Retningslinje - Overordnede rammer for behandling av personopplysninger ved Universitetet i Bergen
Vedtatt av universitetsledelsen 19.12.2019 - 2019/26747
Del 1 – Generell del
Retningslinjen inngår i internkontrollsystemet for behandling av personopplysninger ved Universitetet i Bergen, som et overordnet styrende dokument, og er en del av styringssystemet for informasjonssikkerhet og personvern (SIP) ved UiB. Dokumenter som inngår i den gjennomførende del av internkontrollsystemet, herunder rutiner og maler, og systemer for oversikt og kontroll med behandlingsaktiviteter, må ses i sammenheng med de styrende dokumenter. Universitetsdirektøren godkjenner rutiner for behandling av personopplysninger ved UiB.
Retningslinjens Del 1 omhandler de generelle rammene for behandling av personopplysninger ved universitetet i Bergen
Retningslinjens Del 2 redegjør for formål og rettslig grunnlag for behandling av personopplysninger for administrative formål og innen universitetets kjerneområder forskning, utdanning og formidling.
1.1 Retningslinjens formål og virkeområde
Formålet med retningslinjen er å
beskytte den enkelte mot at personvernet blir krenket
sikre at de registrertes rettigheter ivaretas
fastsette institusjonens plikter i henhold til personvernregelverket
sikre at personopplysninger om studenter, forskningsdeltakere, ansatte og andre som UIB behandler personopplysninger om, blir behandlet i samsvar med gjeldende lovverk
legge forholdene til rette for at forskning som omfatter innsamling og bearbeiding av personopplysninger kan finne sted i samsvar med personvernregelverket
sikre god internkontroll ved UiB
Retningslinjen har samme virkeområde som SIP, og gjelder for behandling av personopplysninger i alle virksomhetsområder og systemer ved UIB, herunder forskning, undervisning, formidling og for administrative formål.
Retningslinjen har samme saklige virkeområde som personopplysningsloven (2018) og EUs personvernforordning, helt eller delvis automatisert behandling av personopplysninger og ikke-automatisert behandling av personopplysninger som inngår eller skal inngå i et register.
Retningslinjen gjelder for:
alle ansatte ved UiB
alle studenter ved UiB
alle som har tilgang til og/eller bearbeider og forvalter personopplysninger gjennom UiBs IKT-infrastruktur, eller gjennom avtale.
2 Generelle prinsipper for behandling av personopplysninger
Personvern handler om retten til privatliv og retten til å bestemme over egne personopplysninger. Den enkelte skal i størst mulig grad kunne bestemme over egne personopplysninger. Reglene for behandling av personopplysninger bygger på noen grunnleggende prinsipper, som er nedfelt i personvernforordningen artikkel 5. De øvrige bestemmelsene i personvernforordningen bygger på de grunnleggende prinsippene, og all behandling av personopplysninger skal skje i samsvar med disse.
2.1 Personvernprinsippene
2.1.1 Lovlighet, rettferdighet og åpenhet
Det må finnes et rettslig grunnlag (lovhjemmel) i personvernregelverket som tillater behandlingen av personopplysninger. Behandlingen av personopplysninger skal gjøres i respekt for de registrertes interesser og skape tillit. Behandlingen av personopplysninger skal være forståelig og forutsigbar for den registrerte slik at vedkommende kan innrette seg og gis mulighet til å utøve sine rettigheter. Åpenhet om behandlingen av personopplysninger er en forutsetning for at enkeltpersoner skal kunne ivareta sine rettigheter og interesser.
2.1.2 Formålsbegrensning
Personopplysninger skal bare behandles for spesifikke, uttrykkelige, angitte og legitime formål. Personopplysninger kan ikke gjenbrukes til formål som er uforenlig med det opprinnelige formålet. Viderebehandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål anses som forenlig med de opprinnelige formålene. Dette forutsetter at det er innført tekniske og organisatoriske tiltak for å sikre den registrertes rettigheter, særlig for å sikre at prinsippet om dataminimering overholdes. Aktuelle tiltak kan omfatte pseudonymisering. Dersom tiltakene kan oppfylles ved viderebehandling som ikke gjør det mulig å identifisere de registrerte, skal formålene oppfylles på denne måten (anonymisering av personopplysningene). Viderebehandling forutsetter at personvernforordningen, personopplysningsloven og annet relevant regelverk har vært fulgt ved den opprinnelige innsamlingen av personopplysningene.
2.1.3 Dataminimering
Mengden innsamlede personopplysninger skal begrenses til det som er nødvendig for formålet med innsamlingen.
2.1.4 Riktighet
Personopplysninger som behandles, skal være korrekte, og skal om nødvendig oppdateres.
2.1.5 Lagringsbegrensning
Personopplysninger skal slettes eller anonymiseres når de ikke lenger er nødvendige for formålet de ble innhentet for, med mindre personopplysningene er arkivpliktige eller det finnes annet rettslig grunnlag for behandlingen. Offentlige virksomheter er underlagt arkivplikt hvilket medfører at UiB i stor grad er pliktig til å arkivere opplysninger om ansatte og studenter.
2.1.6 Integritet og konfidensialitet
Den behandlingsansvarlige (UiB eller den som handler på vegne av UiB) må sørge for tiltak mot utilsiktet og ulovlig ødeleggelse, tap og endringer av personopplysninger. Dette skal gå foran tilgjengelighet.
2.1.7 Ansvarlighet
UiB skal opptre i samsvar med disse prinsippene og sørge for at de registrertes rettigheter blir ivaretatt. UiB skal kunne dokumentere at virksomheten har gjennomført nødvendige organisatoriske og tekniske tiltak for å etterleve personvernforordningen.
2.2 Nærmere om rettslig grunnlag
2.2.1 Behandling av alminnelige personopplysninger
Behandling av personopplysninger krever rettslig grunnlag. Minst ett av vilkårene i personvernforordningen artikkel 6 nr.1 a) - f) må være til stede:
a) den registrerte har samtykket til behandlingen av sine personopplysninger for ett eller flere spesifikke formål,
b) Behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse,
c) Behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige
d) Behandlingen er nødvendig for å verne den registrertes eller annen fysisk persons vitale interesser
e) Behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt
f) Behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart
For vilkårene i bokstav c) og e) kreves supplerende rettslig grunnlag i nasjonal lovgivning. Med supplerende rettslig grunnlag menes lov, forskrift eller vedtak med hjemmel i lov eller forskrift, som tillater behandlingen. I retningslinjens del 2 redegjøres for aktuelle bestemmelser i personopplysningsloven, universitets- og høyskoleloven med forskrifter, helseforskningsloven eller andre lover, som kan utgjøre supplerende rettslig grunnlag.
Vilkåret i bokstav f) krever dokumentert interesseavveiing, og kan ikke anvendes på behandlinger som utføres av offentlige myndigheter som ledd i utførelsen av deres oppgaver.
2.2.2 Behandling av særlige kategorier personopplysninger
Hovedregelen er at behandling av særlige kategorier personopplysninger (tidligere kalt ‘sensitive’ personopplysninger’) er forbudt. Behandling av særlige kategorier personopplysninger er kun tillatt hvis et av unntaksvilkårene i personvernforordningen artikkel 9 nr. 2 bokstavene a) – j) er oppfylt, i tillegg til at behandlingen har rettslig grunnlag i artikkel 6.
Særlige kategorier personopplysninger kan behandles dersom et av følgende vilkår er oppfylt:
a) Den registrerte har gitt uttrykkelig samtykke til at slike personopplysninger kan behandles for ett eller flere spesifikke formål
b) Behandlingen er nødvendig for at den behandlingsansvarlige eller den registrerte kan kunne oppfylle sine forpliktelser og utøve sine rettigheter på området arbeidsrett, trygderett og sosialrett
c) Behandlingen er nødvendig for å verne den registrertes eller annen fysisk persons vitale interesser dersom den registrerte ikke selv kan gi samtykke
d) Behandlingen utføres av et organ, hvis mål er av politisk, religiøs eller fagforeningsmessig art
e) Behandlingen gjelder opplysninger som det er åpenbart at den registrerte har offentliggjort
f) Behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav
g) Behandlingen er nødvendig av hensyn til viktige allmenne interesser, på grunnlag av unionsretten eller nasjonale lovbestemmelser
h) Behandlingen er nødvendig i forbindelse med forebyggende medisin eller arbeidsmedisin, i forbindelse med medisinsk diagnostikk, yting av helse- eller sosialtjenester
i) Behandlingen er nødvendig av allmenne folkehelsehensyn, for å sikre høye kvalitets- og sikkerhetsstandarder for helsetjenester og legemidler eller medisinsk utstyr
j) Behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med personvernforordningen artikkel 89 nr. 1, og nasjonale bestemmelsers som skal være forenlig med retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes interesser
2.2.3 Særlig om samtykke som rettslig grunnlag for behandling av personopplysninger
Det er strenge krav til at et gyldig samtykke kan anses oppfylt, og samtykke som rettslig grunnlag for behandling av personopplysninger bør bare brukes hvis det ikke finnes annet egnet og relevant rettslig grunnlag.
For at samtykke skal være gyldig må det være:
frivillig avgitt
spesifikt
informert
utvetydig
dokumentbart og
fritt kunne trekkes tilbake
Det bør gis tydelig informasjon til den registrerte hvilket eller hvilke rettslige grunnlag gjelder for behandlingen, eller for de ulike deler av behandlingen, og om det er begrensninger i de registrertes rettigheter som følge av det rettslige grunnlaget. Dette følger av prinsippene om rettferdighet og åpenhet.
3 Oppfyllelse av de registrertes rettigheter
3.1 Krav til åpenhet
Den behandlingsansvarlige skal sørge for at informasjon om behandlingen fremlegges for den registrerte gis på en kortfattet, åpen, forståelig og lett tilgjengelig måte, og på et klart og enkelt språk. Informasjonen skal gis skriftlig, eller på annen hensiktsmessig måte, herunder elektronisk. Når den registrerte anmoder om det, kan informasjonen gis muntlig, forutsatt at den registrerte kan dokumentere sin identitet.
Den behandlingsansvarlige skal legge til rette for at den registrerte kan utøve sine rettigheter, herunder rett til innsyn, rett til retting, rett til sletting, rett til begrensning av behandling, rett til å bli underrettet, og rett til dataportabilitet, i den grad det ikke er begrensninger i rettighetene som følge av lovgivning.
Dersom formålene med behandling av personopplysninger ikke krever identifikasjon, eller ikke lenger krever at den registrerte kan identifiseres, skal den behandlingsansvarlige, dersom mulig, informere den registrerte om dette. I slike tilfeller kan den behandlingsansvarlige nekte å etterkomme en anmodning fra den registrerte, med mindre den registrerte gir ytterligere opplysninger som gjøre det mulig å identifisere vedkommende.
Den behandlingsansvarlige skal informere den registrerte om hvilke tiltak som er truffet for å oppfylle en anmodning fra den registrerte om utøvelse av sine rettigheter. Informasjonen skal gis uten ugrunnet opphold og senest én måned etter mottak av anmodningen.
3.2 Plikt til å informere
3.2.1 Informasjon som skal gis dersom personopplysninger innsamles direkte fra den registrerte
Når det samles inn personopplysninger fra den registrerte, skal den behandlingsansvarlige av eget tiltak først informere den registrerte om:
at Universitetet i Bergen er behandlingsansvarlig
formålene med behandlingen, samt det rettslige grunnlaget for behandlingen
dersom behandlingen er nødvendig for formål knyttet til de berettigede interesser til universitetet eller en tredjepart, en nærmere beskrivelse av hvilke interesser dette gjelder
eventuelle mottakere eller kategorier av mottakere av personopplysningene
dersom relevant, om personopplysningene skal overføre til et tredjeland, og hvilket rettslig grunnlag for overføringen som er lagt til grunn
kontaktopplysningene til institusjonens personvernombud
I tillegg skal den behandlingsansvarlige gi følgende informasjon, som er nødvendig for å sikre en åpen og rettferdig behandling av personopplysningene:
hvor lenge personopplysningene vil bli lagret, eventuelt hvilke kriterier som legges til grunn for lagring utover et bestemt tidsrom
den registrertes rett til å be om innsyn i og retting eller sletting av personopplysninger eller begrensning av behandlingen, eller til å protestere mot behandlingen samt retten til dataportabilitet
dersom behandlingen er basert på samtykke, retten til å trekke tilbake sitt samtykke, uten at det påvirker lovligheten av behandlingen før samtykket ble trukket tilbake
retten til å klage til en tilsynsmyndighet
om det foreligger lovfestet eller avtalefestet krav å gi personopplysninger videre
om personopplysningene kan bli gjenstand for automatiserte avgjørelser, herunder profilering
om den behandlingsansvarlige har til hensikt å viderebehandle opplysningene for et annet formål enn det opprinnelige.
3.2.2 Informasjon som skal gis dersom personopplysninger ikke innsamles direkte fra den registrerte
Den behandlingsansvarlige skal sørge for å gi den registrerte tilsvarende informasjon som nevnt under pkt.3.2.1. Informasjonen skal gis:
innen en rimelig frist etter at personopplysningene er samlet inn, men senest innen én måned, idet det tas hensyn til de særlige forholdene som gjelder for behandlingen av personopplysningene,
dersom personopplysningene skal brukes til å kommunisere med den registrerte, senest på tidspunktet for den første kommunikasjon med vedkommende, eller
dersom det er planlagt at opplysningene skal utleveres til annet mottaker, senest når personopplysningene første gang utleveres
3.2.3 Unntak fra informasjonsplikten
Det er ikke påkrevd å informere om behandlingen av personopplysninger dersom:
den registrerte allerede har informasjon om behandlingen
det viser seg å være umulig å gi informasjon, eller vil innebære uforholdsmessig stor innsats, særlig i forbindelse med behandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning, under forutsetning av at vilkårene i personvernforordningen artikkel 89 nr. 1 er oppfylt, eller i den grad oppfyllelse av informasjonsplikten vil hindre at målene med behandlingen nås. i slike tilfeller skal den behandlingsansvarlige sørge for å treffe egnede tiltak for å oppfylle informasjonsplikten, herunder gjøre informasjonen offentlig tilgjengelig.
dersom innsamling eller utlevering følger uttrykkelig av lovbestemmelse som den behandlingsansvarlige er underlagt, eller
dersom personopplysningene er omfattet at lovfestet taushetsplikt.
3.3 Rett til innsyn
Den registrerte har rett til å få den behandlingsansvarliges bekreftelse på om personopplysninger om vedkommende behandles, hvilke personopplysninger som behandles, og tilsvarende informasjon om behandlingen som nevnt i pkt. 3.2.1.
Den registrerte har rett til vederlagsfritt å motta en kopi av personopplysningene som behandles. Dersom den registrerte anmoder om flere kopier kan det kreves et rimelig gebyr for å dekke den behandlingsansvarliges administrasjonskostnader.
Dersom den behandlingsansvarlige mottar anmodningen elektronisk, skal informasjonen til den registrerte som hovedregel gis i en vanlig elektronisk form.
3.4 Retting, sletting og protest
3.4.1 Rett til retting
Dersom det er behandlet personopplysninger som er uriktige, ufullstendige eller som det ikke er adgang til å behandle, skal linjeleder av eget tiltak eller på anmodning fra den registrerte rette de uriktige opplysningene.
Retting av uriktige eller ufullstendige personopplysninger som kan ha betydning som dokumentasjon, skal skje ved at opplysningene tydelig markeres og suppleres med korrekte opplysninger.
Linjeleder skal sørge for at feilen ikke får betydning for den registrerte ved å underrette mottakere av utleverte opplysninger, med mindre varsling viser seg å være umulig eller innebærer uforholdsmessig stor innsats.
3.4.2 Rett til sletting
Den registrerte har rett til å få personopplysninger om seg selv slettet uten ugrunnet opphold, og den behandlingsansvarlige har plikt til å slette personopplysninger, dersom følgende forhold er tilstede:
personopplysningene er ikke lenger nødvendig for formålet de ble samlet inn for
den registrerte trekker tilbake sitt samtykke, og det ikke finnes annet rettslig grunnlag for behandlingen av personopplysningene
den registrerte protesterer mot en behandling som gjennomføres med grunnlag i allmennhetens interesse (personvernforordningen artikkel 6 nr. 1 e) eller berettiget interesse (personvernforordningen artikkel6 nr. 1 f), og den behandlingsansvarlige ikke kan påvise at det finnes tungtveiende grunner til å gjennomføre behandlingen
personopplysningene er blitt behandlet ulovlig
personopplysningene må slettes for å oppfylle en rettslig forpliktelse som den behandlingsansvarlige er underlagt
Retten til sletting gjelder ikke dersom behandlingen er nødvendig:
for å utøve ytrings- og informasjonsfrihet
for å oppfylle en rettslig forpliktelse som den behandlingsansvarlige er underlagt, eller for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt
av hensyn til allmennhetens interesse på området folkehelse (personvernforordningen artikkel 9 nr. 2 bokstav h) og i)
for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1, i den grad retten til sletting sannsynligvis vil gjøre det umulig eller i alvorlig grad hindre å oppnå målet med behandlingen
for å fastsette, gjøre gjeldende eller forsvare rettskrav.
3.4.3 Rett til å protestere
Den registrerte har rett til å protestere mot behandling av personopplysninger om vedkommende, og som har grunnlag i personvernforordningen artikkel6 nr. 1 e). Den behandlingsansvarlige skal ikke lenger behandle personopplysningene, med mindre det kan påvises at det foreligger tvingende berettigede grunner for behandlingen som går foran den registrertes rett til personvern.
Den behandlingsansvarlige har plikt til å sikre at den registrerte er kjent med retten til å protestere, herunder rett til å påklage behandlingen til Datatilsynet.
Retten til å protestere mot behandlingen gjelder ikke dersom personopplysninger behandles for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, og behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse.
4 Risikovurdering og internkontroll
Risikovurdering omfatter de tre stegene risikoidentifisering, risikoanalyse og risikoevaluering. Linjeleder / systemeier er pliktig til å sørge for at det gjennomføres en risikovurdering av personvernhensyn før behandlingen av personopplysninger kan starte. Behandlingsansvarlig skal foreta en overordnet risikovurdering. I forsknings-, student-, og kvalitetssikringsprosjekter skal prosjektleder foreta risikovurdering.
Risikovurderingen skal bidra til å forebygge uønskede hendelser eller mangler ved behandlingen av personopplysninger ved UiB, som kan ha konsekvenser for studenter, ansatte, forskningsdeltakere og/eller samfunnet mer generelt.
4.1 Vurdering av personvernkonsekvenser (DPIA)
4.1.1 Behandlinger som krever personvernkonsekvensvurdering
Vurdering av personvernkonsekvenser er sentralt i behandlingsansvarliges arbeid med risikostyring. Hvis det er sannsynlig at en type behandling vil medføre høy risiko for enkeltpersoners rettigheter og friheter, skal den behandlingsansvarlige foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personvernet, jf. personvernforordningen artikkel 35 (‘data protection impact assessment’, DPIA). Dette kan være aktuelt ved bruk av ny teknologi, ved automatiserte behandlinger som vil ha rettslige virkninger for enkeltpersoner, behandling i stor skala av sensitive personopplysninger, systematisk overvåkning i stor skala av et offentlig område.
Behandlingsansvarlige skal rådføre seg med institusjonens personvernombud om det er behov for en vurdering av personvernkonsekvenser og personvernombudet skal involveres i arbeidet med personvernkonsekvensvurderingen. Vurderingen skal dokumenteres. Også vurdering som konkluderer med at det ikke er nødvendig å gjennomføre en personvernkonsekvensvurdering skal dokumenteres.
4.1.2 Forhåndsdrøfting med Datatilsynet
Dersom personvernkonsekvensvurdering konkluderer med at behandlingen fortsatt vil medføre høy risiko, er den behandlingsansvarlige pliktig til å rådføre seg med Datatilsynet, jf. personvernforordningen artikkel 36. Før prosessen med forhåndsdrøfting påbegynnes, bør det den planlagte behandlingen gjennomgås på ny for å vurdere om ytterligere risikoreduserende tiltak er mulig. Den behandlingsansvarlige avgjør om UiB skal be om en forhåndsdrøfting med Datatilsynet.
4.2 Innebygd personvern (Privacy by Design)
Formålet med innebygd personvern er at det skal vurderes hvordan personvernprinsippene kan ivaretas i alle utviklingsfaser av et system eller en løsning. Behandlingsansvarlige skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre at det som standardinnstilling bare er personopplysninger som er nødvendige for hvert spesifikke formål med behandlingen, som behandles.
Kravet til innebygd personvern og personvern som standardinnstilling gjelder uavhengig av risiko. Systemeier skal sørge for at innebygd personvern blir implementert i samsvar med personvernforordningen artikkel 25 ved utvikling og anskaffelse. Behandlingsansvarlige skal involvere personvernombudet ved spørsmål om innebygd personvern.
4.3 Krav til oversikt over behandling av personopplysninger - protokoll
Behandlingsansvarlig har plikt til å føre oversikt (protokoll) over behandling av personopplysninger, jf. personvernforordningen artikkel 30.
Oversikten skal inneholde informasjon som fremgår av personvernforordningen artikkel 30, jf. artikkel 5. Dette omfatter beskrivelse av behandlingsaktiviteten, formål, rettslig grunnlag, opplysninger om de registrerte, lagringstid, bruk av databehandler mv.
4.3.1 Oversikt over behandlinger for administrative formål
Systemeier har ansvar for å ha oversikt over de behandlinger som skjer i systemet/løsningen. Behandlingsansvarlige har ansvar for å sørge for at oversikten til enhver tid er oppdatert. Oversikten over behandlinger for administrative formål skal føres i UiBs felles løsning for oversikt over behandling av personopplysninger.
4.3.2 Oversikt over behandling av personopplysninger for formål knyttet til vitenskapelig forskning, studentoppgaver og faglig utviklingsarbeid
Behandlinger av personopplysninger i forbindelse med vitenskapelige forskningsprosjekter, studentoppgaver og kvalitetssikrings- og utviklingsprosjekter, skal føres i UiBs system for oversikt over forsknings- og studentprosjekter, RETTE.
4.4 Kontroll og etterlevelse
4.4.1 Administrative behandlinger av personopplysninger
Alle enheter er ansvarlig for å arbeide systematisk med etterlevelse av personvernregelverket. Internkontroll med behandling av personopplysninger inngår som del av ledelsens årlige gjennomgang av informasjonssikkerhet og personvern, i tråd med UiBs Styringssystem for informasjonssikkerhet og personvern (SIP).
4.4.2 Internkontroll i forskning
Instituttene er ansvarlig for løpende oppfølgning med behandling av personopplysninger i forbindelse med forsknings- og utdanningsvirksomhet ved sine enheter, og for at det er iverksatt systematiske tiltak for å etterleve personvernregelverket, herunder opplæring.
5 Håndtering av brudd på personopplysningssikkerheten
5.1 Formålet med avvikshåndtering
Formålet med avvikshåndtering er å håndtere brudd på gjeldende lover, regler samt interne retningslinjer og rutiner. Håndteringen skal fjerne årsaken til avviket, redusere negative konsekvenser for både UiB og tredjepersoner, samt å forebygge fremtidige sikkerhetsbrudd og brudd på personvernet. Et særskilt formål er å sikre at brudd på personopplysningssikkerheten blir meldt til Datatilsynet i tråd med personvernforordningen artikkel 33.
5.2 Plikt til å registrere avvik
Den som oppdager avvik som kan innebære brudd på personopplysningssikkerheten, skal uten ugrunnet opphold melde fra i UiBs avvikssystem og til sin nærmeste leder. Personvernombudet skal informeres om avviket så tidlig som mulig.
5.3 Melding til tilsynsmyndigheten om brudd på personopplysningssikkerheten
Ved brudd på personopplysningssikkerheten skal avviket meldes til Datatilsynet uten ugrunnet opphold, og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom bruddet ikke er meldt tilsynsmyndigheten innen 72 timer, skal årsaken til forsinkelsen oppgis.
IT-sikkerhetsansvarlig vurderer i samråd med personvernombudet om avviket er meldepliktig til Datatilsynet og varslingspliktig til de registrerte.
5.4 Underretning av den registrerte
Dersom det er sannsynlig at et brudd på personopplysningssikkerheten vil medføre høy risiko for de registrertes rettigheter og friheter, skal UiB sørge for at berørte blir underrettet så snart som mulig, slik at de kan ivareta sine interesser, i tråd med personvernforordningen artikkel 34.
6 Bruk av databehandler
Systemeier har ansvar for å inngå skriftlig databehandleravtale hvis eksterne skal behandle personopplysninger på vegne av UiB. Linjeleder har tilsvarende ansvar. Det kan bare inngås avtale med databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen av personopplysningene oppfyller kravene etter personvernforordningen og vern av de registrertes rettigheter.
Avtalen skal oppfylle kravene som fremgår av personvernforordningen artikkel 28.
Databehandleren skal ikke engasjere en annen databehandler (underleverandør) uten at det er skriftlig godkjent av systemeier/linjeleder. UiB er ansvarlig for databehandleres og eventuelle underleverandørers behandling av personopplysningene og har ansvar for å vurdere og kontrollere om de er kompetent til å behandle de aktuelle personopplysningene i tråd med personvernforordningen.
Linjeleder skal sikre at databehandleravtaler er oppdaterte, og revideres ved behov.
Databehandler skal jevnlig gjennomføre sikkerhetsrevisjoner av eget arbeid med sikring av personopplysninger mot uautorisert eller ulovlig tilgang, endring, sletting, skade, tap eller utilgjengelighet. Databehandler skal dokumentere sikkerhetsrevisjonene. UiB skal gis tilgang til revisjonsrapportene. Linjeleder er ansvarlig for at dokumentasjon fra databehandlers sikkerhetsrevisjon blir innhentet.
7 Overføring av personopplysninger til utlandet
Overføring til land utenfor EU/EØS kan skje dersom EU-kommisjonen har godkjent at landet har en forsvarlig behandling av personopplysninger [1].
Linjeleder skal sikre at kravene for overføring av personopplysninger til land eller internasjonale organisasjoner utenfor EU/EØS i personvernforordningen kapittel V (personvernforordningen artikkel 44 flg.), er oppfylt. Overføring omfatter også å gi tilgang til personopplysninger. Systemeier har tilsvarende ansvar. Kravene til overføring til tredjeland kommer i tillegg til at de generelle kravene for behandling av personopplysninger må være til stede. Det må gjøres en risikovurdering av overføringen, for å sikre at informasjonssikkerheten er tilfredsstillende. Risikovurderingen må kunne dokumenteres.
Del 2 – Spesiell del: Redegjørelse for formål og rettslig grunnlag
Ved Universitetet i Bergen behandles personopplysninger for ulike formål. I retningslinjens Del 2 gis en nærmere beskrivelse av:
relevante rettslige grunnlag for behandling av personopplysninger og supplerende nasjonale lovbestemmelser for administrative formål og behandlinger innen universitetets kjerneområder forskning, utdanning og formidling av kunnskap.
behandlingsansvarliges plikt til å sikre at personvernprinsippene er ivaretatt
Behandlingsansvarliges plikt til internkontroll
Beskrivelsen av formål og rettslige grunnlag er ikke uttømmende.
8 Behandling av personopplysninger om ansatte og søkere
8.1 Rettslig grunnlag
8.1.1 Alminnelige personopplysninger
Det rettslige grunnlaget for behandling av personopplysninger om ansatte vil som regel være:
At behandlingen er nødvendig for å oppfylle en avtale med den registrerte (personvernforordningen artikkel 6 nr. 1 b)
I tillegg kan det være aktuelt å behandle personopplysninger om ansatte og søkere:
når det er nødvendig som følge av rettslig forpliktelse, og
når det er nødvendig for formål knyttet til de legitime interesser som forfølges av UiB eller en tredjepart (personvernforordningen artikkel 6 nr. 1 f). Å begrunne en behandling i berettiget interesse krever at det gjennomføres en interesseavveiing. Interesseavveiingen skal dokumenteres.
8.1.2 Særlige kategorier personopplysninger
For særlige kategorier personopplysninger må et av vilkårene i artikkel 9 nr. 2 i tillegg være oppfylt, se pkt. 2.2.2. Personopplysningsloven § 6 gir supplerende grunnlag for behandling av sensitive personopplysninger når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter.
8.2 Innsyn i arbeidstakers epostkasse og kameraovervåking på arbeidsplassen
Arbeidsgivers innsyn i arbeidstakers epostkasse og annet elektronisk materiale er nærmere regulert i UiBs IKT reglement, og følger av bestemmelsene i Forskrift om arbeidsgivers innsyn i epostkasse og annet elektronisk materiale, med hjemmel i arbeidsmiljøloven §§ 9-5 og 9-6.
Kameraovervåking av ansatte som finner sted i forbindelse med overvåking av UiBs bygg og arealer, skal være i samsvar med UiBs retningslinje for kameraovervåking og bestemmelser fastsatt av Datatilsynet.
9 Behandling av personopplysninger i forbindelse med forvaltning av bygninger og arealer
9.1 Rettslig grunnlag
De rettslige grunnlagene for behandling av personopplysninger i forbindelse med forvaltning av UiBs bygg og arealer beror på formålet. Relevante rettslige grunnlag kan være:
behandlingen er nødvendig for å oppfylle en avtale,
nødvendig for å oppfylle en rettslig forpliktelse,
utføre en oppgave i allmennhetens interesse eller utøvelse av offentlig myndighet, eller
nødvendig i forbindelse med de legitime interesse som forfølges av UiB eller en tredjepart. Å begrunne en behandling i berettiget interesse krever at det gjennomføres en interesseavveiing.
9.2 Adgangskontroll
Personopplysninger fra UiB overføres daglig fra felles database til Kortsenteret. Persondata som overføres, er den enkeltes navn, fødselsnummer/studentnummer, e-postadresse, arbeidssted og dato for oppstart. Opplysningene skal kun benyttes til produksjon av adgangskort.
9.3 Kameraovervåkning av UiBs bygg og arealer
Kameraovervåking av UiBs bygg og arealer skal skje i samsvar med veileder fra Datatilsynet og UiBs retningslinje for kameraovervåking. All kameraovervåking skal ha gjennomgått en intern søknadsprosess, der behovet er redegjort for, basert på en dokumentert risikovurdering. Det rettslige grunnlaget for behandling av personopplysninger ved kameraovervåking vil som regel være artikkel 6 nr. 1 bokstav e) berettigede interesser. Interesseavveiing skal være gjennomført og dokumentert.
10 Behandling av personopplysninger som er nødvendig i forbindelse med studie- og utdanningsadministrasjon
10.1 Rettslig grunnlag
10.1.1 Alminnelige personopplysninger
Det rettslige grunnlaget for behandling av personopplysninger om søkere, studenter og doktorgradsstudenter i forbindelse med studieadministrative formål som vil som regel være:
at behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som UiB er pålagt (personvernforordningen artikkel 6 nr. 1 bokstav c), eller behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse (personvernforordningen artikkel 6 nr. 1 bokstav e) Universitets- og høyskoleloven § 4-15 gir supplerende rettslig grunnlag til å behandle personopplysninger om søkere, studenter og doktorgradskandidater (heretter kalt studenter) i studieadministrative systemer, når formålet er å ivareta den registrertes rettigheter, eller å oppfylle institusjonens oppgaver og plikter etter universitets- og høyskoleleoven (uhl).
Navn, fødselsnummer, D-nummer (midlertidig fødselsnummer) og karakterer fra videregående opplæring og universiteter og høyskoler som er hentet fra offentlige myndigheter, offentlige systemer for vitnemål, statlige, fylkeskommunale og private utdanningsinstitusjoner kan behandles når dette er nødvendig for å oppfylle formålet.
10.1.2 Særlige kategorier personopplysninger
For særlige kategorier personopplysninger må et av vilkårene i artikkel 9 nr. 2 være oppfylt, se pkt. 2.2.2.
Opplysninger som studenten selv har gitt institusjonen kan behandles med hjemmel i uhl. § 4-15, når behandling av opplysningene er et nødvendig vilkår for formålet, for eksempel å oppfylle studentenes rettigheter etter universitets- og høyskoleloven.
10.2 Behandling av personopplysninger om studenter for kvalitetssikrings- og kvalitetsutviklingsformål
Universitets- og høyskoleloven § 1-6 bestemmer at studentevalueringer skal inngå i systemet for kvalitetssikring som institusjonene er pålagt å ha. Supplerende rettslig grunnlag for behandling av personopplysninger om studenter for kvalitetssikrings- og utviklingsformål må avklares nærmere.
11 Behandling av personopplysninger i forbindelse med undervisning, formidling og utdanning
11.1 Film- og lydopptak av undervisning
Det er formålet med opptaket som avgjør hvilket rettslig grunnlag er relevant. Det skal gis tydelig og forståelig informasjon om at det gjøres opptak.
Dersom det ikke finnes annet egnet og relevant rettslig grunnlag for film- og eller lydopptak av personer slik at de kan gjenkjennes, kreves det samtykke fra personen.
Linjeleder er ansvarlig for at behandlingen (bruk, lagring og sletting mm.) skjer i samsvar med personvernregelverket og i tråd med UiBs prosesser, rutiner og valgte løsninger.
11.1.1 Rettslig grunnlag for lyd- eller filmopptak av forelesninger
Når opptak av forelesninger gjøres med grunnlag i UiBs oppgave om formidling og tilgjengeliggjøring av forskning og kunnskap, er behandlingsgrunnlaget for personopplysningene at opptaket er nødvendig for å utføre en oppgave i allmennhetens interesse. Supplerende grunnlag vil være universitets- og høyskoleloven § 1-3, og § 4-15. Det er ikke nødvendig med samtykke fra hver enkelt student (eller andre) som er til stede under forelesningen, men det skal det være tydelig merket ved inngangen og i rommet at undervisningen blir filmet.
11.1.2 Rettslig grunnlag for lyd- eller filmopptak som del av obligatorisk undervisning og eksamen
Dersom lyd- eller filmopptak av studenter er en obligatorisk del av undervisningen for at læringsmålene skal nås, skal det fremgå av studieplanen. I slike tilfeller er det rettslige grunnlaget for bruk av filmopptak personvernforordningen artikkel 6 nr. 1 e), med supplerende rettslig grunnlag i universitets- og høyskoleloven § 4-15, og forskrift med hjemmel i universitets- og høyskoleloven. Flere behandlingsgrunnlag er mulige.
11.1.3 Rettslig grunnlag for studenters adgang til å gjøre lyd- eller filmopptak av undervisning
Studenter som ønsker å gjøre eget opptak (video-, og/eller lyd) av undervisning må ha samtykke fra faglærer hvis det ikke foreligger vedtak om tilrettelegging. Studenten kan kun bruke opptaket i forbindelse med egne studier. Studenten kan ikke bruke opptaket på annen måte eller publisere opptaket uten faglærers skriftlige samtykke (f.eks. på internett eller i andre sammenhenger). Kravet om samtykke følger av opphavsretten til åndsverk.
11.2 Bilde, video- og lydopptak – studenter i praksis
Hvis studenter i praksis skal ta bilde eller film-, og / eller lydopptak av personer, krever dette samtykke fra personen, jf. punktet Samtykke som rettslig grunnlag. Bilde, film-, eller lydopptak av mindreårige krever samtykke fra foreldre eller foresatte. Kravet om samtykke følger av åndsverkloven. Bruken av opptaket må ha rettslig grunnlag i personvernregelverket.
12 Behandling av personopplysninger i studentoppgaver
12.1 Formålet med studentoppgaver1
Studentoppgaver defineres som oppgaver på bachelor- og masternivå. Hovedformålet med studentoppgaver er å lære vitenskapelig metode og forskningsetikk.
Behandling av personopplysninger i studentoppgaver skal skje i henhold til personvernregelverket. Ved gjennomføring av studentoppgaver skal det gjennom opplæring i forskningsetikk sikres at forskningsetiske krav er ivaretatt i oppgaven.
Basert på formålet med studentoppgaver vil behandling av personopplysninger i studentoppgaver som hovedregel ikke omfattes av bestemmelsene for vitenskapelig forskning etter personvernregelverket.
Behandling av personopplysninger i studentoppgaver som utføres i regi av et pågående forskningsprosjekt ved en forskergruppe ved UiB, og dataene inngår i datasamlingen forskningsprosjekt, kan defineres som vitenskapelig eller historisk forskning, og følger bestemmelsene som gjelder for vitenskapelig forskning.
12.2 Roller og ansvar i studentoppgaver
12.2.1 Forskningsansvarlig/behandlingsansvarlig1
Dekan er forskningsansvarlig og har det overordnete ansvaret for all utdanning som foregår ved fakultetet. Dekan kan delegere oppgavene til instituttleder.
Forskningsansvarlig skal:
sørge for opplæring, rutiner, infrastruktur og internkontrollsystemer for utdanningsvirksomheten i henhold til gjeldende lovverk og retningslinjer og for at disse er implementert og følges i praksis
ha oversikt over sin portefølje av studentoppgaver i prosjektoversikten
skal stanse studentoppgaver som er etisk eller juridisk uforsvarlig eller som er i strid med forutsetningene for studentopplæringen
gjennomføre systematiske tiltak som fremmer god opplæring og som sikrer at studentoppgaver planlegges, organiseres, gjennomføres og avsluttes i samsvar med gjeldende regelverk
gjennomføre personvernkonsekvenser der dette er påkrevd i henhold til personvernforordningen
involvere virksomhetens personvernombud på rett måte og til rett tid i spørsmål som berører personvernet til deltakere i studentoppgaver
En student på lavere grad enn doktorgrad kan ikke være prosjektleder. Studentens veileder er derfor prosjektleder for studentprosjekter på bachelor- og masternivå.
Veileder er ansvarlig for at studenter i studentprosjekt er gjort kjent med UiBs retningslinjer og rutiner for behandling av personopplysninger og informasjonssikkerhet.
Studenten har ansvar for å gjøre seg kjent med institusjonens retningslinjer og rutiner for behandling av personopplysninger
12.3 Rettslig grunnlag for behandling av personopplysninger i studentoppgaver
12.3.1 Alminnelige personopplysninger
Behandling av personopplysninger i studentoppgaver er underlagt personvernregelverket og må oppfylle minst ett av vilkårene i personvernforordningen artikkel 6. Universitetet skal fremme formålet i universitets- og høyskoleloven ved å tilby høyere utdanning som er basert på det fremste innen forskning, faglig og kunstnerisk utviklingsarbeid og erfaringskunnskap. Behandling av personopplysninger i studentoppgaver som er nødvendig for å oppfylle universitetets formål å utdanne studenter gjennom opplæring i vitenskapelig metode, vil være å anse som en oppgave som utføres for utdanningsformål i allmennhetens interesse.
Det rettslige grunnlaget for behandling av personopplysninger i studentoppgaver vil derfor som regel være:
at behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse (personvernforordningen artikkel 6 nr. 1 e), supplerende rettslig grunnlag til være formålsbestemmelsen i universitets- og høyskoleloven § 1-1 c). behandlingen av personopplysninger må være i tråd med prinsippet om ansvarlighet (personvernforordningen artikkel 5 nr. 2), ved at oppgaven utføres i regi av institusjonen og under veiledning.
berettiget interesse (personvernforordningen artikkel f), kan være et relevant rettslig grunnlag for behandling av personopplysninger i oppgaver som studenter utfører i samarbeid med, og etter oppdrag fra, eksterne virksomheter.
samtykke etter personvernforordningen artikkel 6 nr. 1 a) kan være et rettslig grunnlag
I informasjonsskriv til deltakere skal det beskrives rettslig grunnlag for behandlingen av personopplysninger, og hvilken betydning det rettslig grunnlag har for behandlingsansvarliges plikt til å oppfylle de registrertes rettigheter, og for behandlingsansvarliges plikt til å etterkomme anmodninger fra de registrerte om utøvelse av deres rettigheter.
Samtykke til deltakelse etter til forskningsetiske retningslinjer kan være noe annet enn samtykke som et rettslig grunnlag etter personvernforordningen. Behandling av personopplysninger i studentprosjekter der det kun henvises til samtykke som eneste rettslig grunnlag, vil ikke, som svar på anmodning fra de registrerte om sletting, kunne vise til bestemmelsen i personvernforordningen artikkel 17 (3) b). Bestemmelsen kan komme til anvendelse dersom behandlingen av personopplysninger er nødvendig for å utføre en oppgave i allmennhetens interesse, og tilbaketrekking av samtykket som ligger til grunn for behandlingen, vil gjøre det umulig å gjennomføre formålet med behandlingen.
12.3.2 Særlige kategorier personopplysninger
Behandling av særlige kategorier personopplysninger i studentoppgaver må oppfylle et av vilkårene i personvernforordningen artikkel 9 nr. 2 a) – j). Aktuelle vilkår for å kunne behandling særlige kategorier personopplysninger studentoppgaver vil som regel være:
Den registrerte har gitt uttrykkelig samtykke til behandling av slike personopplysninger for ett eller flere spesifikke formål, jf. artikkel 9 nr. 2 bokstav a),
Behandlingen gjelder opplysninger som det er åpenbart at den registrerte har offentligjort, jf. artikkel 9 nr. 2 bokstav e). Selv om det i studentoppgaver behandles personopplysningene fra åpne kilder og fra opplysninger den registrerte selv har delt, må det sikres at prinsippene om rettferdighet ivaretas,
Behandlingen er nødvendig for å sikre høye kvalitets- og sikkerhetsstandarder for helsetjenester, jf. artikkel 9 nr. 2 bokstav i). Behandlingen av personopplysninger være i samsvar med nasjonale bestemmelser, herunder bestemmelser som regulerer helsetjenestens adgang til å dele taushetsbelagte helseopplysninger. Studentoppgaver som gjennomføres som kvalitetssikringsoppgaver i helsetjenesten må ha godkjenning fra pasientansvarlig institusjon,
For studentoppgaver som gjennomføres som vitenskapelig forskning, se pkt. 11.3.1, vil vilkåret for å kunne behandle særlige kategorier personopplysninger være at behandlingen er nødvendig for formål knyttet til vitenskapelig forskning, i samsvar med personvernforordningen artikkel 89 nr. 1, med supplerende nasjonale bestemmelser. Behandling av særlige kategorier personopplysninger i studentoppgaver som gjennomføres i forbindelse med vitenskapelig forskning, følger bestemmelsene for vitenskapelig forskning.
12.4 Forskningsetikk i studentoppgaver
Behandling av personopplysninger i studentprosjekter skal skje i samsvar med anerkjente forskningsetiske normer og retningslinjer. Innsamling av personopplysninger i studentprosjekter skal som hovedregel være basert på et frivillig, informert, gjenkallelig og dokumenterbart samtykke fra den registrerte selv, eller noen som har rett til å samtykke på vegne av den registrerte.
Deltagerne skal motta informasjon om det rettslige grunnlaget som gjelder for behandling av personopplysninger i prosjektet, formålet med behandlingen av personopplysninger i studentoppgaven, og om det kan være begrensninger i den registrertes rettigheter som følge av at behandlingen er nødvendig for å gjennomføre en oppgave i allmennhetens interesse.
12.5 Vurdering av personvernhensyn og personvernrisiko i studentoppgaver
Behandlingsansvarlig skal gjennom informasjon og opplæringstiltak om personvern, informasjonssikkerhet og forskningsetikk, og gjennom veiledningsansvaret sikre at personvernhensynet til forskningsdeltakere er ivaretatt i studentoppgaver. Behandlingsansvarlige skal sikre at det ikke behandles personopplysninger i studentoppgaver der det er sannsynlig at behandlingen av personopplysninger vil medføre høy risiko for de registrertes rettigheter og friheter.
Ved behov for vurdering av personvernhensyn i studentoppgaver der behandlingen av personopplysningene kan medføre risiko for de registrertes rettigheter og friheter, har behandlingsansvarlige plikt til å rådføre seg med institusjonens personvernombud.
12.6 Opplæring og internkontroll i studentprosjekter
12.6.1 Ansvar for opplæring
UiB har ansvar for at studenter får opplæring om personvern, informasjonssikkerhet og forskningsetikk. Veileder for studentprosjekt skal sørge for at studenter er kjent med institusjonens retningslinjer og rutiner for behandling av personopplysninger. Studenter har ansvar for å gjøre seg kjent med og følge institusjonens rutiner for behandling av personopplysninger.
12.6.2 Dokumentasjon og internkontroll
Behandling av personopplysninger i studentprosjekter skal dokumenteres og følges opp i samsvar med bestemmelsene i personvernforordningen artikkel 30 og prinsippet om ansvarlighet. Gjennom dokumentasjonskravet skal det kunne påvises at personvernprinsippene er ivaretatt, herunder at behandlingen av personopplysninger har rettslig grunnlag.
Behandlingsansvarlig skal ha oversikt og kontroll med alle behandlinger av personopplysninger i studentoppgaver, for å sikre at krav til forskningsetikk, personvernprinsippene og informasjonssikkerhet er ivaretatt.
All behandling av personopplysninger i studentoppgaver skal være registrert og følges opp i Universitetet i Bergen sitt system for prosjektoversikt RETTE.
13 Behandling av personopplysninger for formål knyttet til vitenskapelig forskning
13.1 Formålet med vitenskapelig forskning
Vitenskapelig forskning kjennetegnes ved at forskningen oppfyller vitenskapelige normer som originalitet, åpenhet, etterprøvbarhet og uavhengighet.
Medisinsk og helsefaglig forskning er i helseforskningsloven § 4 a) definert som «virksomhet som utføres med vitenskapelig metodikk for å skaffe til veie ny kunnskap om helse eller sykdom».
Virksomhet som faller inn under begrepet ‘vitenskapelig forskning’ omfattes i personvernforordningen og personopplysningsloven av særlige bestemmelser og unntak. Det følger av personvernforordningen artikkel 89 nr. 1 at behandlingen av personopplysninger for vitenskapelig forskningsformål skal være omfattet av nødvendige garantier i samsvar med personvernforordningen for å sikre de registrertes rettigheter og friheter, herunder bestemmelser og vilkår i personopplysningsloven. Garantiene skal sikre at det er innført tekniske og organisatoriske tiltak for særlig å sikre at prinsippet om dataminimering overholdes. Så fremt behandlingen av personopplysninger for vitenskapelig formål gjennomføres i samsvar med artikkel 89 nr. 1 og nasjonale bestemmelser kan det på visse vilkår gjøres begrensninger og/eller unntak fra de registrertes rettigheter.
13.2 Roller og ansvar i forskningsprosjekter
13.2.1 Forskningsansvarlig / behandlingsansvarlig
Forskningsansvarlig er den som bestemmer formålet med forskningsprosjektet og utøver ansvaret i forskningsprosjekter på vegne av rektor. Forskningsansvaret i helseforskning er definert i helseforskningsloven, men for annen forskning er tilsvarende begrep behandlingsansvarlig. ‘Forskningsansvarlig’ brukes som samlebegrep i retningslinjen.
Dekan er forskningsansvarlig og har det overordnete ansvaret for alle forskningsprosjekt som foregår ved fakultetet. Dekan kan delegere oppgavene til instituttleder.
Forskningsansvarlig skal:
sørge for opplæring, rutiner, infrastruktur og internkontrollsystemer for forskningsvirksomheten i henhold til gjeldende lovverk og retningslinjer og for at disse er implementert og følges i praksis
ha oversikt over sin forskningsportefølje i prosjektoversikten
skal stanse forskning som er etisk eller juridisk uforsvarlig eller som er i strid med forutsetningene for prosjektet
gjennomføre systematiske tiltak som fremmer god forskning og som sikrer at forskningen planlegges, organiseres, gjennomføres og avsluttes i samsvar med gjeldende regelverk
gjennomføre personvernkonsekvenser der dette er påkrevd i henhold til personvernforordningen
involvere virksomhetens personvernombud på rett måte og til rett tid i spørsmål som berører personvernet til forskningsdeltakere
13.2.2 Prosjektleder
Prosjektleder for forskningsprosjekter skal normalt ha doktorgrad. Doktorgradsstudentens veileder ved UiB vil normalt være prosjektleder for doktorgradsprosjekter. For helseforskningsprosjekter skal prosjektleder alltid ha doktorgrad.Studenter på lavere nivå enn doktorgradsnivå kan ikke være prosjektledere.
Prosjektleder:
har det operative ansvaret og skal sørge for internkontroll ved gjennomføringen av forskningsprosjektet, fra planlegging til avslutning, herunder at krav i relevant lovverk og forskningsetiske og interne retningslinjer etterleves
skal rådføre seg med virksomhetens personvernombud hvis det er sannsynlig at behandlingen av personopplysninger vil medføre høy risiko for fysiske personers rettigheter og friheter, og det må foretas en vurdering av personvernkonsekvenser i samsvar med personvernforordningen artikkel 35
skal utarbeide en datahåndteringsplan
er ansvarlig for å sørge for tilgangsstyring dersom det er behov for konfidensialitet ved behandling av personopplysninger i prosjektet
er ansvarlig for at relevante og nødvendige dokumentasjonskrav ivaretas i prosjektet
skal sette seg inn i relevant lovgivning for behandling av personopplysninger og relevante retningslinjer for informasjonssikkerhet ved bruk av UiBs IKT-infrastruktur, herunder bruk av UiBs forskningsserver SAFE
er ansvarlig for å følge opp anmodninger fra forskningsdeltakere om innsyn mm.
er pliktig til å håndtere brudd på personopplysningssikkerheten
skal sørge for at avtaler som er påkrevet for ivaretakelse av informasjonssikkerhet og personvern blir inngått
For medisinsk- og helsefaglig forskning gjelder i tillegg at:
veileder er ansvarlig prosjektleder for doktorgradsprosjekter
Prosjektleder er ansvarlig for nødvendig søknad til Regional etisk komite for medisinsk for helsefaglig forskningsetikk (REK)
Prosjektleder er ansvarlig for å sikre at det meldes fra til forskningsansvarlig og Helsetilsynet om alvorlige, uønskede og uventede medisinske hendelser. Forskningsdeltakerne skal også omgående informeres dersom de har blitt påført skade eller det har oppstått komplikasjoner som følge av forskningsprosjektet.
13.3 Rettslig grunnlag for behandling av personopplysninger for vitenskapelig forskningsformål
13.3.1 Alminnelige personopplysninger
Behandling av personopplysninger for formål knyttet til vitenskapelig forskning er underlagt personvernregelverket og må oppfylle minst ett av vilkårene i personvernforordningen artikkel 6. Dette gjelder også for behandling av personopplysninger i medisinsk og helsefaglig forskning.
Universitetet sitt samfunnsoppdrag er å utføre forskning og faglig og kunstnerisk utviklingsarbeid, jf. universitets- og høyskoleloven § 1-1 c). I samsvar med universitetets formål og samfunnsoppdrag er vitenskapelig forskning som utføres i regi av universitetet å anse som en oppgave som gjennomføres i allmennhetens interesse.
Det rettslige grunnlaget for behandling av personopplysninger i forbindelse med vitenskapelig forskning vil som hovedregel være:
At behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse (personvernforordningen artikkel 6 nr. 1 e),). Denne bestemmelsen krever at det vises til supplerende rettslig grunnlag i nasjonale bestemmelser, jf. personvernforordningen artikkel 6 nr. 3.
Supplerende rettslig grunnlag for behandling av personopplysninger for formål knyttet til vitenskapelig forskning er personopplysningsloven § 8. I henhold til personopplysningsloven § 8 kan personopplysninger behandles på grunnlag av personvernforordningen artikkel 6 nr. 1 bokstav e) dersom det er nødvendig for formål knyttet til vitenskapelig forskning. Behandlingen skal være omfattet av nødvendige garantier i samsvar med personvernforordningen artikkel 89 nr. 1.
Andre relevante rettslige grunnlag kan være:
Nødvendig for å oppfylle en rettslig forpliktelse, personvernforordningen artikkel 6 nr. 1 c). Behandlingen krever supplerende rettslig grunnlag i Den europeiske unions eller nasjonale bestemmelser. Relevant supplerende rettslig grunnlag må avklares nærmere basert på formålet med behandlingen.
Berettiget interesse, i henhold til personvernforordningen artikkel 6 nr. 1 f), kan være et relevant rettslig grunnlag for behandling av personopplysninger i oppgaver som forskere utfører på oppdrag fra eksterne virksomheter. Dette krever at behandlingsansvarlige gjennomfører en interesseavveiing.
Samtykke etter personvernforordningen artikkel 6 nr. 1 a) kan være et rettslig grunnlag, men et samtykke til deltakelse i henhold til forskningsetiske krav vil være noe annet enn samtykke som et rettslig grunnlag etter personvernforordningen. Behandling av personopplysninger for vitenskapelig forskningsprosjekter der det i informasjonen til forskningsdeltakere kun henvises til samtykke som eneste rettslig grunnlag, vil ikke kunne omfattes av de særlige bestemmelsene i personvernforordningen som gjelder for vitenskapelig forskning.
I informasjon til forskningsdeltakere skal det beskrives det rettslige grunnlag for behandlingen av personopplysninger, og hvilken betydning det rettslig grunnlag har for behandlingsansvarliges plikt til å oppfylle de registrertes rettigheter, og for behandlingsansvarliges plikt til å etterkomme anmodninger fra de registrerte om utøvelse av deres rettigheter.
Personopplysninger som er omfattet av lovbestemt taushetsplikt kan bare behandles når det er tillatt med hjemmel i lov, forskrift eller lovhjemlet vedtak. Bestemmelsen eller vedtaket utgjør det nødvendige supplerende rettslige grunnlaget.
13.3.2 Særlige kategorier personopplysninger
Behandling av særlige kategorier personopplysninger må oppfylle et av vilkårene i personvernforordningen artikkel 9 nr. 2 a) – j), se pkt. 2.2.2. Dette gjelder også for medisinsk og helsefaglig forskning.
For vitenskapelig forskning vil dette som regel være:
Personvernforordningen artikkel 9 nr. 2 bokstav j) behandlingen er nødvendig for formål knyttet til vitenskapelig forskning
Behandlingen må være omfattet av nødvendige garantier for å sikre den registrertes rettigheter og friheter, herunder tekniske og organisatoriske tiltak for å særlig sikre at prinsippet om dataminimering overholdes, i samsvar med artikkel 89 nr. 1. At forskningen er i samsvar med forskningsetiske normer og retningslinjer er et særlig og egnet tiltak for å sikre at de registrertes rettigheter og friheter er ivaretatt.
For medisinsk og helsefaglig forskning gjelder i tillegg:
Medisinsk og helsefaglig forskning må ha etisk forhåndsgodkjenning fra den regionale komiteen for medisinsk og helsefaglig forskningsetikk (REK), jf. helseforskningsloven § 9.
13.3.3 Supplerende lovbestemmelser som tillater behandling av særlige kategorier personopplysninger for formål knyttet til vitenskapelig forskning, på grunnlag av samtykke til deltakelse fra den registrerte
Personopplysningsloven § 10 bestemmer at rådføringsplikten med personvernombud etter personopplysningsloven § 9 annet ledd, gjelder tilsvarende for behandling av særlige kategorier personopplysninger for formål knyttet til vitenskapelig forskning når den registrerte har samtykket til deltakelse i forskningen.
For medisinsk og helsefaglig forskning gjelder:
Rådføringsplikten med personvernombud etter personopplysningsloven § 10 gjelder ikke for medisinsk og helsefaglig forskning, jf. helseforskningsloven § 33, 3. ledd.
13.3.4 Supplerende lovbestemmelser som tillater behandling av særlige kategorier personopplysninger for formål knyttet til vitenskapelig forskning, uten samtykke til deltakelse fra den registrerte
Med hjemmel i personvernforordningen artikkel 89 er det fastsatt nasjonale bestemmelser i personopplysningsloven med vilkår for å kunne behandle av særlige kategorier personopplysninger for formål knyttet til vitenskapelig forskning.
Personopplysningsloven § 9 bestemmer at særlige kategorier personopplysninger bare kan behandles på grunnlag av en interesseavveiing, der samfunnets interesse i at behandlingen finner sted klart overstiger ulempene for den enkelte, og behandlingen er omfattet av nødvendige garantier i samsvar med artikkel 89 nr. 1.
Behandlingsansvarlige skal rådføre seg med institusjonens personvernombud (eller annen som oppfyller tilsvarende krav til kvalifikasjoner og uavhengighet) før eventuell interesseavveiing. Ved rådføringen skal det vurderes om behandlingen av personopplysninger oppfyller kravene i personvernforordningen og personopplysningsloven.
Rådføringsplikten gjelder likevel ikke dersom det er utført en personvernkonsekvensvurdering etter personvernforordningen artikkel 35.
Behandling av særlige kategorier personopplysninger for vitenskapelig forskning uten samtykke vil som hovedregel være omfattet av kravet til å gjennomføre personvernkonsekvensvurdering. Behandlingsansvarlige har plikt til å involvere personvernombudet i arbeidet med vurderingen.
13.3.5 Særlige kategorier personopplysninger som er omfattet av lovbestemt taushetsplikt
Særlige kategorier personopplysninger som er omfattet av lovbestemt taushetsplikt kan bare behandles når det er tillatt med hjemmel i lov, forskrift eller vedtak. Den behandlingsansvarlige skal sikre at behandlinger av personopplysninger som er omfattet av lovbestemt taushetsplikt, der den registrerte ikke har samtykket til deltakelsen i forskningsprosjektet, har gyldig vedtak om unntak fra taushetsplikten før forskningen kan starte.
Lovhjemlet vedtak om unntak fra taushetsplikten utgjør det supplerende rettsgrunnlag både etter personvernforordningen artikkel 6 og artikkel 9, og erstatter rådføringsplikten etter personopplysningsloven §§ 9 og 10. For helseopplysninger som er omfattet av lovbestemt taushetsplikt må det supplerende rettslige grunnlaget finnes i helselovgivningen.
For annen forskning enn medisinsk og helsefaglig forskning, og for etablering av forskningsregister for formål knyttet til medisinsk og helsefaglig forskning som ikke er i tilknytning til et bestemt helseforskningsprosjekt, vil det supplerende rettslige grunnlaget for behandling av taushetsbelagte helseopplysninger for formål knyttet til vitenskapelig forskning være:
Vedtak fra REK om dispensasjon fra helsepersonells taushetsplikt, med hjemmel i helsepersonelloven § 29. Vedtaket fra REK oppfyller kravet om interesseavveiing i personopplysningsloven § 9.
For medisinsk og helsefaglig forskning gjelder:
Vedtak fra REK om dispensasjon fra taushetsplikten, med hjemmel i helseforskningsloven § 35. Vedtaket utgjør det nødvendige supplerende rettslige grunnlaget etter både personvernforordningen artikkel 6 og artikkel 9. REKs vedtak erstatter rådføringsplikten etter personopplysningsloven §§ 9 og 10. For personopplysninger som ikke er dekket av REK sitt vedtak, kan personopplysningsloven § 8 utgjøre det nødvendige supplerende rettslige grunnlag.
For forskning på helseopplysninger i registre som er regulert i helseregisterloven, og forskrifter med hjemmel i helseregisterloven, skal behandlingsansvarlige vise til relevant lov- og forskriftsbestemmelse som tillater behandlingen, i tillegg til rettslig grunnlag i personvernforordningen artikkel 6 og 9, forskningsetisk godkjenning, dispensasjon fra taushetsplikten og eventuell personvernkonsekvensvurdering.
For kvalitetssikring i helse- og omsorgstjenesten gjelder:
Kvalitetssikring i helsetjenesten er en lovpålagt oppgave. Forskningsprosjekter som gjennomføres som internt kvalitetssikringsprosjekt, skal ha godkjenning fra klinikkleder/avdelingsleder. Behandlingen av personopplysninger gjennomføres som en oppgave i allmennhetens interesse, jf. personvernforordningen artikkel 6 nr. 1 e) med supplerende rettslig grunnlag i helselovene, for eksempel helsepersonelloven § 26.
Artikkel 9 nr. 2 bokstav i) når behandlingen er nødvendig for å sikre høye kvalitets- og sikkerhetsstandarder for helsetjenester. Behandlingen av personopplysninger må være i samsvar med nasjonale bestemmelser, herunder bestemmelser som regulerer helsetjenestens adgang til å dele taushetsbelagte helseopplysninger. Vitenskapelig forskningsprosjekter som gjennomføres som kvalitetssikringsoppgaver i helsetjenesten må meldes til pasientansvarlig institusjon.
13.3.6 Behandling av personopplysninger om straffedommer og lovovertredelser for formål knyttet til vitenskapelig forskning
For behandling av personopplysninger om straffedommer og lovovertredelser for vitenskapelige forskningsformål gjelder rådføringsplikten etter personopplysningsloven § 9 tilsvarende, Behandlingen må enten skje på grunnlag av den registrertes samtykke, eller, dersom behandlingen utføres under en offentlig myndighets kontroll, på grunnlag av personopplysningsloven § 8.
13.4 Dokumentasjon og internkontroll i forskning
13.4.1 Datahåndteringsplan (DMP)
Alle forskningsprosjekter skal ha en datahåndteringsplan. Prosjektleder har ansvar for at det blir satt opp en datahåndteringsplan for prosjektet. Datahåndteringsplanen skal beskrive hvordan forskningsdata skal samles inn, lagres og deles slik at dataene blir håndtert sikkert og forsvarlig.
Planen skal være et aktivt dokument som oppdateres underveis i prosjektet og som dokumenterer hvordan forskningsdata blir behandlet og organisert gjennom hele prosjektet. En datahåndteringsplan skal også inkludere vurderinger knyttet til etikk og personvern.
13.4.2 Krav til oversikt og kontroll med behandling av personopplysninger i forskning
Behandlingsansvarlig har plikt til å ha oversikt og kontroll med alle behandlinger av personopplysninger i forskningsprosjekter, for å sikre at personvernprinsippene og krav til informasjonssikkerhet er ivaretatt.
All behandling av personopplysninger skal være registrert og fulgt opp i Universitetet i Bergen sitt system for prosjektoversikt RETTE.
Prosjektoversikten skal danne grunnlag for tilsyn og kontroll med forskningsprosjekter.
Behandling av personopplysninger i forskningsprosjekter skal følges opp systematisk i samsvar med bestemmelsene i personvernforordningen artikkel 30 og prinsippet om ansvarlighet.
Fotnoter
Dato |
Kommentar |
Lagt inn av |
---|---|---|
22. januar 2020 13:42:00 |
Vedatt av og dato for vedtak lagt til. |
Arne R. Ramslien |
10. januar 2020 14:37:25 |
Ny retningslinje for behandling av personopplysninger, vedtatt i beslutningsnotat av rektor og universitetsdirektør 18.12.2019 |
Mona Viksøy |
10. januar 2020 14:27:51 |
Ny retningslinje for behandling av personopplysninger, vedtatt i beslutningsnotat av rektor og universitetsdirektør 18.12.2019 |
Mona Viksøy |
10. januar 2020 14:18:30 |
Ny retningslinje for behandling av personopplysninger, vedtatt i beslutningsnotat av rektor og universitetsdirektør 18.12.2019 |
Mona Viksøy |
10. januar 2020 13:54:37 |
Ny retningslinje for behandling av personopplysninger, vedtatt i beslutningsnotat av rektor og universitetsdirektør 18.12.2019 |
Mona Viksøy |
10. januar 2020 13:36:10 |
Ny retningslinje for behandling av personopplysninger, vedtatt i beslutningsnotat av rektor og universitetsdirektør 18.12.2019 |
Mona Viksøy |
10. januar 2020 11:03:52 |
Ny retningslinje for behandling av personopplysninger, vedtatt i beslutningsnotat av rektor og universitetsdirektør 18.12.2019 |
Mona Viksøy |
09. januar 2020 11:28:22 |
Ny retningslinje for behandling av personopplysninger, vedtatt i beslutningsnotat av rektor og universitetsdirektør 18.12.2019 |
Mona Viksøy |
09. januar 2020 11:16:24 |
Ny retningslinje for behandling av personopplysninger, vedtatt i beslutningsnotat av rektor og universitetsdirektør 18.12.2019 |
Mona Viksøy |
09. januar 2020 11:13:28 |
Ny retningslinje for behandling av personopplysninger, vedtatt i beslutningsnotat av rektor og universitetsdirektør 18.12.2019 |
Mona Viksøy |