Wikier

Personvern og GDPR

Personvern og GDPR - FAQ for ansatte

Praktiske spørsmål og svar på hvordan NTNU forholder seg til personvern og GDPR. Svarene er verifisert av NTNUs jurister og sortert etter tema.

Temaside om informasjonssikkerhet | Sider merket med Personvern

Sist oppdatert 4.sept 2020.

Hopp til riktig FAQ på denne side:

Generelle spørsmål

Spørsmål og svar om GDPR og personvern for ansatte.

Hva er en personopplysning?

En personopplysning er informasjon som både direkte og indirekte kan knyttes til en fysisk person.

For eksempel:

  • Navn
  • Fødselsnummer
  • Bilde
  • Video
  • Lydopptak
  • e-postadresse. 
  • IP-adresse
  • Fingeravtrykk
  • Bilnummer
  • + mer - dette er bare eksempler.

Du må ha ett tydelig grunnlag for å kunne bruke persondata. Dette kan være lovhjemmel, avtale, myndighetsutøvelse eller f.eks samtykke. Les mer på Sikresiden.no 

Hva er sensitive personopplysninger?

Sensitive personopplysninger (særlige kategorier) er i utgangspunktet forbudt å bruke, og du må ha særlig grunnlag for å bruke opplysningene.

For eksempel gjelder dette 

  • Helseforhold
  • Seksuelle forhold
  • Genetiske og biometriske opplysninger
  • Politiske og religiøse oppfatninger
  • Etnisk eller rasemessig bakgrunn.
  • + mer - dette er bare eksempler.

Slike opplysninger skal ikke samles inn dersom man ikke har et særlig grunnlag og behov for dette. Bruken av slike opplysninger må sikres særskilt. Les mer på Sikresiden.no 

Hva er databehandleravtaler?

Databehandleravtaler er avtaler mellom NTNU og eksterne leverandører som behandler personopplysninger på vegne av NTNU. Avtalene skal sikre at personopplysninger behandles på en sikker måte og i tråd med behandlingsansvarliges (NTNUs) instrukser. En ekstern leverandør, databehandler, kan ikke behandle personopplysningene til ansatte, studenter, gjesteforskere, gjester eller respondenter/informanter sine personopplysninger ved NTNU på en annen måte enn det som er skriftlig avtalt med NTNU i databehandleravtalen (evt. i tjenesteavtalen). Vi skal i arbeidet som nå utføres både kartlegge og etablere en oversikt over hvilke avtaler vi har og sikre at de er oppdaterte og i samsvar med de nye personvernreglene. Databehandleravtaler skal arkiveres i ephorte sammen med inngått tjenesteavtale.

Databehandleravtalen skal lenkes til ephorte nr. 2017/13795 «oversikt databehandleravtaler».

Se lenke for mer informasjon om Databehandleravtaler: innsida.ntnu.no/wiki/-/wiki/Norsk/Databehandleravtale

Lagring og epost

Spørsmål og svar om lagring, epost, arkiveringsplikt og reiseregninger.

Hvilket IT-verktøy skal jeg bruke til personopplysninger?

Det er veldig viktig å bruke riktig verktøy til riktig type informasjon. Det er ønskelig og nødvendig at man klassifiserer all informasjon, og behandler informasjonen iht retningslinjer for de ulike klassifiseringene.

NTNU kommer med mer informasjon om hvilke verktøy som kan brukes til hva, men hvis du er usikker, snakker du foreløpig med systemeieren. (En systemeier er en leder som er ansvarlig for å utvikle, forvalte og/eller drifte et informasjonssystem på vegne av NTNU. En som oppbevarer data kan også anses som systemeier.)  

Hva skal vi gjøre med sensitive data på de gamle fellesområdene til fusjonerte/nedlagte institutt?

Sensitive data, og andre personopplysninger på gamle fellesområder, skal slettes hvis det ikke er arkivpliktige dokumenter.

Hvis dokumentene er arkivpliktige (saksdokument), skal de arkiveres i Ephorte. Du kan lese mer om hva som er arkivpliktig på NTNUs nettsider om arkivering.

Kan sensitive personopplysninger sendes på e-post?

Nei. Sensitive og taushetsbelagte opplysninger skal ikke sendes på e-post. Heller ikke fødselsnummer, jf. Datatilsynets anbefalinger.. Men hvis det er vurdert som eneste mulighet må du kryptere e-posten eller vedleggene må være passordbeskyttet. Passordet må være sterkt.   Se veiledninger for sikker e-post.

Anbefalt alternativ

Se også: 

Bør jeg slette gamle e-poster med personopplysninger?

Ja.

E-poster med personopplysninger skal ikke oppbevares lenger enn det som er nødvendig ut fra formålet.  E-poster som inneholder taushetsbelagte eller sensitive personopplysninger, skal slettes hvis ikke e-posten er arkivpliktig. Det samme gjelder e-poster med opplysninger om mange personer, f.eks. med lister eller Excel-filer. Er e-posten arkivpliktig, dvs. er et saksdokument, skal den arkiveres i Ephorte som er NTNUs arkiv. 

Kan eksterne  sende reiseregningskjema på e-post?

Nei - det må sendes i vanlig post. 

Reiseregninger for eksterne timelærere, sensorer og studenter inneholder fødselsnummer og bankkontonummer. I og med at disse inneholder fødselsnummer og bankkontonummer skal de ikke sendes på e-post.

Dessverre har vi pr i dag ikke noe digitalt alternativ vi kan anbefale.

Digitale skjema 

Spørsmål og svar om skjema, påmeldinger, og spørreundersøkelser.

Skal data som er hentet inn i påmeldingsskjema, slettes etter at arrangementet er gjennomført?

Ja. Personopplysninger skal ikke lagres lenger enn det som er nødvendig ut fra formålet. Påmeldingsskjema og svar slettes etter at det ikke er nødvendig å lagre det lenger. Hvis arrangementet er gjennomført, skal dette slettes.

Må man også slette svarene som er lastet ned som Excel-fil? 

Ja.

Kan vi be kursdeltakere om å oppgi eventuell allergi når de melder seg?

Hvis kursdeltaker ønsker å oppgi dette så er det ok, men det må være frivillig.

Vær obs på at dette er helseopplysninger som er sensitive og krever ekstra sikkerhet til verktøyet du bruker.

Når opplysninger om behov for spesiell mat skal formidles videre, til f.eks et hotell, skal det skje i anonymisert form, ikke med navn på deltaker(e). Opplysningene må også slettes når kurset er avholdt.

Studier og vurdering

Dekker studier, eksamen, sensur og praksis-perioden.

Kan vi scanne vurderingsprotokoller før de sendes til Gløshaugen for sensurregistrering?

Bakgrunn for spørsmålet: Skann blir sendt via epost (Ricoh printer) og lagret på fellesområdet. Begrunnelsen for rutinen er at det hender at protokoller forsvinner i internposten. Vi er i enkelte tilfeller, i forhold til behandling av klage/begrunnelse, nødt til å sjekke signatur på protokoll for å vite hvem som har sensurert. Er dette fortsatt ok?

Svar: På sensurlistene står kandidatnummer og karakter. Det er ikke anonymt, men for å gjøre kobling til person krever det tilgang til FS. av dette på fellesområdet er derfor ok. Dokumentene må slettes når det ikke lenger er behov for dem, dvs. når klagefristene er ute.

Kan studentene sende praksisrapport på e-post?

Praksisrapporter inneholder ofte taushetsbelagte opplysninger og skal da ikke sendes på e-post. Se mer forklaring under temaet e-post.

Er det greit å sende ut e-post til studenter med informasjon om manglende grunnlag for å kunne ta eksamen?

Ja, så lenge det bare er en e-post om manglende grunnlag og at grunnlaget er manglende obligatorisk deltagelse for eksempel. E-post må da ikke inneholde personnummer eller sensitiv informasjon.

Forskning

FAQ gjelder personvern forskning, EU/EØS prosjekter, samarbeid og publikasjoner.

Kan vi sende Cristin-rapporter med forskeres navn og publikasjoner i e-post?

Ja

Hvordan går vi fram i samarbeid med utenlandske forskere utenfor EU/EØS når prosjektet krever at vi deler sensitive personopplysninger?

Dette er et komplisert område, hvor det kan være greit å kontakte juridisk i avdeling for virksomhetsstyring. Overføring av personopplysninger til land utenfor EU/EØS reguleres i EUs personvernforordningen kap. V.  

Problemstillingen er nærmere omtalt nederst på denne siden.

Kommunikasjon og formidling

Spørsmål og svar om ;kommunikasjon, web og formidling.

Hvilke rutiner gjelder ved samtykke til foto - video - lyd?

Det er viktig å ha gode rutiner for innhenting  av samtykke i forbindelse med innsamling av foto - video - lyd. NTNU må kunne dokumentere at samtykket er gitt. Det må også foreligge rutiner for tilbaketrekking  av samtykke og eventuell sletting av materiale. Les mer om dette tema her.

Kan jeg sende ut nyhetsbrev på e-post hvis jeg ikke kan dokumentere at medlemmene har samtykket til å motta det?

Nei. Det må innhentes nytt samtykke hvis det er tvil om det foreligger tilstrekkelig samtykke. Les mer om samtykke her.