Perspektiver og planer ved Universitetet i Oslo Nye personvernregler Maren Magnus Jegersberg Juridisk seniorrådgiver UiO
Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger. Grunnleggende menneskerett: Grunnloven Den europeiske menneskerettskonvensjonen (EMK) Lånt fra www.datatilsynet.no 28.11.2017 3
Hvem behandler UiO personopplysninger om? Studenter - Ca. 28 000 Ansatte Ca. 7500 Tredjepart Deltakere i forskningsprosjekt Gjester (Studenter, forskere, konferansedeltakere osv.) Tilfeldige besøkende (både fysisk, men også digitalt) 4
Ansvaret Behandlingsansvarlig «bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal brukes» Databehandler «behandler personopplysninger på vegne av den behandlingsansvarlige» 28.11.2017 5
Hentet fra www.nrk.no 28.11.2017 6
Konsekvenser av brudd på personvernet Krenkelse av enkeltpersoners personvern Identitetstyveri Økonomisk tap Ydmykelse Tap av karrieremuligheter Omdømmetap Skade på driftsmiljø med redusert leveranseevne Økonomiske tap Erstatningskrav Bøter fra Datatilsynet 28.11.2017 7
Innebygd personvern Forordningen kodifiserer (lovfester) kravene til innebygget personvern: 1. Forebygg fremfor å reparere 2. Gjør personvern til standardinnstilling 3. Bygg personvernet inn i designet 4. Begrenset tilgang og kryptering 5. Pseudonymisering/anonymitet 6. Informasjonssikkerhet fra start til slutt 7. Transparens - åpenhet og informasjon 8. Respektere brukerens personvern 28.11.2017 8
Håndtering ved UiO Utdannings- og forskningsinstitusjon som behandler mye personopplysninger Har vist seg utfordrende å ha en komplett oversikt Stort fokus på både personvern og IT-sikkerhet lenge Vi har mange og gode rutiner på plass i dag 28.11.2017 9
Håndtering ved UiO høst 2017/vår 2018 Det må gjøres et stykke arbeid for å sikre at vi overholder nye og strengere krav innen mai 2018 Krever innsats fra flere ulike aktører ved UiO tverrfaglig Både på ledelses- og operativt nivå Organisert som et UiO-prosjekt under universitetsdirektøren 28.11.2017 10
Prosjektets mål Utrede hvordan ny personvernforordning vil påvirke UiOs behandling av personopplysninger Identifisere: Krav, plikter og behov Behov for presiseringer og/eller endringer i ansvarsområde Identifisere eventuelle tekniske og andre organisatoriske tiltak 28.11.2017 11
Gjennomgå UiOs personvernsstrategi og foreslå revisjon som er i tråd med GDPR, herunder gjennomgå: Klassifisering av data Oversikt dataflyt Oversikt over grupper registrerte Internkontroll inkludert datasikkerhet 28.11.2017 12
Gjennomgå UiOs prosedyrer for etterlevelse av GDPR og foreslå endringer og /eller nye prosedyrer Personvernerklæring Samtykke De registrertes rettigheter Tilgangsprosedyrer Databrudd Risiko- og sårbarhetsanalyser Overføring av personopplysninger Databehandleravtaler Overføring utenfor EU/EØS 28.11.2017 13
Overlevere revidert personvernsstrategi med tilhørende rutiner til UiOs ledelse og systemeiere ved UiO Informere om kravene etter ny forordning og nye, vedtatte retningslinjer ved UiO Følge opp systemeierne i etterkant for å sikre at nye retningslinjer blir implementert og at eierskap er riktig plassert 28.11.2017 14
Personvernkonsekvensanalyse Foreta personvernkonsekvensanalyse av UiOs personopplysninger Utarbeide retningslinjer for når og hvordan slike analyser skal gjennomføres Utarbeide malverk 28.11.2017 15
Personvernombud Gjennomgå UiOs ordning for personvernombud og sikre at den er i tråd med GDPRs krav til ordningen. Foreslå eventuelle nødvendige endringer. Må involveres Skal få ressurser og tilgang Skal ha mulighet til å opprettholde kunnskap Skal ikke motta instrukser eller straffes Skal rapportere til høyeste ledelsesnivå Må ikke ha andre oppgaver som fører til interessekonflikt 28.11.2017 16
Forutsetninger for vellykket prosjekt ved UiO Forankring Involvering Informasjon Opplæring 28.11.2017 17
Gode råd på veien Benytt anledningen til å få ledelsen med på å sette fokus på personvern Se på det som et konkurransefortrinn Viktig å bygge en sikkerhetskultur Tenk innebygd personvern i alle prosesser 28.11.2017 18
28.11.2017 19
Spørsmål? juristene@usit.uio.no 28.11.2017 20