Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Personvern i arbeidshverdagen

PublisertBjørge Hagen Endret for 5 år siden

Liknende presentasjoner

Presentasjon om: "Personvern i arbeidshverdagen"— Utskrift av presentasjonen:

1 Personvern i arbeidshverdagen
Studieseksjonen - HF 20. April 2015 Maren Magnus Jegersberg Rådgiver IT-direktørens stab

2 Hva er personvern? Personvern handler om retten til å få ha ditt
privatliv i fred og vernet av individers rett til å ha innflytelse på bruk og spredning av personopplysninger om seg selv. Prinsipper Formålsbestemthet, relevans, minimalitet, fullstendighet og kvalitet Lånt fra

3 Hva er personopplysninger?
Personopplysninger er alle former for data, informasjon og opplysninger som kan knyttes til og identifisere en person: Eksempelvis: Navn, fødselsnummer, telefonnummer, bilde, kontornummer, bankkontonummer Sensitive personopplysninger er: a)rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b)at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c)helseforhold, d)seksuelle forhold, e)medlemskap i fagforeninger. Opplysninger som krever ekstra beskyttelse NB! Fødselsnummer er ikke en sensitiv personopplysning – skal likevel anvendes etter nøye vurdering – regulert i egen bestemmelse.

4 Behandling av personopplysninger
Behandling av disse opplysningene er innsamling, registrering, sammenstilling, lagring og utlevering = enhver bruk Eksempler: Møtedokumenter/referater Søknader om tilrettelegging Lønnsforhandlinger Uttrekk fra fagsystemer Personpresentasjoner

5 Hva bestemmer hvordan vi bruker personopplysninger?
Personopplysningsloven med forskrift Implementering av Personverndirektivet 95/46/EF Forvaltningslovens taushetsbestemmelse og ansettelsesavtale Interne regler og rutiner: IT-reglementet IT-sikkerhetshåndboken UiOs regler om personvern Sunn fornuft – vi alle har et selvstendig ansvar!

6 Vilkår og grunnkrav Behandlingsgrunnlag:
Hovedregel: Samtykke eller hjemmel i lov Sensitive personopplysninger krever i tillegg oppfyllelse av ytterligere vilkår Formål - behandlingsformålet skal være saklig begrunnet i virksomheten. Personopplysninger innhentet for ett formål SKAL IKKE brukes til senere formål som er uforenlig med det opprinnelige formålet, og Dataene skal være tilstrekkelige og relevante for formålet. Vi kan ikke be om mer enn det vi trenger bare fordi det er kjekt å ha. Forbud mot å lagre unødvendige personopplysninger, jf. Pol. § 28 Vi kan ikke lagre personopplysninger lenger enn det som er «nødvendig for å gjennomføre formålet med behandlingen». Hvis vi ikke er pålagt å oppbevare opplysningene ihht. arkivlovgivningen eller annen lovgivning, skal de slettes. Ved UiO har vi opplevd at store forskningsprosjekter er stoppet pga feil i vilkår for innsamling av data = de hadde ikke rett til å bruke de data som lå til grunn i prosjektet. Desto mer sårbar informasjon desto strengere krav! Selv om man ved et tidligere prosjekt hadde grunnlag for å samle inn personopplysninger, må vurderingen foretas på nytt ved ny behandling. Kan ikke overføres fra et prosjekt til et annet. Når vi da har grunnlag for å behandle personopplysninger stilles det strenge krav i loven til informasjonssikkerheten.

7 Hvorfor er personvern viktig for dere i arbeidet?
Dere har i deres stillinger tilgang til mange av kjernesystemene våre, og med det tilgang til MYE informasjon om mange mennesker. Eksempler: RT: kommunikasjon, kan være sensitiv FS: familie, venner, bekjente, kollegaer ePhorte: både alminnelige personopplysninger og sensitive personopplysninger SAPUiO: opplysninger om ansatte og kollegaer

8 OG DU! Hvem har ansvar? Behandlingsansvarlig: Personvernombudet:
Rektor/universitetsdirekøren Utøver av det daglige behandleransvaret IT-direktøren  Märtha Felton og Maren Jegersberg Personvernombudet: Administrative behandlinger: Morten Opsal Behandlinger i forskning: Norsk Samfunnsvitenskapelig Datatjeneste (NSD) Informasjonssikkerhet: IT-sikkerhetssjefen CERT (Computer Security Incident Response Team) Særskilt lederansvar Dere har i deres stillinger tilgang til mange av kjernesystemene våre, og med det tilgang til MYE informasjon om mange mennesker. OG DU!

9 Eksempler på lokale behandlinger:
Registreringer i HR-portalen Saksbehandling i ePhorte Oversikter i Excel Referat fra medarbeidersamtaler Saksdokumenter til møter inneholdende personopplysninger – eksempelvis innstillinger

10 Vortex – «saksbehandling» på uio.no
UiOs offisielle saksbehandlingsverktøy er ePhorte Praksis på UiO er å bruke Vortex til mye av det som skal være i ePhorte Grunnene til det: praktisk, effektivt, vane? Hvordan håndtere dokumenter til f.eks. møter inneholdende personopplysninger Hva kan ligge åpent tilgjengelig og ikke? Hva er det behov for å opplyse om? Eks. informasjon på åpne emnesider ved avlyst forelesning: «Ola Nordmann er syk og forelesningen i dag avlyses» «På grunn av sykdom avlyses forelesningen i dag» «Forelesningen i dag er dessverre avlyst» Hva er riktig svaralternativ?

11 Uttrekk fra administrative system
Hvordan skal disse uttrekkene håndteres? Skal de meldes til personvernombudet? Er det ny behandling eller allerede meldt? Lagring Bruk av M-området Bruk av fellesområdet Sletting Hvor lenge kan vi oppbevare data? Veiledning for uttrekk og lagring av personopplysninger fra FS Eks. Lister som viser tilrettelegging, lister som lages i forbindelse med eksamensgjennomføringen

12 Innmelding av administrative behandlinger av personopplysninger
Meldeskjema: Veiledning: Personvernombudet har ansvaret for registeret Alle administrative behandlinger av personopplysninger skal være innmeldt i oversikten, jf. UiOs regler om personvern kap Det er selve behandlingen som er meldepliktig. Bruk av støttesystemer for denne behandlingen trengs ikke å meldes inn, så lenge bruk av støttesystemet er beskrevet som en del av hovedsystemet og har samme formål. Endringer i behandlingen skal tilføyes i det eksisterende meldeskjemaet Eks. Lister som viser tilrettelegging, lister som lages i forbindelse med eksamensgjennomføringen

13 Bruk av epost i arbeidshverdagen
Reglement for elektronisk kommunikasjon «Taushetsbelagt eller beskyttelsesverdig innhold skal ikke lagres i personlige e-postkonti.» «Beskyttelsesverdig innhold skal ikke sendes elektronisk (via e-post) om ikke tilstrekkelige sikkerhetsmekanismer inklusive kryptering av innholdet anvendes.»

14 Bruk av epost forts. Utgangspunkt: Avsender (A) sender epost til mottaker (B). Ønsker og tror at den går direkte fra A til B. Ordinær (ukryptert) epostutveksling mellom to adresser sendes i klartekst via flere instanser (ekstern eposttjener). Vi, som ansvarlig for utsendelsen, har ingen kontroll på transporten eller de eksterne eposttjenerne. Epost internt på UiO kan være sikrere enn eksternt MEN dette avhenger blant annet av bruk av videresending til ekstern adresse Anses som å sende et postkort. Vi kan ikke garantere at eposten kommer frem til mottaker eller si noe om og evt. hvem og hvor mange som har hatt aksess til informasjonen på vei til mottaker . Vi har heller ikke mulighet til å spore eposten fra utsendelse til mottak.

15 Bruk av epost forts. Kan fødselsnummer sendes per epost?
Utgangspunktet for hva som kan sendes per epost, jf. reglement for elektronisk kommunikasjon Kan fødselsnummer sendes i vedlegg? Kan bekreftelser til studenter sendes per epost? Hva inneholder den? Trenger dere verifisering? Kan karakterutskrifter sendes per epost? Tilbake til hva som kan sendes per epost Kan vedtaksbrev på akutte søknader sendes per epost? Hva er det behov for å opplyse om i vedtaket? Kan arbeidskontrakter sendes per epost eller f.eks. Filesender?

16 Bruk av skjema til innsamling av data
Nettskjema er UiOs eget verktøy for å utforme og administrere datainnsamling Prinsippene Ikke be om mer enn vi trenger og kun brukes til det formålet vi ber om Hva trenger vi egentlig for at de skal kunne søke om i det aktuelle tilfellet? Eks. vurdering av bruk av fødselsnummer vs. Studentnummer Personopplysninger skal oppbevares i egnet system arkivsystem, personalsystem eller studentsystem Eksempler på skjema Forskningsprosjekter Spørreundersøkelser Anonym spørreundersøkelse – hvor anonym er den egentlig? Kan spørsmålene som stilles være med på å identifisere personen? Eksempler fra søknad om tilrettelegging og klage på karakter – disse skal digitaliseres ila året. Eks minoritetsutvalg. Anonym spørreundersøkelse. Hvilke spørsmål vil kunne egne å identifisere enkeltpersoner på fakultet? Her måtte flere spørsmål fjernes for at de kunne sende ut spørreundersøkelsen.

17 Hvordan tenke personvern på arbeidsplassen?
Utskrifter - pass på hva dere skriver ut – ligger det slik at alle kan se? Det er løsning på vei – Pullprint – hvor du må bruke kortet ditt for å få ut utskriften Håndtering av sakspapirer - ligger det fremme på arbeidsplassen din? Ligger det igjen etter møter? Passord Fordi dere har tilgang til mye personopplysninger er det også viktig at dere ikke har samme passord som ellers. Kun du har tilgang til passordet Huskeregel: Ikke ha samme passord flere steder Arbeid utenfor arbeidsplassen hvem kikker deg over skulderen? har du tilgangsstyring?

18 Hva er avvik? Avvikende behandling – personopplysninger på avveie
Eksempel: Mapper/dokument med feil tilgang i Vortex Personopplysninger blir lagt ut på åpent nett ved en feil Epost sendt med sensitiv informasjon eller fødselsnummer / feilsendt epost Feil ved saksbehandling i ePhorte Eks. med sak om mistanke om fusk At noen får tilgang til noe de ikke har rett til å få tilgang til... At UiO sine ressurser blir brukt til lovbrudd En student bruker UiOs utstyr til å laste ned ulovlig innhold

19 Hva gjør du når du oppdager/mistenker avvik?
Følg rutinene som gjelder for dere Melde fra når nødvendig Linja – nærmeste leder UiO-Cert – UiOs IT-sikkerhetsgruppe (Computer Security Incident Response Team) Kopi av varsling til CERT skal til behandlingsansvarlig Informere ansatte/kolleger når nødvendig Du skal ikke selv undersøke avviket og dets omfang. Mapper/dokument med feil tilgang i Vortex Personopplysninger blir lagt ut på åpent nett ved en feil Informasjon / dokumenter som ligger på uio.no med personopplysninger uten at det skal ligge der Vi kan miste muligheten til å få oversikt over skaden og vi kan da miste muligheten til å rydde opp på en ordentlig måte.

20 Hva gjør vi når vi oppdager/mistenker avvik?
Kartlegging av situasjonen og vurderer /iverksetter tekniske tiltak Eks. fjerner tilganger og kartlegger hvem som har aksessert informasjonen Behandlingsansvarlig vurderer henvendelsen og hvem som skal kontaktes Informasjon til de registrerte (særlig de som er rammet av avviket) Rapport sendes til personvernombudet som vurderer om Datatilsynet skal varsles

21 Kontaktinformasjon

Laste ned ppt "Personvern i arbeidshverdagen"

Liknende presentasjoner

Personopplysningsloven: -innhold, styrker og svakheter

Personopplysningsloven: -innhold, styrker og svakheter
Astrid Øksenvåg Rådgiver EKOR AS

Astrid Øksenvåg Rådgiver EKOR AS
Krav til rettslig grunnlag for behandling av personopplysninger

Krav til rettslig grunnlag for behandling av personopplysninger
Norm for informasjonssikkerhet Modul 1 – Normen – en oversikt

Norm for informasjonssikkerhet Modul 1 – Normen – en oversikt
Rettsregler vedrørende Internett og betydningen for informasjonsfriheten Prof. Dag Wiese Schartum, AFIN.

Rettsregler vedrørende Internett og betydningen for informasjonsfriheten Prof. Dag Wiese Schartum, AFIN.
Hvilke rettsregler gjelder for norske nettsteder? Prof. Dag Wiese Schartum, AFIN.

Hvilke rettsregler gjelder for norske nettsteder? Prof. Dag Wiese Schartum, AFIN.
Krav til samtykke og informasjon.

Krav til samtykke og informasjon.
E-forvaltningsforskriftens (efvf) krav til elektronisk kommunikasjon

E-forvaltningsforskriftens (efvf) krav til elektronisk kommunikasjon
Personvern 18.10.06 - Rune V. Bråthen.

Personvern Rune V. Bråthen.
Personopplysningslovens formål, grunnbegreper og virkeområde

Personopplysningslovens formål, grunnbegreper og virkeområde
Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.

Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.
Grunnleggende begreper i personopplysningsloven (legaldefinisjoner)

Grunnleggende begreper i personopplysningsloven (legaldefinisjoner)
Personopplysningslovens formål og grunnleggende begreper

Personopplysningslovens formål og grunnleggende begreper
Norm for informasjonssikkerhet Taushetsplikt

Norm for informasjonssikkerhet Taushetsplikt
Vibeke Bjarnø, Avdeling for lærerutdanning og internasjonale studier

Vibeke Bjarnø, Avdeling for lærerutdanning og internasjonale studier
E-post l Raskt l Oversiktlig? l Uformelt l Kan nå mange l Raskt l Uformelt l Upersonlig l Informasjons- oversvømmelse l Søppelmail l Overvåking.

E-post l Raskt l Oversiktlig? l Uformelt l Kan nå mange l Raskt l Uformelt l Upersonlig l Informasjons- oversvømmelse l Søppelmail l Overvåking.
Oppgave 2. Oppgave 2 a) De sentrale paragrafene her er §§ 2 og 31 i personopplysningsloven (herretter forkortet til p.o. loven) og § 7-16 i forskriften.

Oppgave 2. Oppgave 2 a) De sentrale paragrafene her er §§ 2 og 31 i personopplysningsloven (herretter forkortet til p.o. loven) og § 7-16 i forskriften.
Nasjonale kvalitetsregistre

Nasjonale kvalitetsregistre
Personopplysningsloven

Personopplysningsloven
Studenters tilgang til elektronisk pasientjournal

Studenters tilgang til elektronisk pasientjournal

Liknende presentasjoner

Annonser fra Google