trygge
DetaljerAvviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Avviksbehandling Støttedokument Faktaark nr 8 Versjon: 5.1 Dato: 11.12.2018 Formål Formålet med avviksbehandling er å: Håndtere sikkerhetsbrudd
DetaljerVelferdsteknologi og personvern. Camilla Nervik, Datatilsynet
Velferdsteknologi og personvern Camilla Nervik, Datatilsynet Datatilsynet http://itpro.no/artikkel/20499/vipps-deler-din-kundeinformasjon-medfacebook/ http://e24.no/digital/undlien-vil-skape-medisiner-tilpasset-dine-gener-uioprofessor-vil-digitalisere-genene-dine/23608168
DetaljerPERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond
PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond Når du er i kontakt med stiftelsen Prinsesse Märtha Louises Fond kan
Detaljer