Wikier

Retningslinje for behandling av personopplysninger

Detaljer Skriv ut

Retningslinje for behandling av personopplysninger ved NTNU.

Temaside om informasjonssikkerhet | Sider merket med Personvern

Innholdsfortegnelse [-]

  1. Formål
  2. Gjelder for
    1. Anvendelsesområde
  3. Ansvar og roller 
  4. Sentrale begreper og definisjoner
  5. Krav til behandling av personopplysninger
    1. Generelle prinsipper for personvern
    2. Oversikt over behandling av personopplysninger (protokoll)
    3. Behandlingsgrunnlag
      1. Generelt
      2. Personopplysninger om søkere, studenter og doktorgradsstudenter
      3. 4.3.3. Personopplysninger om ansatte
      4. Samtykke som behandlingsgrunnlag
    4. Risikovurdering
    5. Vurdering av personvernkonsekvenser og forhåndsdrøfting med Datatilsynet
      1. Generelt om personvernkonsekvensvurderinger (DPIA)
      2. Rådføringsplikt med Datatilsynet ved fortsatt høy risiko
    6. Databehandleravtale
    7. Overføring av personopplysninger til utlandet
    8. De registrertes rettigheter
    9. Bilde, video-, og lydopptak
    10. Kameraovervåkning
    11. Adgangskontroll
    12. Generell behandling av personopplysninger
    13. Taushetsplikt
    14. Lagring, sletting og arkivering
    15. Bruk av fødselsnummer
    16. Bruk av e-post
    17. Utlevere informasjon om studenter og ansatte til eksterne
    18. Forholdet til innsyn etter andre lover
    19. Innebygd personvern (Privacy by Design)
  6. Kontroll og etterlevelse
  7. Behandling av personopplysninger i forskning
    1. Melding til Sikt personverntjenester
    2. Helseforskning - forhåndsgodkjenning av REK
    3. Vurdering av personvernkonsekvenser (DPIA)
    4. Behandlingsgrunnlag
      1. Generelt
      2. Helseforskning
      3. Viderebehandling til forskningsformål
    5. Datahåndteringsplan (DMP)
    6. Lagring av aktive forskningsdata
    7. Prosjektmedarbeideres tilgang til forskningsdata
    8. Avslutning av forskningsprosjekter
    9. Kontroll og etterlevelse - forskningsprosjekter
      1. Kontroll med oppstart
      2. Kontroll med gjennomføring
      3. Kontroll med avslutning
  8. Behandling av personopplysninger i forbindelse med undervisning
    1. Video-, og lydopptak
    2. Bilde, video- og lydopptak - studenter i praksis
    3. Læringsplattformer
    4. Studentprosjekt
  9. Kontroll og etterlevelse
  10. Erstatning og oppreisning ved personvernbrudd
  11. Henvisninger

English version - Policy for the processing of personal data

Om retningslinjen:

  • Type dokument: Retningslinje
  • Forvaltes av: Seksjon for digital sikkerhet
  • Godkjent av: Direktør for Organisasjon og infrastruktur
  • Gjelder fra: 01.10.2025
  • Neste revisjon innen: 01.10.2027
  • Klassifisering: Åpen
  • Referanse ISO: ISO 27002:2022; 5.10, 5.34, 8.10, 8.11
  • Policy for informasjonssikkerhet og personvern i høyere utdanning og forskning: Pkt 2, 6-10
  • Referanse NSMs grunnprinsipper for IKT-sikkerhet:
  • Referanse lov/regel: EUs personvernforordning artikkel 5 (grunnleggende prinsipper) og 24
  • Referanse interne dokumenter: Retningslinje for behandling av personopplysninger er underlagt NTNUs Politikk for informasjonssikkerhet og IKT-reglementet

Formål

Formålet med retningslinjen er å

  • sikre at personopplysninger om søkere, studenter, ansatte, forskningsdeltakere og andre som NTNU behandler personopplysninger om, blir behandlet i samsvar med gjeldende lovverk
  • beskytte den enkelte mot at personvernet blir krenket
  • sikre at den enkelte ved forespørsel får innsyn i de opplysninger som er registrert om vedkommende
  • legge forholdene til rette for forskning som omfatter innsamling og bearbeiding av personopplysninger samtidig som forskningsdeltakernes rettigheter og krav etter gjeldende lovverk blir ivaretatt på en god måte

Gjelder for

a. alle ansatte ved NTNU

b. alle studenter ved NTNU

c. alle som har tilgang til og/eller bearbeider og forvalter personopplysninger gjennom NTNUs IKTinfrastruktur

Anvendelsesområde

Retningslinjen gjelder for alle virksomhetsområder ved NTNU. Retningslinjen gjelder for personopplysninger som behandles elektronisk, helt eller delvis. Retningslinjen gjelder også ved manuell behandling av personopplysninger som inngår eller skal inngå i et register, dvs. som medfører at det er lett å finne igjen enkeltpersoner.

Personopplysninger innebefatter også pseudonymiserte opplysninger, indirekte opplysninger og taushetsbelagte opplysninger. Anonyme opplysninger regnes ikke som personopplysninger.

Ansvar og roller 

Arbeidet med informasjonssikkerhet berører virksomheten på alle nivå. Ansvar og myndighet for informasjonssikkerhet følger det ordinære linjeansvaret. Alle roller tilhørende styringssystemet er definert i politikk for informasjonssikkerhet.

For retningslinje for behandling av personopplysninger har linjeledere, prosesseiere og systemeiere sentrale roller med tilhørende ansvar. 

Sentrale begreper og definisjoner

Personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson, enten direkte eller indirekte, f.eks. navn, identifikasjonsnummer, personbilde, online-identifikator, IP-adresse, ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet. Indirekte personidentifiserende opplysninger er bakgrunnsopplysninger som kan gjøre det mulig å spore opplysningene tilbake til en enkeltperson, for eksempel bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, nasjonalitet, etc.

Særlige kategorier personopplysninger: opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.

Helseopplysning: personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om mottatte helsetjenester, som gir informasjon om vedkommende sin helsetilstand. Behandling av personopplysning: enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.

Pseudonymisering: behandling av personopplysninger på en slik måte at personopplysningene ikke lenger kan knyttes til en bestemt person uten bruk av tilleggsopplysninger, forutsatt at nevnte tilleggsopplysninger lagres atskilt og omfattes av tekniske og organisatoriske tiltak som sikrer at personopplysningene ikke kan knyttes til en identifisert eller identifiserbar fysisk person. Opplysningene vil fortsatt regnes som personopplysninger etter loven.

Taushetsbelagte opplysninger er opplysninger om noens personlige forhold (for eksempel familie, sykdom, helse, personlige, økonomiske forhold). Særlige kategorier personopplysninger er en egen kategori i EUs personvernforordning som krever ekstra sikkerhetstiltak (for eksempel opplysninger om helse, seksuelle forhold, etnisk opprinnelse eller politisk oppfatning). Både taushetsbelagte og særlige kategorier personopplysninger klassifiseres som fortrolige eller strengt fortrolige etter NTNUs Retningslinje for klassifisering av informasjon.

Anonyme opplysninger: opplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson. Først når man er sikker på at opplysningene ikke kan knyttes tilbake til en enkeltperson, anses opplysningene som anonymiserte. Anonymiserte opplysninger er ikke personopplysninger og reguleres ikke av personvernlovgivningen.

Register: enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, enten samlingen er plassert sentralt, er desentralisert eller spredt på et funksjonelt eller geografisk grunnlag.

Behandlingsansvarlig: en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes. NTNU er behandlingsansvarlig i de aller fleste tilfellene der det behandles personopplysninger ved NTNU. Dersom to eller flere behandlingsansvarlige i fellesskap fastsetter formål og midler som skal brukes skal de være felles behandlingsansvarlige.

Behandlingsgrunnlag: der rettslige grunnlaget for behandling av personopplysninger. Behandling av personopplysninger må ha et rettslig grunnlag for å være lovlig. Behandlingsgrunnlagene kommer frem av personvernforordningens art 6 og art. 9 for særlige kategorier personopplysninger.

Databehandler: en ekstern fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige. Blackboard, som er leverandør av læringsstøttesystem til NTNU, er et eksempel på en databehandler.

Samtykke: enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende. Samtykke må alltid kunne dokumenteres, og skal være like lett å trekke som å gi.

Krav til behandling av personopplysninger

Generelle prinsipper for personvern

Personvern handler om retten til privatliv og retten til å bestemme over egne personopplysninger. Den enkelte skal i størst mulig grad kunne bestemme over egne personopplysninger. Reglene for behandling av personopplysninger bygger på noen grunnleggende prinsipper. Prinsippene fremgår av artikkel 5 i EUs personvernforordning (GDPR). Øvrige bestemmelser i EUs personvernforordning bygger på disse. All behandling av personopplysninger skal skje i samsvar med disse prinsippene som er:

  • Lovlig, rettferdig og åpenhet om behandlingen - Det må finnes en lov (behandlingsgrunnlag) som tillater behandlingen av personopplysninger. Minst ett av de grunnlagene som fremgår i EUs personvernforordning, må være oppfylt. Behandlingen av personopplysninger skal gjøres i respekt for de registrertes interesser og skape tillit. Behandlingen av personopplysninger skal være forståelig og forutsigbar for den registrerte slik at vedkommende kan innrette seg og gis mulighet til å gjøre sine rettigheter gjeldende. Åpenhet om behandlingen er en forutsetning for at enkeltpersoner skal kunne ivareta sine rettigheter og interesser.
  • Formålsbegrensning - Personopplysninger skal bare behandles for spesifikke, uttrykkelige, angitte og legitime formål. Personopplysninger kan ikke gjenbrukes til formål som er uforenlig med det opprinnelige formålet. Viderebehandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål anses som forenlig med de opprinnelige formålene. Dette forutsetter at det er innført tekniske og organisatoriske tiltak for å sikre den registrertes rettigheter, særlig for å sikre at prinsippet om dataminimering overholdes. Aktuelle tiltak kan omfatte pseudonymisering. Dersom tiltakene kan oppfylles ved viderebehandling som ikke gjør det mulig å identifisere de registrerte, skal formålene oppfylles på denne måten (anonymisering av personopplysningene). Viderebehandling forutsetter at EUs personvernforordning og loven har vært fulgt ved den opprinnelige innsamlingen av personopplysningene.
  • Dataminimering - Mengden innsamlede personopplysninger skal begrenses til det som er nødvendig for formålet med innsamlingen.
  • Riktighet - Personopplysninger som behandles, skal være korrekte, og skal om nødvendig oppdateres.
  • Lagringsbegrensning - Personopplysninger skal slettes eller anonymiseres når de ikke lenger er nødvendige for formålet de ble innhentet for med mindre personopplysningene er arkivpliktige (dvs. inngår i dokumenter som er gjenstand for saksbehandling og har verdi som dokumentasjon). Offentlige virksomheter er underlagt arkivplikt hvilket medfører at NTNU i stor grad er pliktig til å arkivere opplysninger om ansatte og studenter.
  • Integritet og konfidensialitet - Dette betyr at den behandlingsansvarlige (NTNU eller den som handler på vegne av NTNU) må sørge for tiltak mot utilsiktet og ulovlig ødeleggelse, tap og endringer av personopplysninger. Dette skal gå foran tilgjengelighet.
  • Ansvarlighet - NTNU skal opptre i samsvar med disse prinsippene og sørge for at de registrertes rettigheter blir ivaretatt. NTNU skal kunne dokumentere at virksomheten har gjennomført nødvendige organisatoriske og tekniske tiltak for å etterleve EUs personvernforordning.

Oversikt over behandling av personopplysninger (protokoll)

  • Oversikten skal inneholde informasjon som fremgår i EUs personvernforordning artikkel 301.
  • Oversikten skal føres i NTNUs felles system for oversikt over behandling av personopplysninger.
  • Meldingsarkivet til Sikt personverntjenester for forskning, som utpekte ansatte ved NTNU har tilgang til, gir en oversikt over behandling av personopplysninger i student- og forskningsprosjekter som er meldt til Sikt.
  • Helseforskningsprosjekter der Fakultet for medisin og helsevitenskap er forskningsansvarlig, skal føres i NTNUs protokollsystem.
  • Helseforskningsprosjekter der andre fakultet er forskningsansvarlig, skal meldes til Sikt og vil bli registrert i Sikts meldingsarkiv.
  • NTNUs funksjonsanalyse (FUP-rammeverket) ligger til grunn for føring av protokoll over behandlingsaktiviteter som utføres innenfor ansvarsområdet til administrative saksprosesser i NTNUs protokollsystem
  • Behandling av personopplysninger i IKT-systemer føres i en egen oversikt
  • Behandling av personopplysninger når NTNU er databehandler føres i en egen oversikt, jf. artikkel 30 (2) i Personvernforordningen.

Behandlingsgrunnlag

Generelt

Behandling av personopplysninger krever et behandlingsgrunnlag (lovlig grunn), dvs. at det er en lov (f.eks. EUs personvernforordning, personopplysningsloven, universitets- og høyskoleloven) eller forskrift som tillater den aktuelle behandlingen.

For å behandle personopplysninger må ett av grunnlagene i EUs personvernforordning (GDPR) artikkel 6 nr.1 være oppfylt. Grunnlaget kan være samtykke eller ett av de andre alternativene. Minst ett av følgende vilkår må være oppfylt:

  • den registrerte har gitt samtykke (som må være dokumentert) til behandling av sine personopplysninger for ett eller flere spesifikke formål
  • behandlingen er nødvendig for å
    • oppfylle en avtale med den registrerte
    • verne den registrertes eller en annen fysisk persons vitale interesser (liv og helse)
    • oppfylle en rettslig forpliktelse som den behandlingsansvarlige er pålagt
    • utføre en oppgave i allmennhetens interesse
    • utøve offentlig myndighet som den behandlingsansvarlige er pålagt

For de tre siste alternativene kreves i tillegg et supplerende grunnlag i nasjonal lov. Bestemmelser i personopplysningsloven eller universitets- og høyskoleloven eller andre lover kan være et slikt supplerende lovgrunnlag.

Hvis det skal behandles særlige kategorier personopplysninger (helseopplysninger, opplysninger om etnisitet, politisk oppfatning mm.), kreves i tillegg at ett av punktene i EUs personvernforordning artikkel 9 nr. 2 er oppfylt.

EUs personvernforordning artikkel 6 nr. 1 bokstav f tillater behandling av personopplysninger hvis virksomheten som behandler personopplysningene, har en berettiget interesse i den aktuelle behandlingen og hensynet til den registrertes personvern ikke overstiger denne interessen. Bestemmelsen vil som regel ikke kunne brukes som grunnlag for behandling av personopplysninger om studenter da den ikke gjelder for behandling som utføres av offentlige myndigheter som ledd i utførelsen av deres oppgaver. Bestemmelsen kan være et grunnlag for behandling av personopplysninger om ansatte.

Personopplysninger om søkere, studenter og doktorgradsstudenter

Universitetet kan etter universitets- og høyskoleloven § 2-8 behandle personopplysninger om søkere, studenter og doktorgradskandidater når det er nødvendig for å utføre oppgaver etter universitets- og høyskoleloven.

Bestemmelsen gir også adgang til å behandle særlige kategorier personopplysninger når det er nødvendig for å behandle saker etter universitets- og høyskoleloven §§ 12-1 til 12-7 (politiattester, fusk, skikkethet m.m.), eller den registrerte har gitt opplysningene eller har gitt tillatelse til å innhente dem.

  • Formålet med behandlingen må være å ivareta den registrertes rettigheter eller å oppfylle institusjonens oppgaver og plikter etter universitets- og høyskoleloven.
  • Universitetet kan innhente opplysninger om navn, fødselsnummer eller d-nummer, arbeidserfaring og vitnemål og annen dokumentasjon på oppnådd kompetanse fra andre offentlige myndigheter, fra offentlige systemer for vitnemål og fra statlige, fylkeskommunale og private utdanningsinstitusjoner, når det er nødvendig for å utføre oppgaver etter universitets- og høyskoleloven.

Dersom personopplysninger skal behandles i andre sammenhenger, må studenten samtykke eller det må finnes et annet behandlingsgrunnlag.

4.3.3. Personopplysninger om ansatte

Det rettslige grunnlaget for behandling av grunnopplysninger om ansatte er EUs personvernforordning artikkel 6 nr. 1 b, dvs. at behandlingen er nødvendig for å oppfylle en avtale med den registrerte. For særlige kategorier personopplysninger må et av vilkårene i artikkel 9 nr. 2 i tillegg være oppfylt. Personopplysningsloven § 6 gir et supplerende grunnlag for behandling av særlige kategorier personopplysninger når dette er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter.

Bestemmelser om innsyn i arbeidstakers e-postkasse og kameraovervåking på arbeidsplassen er fastsatt av departementet som forskrifter til arbeidsmiljøloven, med hjemmel i aml. §§ 9-5 og 9-6.

Samtykke som behandlingsgrunnlag

Samtykke fra den registrerte kan være et behandlingsgrunnlag for behandling av personopplysninger. Dette forutsetter at følgene vilkår er oppfylt:

  • Frivillig - Det må ikke knytte seg noen fordeler eller negative sanksjoner til samtykket. Det må tas hensyn til ulikevekten mellom partene dersom universitetet vurderer å bygge behandlingen på samtykke fra studenter og ansatte. Dette kan medføre at samtykket i realiteten ikke anses som fritt.
  • Spesifikt - Det må fremgå hvilke(t) formål samtykket gjelder for.
  • Informert - Det må være klart hva som er omfattet av samtykket når den registrerte samtykker.
  • Utvetydig - Det må være klart at vedkommende har gitt samtykke, hvilken dato det ble gitt og navnet på den som ga samtykket. Behandlingsansvarlig må kunne påvise dette, dvs. at det må kunne dokumenteres, enten skriftlig eller elektronisk.

Den registrerte må, til enhver tid, kunne trekke tilbake samtykke og det må være like enkelt å trekke det tilbake som å gi det.

For noen behandlinger av personopplysninger er det imidlertid ikke tilstrekkelig med behandlingsgrunnlag – det må foreligge et særskilt grunnlag i tillegg. Dette gjelder behandling av sensitive personopplysninger, automatiserte individuelle avgjørelser og overføring til utlandet. I disse tilfellene kan eksplisitt samtykke være et mulig tilleggsgrunnlag. Med eksplisitt samtykke menes et samtykke som er gitt på en ekstra tydelig måte. Eksempler på dette er der den enkelte sender en skriftlig erklæring om hva vedkommende samtykker til eller må bruke BankID for å signere en samtykkeforespørsel.

Se punkt 5.4 særskilt om samtykke i forskning.

Risikovurdering

Risikovurderingen skal bidra til å forebygge uønskede hendelser eller mangler ved behandlingen av personopplysninger ved NTNU, som kan ha konsekvenser for studenter, ansatte, forskningsdeltakere og/eller samfunnet mer generelt. Sentrale forhold i risikovurderingen er prosjektets/behandlingens omfang, opplysningenes følsomhet, trusselbildet knyttet til miljøet opplysningene bearbeides og lagres i, og prosjektets/behandlingens varighet. Alle vurderinger og tiltak skal være dokumentert.

NTNUs Retningslinje for risikostyring for informasjonssikkerhet gir anvisning på hvordan man kan foreta en risikovurdering. I tillegg finnes det støttemateriell på innsida for risikovurdering av informasjonssikkerhet og risikovurdering av forskningsprosjekt som inneholder personopplysninger.

Vurdering av personvernkonsekvenser og forhåndsdrøfting med Datatilsynet

Generelt om personvernkonsekvensvurderinger (DPIA)

Hvis det er sannsynlig at en type behandling vil medføre høy risiko for enkeltpersoners rettigheter og friheter, skal den behandlingsansvarlige foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personvernet, jf. EUs personvernforordning artikkel 35.

Dette vil som eksempel være aktuelt ved bruk av ny teknologi, ved automatiserte behandlinger som vil ha rettslige virkninger for enkeltpersoner, behandling i stor skala av særlige kategorier personopplysninger, systematisk overvåkning i stor skala av et offentlig område. Datatilsynet har utarbeidet en veileder for vurdering av personvernkonsekvenser. Veilederen gir en oversikt over når det må gjennomføres en vurdering av personvernkonsekvenser (Data Protection Impact Assessment - DPIA). DPIA gjennomføres i samråd med personvernombud. NTNUs mal skal brukes og vurdering skal dokumenteres i NTNUs saks- og arkivsystem.

En vurdering som konkluderer med at det ikke er nødvendig å utføre en DPIA skal også dokumenteres, enten i NTNUs felles system for oversikt over behandling av personopplysninger eller i saks- og arkivsystemet.

Se Datatilsynets veileder og sjekkliste for vurdering av personvernkonsekvenser (DPIA) og NTNUs nettside Vurdere personkonsekvenser.

Rådføringsplikt med Datatilsynet ved fortsatt høy risiko

NTNU er pliktig til å rådføre seg med Datatilsynet dersom konklusjonen er at behandlingen fortsatt, etter at det er satt inn tekniske og/eller organisatoriske tiltak, vil medføre høy risiko, det ikke treffes tiltak for å redusere risikoen og det fortsatt er ønskelig å igangsette den planlagte behandlingen.

Databehandleravtale

Hvis eksterne (en virksomhet eller fysisk person) skal behandle personopplysninger på vegne av NTNU skal det inngås databehandleravtale. Det kan bare inngås avtale med databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen av personopplysningene oppfyller kravene etter EUs personvernforordning og vern av de registrertes rettigheter.

Avtalen skal oppfylle de kravene som fremgår av EUs personvernforordning artikkel 28. NTNU har i samarbeid med UH-sektoren utarbeidet en standard databehandleravtale som skal brukes. Hvis NTNUs mal for databehandleravtale ikke kan brukes, skal forelagt avtale vurderes av jurist ved NTNU før den blir inngått.

NTNUs rutine for inngåelse av databehandleravtale skal følges, se NTNUs nettside2 og skal bli gjennomgått hvert annet år, samt revidert hvis det er behov for det.

Databehandleren skal ikke engasjere en annen databehandler (underleverandør) uten at det er skriftlig godkjent av NTNU som behandlingsansvarlig. NTNU er ansvarlig for databehandleres og eventuelle underleverandørers behandling av personopplysningene og har ansvar for å vurdere og kontrollere om de er kompetent til å behandle de aktuelle personopplysningene i tråd med EUs personvernforordning.

Databehandler skal jevnlig gjennomføre sikkerhetsrevisjoner av eget arbeid med sikring av personopplysninger mot uautorisert eller ulovlig tilgang, endring, sletting, skade, tap eller utilgjengelighet. Databehandler skal dokumentere sikkerhetsrevisjonene. NTNU skal gis tilgang til revisjonsrapportene.

Når NTNU sammen med andre behandlingsansvarlige i fellesskap fastsetter formål med og midler for behandlingen av personopplysningene, foreligger et delt behandlingsansvar. I slike tilfeller må det inngås en avtale som angir partenes ansvar. NTNUs mal kan benyttes.

Overføring av personopplysninger til utlandet

Personopplysninger skal bare overføres til land eller internasjonale organisasjoner utenfor EU/EØS dersom kravene etter EUs personvernforordning kap. V (artikkel 44 flg.) er oppfylt. Merk at overføring også omfatter det å gi tilgang til personopplysninger.

Det må gjøres en risikovurdering av overføringen, for å sikre at informasjonssikkerheten er tilfredsstillende. Risikovurderingen må kunne dokumenteres.

  • Overføring til land utenfor EU/EØS kan skje dersom EU-kommisjonen har godkjent at landet har en forsvarlig behandling av personopplysninger4
  • Overføring utover dette krever at EUs standardkontrakt for overføring til behandlingsansvarlig eller databehandler i tredjeland brukes, eller at overføringen er tillatt etter øvrige punkter i EUs personvernforordning kap. V. EUs standardkontrakter er tilgjengelig på Datatilsynets nettsider.
  • Overføring med hjemmel i EUs personvernforordning artikkel 49 gir unntak for særlige tilfeller. Dette gjelder f.eks. dersom den registrerte uttrykkelig har samtykket til aktuell overføring eller overføringen er nødvendig for å oppfylle en avtale inngått i den registrertes interesse mellom den behandlingsansvarlige og en annen fysisk eller juridisk person. Eksempel på dette er medlemmer hjemmehørende utenfor EU/EØS i sakkyndige komiteer

De registrertes rettigheter

Med registrert menes enkeltpersoner, søkere, studenter, ansatte, forskningsdeltakere og andre som NTNU behandler personopplysninger om. Den det er registrert personopplysninger om, har en rekke rettigheter knyttet til å få informasjon når det samles inn opplysninger om vedkommende, innsyn i egne personopplysninger som blir behandlet i virksomheten, krav på retting, sletting, begrensning av behandling, innsigelse og rett til dataportabilitet (EUs personvernforordning artikkel 12 – 23).

Det er flere unntak fra retten, både i EUs personvernforordning og personopplysningsloven §§ 16 og 17. Som eksempel kan nevnes opplysninger som er taushetsbelagt (der innsyn vil røpe opplysninger om andre personer eller sikkerhetstiltak). Det er også enkelte unntak knyttet til arkiv-, forsknings- eller statistiske formål. NTNU er som offentlig institusjon underlagt arkivloven hvilket innebærer at personopplysninger om ansatte og studenter i stor grad er arkivpliktig og ikke kan kreves slettet.

Registrerte som ønsker innsyn mm., skal henvende seg i samsvar med NTNUs fremgangsmåte og identifisere seg før innsyn mm. kan gis. Behandling av innsynskrav skal skje i samsvar med NTNUs rutine.

Bilde, video-, og lydopptak

Den som skal publisere et bilde offentlig (f.eks. på internett, intranettet, i læringsstøttesystem, i trykt versjon) av en enkeltperson eller en mindre gruppe av personer, må innhente samtykke fra den som er avbildet. Samtykket må være skriftlig eller kunne dokumenteres på annen måte, f.eks. elektronisk.

Det følger av åndsverkloven av 15. juni 2018 § 104 at fotografi som avbilder en person, ikke kan gjengis eller vises offentlig uten samtykke fra den avbildede. Unntak gjelder hvis

  • avbildningen har aktuell og allmenn interesse
  • avbildningen av personen er mindre viktig enn hovedinnholdet i bildet
  • bildet gjengir forsamlinger, folketog i friluft eller forhold eller hendelser som har allmenn interesse.

Video-, og/eller lydopptak av personer som kan gjenkjennes, krever samtykke fra den enkelte. Det samme gjelder publisering f.eks. på internett, intranettet og i læringsstøttesystem.

Samtykkeskjema og veiledning/rutine skal være tilgjengelig på NTNUs nettsider

Kameraovervåkning

Det skal, ved skilting, gjøres tydelig at stedet blir overvåket, om det inkluderer lydopptak og hvem som er behandlingsansvarlig (NTNU ved Eiendomsavdeling). Behov for kameraovervåking blir vurdert jevnlig.

Opptak skal slettes én uke etter at opptakene er gjort. Hvis det er sannsynlig at opptaket vil bli utlevert til politiet i forbindelse med etterforskning av straffbare handlinger eller ulykker, kan opptakene oppbevares i inntil 30 dager.

Utlevering av opptak kan kun skje i følgende tilfeller:

  • den som er avbildet, samtykker
  • utleveringen skjer til politiet ved etterforskning av straffbare handlinger eller ulykker, og lovbestemt taushetsplikt ikke er til hinder for utleveringen
  • det ellers følger av lov at utleveringen kan skje

Adgangskontroll

Personopplysninger fra NTNU overføres daglig fra felles database til NTNU Vakt og service. Persondata som overføres, er den enkeltes navn, fødselsnummer/studentnummer, e-postadresse, arbeidssted og dato for oppstart. Opplysningene skal kun benyttes til produksjon av adgangskort. Det er kun dedikerte medarbeidere i Vakt og service som skal ha tilgang til opplysningene.

Generell behandling av personopplysninger

NTNUs saks- og arkivsystem støtter digital saksflyt og signering samt digital utsendelse (sikker digital post).

Taushetsbelagte eller særlige kategorier personopplysninger skal behandles i NTNUs saks- og arkivsystem eller i annet godkjent fagsystem. Dette er opplysninger som betegnes som fortrolige eller strengt fortrolige i NTNUs klassifiseringssystem.

Papirdokumenter som inneholder taushetsbelagte, sensitive eller andre personopplysninger som etter sitt innhold er unntatt offentlighet, skal oppbevares i låsbare skap på kontorer/arealer som er låst utenom ordinær arbeidstid.

Dokumenter som inneholder taushetsbelagte eller særlige kategorier personopplysninger som sendes elektronisk til medlemmer i styrer og utvalg, skal være atskilt fra øvrige saker slik at medlemmene kan slette disse opplysningene når saken er behandlet. Det er kun adgang til å benytte elektronisk forsendelse dersom den digitale løsningen er klassifisert for overføring av taushetsbelagte eller særlige kategorier personopplysninger.

NTNU har utarbeidet nettsider med veiledning for trygg lagring av filer og dokumenter og hvilke systemer/verktøy som kan brukes til hva. Denne skal være tilgjengelig på NTNUs nettsider.

Taushetsplikt

Alle som rutinemessig arbeider med taushetsbelagte personopplysninger, skal ha kjennskap til personvernregelverket. NTNU har egne nettsider om taushetsplikt, og ansatte har taushetserklæring inkludert i arbeidsavtalen.

Ansatte samt konsulenter og leverandører som gjennom vedlikehold og drift av NTNUs IKT-struktur og systemer får tilgang til taushetsbelagte personopplysninger, skal kjenne til regelverket om behandling av personopplysninger og underskrive taushetserklæring. Krav til, og opplysninger om taushetsplikten for medlemmer i utvalg, styrer og råd skal innarbeides i oppnevningsbrevet til medlemmene. En student som i studiesammenheng får kjennskap til noens personlige forhold har taushetsplikt etter reglene som gjelder for yrkesutøvere på det aktuelle området. Universiteter og høyskoler skal utarbeide en taushetsplikterklæring som skal underskrives av de studentene det er aktuelt for. Det er studentens fakultet som skal sørge for at slik erklæring blir utarbeidet og signert.

Lagring, sletting og arkivering

Personopplysninger skal ikke lagres lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen hvis ikke annet er bestemt i lov eller f.eks. i forbindelse med finansiering av forskning. Dette følger av prinsippet om lagringsbegrensning og dataminimering.

Hver enkelt medarbeider er ansvarlig for å slette personopplysninger som er lagret på vedkommende personlige brukerområde.

  • Personopplysninger som ikke skal oppbevares med hjemmel i arkivloven eller annen lovgivning, skal slettes.
  • Personopplysninger skal slettes eller ryddes opp i fortløpende – og senest innen seks måneder – etter at en ansatt slutter eller en student er uteksaminert/sluttet.
  • Personopplysninger, som det midlertidig er nødvendig å lagre på personlig område i forbindelse med utføring av en arbeidsoppgave, skal slettes når formålet ikke lenger er til stede.
  • Medlemmer i nemnder og utvalg som får tilsendt saksdokumenter elektronisk som inneholder taushetsbelagte eller særlige kategorier personopplysninger, skal slette tilsendt materiale når saken er behandlet.
  • Arkivpliktige dokumenter, dvs. dokumenter som er gjenstand for saksbehandling og har verdi som dokumentasjon, skal arkiveres i institusjonens arkivsystem.

Bruk av fødselsnummer

  • Fødselsnummer og andre entydige identifikasjonsmidler kan bare behandles når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering, jf. personopplysningsloven § 12.
  • Fødselsnummer kan sendes i sikker digital post. Fødselsnummer skal ikke være tilgjengelig for andre enn mottakeren.
  • Hvis fødselsnummer skal sendes pr. e-post, skal e-posten krypteres

Bruk av e-post

I samsvar med Datatilsynets føringer skal følgende ikke sendes på e-post:

  • taushetsbelagte eller særlige kategorier personopplysninger
  • fødselsnummer og andre entydige identifikasjonsnummer
  • personopplysninger om mange, f.eks. regneark, lister

Disse punktene gjelder både e-post som sendes internt ved NTNU og eksternt.

Dersom e-post og/eller vedlagte filer krypteres, kan e-post unntaksvis brukes7. Risikoen må vurderes, passord må sendes separat (SMS eller muntlig) og må være i samsvar med NTNUs krav til passord, jf. «Retningslinje for Kryptografiske kontrollere».

Utlevere informasjon om studenter og ansatte til eksterne

Informasjon som er innsamlet og lagret for generell personalforvaltning og om studenter for administrative formål, skal normalt ikke utleveres til utenforstående med mindre de som ber om opplysningene har rett til innsyn etter offentleglova. Utlevering av personopplysninger fra NTNUs systemer til andre formål enn det de er samlet inn for, skal godkjennes av systemeier. Systemeier er ansvarlig for at utleveringen blir dokumentert slik at informasjonsplikten ved krav om innsyn fra den registrerte kan ivaretas.

Hvis det gjelder opplysninger, som det ikke er innsynsrett i etter offentleglova, må den instansen (f.eks. NAV, Vernepliktsverket) som ber om opplysningene, vise til en lovhjemmel som gir rett til å få opplysningene utlevert. Denne type henvendelser skal behandles av systemeier. Systemeier har ansvar for å undersøke om det foreligger nødvendig lovhjemmel for utleveringen og om nødvendig etterlyse dette.

Taushetsbelagte opplysninger kan utleveres dersom vilkårene etter forvaltningsloven § 13 b er oppfylt, f.eks. til en advokat som representerer en student eller ansatt i en sak ved NTNU.

Hvis innsyn gis, skal det opplyses om at den som får innsyn må ha et eget behandlingsgrunnlag for eventuell elektronisk viderebehandling av opplysningene.

Forholdet til innsyn etter andre lover

Spørsmål om innsyn i det offentliges dokumenter reguleres av lov av 19. mai 2006 om rett til innsyn i offentleg verksemd (offentleglova). Partsinnsyn reguleres av lov av 10. februar 1967 om behandlingsmåten i forvaltningssaker (forvaltningsloven)8.

Etter EUs personvernforordning artikkel 86 kan den enkelte stat fastsette regler om innsyn i offentlige dokumenter. Bestemmelsene om innsyn for enhver etter offentleglova og partsinnsyn etter forvaltningsloven går derfor foran bestemmelsene i EUs personvernforordning og personopplysningsloven. Dette innebærer at det ved spørsmål om innsyn i dokumenter ved NTNU kan gis innsyn i dokumenter som inneholder personopplysninger dersom offentleglova hjemler dette. Det vil da være dokumentbegrepet i offentleglova som blir avgjørende for hvilke dokumenter det kan gis innsyn i. Tilsvarende gjelder for partsinnsyn etter forvaltningsloven. Saksbehandler, eventuelt i samråd med sin leder, avgjør spørsmål om innsyn.

Innebygd personvern (Privacy by Design)

Innebygd personvern og personvern som standard innstilling betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Dette er en forpliktelse som virksomheten har etter EUs personvernforordning artikkel 259.

Formålet med innebygd personvern er at den behandlingsansvarlige før og under anskaffelse/utvikling av systemer og tjenester vurderer personvernspørsmål. Kravet til innebygd personvern og personvern som standardinnstilling gjelder uavhengig av risiko.

Kontroll og etterlevelse

Institutter skal årlig, ved hjelp av en mal for egenkontroll, rapportere til fakultetet angående behandling av personopplysninger. Det samme gjelder seksjoner ved avdelinger i fellesadministrasjonen. Fakultet / avdeling skal sammenfatte den innsamlede informasjonen ved hjelp av malen. Instituttene skal også rapportere om kontroll av forskningsprosjekter. En sammenfatning av dette skal også inngå i fakultetets rapport.

Dekan/avdelingsleder skal sørge for at det blir utarbeidet en rapport som skal sendes til Avdeling for virksomhetsstyring. Rapporten oversendes Direktør for organisasjon og infrastruktur for rektors gjennomgang. Rapportene skal blant annet danne grunnlag for rektors årlige orientering til NTNUs styre om arbeidet med informasjonssikkerhet, herunder behandling av personopplysninger.

Behandling av personopplysninger i forskning

Innebygd personvern og personvern som standard innstilling betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Dette er en forpliktelse som virksomheten har etter EUs personvernforordning artikkel 259.

Formålet med innebygd personvern er at den behandlingsansvarlige før og under anskaffelse/utvikling av systemer og tjenester vurderer personvernspørsmål. Kravet til innebygd personvern og personvern som standardinnstilling gjelder uavhengig av risiko.

Melding til Sikt personverntjenester

Forsknings-, student-, og kvalitetssikringsprosjekter som behandler personopplysninger samt helseforskning hvor andre Fakultet for medisin og helsevitenskap (MH) er forskningsansvarlig, skal meldes til Sikt personverntjenester10. Det samme gjelder prosjekter der personopplysninger behandles på papir hvis disse inngår eller skal inngå i et personregister.

Sikt har en rådgivende rolle. Sikt skal vurdere om prosjektet tilfredsstiller kravene i EUs personvernforordning. Behandlingen av personopplysninger kan ikke settes i gang før Sikt har gitt tilbakemelding til prosjektleder om at den planlagte behandlingen vurderes å være i samsvar med EUs personvernforordning, samt at nødvendige forutsetninger og anbefalte tiltak og vurderinger gjennomføres. Ved spørsmål til Sikts vurdering vil det bli en dialog mellom Sikt og NTNU for å avstemme nødvendige tiltak. Dersom Sikt og NTNU gjør ulike vurderinger om hva som er tilstrekkelig, tas endelig avgjørelse av Forskningsansvarlig i samråd med relevant fagkompetanse og i tråd med retningslinjer fra prosesseier.

Dersom student eller forsker skal samle inn data i utlandet, gjelder meldeplikten til Sikt ved behandling av personopplysninger på lik linje som ved datainnsamling i Norge.

Prosjektet skal meldes senest 30 dager før datainnsamlingen skal starte. Sikt tilbyr også arkivering av prosjektdata ved prosjektslutt.

Etter EUs personvernforordning er det et krav at virksomheten skal føre oversikt (protokoll) over alle behandlinger av personopplysninger. Sikt skal på vegne av NTNU føre oversikt over alle forsknings-, student og kvalitetssikringsprosjekter som blir meldt til Sikt. Oversikten vil danne grunnlag for tilsyn og kontroll med forskningsprosjekter, jf. retningslinjens punkt Kontroll og etterlevelse - forskningsprosjekter.

For behandlinger med lav personvernulempe for den registrerte kan NTNU lage egne prosedyrer for intern protokollføring og vurdering.

Helseforskning - forhåndsgodkjenning av REK

Medisinsk og helsefaglig forskning (helseforskning) er forskning på mennesker, humant biologisk materiale eller helseopplysninger der formålet er å skaffe til veie ny kunnskap om helse og sykdom. Det samme gjelder forskning som omfatter pilotstudier og utprøvende behandling.

Helseforskning skal være forhåndsgodkjent av Regional komite for medisinsk og helsefaglig forskningsetikk (REK) før prosjektet kan starte, jf. helseforskningsloven §33. REK skal gjøre en forskningsetisk vurdering av prosjektet. REKs forhåndsgodkjenning vil ikke være et tilstrekkelig lovlig grunnlag for behandling av personopplysninger i helseforskning. Behandlingen av personopplysninger må også ha et lovlig grunnlag i EUs personvernforordning. Forskningsansvarlig vil være ansvarlig for å vurdere om behandlingen av personopplysninger i helseforskningsprosjekter vil være i samsvar med EUs personvernforordning.

Denne retningslinjen gir de overordnede retningslinjene også for helseforskning. NTNUs portal for medisinsk og helsefaglig forskning gir mer detaljerte forskningsadministrative rutiner og retningslinjer.

Der andre fakultet enn Fakultet for medisin og helse (MH) er forskningsansvarlig i helseforskningsprosjekter, skal forskningsprosjektet i tillegg til søknad til REK også meldes til Sikt personverntjenester. Sikt skal vurdere om den planlagte behandlingen av personopplysninger i prosjektet er i samsvar med kravene etter EUs personvernforordning. Behandling av personopplysninger kan ikke starte før Sikt har gitt tilbakemelding om sin vurdering.

Generelt anbefales at prosjektopplysninger sendes inn/meldes inn til Sikt og REK så fort som mulig, dvs. parallelt. Sikt vil vurdere fra sak til sak om de vurderer ferdig prosjektet, eller om de vil avvente REK sin vurdering av prosjektet.

For øvrig vises det til punkt 4.2 i retningslinjen for krav til føring av protokoll for helseforskningsprosjekter.

Vurdering av personvernkonsekvenser (DPIA)

Hvis det er sannsynlig at en type behandling vil medføre høy risiko for enkeltpersoners rettigheter og friheter, skal den behandlingsansvarlige foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personvernet, jf. EUs personvernforordning artikkel 3511. Dette gjelder også for forskning.

Sikt tar initiativ til - og bistår - i vurdering av personvernkonsekvenser (Data Protection Impact Assessment - DPIA). Sikt skal utføre vurderingen av DPIA i samråd med personvernombudet.

Fakultet for medisin og helsevitenskap har utarbeidet en egen mal for vurdering av personvernkonsekvenser i helseforskningsprosjekter. Prosjektleder er ansvarlig for at det blir foretatt en vurdering av personvernkonsekvenser. Personvernombudet skal på anmodning gi råd om vurderingen av personvernkonsekvenser og kontrollere gjennomføringen av denne.

Behandlingsgrunnlag

Generelt

Et sentralt forskningsetisk krav er at forskning på mennesker skal være basert på et fritt og informert samtykke. I tillegg kreves et rettslig behandlingsgrunnlag for selve behandlingen av personopplysninger. Dette behandlingsgrunnlaget kan være samtykket fra deltakere, men det finnes også alternative behandlingsgrunnlag som er aktuelle for forskningsprosjekt. Det er viktig at det gjennomføres gode vurdering om hva som er riktig behandlingsgrunnlag i hvert enkelt prosjekt.

Ved behandling av alminnelige personopplysninger vil aktuelt behandlingsgrunnlag kunne være:

  • Samtykke etter EUs personvernforordning artikkel 6 nr. 1 bokstav a, eller
  • Hvis ikke samtykke: at behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse og er nødvendig for formål knyttet til vitenskapelig forskning, jf. artikkel 6 nr. 1 bokstav e) og personopplysningsloven § 8 som supplerende grunnlag.
  • Behandlingen må omfatte nødvendige tiltak for å sikre at den er i tråd med EUs personvernforordning og at forskningsdeltakeres personvern ivaretas.

Ved behandling av særlige kategorier personopplysninger vil behandlingsgrunnlag være:

  • Samtykke etter artikkel 9 nr. 2 bokstav a, eller
  • Hvis ikke samtykke: at behandlingen er nødvendig for vitenskapelig forskning forutsatt at samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene for den enkelte, jf. artikkel 9 bokstav j og personopplysningsloven § 9 som supplerende grunnlag.
  • Behandlingen må være omfattet av nødvendige garantier, f.eks. at personopplysningene pseudonymiseres slik at opplysningene ikke lenger blir direkte knyttet til den enkelte uten tilleggsopplysninger, at det er tilgangsstyring og logging.

Ved behandling av personopplysninger om straffedommer og lovovertredelser vil behandlingsgrunnlag være:

  • Samtykke etter artikkel 6 nr. 1 bokstav a, eller
  • Hvis ikke samtykke: da gjelder tilsvarende som for særlige kategorier personopplysninger, dvs. at samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene for den enkelte. I interesseavveiningen skal det legges vekt på at behandlingen skjer uten den registrertes samtykke. Vurderingen må dokumenteres. Behandlingsgrunnlag: artikkel 6 nr. 1 bokstav e og artikkel 10 med supplerende grunnlag i personopplysningsloven § 11.
  • Behandlingen må være omfattet av nødvendige garantier for å ivareta forskningsdeltakernes personvern, jf. punktet ovenfor om særlige kategorier personopplysninger.

Helseforskning

Vedtak om dispensasjon fra taushetsplikt vil utgjøre et supplerende lovgrunnlag. REKs forskningsetiske vurdering (forhåndsgodkjenning etter helseforskningsloven §§ 9 og 33) vil utgjøre et egnet og særlig tiltak for å verne den registrertes rettigheter og interesser. REK skal, som ledd i den forskningsetiske vurderingen, også vurdere behandlingen av personopplysninger.

Viderebehandling til forskningsformål

Viderebehandling av personopplysninger til forskningsformål av allerede innsamlede personopplysninger anses som forenlig med det opprinnelige formålet. Dette forutsetter at det er innført tekniske og organisatoriske tiltak for å sikre den registrertes rettigheter, særlig for å sikre at prinsippet om dataminimering overholdes. Aktuelle tiltak kan f.eks. være pseudonymisering.

Dersom forskningsformålet kan oppfylles ved anonymiserte opplysninger, skal viderebehandlingen skje på denne måten. Viderebehandling til forskningsformål forutsetter at de allerede innsamlede opplysningene er behandlet i samsvar med regelverket.

Dersom viderebehandlingen innebærer utlevering til en annen behandlingsansvarlig (dvs. andre enn NTNU), må den som mottar opplysningene, ha et eget behandlingsgrunnlag for behandlingen.

Datahåndteringsplan (DMP)

Alle forskningsprosjekter skal ha en datahåndteringsplan12. Datahåndteringsplanen skal beskrive hvordan forskningsdata skal samles inn, lagres og deles slik at dataene blir håndtert sikkert og forsvarlig.

Planen skal være et aktivt dokument som oppdateres underveis i prosjektet og som dokumenterer hvordan forskningsdata blir behandlet og organisert gjennom hele prosjektet. En datahåndteringsplan skal også inkludere vurderinger knyttet til etikk og personvern. Planen skal tilfredsstille krav fra finansieringskildene og være i tråd med NTNUs retningslinje for behandling av personopplysninger.

Lagring av aktive forskningsdata

Personopplysninger skal ikke lagres lenger enn det som er nødvendig for formålet de ble innhentet for, hvis ikke annet er bestemt i lov eller f.eks. i forbindelse med finansiering av forskning.

Prosjektmedarbeideres tilgang til forskningsdata

Forskningsdataene skal bare være tilgjengelig for godkjente prosjektmedarbeidere fram til prosjektavslutning. Prosjektleder bestemmer hvilke prosjektmedarbeidere som skal ha tilgang til pseudonymiserte personopplysninger og koblingsnøkkel. Prosjektleder skal ha dokumenterbar oversikt over hvem som har tilgang til data. Oversikten skal være tilgjengelig for forskningsansvarlig.

Prosjektmedarbeidere skal normalt ikke ha tilgang til koblingsnøkkel. I de tilfeller de har tilgang til koblingsnøkkelen, er ikke lenger dataene å anse som pseudonymiserte, men som direkte personidentifiserbare, noe som skjerper kravene til forsvarlig behandling og oppbevaring.

Avslutning av forskningsprosjekter

Personopplysningene skal anonymiseres eller slettes hvis det ikke er krav om lagring etter godkjenninger som er gitt, eller i forbindelse med finansiering av forskningsprosjektet. Nødvendige bekreftelser skal sendes til REK og Sikt. NTNU tilbyr tjenesten «REK-arkivering» og har utarbeidet egne informasjonsnettsider.

Kontroll og etterlevelse - forskningsprosjekter

Forskningsansvarlig skal gjennomføre systematiske tiltak for å påse at prosjektet gjennomføres i tråd med retningslinjene og at behandling av personopplysninger er i samsvar med lover, forskrifter og NTNUs egne retningslinjer.

Et utvalg på 10 % av forskningsprosjektene samlet sett skal kontrolleres årlig. Utvalget skal hentes fra forskjellige faser i gjennomføringen: oppstart, gjennomføring og avslutning.

Kontroll med oppstart

Forskningsprosjekter som er tildelt forskningsmidler og andre kjente prosjekter skal kontrolleres i forhold til meldingsoversikten hos Sikt. Dette for å kontrollere om rådføringsplikten er overholdt. oldt.

Kontroll med gjennomføring

Forskningsansvarlig kontrollerer om forskningsprosjektet har innhentet eventuelle nødvendige godkjenninger / tillatelser og om rådgivningsplikten med Sikt og personvernombud er overholdt. Kontrollen skal avdekke om prosjektet gjennomføres i samsvar med de opplysninger som er gitt til REK / Sikt og de godkjenninger / råd som er gitt.

Kontroll med avslutning

Forskningsansvarlig skal kontrollere om rutinene knyttet til avslutning er fulgt og at forskningsdata som er oppbevart elektronisk eller i andre arkiv er slettet eller anonymisert.

I styringsdialogen med sin leder skal forskningsansvarlig rapportere om i hvilken grad lover, retningslinjer og rutiner etterleves og hvilke tiltak som er gjort.

Behandling av personopplysninger i forbindelse med undervisning

Video-, og lydopptak

Det er ikke nødvendig å innhente samtykke fra faglærer for å strømme/gjøre opptak av undervisning som er nødvendig for å oppfylle NTNUs plikt til å gi studenter undervisning og som krever NTNU-pålogging for å kunne følges. EUs personvernforordning artikkel 6 nr. 1 bokstav f gir behandlingsgrunnlag. NTNU kan ha en berettiget interesse i at undervisningen strømmes, f.eks. for at den skal være tilgjengelig for studenter på flere campus. Personvernulempen anses som lav når det kreves NTNU-pålogging for å kunne følge undervisningen.

Dersom opptaket skal legges ut åpent på internett, kreves alltid samtykke fra faglærer. NTNUs avtaleskjema om tilgjengeliggjøring på nett skal brukes.

Hvis det er studenter til stede, skal det være tydelig merket ved inngangen og i rommet at undervisningen blir tatt opp på video.

Video- og / eller lydopptak av studenter slik at de kan gjenkjennes, krever samtykke fra studenten. Dette gjelder for eksempel hvis studenter skal presentere et prosjekt eller liknende. Samtykket skal tilfredsstille kravene til gyldig samtykke, se punktet «Samtykke som behandlingsgrunnlag», og skal kunne dokumenteres.

Studenter som ønsker å ta opptak (video-, og/eller lyd) av undervisning må ha samtykke fra faglærer hvis det ikke foreligger vedtak om tilrettelegging. Studenten kan kun bruke opptaket i forbindelse med egne studier. Studenten kan ikke bruke opptaket på annen måte eller publisere opptaket uten faglærers skriftlige samtykke (f.eks. på internett eller i andre sammenhenger).

Dersom videoopptak av studenter er en obligatorisk del av undervisningen for at læringsmålene skal nås, skal det fremgå av studieplanen. I slike tilfeller er det rettslige grunnlaget for opptak og bruk av opptaket EUs personvernforordning artikkel 6 nr. 1 bokstav e med supplerende grunnlag i universitets- og høyskoleloven § 2-8.

Bilde, video- og lydopptak - studenter i praksis

Hvis studenter i praksis skal ta bilde eller video-, og / eller lydopptak av personer, krever dette samtykke fra personen, jf. punktet «Samtykke som behandlingsgrunnlag». Bilde, video-, eller lydopptak av mindreårige krever samtykke fra foreldre eller foresatte. Bilder fra praksis skal ikke legges ut på internett/sosiale medier.

Bruk av video- og lydopptak i praksisopplæring i lærerutdanningene

Universitetet kan behandle personopplysninger om studenter, barn, elever og ansatte som er til stede i undervisning i grunnskole eller videregående skole eller i barnehage, ved bruk av video- eller lydopptak når formålet med behandlingen er å veilede og vurdere studentenes praksis. Studentens praksis må inngå som en obligatorisk del av institusjonens studieplan for den relevante lærerutdanningen. Opptakene kan bare brukes i læringssituasjoner i forbindelse med veiledning av studentene, og skal slettes så snart vurderingen av studentens praksis er avsluttet og senest når studenten avslutter studiet, jf. forskrift til universitets- og høyskoleloven § 9-2.

Barn og elever har rett til å reservere seg mot slik behandling av personopplysninger.

Læringsplattformer

Det er NTNUs valgte læringsplattformer som har godkjent databehandleravtale som skal brukes til å koordinere og administrere emneinnhold og til kommunikasjon i undervisningen mm.

Dersom en underviser legger opp til at studentene i undervisningen eller i forbindelse med eksamen, skal bruke IT-verktøy som benytter generativ kunstig intelligens (KI-verktøy), må det benyttes verktøy som er godkjent ved NTNU. Dette innebærer at verktøyet enten må være utviklet av NTNU, eller at NTNU har inngått og godkjent en databehandleravtale med leverandøren i tråd med egne prosedyrer. NTNU kan ikke pålegge studenter å bruke andre KI-verktøy enn de som er godkjent av NTNU.

Studentprosjekt

Ved behandling av personopplysninger i forbindelse med bachelor-, master-/ hovedoppgave og doktorgrad skal reglene for behandling av personopplysninger i forskning følges, se kap. 5.

Kontroll og etterlevelse

Instituttene skal årlig rapportere på etterlevelse av retningslinjen på behandling av personopplysninger og kontroll av forskningsprosjekter. Fakultetet beslutter hvordan rapportering skal skje på bakgrunn av forventninger i rektors årlige tildelingsbrev.

Avdelingene i fellesadministrasjonen skal årlig skal gjennomføre internkontroll av behandling av personopplysninger i avdelingens administrative saksprosesser.

Rapportene danner grunnlag for rektors årlige orientering til NTNUs styre om arbeidet med informasjonssikkerhet, herunder behandling av personopplysninger.

Erstatning og oppreisning ved personvernbrudd

Brudd på personvernreglene kan føre til overtredelsesgebyr fra Datatilsynet og at den berørte får krav på erstatning/oppreisning. Dersom NTNU ilegges gebyr, er den enheten hvor bruddet skjedde, ansvarlig for å dekke dette. Tilsvarende gjelder eventuelle erstatnings-/oppreisningsbeløp til berørte.

Henvisninger

Særlig sentrale lover og forskrifter:

  • EUs personvernforordning (General Data Protection Regulation (GDPR)) – gir regler for elektronisk behandling som kan knyttes til enkeltpersoner, plikter for NTNU som behandlingsansvarlig og rettigheter for den registrerte.
  • Personopplysningsloven - gjør EUs personvernforordning til norsk lov og gir enkelte bestemmelser i tillegg til forordningen.
  • Universitets- og høyskoleloven, samt forskrift til universitets- og høyskoleloven – gir regler (supplerende rettsgrunnlag) om behandling av personopplysninger om søkere, studenter og doktorgradskandidater, nasjonal vitnemåls- og karakterportal og rapportering til databaser for høyere utdanning og vitenskapelig publisering.
  • Grunnloven§ 102 – setter krav til vern om den personlige integritet
  • Arbeidsmiljøloven, forskrift til kap. 9
  • Forskrift om kameraovervåking i virksomheten
  • Forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale
  • Forvaltningsloven – gir regler om saksbehandling og blant annet taushetsplikt og partsinnsyn.
  • Offentleglova – gir regler om plikt til å gi innsyn i dokumenter samt unntak fra innsynsrett.
  • Arkivloven – gir regler om hvilke dokumenter som er arkivpliktige og krav til arkiveringen.
  • Helseregisterloven – gir regler om innsamling og behandling av helseopplysninger.
  • Helsepersonelloven – gir regler om taushetsplikt og dispensasjon fra denne til forskning.
  • Helseforskningsloven – gir regler om organisering, roller, ansvar og forhåndsgodkjenning av helseforskning.
  • Forskningsetikkloven – gir regler om at forskning skal skje i henhold til anerkjente forskningsetiske normer.
  • Åndsverkloven – gir regler om bruk av bilder (§ 104).

Listen er ikke uttømmende; andre lover og forskrifter kan også være aktuelle.

[15] Retningslinje for operativ sikkerhet

[16]https://i.ntnu.no/wiki/-/wiki/Norsk/Risikovurdering+av+forskningsprosjekter+med+personopplysninger

[17]https://i.ntnu.no/wiki/-/wiki/Norsk/Datah%C3%A5ndteringsplan

[14]https://i.ntnu.no/wiki/-/wiki/Norsk/Datah%C3%A5ndteringsplan

[13]https://sikt.no/samtykke-og-andre-behandlingsgrunnlag

[12]https://i.ntnu.no/wiki/-/wiki/Norsk/Vurdere+personvernkonsekvenser

[11]https://Sikt.no/omrade/personverntjenester

[10] Retningslinje for Operativ sikkerhet

[9]https://i.ntnu.no/wiki/-/wiki/Norsk/Innsyn+i+offentlige+dokument

[8]https://i.ntnu.no/wiki/-/wiki/Norsk/Sikker+e-post

[7]https://i.ntnu.no/wiki/-/wiki/Norsk/Sikker+e-post

[6]https://i.ntnu.no/wiki/-/wiki/Norsk/Samtykke+ved+foto+-+video+-+lyd

[5]Rules for the protection of personal data inside and outside the EU

[3]https://i.ntnu.no/wiki/-/wiki/Norsk/Databehandleravtale

[4]Overføring av personopplysninger – avtalemaler

[2]https://www.skatteetaten.no/person/utenlandsk/norsk-identitetsnummer/d-nummer/

[1]https://lovdata.no/dokument/NL/lov/2018-06-15-38/gdpr/ARTIKKEL_30#gdpr/ARTIKKEL_30

34278 Visninger
Målgruppe: Studenter Medarbeidere Tema: Informasjonssikkerhet Personvern
Tagger
personopplysninger informasjonssikkerhet personvern retningslinje personopplysning gdpr
Vedlegg
PDF
Retningslinje for Behandling av personopplysninger.pdf