Droppe til innhold

Mitt arbeidsforhold

Mitt arbeidsforhold

Helse, miljø og sikkerhet / Sikkerhet

Personvernrutiner

Personopplysninger kan være bilde, video, lydopptak eller tekst. Alle som behandler opplysninger på vegne av OsloMet skal kjenne rutinene og følge dem.

GDPR - hva betyr det for deg

Lurer du på hva GDPR har å si for deg i din hverdag? Se nettside om hva du bør tenke på når du behandler personopplysninger og lenker til nyttig informasjon og kurs.

Personvernerklæring

Denne personvernerklæringen handler om hvordan OsloMet samler inn og bruker personopplysninger.

Melding til personvernombudet

I forskning

Etter ikrafttredelse av ny personopplysningslov fungerer Norsk senter for forskningsdata (NSD) som personvernrådgiver i forskning og vurderer behandlingsgrunnlag (lovligheten) og informasjonssikkerheten til personopplysninger i forskningsprosjekter på vegne av OsloMets personvernombud.

Ved OsloMet vil det si at alle prosjekter nå skal meldes til NSD, også helseforskning. Melding til NSD og søknad til De regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK) bør sendes samtidig.

REK skal fremdeles gjøre etiske vurderinger og gi dispensasjon fra taushetsplikt, men skal ikke lenger vurdere om prosjektets behandling av personopplysninger oppfyller kravene i personvernregelverket.

NSD tar kontakt med institusjonelt personvernombud ved vurdering av personvernkonsekvenser (DPIA) i de prosjektene dette er aktuelt. Personvernombudet gir sine anbefalinger med hensyn til vurderingen og forslag til tiltak. Dette forelegges  instituttleder/dekan/senterleder som tar endelig beslutning i forhold til akseptabelt risikonivå.

Administrative behandlinger

Nye og endrede behandlingsaktiviteter skal meldes til personvernombudet ved OsloMet, Ingrid Jacobsen, ingridj@oslomet.no. Per i dag skal dere benytte skjema for kartlegging av behandlinger ved OsloMet

Personvernombudet skal bistå behandlingsansvarlig i å

  1. samle inn informasjon for å identifisere behandlingsaktiviteter
  2. analysere og sjekke at behandlingsaktivitetene er i tråd med regelverket

Lenke til oversikt for 2017 og 2018.

Personvernombud

OsloMet har et uavhengig personvernombud som blant annet har i oppgave å ivareta personverninteressene til ansatte, studenter, gjesteforskere, gjester og respondenter eller informanter i forskningsprosjekter.  

Risikovurdering

Det skal foretas risikovurdering av alle behandlinger av personopplysninger som reguleres av personvernlovgivningen. Uønskede hendelser skal avdekkes og tiltak skal gjøres for å hindre at noe skjer. På den måten kan man være forberedt på hva man bør gjøre hvis det likevel skjer. Se nettside om Risikovurdering på sikresiden.no. Her ligger en e-læring og ulike maler for risikovurdering. Risikovurderingen bør arkiveres i P360 og være lett å finne ved et eventuelt tilsyn.

Personvernkonsekvensvurdering (DPIA)

En personvernkonsekvensvurdering (DPIA) skal foretas for å sikre personvernet til den registrerte i en teknisk løsning eller i et prosjekt, se Datatilsynets veileder.

Databehandleravtale

Hvis du setter deler av behandlingen ut til virksomheter utenfor OsloMet (databehandler) skal databehandleravtale  inngås. Det er ditt ansvar at en avtale er på plass. Det er i UH-sektoren utarbeidet et forslag til databehandleravtale og en sjekkliste for databehandleravtaler i henhold til ny personvernlovgivning (GDPR som trer i kraft 1. juli 2018). Denne databehandleravtalemalen skal brukes, men tilpasses i hvert enkelt tilfelle. Det finnes også en engelsk versjon av databehandleravtalen.  Sjekklisten kan brukes ved behov for kvalitetssikring av databehandleravtaler som leverandører av skytjenester eller andre typer nettbaserte tjenester tilbyr.

Databehandleravtalen skal arkiveres i P360. Se også rutine for dokumenthåndtering og Datatilsynets veileder om databehandleravtale ( Datatilsynets nettsider omhandler nåværende lovgivning). Saksnummer skal videreformidles til personvernombudet  ingrid.jacobsen@hioa.no.

Særlige kategorier (sensitive personopplysninger)

Hva som er særlige kategorier (sensitive personopplysninger) defineres i EUs personvernforordning (GDPR).

Samtykkeerklæring for foto og filmopptak

Se nettside om Film, lyd og foto.

Innsyn og informasjonsplikt

Alle registrerte har krav på innsyn i egne personopplysninger og OsloMet har informasjonsplikt i forhold til de registrerte. Personopplysninger skal sikres tilstrekkelig.

Les mer om personvern på sikresiden.no

Kontakt