Planlegging og gjennomføring av brukerundersøkelser

Like dokumenter
Melde- og konsesjonsplikt for etatens behandlinger av personopplysninger

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Innsynsrett - Brukers rett til innsyn

Oppsummering og råd til eksamen. DR1010 Personvern i offentlig forvaltning Vår 2011 Mona Naomi Lintvedt

Retningslinjer for databehandleravtaler

Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene

Informasjon om bruk av personnummer i Cristin-systemet

Adressemekling. Innhold INNLEDNING AKTØRENE

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Diabetesforbundet. Personvernerklæring

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

Databehandleravtale etter personopplysningsloven

Andreas Heffermehl, Taushetsplikt og personvern

Databehandleravtale for NLF-medlemmer

102 Definisjoner og forklaringer

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Databehandleravtaler

RETNINGSLINJER FOR BEHANDLING AV SØKNADER OM FORSKNING I KRIMINALOMSORGEN

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

NAV-evaluering. - behandling av personopplysninger. Voksenåsen, Oslo. Personvernombudet for forskning. 23.oktober 2007

PERSONVERNERKLÆRING FORUM SECURITIES AS

Taushetsplikt og kommunikasjonsadgang

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Bilag 14 Databehandleravtale

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Informasjon interesseorganisasjoner

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

GDPR HVA ER VIKTIG FOR HR- DATA

BEHANDLING AV PERSONOPPLYSNINGER

Policy for personvern

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Her får du få svar på sentrale spørsmål knyttet til vurderingsarbeidet. Teksten er ikke uttømmende, men ment som en hjelp i arbeidet.

Endelig kontrollrapport

Personvernerklæring for medlemmer

Personvernerklæring Stendi

Databehandleravtale etter personopplysningsloven

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Kriminalomsorgen. Taushetserklæring

PERSONVERNERKLÆRING. Innledning

Vår ref: 09/4568 /TLB

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Innføring av og bruk av databehandleravtale for tiltaksarrangører som leverer arbeidsrettede tiltak til NAV.

Offentleglova og åpne data

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Forte Fondsforvaltning AS personvernerklæring

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Personvern og informasjonssikkerhet

Veileder for behandling av personopplysninger og informasjonssikkerhet i idretten

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom

Endelig kontrollrapport

Personvern i forskning

Nytt personvernregelverk på 1-2-3

RETNINGSLINJER FOR IDRETTENS DATABEHANDLING

POWEL DATABEHANDLERAVTALE

Avtale om bruk av Modia Arbeidsrettet Oppfølging for deltakere i Kvalifiseringsprogrammet

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

Generelle regler om behandling av personopplysninger i Eika Forsikring AS

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Begrensninger i innsynsrett. DRI mars 2011 Jon Berge Holden

Nye personvernregler

Taushetsplikt og andre begrensinger i tilgang til personopplysninger. DRI mars 2014 Jon B. Holden

Endelig kontrollrapport

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Ombudets uttalelse. Sakens bakgrunn september 2012 oppsøkte A NAV-kontoret på Stovner.

Juridisk regulering av helseregistre brukt til kvalitetssikring og forskningsformål

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Lov om arbeids- og velferdsforvaltningen (arbeids- og velferdsforvaltningsloven)

Personvern og FS på UiO. FS-Brukerforum

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

GDPR FOR EIENDOMSSELSKAPER

Hva er en behandling av personopplysning Alle handlinger som utføres med personopplysninger. Eksempel på handlinger: *lagring av opplysninger

Personvernerklæring. Nettbasert behandling av personopplysninger

Transkript:

Planlegging og gjennomføring av brukerundersøkelser overfor etatens brukere Operativ sikkerhetsdokumentasjon Fokusområde Personvern og taushetsplikt Sikkerhetskrav Personopplysninger skal primært innhentes fra den enkelte bruker for å sikre kvaliteten i opplysningene og for å ivareta aktiv brukermedvirkning INNHOLDSFORTEGNELSE 1. HENSIKT... 2 1.1 HVILKE BRUKERUNDERSØKELSER OMFATTES... 2 1.2 AVGRENSNINGER... 2 2. FORVALTNING OG UTFØRING AV RETNINGSLINJEN... 2 3. BESKRIVELSE AV RETNINGSLINJEN... 2 3.1 BEHANDLINGSGRUNNLAG OG KRAV TIL SAMTYKKE... 2 3.2 KRAV TIL INFORMASJON TIL ALLE DELTAKERE I BRUKERUNDERSØKELSEN... 3 3.3 KRAV TIL GJENNOMFØRING HERUNDER EV PURRINGER, BRUK OG PUBLISERING... 3 3.4 KRAV TIL AVTALER MED DATABEHANDLERE... 4 4. RETTSLIG UTGANGSPUNKT FOR BRUKERUNDERSØKELSER... 4 4.1 FORHOLDET TIL TAUSHETSPLIKTEN... 4 4.2 FRIVILLIG DELTAKELSE SAMTYKKE... 4 4.3 FORHOLDET TIL KONSESJON/MELDEPLIKT ETTER PERSONOPPLYSNINGSLOVEN... 5 Fokusområde Personvern og taushetsplikt Side 1

1. HENSIKT Formålet med dokumentet er å gi en oversikt over de krav som stilles til personvern og taushetsplikt ved planlegging og gjennomføring av brukerundersøkelser. 1.1 Hvilke brukerundersøkelser omfattes Det er et stort behov for kunnskap om hvordan etatens brukere opplever ulike sider ved etatens oppgaveløsing. I forbindelse med brukerundersøkelser er det to hovedtyper uttrekk: o Utvalg som er trukket blant hele befolkningen o Utvalg som er trukket blant etatens brukere, dvs. fra arbeids- og velferdsetatenes registre Sistnevnte gruppe stiller størst krav til planlegging fra etatens side for å sikre at forholdet til taushetsplikt og personvern blir ivaretatt på best mulig måte. Kravene i dokumentet retter seg derfor i hovedsak mot denne typen undersøkelser. Videre gjelder kravene i de tilfeller der det innhentes synspunkter fra den som spørres og der det er aktuelt å koble på informasjon fra våre registre, som for eksempel aldersgruppe, kjønn, landsdel, hvorvidt mottaker har stønad til livsopphold eller har utgiftsdekning etc. 1.2 Avgrensninger Det presiseres at kravene her kun gjelder o brukerundersøkelser overfor etatens brukere. For brukerundersøkelser overfor arbeidsgivere, leger, andre behandlere, interesseorganisasjoner og andre samhandlingspartnere brukes disse retningslinjene så langt de passer. o brukerundersøkelser som helt og fullt utføres for å dekke etatens behov. Det vil si at samarbeidsprosjekter med andre forskningsinstitusjoner må behandles etter reglene for forskningsprosjekter, se bl.a. rundskriv til forvaltningslovens kap III, avsnittet om 13d. 2. FORVALTNING OG UTFØRING AV RETNINGSLINJEN Retningslinjen forvaltes av Sikkerhetsseksjonen og utføres av medarbeidere som skal gjennomføre en brukerundersøkelse som gjelder etatens brukere. 3. BESKRIVELSE AV RETNINGSLINJEN 3.1 Behandlingsgrunnlag og krav til samtykke 1. En brukerundersøkelse må dekke etatens behov for kunnskap om brukeropplevelsene. Det kreves at brukeren gir sitt samtykke til deltakelse. Samtykke må være frivillig, informert og uttrykkelig, se operativt sikkerhetsdokument Samtykke som behandlingsgrunnlag. 2. Konsesjon eller meldeplikt må være oppfylt før behandling av personopplysninger tar til. Se operativt sikkerhetsdokument Melde- og konsesjonsplikt for etatens behandling av personopplysninger. Fokusområde Personvern og taushetsplikt Side 2

3. Ved eventuelle ønsker om uttrekk gjennom samkjøring av for eksempel NAVs registre og andre etaters eller kommuners registre, må Sikkerhetsseksjonen kontaktes. Gjennomføring av brukerundersøkelser uten gyldig behandlingsgrunnlag er ulovlig. Det samme gjelder dersom konsesjons- eller meldeplikt ikke er overholdt. Dette vil i så fall skade etatens anseelse. 4. Den som er fagansvarlig for undersøkelsen må påse at behandlingen har tilstrekkelig behandlingsgrunnlag og at konsesjons- eller meldeplikt er oppfylt. Dette må være på plass før behandlingen tar til. 3.2 Krav til informasjon til alle deltakere i brukerundersøkelsen Alle potensielle deltakere i brukerundersøkelsen skal få informasjon om o bakgrunn og formål med undersøkelsen o hvem som gjennomfører undersøkelsen o hvilke opplysninger som inngår i undersøkelsen o hvordan undersøkelsen gjennomføres og hvem som får tilgang til opplysningene o hvordan resultatene fra undersøkelsen skal publiseres o lagring, oppbevaring og makulering av opplysningene som fremkommer o at det er frivillig å delta og at det er mulig å trekke seg underveis o at spørsmål om deltagelse eller ikke, ikke har noen betydning for eventuelle rettigheter fra NAV o at etaten ikke får vite hvem som har deltatt o at resultatene fra den enkelte ikke blir kjent for etaten 3.3 Krav til gjennomføring herunder ev purringer, bruk og publisering 1. Førstegangs henvendelse skal alltid skje fra NAV. 2. Opplysninger må ikke fremkomme på slik måte at det er fare for identifisering av enkeltpersoner. Dette gjelder i alle faser av undersøkelsen også ved publisering. 3. I et utvalg på fem personer eller færre vil det alltid være fare for personidentifisering. 4. Detaljerte brukerundersøkelser kan innebære utilsiktet personidentifisering både av brukere og medarbeidere. 5. Undersøkelser må ikke planlegges eller gjennomføres slik at krav til personvern og/eller taushetsplikt brytes. 6. Det skal skje en etterfølgende sletting av personidentifiserende informasjon. 7. Eventuelle purringer skal gjennomføres slik at purringen ikke omfatter de som har svart eller legger opp til en løsning der det er mulig å koble informasjon som gir kunnskap om hvem som har svart hva. 8. Innhentet materiale skal tilbakeleveres eller slettes etter utført oppdrag hos databehandler. Dette betyr at opplysningene ikke kan bearbeides uten tillatelse fra NAV. Ved eventuell gjenbruk må NAV kontaktes, jf pkt 4.1. 9. I utgangspunktet bør brukerundersøkelser gjennomføres skriftlig. Dette inkluderer også elektroniske undersøkelser via web såfremt det foreligger tilstrekkelige sikringstiltak. 10. Som hovedregel skal det i forkant innhentes et aktivt samtykke fra bruker dersom det skal foretas telefonbaserte brukerundersøkelser som gjelder den enkelte brukers stønadsforhold. Hvis brukerundersøkelsen derimot er av generell karakter kan det være aktuelt å Fokusområde Personvern og taushetsplikt Side 3

gjennomføre telefonintervjuer uten at det innhentes samtykke først. Se nærmere veiledning i punkt 4.2 nedenfor. 3.4 Krav til avtaler med databehandlere Etaten kan kjøpe tjenester fra eksterne leverandører til å gjennomføre hele eller deler av en brukerundersøkelse. Før oppdraget påbegynnes må det foreligge en databehandleravtale som blant annet regulerer roller og ansvar, og hvorledes personopplysninger skal behandles på en sikker måte. Se operative retningslinjer Retningslinjer for databehandleravtaler og Databehandleravtale MAL. Det er viktig å gi etatens brukere informasjon om at den eksterne leverandøren behandler personopplysningene på vegne av NAV og er underlagt taushetsplikt. 4. RETTSLIG UTGANGSPUNKT FOR BRUKERUNDERSØKELSER 4.1 Forholdet til taushetsplikten Taushetsplikten gjelder opplysninger om personlig forhold, herunder fødested, fødselsdato, personnummer, statsborgerforhold, sivilstand, yrke, bosted og arbeidssted, jf. arbeids- og velferdsforvaltningsloven 7 og forvaltningsloven 13. Innhentede opplysninger kan kun brukes til det formålet de er innhentet for, jf. personopplysningsloven 11 og forvaltningsloven 13b nr 2. Det må derfor foreligge et hjemmelsgrunnlag hvis en ønsker å kontakte bruker med tanke på gjenbruk av tidligere innhentede opplysninger. Av hensyn til offentlig forvaltning er det gjort unntak fra taushetsplikten slik at opplysningene blant annet kan brukes til intern utredning, jf. forvaltningsloven 13b nr 4. Etaten kan gjenbruke registerdata til utredningsformål, herunder gjøre uttrekk til gjennomføring av brukerundersøkelser. 4.2 Frivillig deltakelse samtykke Hvorvidt den enkelte bruker ønsker å delta eller ikke, er opp til den enkelte. Den videre behandling av opplysningene som gis i forbindelse med en brukerundersøkelse skal basere seg på samtykke fra den det gjelder. Samtykket fra bruker må være en frivillig, utrykkelig og innformert erklæring om at man ønsker å delta, jf. personopplysningslovens krav til et gyldig samtykke 2 nr. 7. Det er vanlig å utføre markeds- og opinionsundersøkelser ved telefonintervjuer. Denne formen for undersøkelser er rask og når frem til mange. Ulempene er at deltageren får liten tid til å vurdere om han eller hun ønsker å delta i undersøkelsen. Det er vanskelig å sikre at vedkommende får tilstrekkelig informasjon om undersøkelsen, hvordan informasjonen skal brukes og at bruker faktisk forstår all informasjonen. Brukerne får videre liten tid på seg før de må svare. En stor andel av våre brukere er gamle, syke eller uføre og derved sårbare grupper. De opplysningene etaten sitter inne med om den enkelte er meget sensitive og det er derfor viktig at vedkommende har tillit til at etaten forvalter disse opplysningene på en forsvarlig måte. Noen ønsker ikke å bli oppringt i det hele tatt, andre vil kunne oppleve det som krenkende å bli Fokusområde Personvern og taushetsplikt Side 4

oppringt og spurt ut om sitt forhold til NAV. Selv om spørsmålene i utgangspunktet er nøytrale og rettet mot etatens service, vil det fra enkelte brukere lett kunne oppfattes som om man spørres ut om stønadssaken sin. Det er derfor viktig at både type spørsmål og målgruppe vurderes nøye i forhold til fremgangsmåte og metodevalg. Førstekontakten med bruker skal komme fra etaten selv og ikke fra databehandler for oppdraget. Valg av metode, type utvalg/målgruppe og type tema og spørsmål ses i sammenheng og fremgangsmåte velges deretter. 4.3 Forholdet til konsesjon/meldeplikt etter personopplysningsloven Etaten baserer sin behandling av personopplysninger på meldinger i henhold til personopplysningsloven. Meldingene er registrert i Datatilsynets meldingsdatabase som er offentlig tilgjengelig på Datatilsynets nettsider. Det finnes også en oversikt over NAVs meldinger i vedlegg 1 til den operative retningslinjen Melde og konsesjonsplikt for etatens behandling av personopplysninger. Ved nye brukerundersøkelser må den fagansvarlige for undersøkelsen vurdere om NAVs aktuelle melding(er) er tilstrekkelig(e) eller om det er behov for en endringsmelding eller en ny melding, alternativt søke Datatilsynet om konsesjon. Dersom den som er ansvarlig for gjennomføringen er i tvil hvorvidt det er behov for en endring i meldingen eller ikke, må Sikkerhetsseksjonen kontaktes. Fokusområde Personvern og taushetsplikt Side 5

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding