Retningslinje for behandling av personopplysninger ved NTNU.

Temaside om informasjonssikkerhet | Sider merket med Personvern

1 Om retningslinjen

• Type dokument: Retningslinje
• Forvaltes av: Organisasjonsdirektør
• Godkjent av: Organisasjonsdirektør 28.06.2018, etter fullmakt fra Rektor, jf NTNUs delegasjonsreglement del 1, punkt 4.12 og del II Rektors videredelegasjon, punkt 3.7 
• Revidert/oppdatert: 23.09.2019
• Klassifisering: Åpen
• Gjeldende fra 27.06.2018
• Gjelder til: 
• Unntatt offentlighet: Nei
• Referanse ISO: 
• Referanse lov/regel: EUs personvernforordning artikkel 5 (grunnleggende prinsipper) og 24  
• Referanse interne dokumenter: Retningslinje for behandling av personopplysninger er underlagt NTNUs Politikk for informasjonssikkerhet og IKT-reglementet 

2 Generelt

2.1 Formål  

Formålet med retningslinjen er å

• sikre at personopplysninger om søkere, studenter, ansatte, forskningsdeltakere og andre som NTNU behandler personopplysninger om, blir behandlet i samsvar med gjeldende lovverk
• beskytte den enkelte mot at personvernet blir krenket
• sikre at den enkelte ved forespørsel får innsyn i de opplysninger som er registrert om vedkommende
• legge forholdene til rette for forskning som omfatter innsamling og bearbeiding av personopplysninger samtidig som forskningsdeltakernes rettigheter og krav etter gjeldende lovverk blir ivaretatt på en god måte

2.2 Hvem retningslinjen gjelder for (hvem som har plikter etter retningslinjen)

• alle ansatte ved NTNU
• alle studenter ved NTNU
• alle som har tilgang til og/eller bearbeider og forvalter personopplysninger gjennom NTNUs IKT-infrastruktur

2.3 Retningslinjens anvendelsesområde

Retningslinjen gjelder for alle virksomhetsområder ved NTNU. Retningslinjen gjelder for personopplysninger som behandles elektronisk, helt eller delvis. Retningslinjen gjelder også ved manuell behandling av personopplysninger som inngår eller skal inngå i et register, dvs. som medfører at de er lett å finne igjen på enkeltpersoner. 

Personopplysninger er alle former for data, opplysninger og vurderinger som kan knyttes, enten direkte eller indirekte til en enkeltperson. Opplysninger som ikke alene kan knyttes til en enkeltperson, kan i tilfeller hvor opplysningen kobles sammen med andre data, utgjøre en personopplysning.

Navn, fødselsnummer, studentnummer, kandidatnummer, ansattnummer, e-postadresse, genetiske opplysninger, lydopptak, IP-adresse, aktivitetslogger, nick-names i sosiale media og på internett er eksempler på personopplysninger. Bilder, film og video som avbilder personer er også personopplysninger. Pseudonymiserte opplysninger, som innebærer at opplysningene ikke kan knyttes til en enkeltperson uten bruk av tilleggsopplysninger, er personopplysninger da de kan kobles til en enkeltperson ved hjelp av en koblingsnøkkel.

Anonyme opplysninger regnes ikke som personopplysninger.

Indirekte personopplysninger er bakgrunnsopplysninger som kan gjøre det mulig å spore opplysningene tilbake til en enkeltperson, for eksempel bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, nasjonalitet, etc. 

Taushetsbelagte opplysninger er opplysninger om noens personlige forhold (for eksempel familie, sykdom, helse, personlige økonomiske forhold). Sensitive personopplysninger er en egen kategori i EUs personvernforordning som krever ekstra sikkerhetstiltak (for eksempel opplysninger om helse, seksuelle forhold, etnisk opprinnelse, politisk oppfatning). Både taushetsbelagte og sensitive personopplysninger klassifiseres som fortrolige eller strengt fortrolige etter NTNUs Retningslinje for klassifisering av informasjon.

2.4 Særlig sentrale lover med forskrifter angående behandling av personopplysninger

• EUs personvernforordning (General Data Protection Regulation (GDPR)) – gir regler for elektronisk behandling som kan knyttes til enkeltpersoner, plikter for NTNU som behandlingsansvarlig og rettigheter for den registrerte.
• Personopplysningsloven - gjør EUs personvernforordning til norsk lov og gir enkelte bestemmelser i tillegg til forordningen.
• Universitets- og høyskoleloven – gir regler (supplerende rettsgrunnlag) om behandling av personopplysninger om søkere, studenter og doktorgradskandidater, nasjonal vitnemåls- og karakterportal og rapportering til databaser for høyere utdanning og vitenskapelig publisering.
• Grunnloven§ 102 – setter krav til vern om den personlige integritet
• Arbeidsmiljøloven – forskrift til kap. 9 – gir regler om kameraovervåkning i arbeidsforhold og innsyn i ansattes e-post (kommer).
• Forvaltningsloven –  gir regler om saksbehandling og blant annet taushetsplikt og partsinnsyn.
• Offentleglova – gir regler om plikt til å gi innsyn i dokumenter samt unntak fra innsynsrett.
• Arkivloven – gir regler om hvilke dokumenter som er arkivpliktige og krav til arkiveringen. 
• Helseregisterloven – gir regler om innsamling og behandling av helseopplysninger.
• Helsepersonelloven – gir regler om taushetsplikt og dispensasjon fra denne til forskning.
• Helseforskningsloven – gir regler om organisering, roller, ansvar og forhåndsgodkjenning av helseforskning.
• Forskningsetikkloven – gir regler om at forskning skal skje i henhold til anerkjente forskningsetiske normer.
• Åndsverkloven – gir regler om bruk av bilder (§ 104).

Listen er ikke uttømmende; andre lover kan også være aktuelle. 

EUs personvernforordning (General Data Protection Regulation (GDPR)) ble vedtatt av EU den 27. april 2016 og gjelder som lov i alle EU-land fra 25. mai 2018. EUs personvernforordning er gjort til norsk lov ved lov 15. juni 2018 om behandling av personopplysninger, jf. § 1 og trådte i kraft 20. juli 2018. I tillegg er det i den norske personopplysningsloven vedtatt bestemmelser der den enkelte stat har adgang til å vedta supplerende bestemmelser. Når det i retningslinjen vises til personopplysningsloven, er det personopplysningsloven av 15. juni 2018 det henvises til.

EUs personvernforordning innebærer at den registrertes rettigheter på flere områder blir styrket. Melde- og konsesjonsplikten opphører. Virksomheten har ansvaret for behandling av personopplysninger (NTNU som behandlingsansvarlig) og må vurdere om behandlingen er tillatt. Virksomheten må iverksette risikobaserte tiltak.  Dersom risikoen for enkeltpersoners rettigheter og friheter er høy, skal virksomheten foreta en personvernkonsekvensvurdering (DPIA) i samråd med virksomhetens personvernombud. Virksomheten skal sørge for tilstrekkelig sikkerhet slik at personopplysningene er sikret mot uautorisert eller ulovlig behandling eller utilsiktet tap, ødeleggelse eller skade. Personvernombudet skal, på riktig måte og til rett tid, involveres i alle spørsmål som gjelder vern av personopplysninger. Virksomheten skal ha en personvernerklæring samt mer utdypende personvernerklæringer for de største systemene.

I universitets- og høyskoleloven er det vedtatt nye bestemmelser som skal gi et lovgrunnlag, i tillegg til EUs personvernforordning. Dette gjelder behandling av personopplysninger om søkere, studenter og doktorgradskandidater (§ 4-15), behandling i Samordna opptak (§ 4-16) og rapportering til Database for statistikk om høyere utdanning (§ 7-8). Ved behandling av personopplysninger i offentlig forvaltning kommer også bestemmelsene i offentleglova og forvaltningsloven til anvendelse.

• EUs personvernforordning erstatter EUs tidligere direktiv fra 1995. Den nye personopplysningsloven erstatter den tidligere personopplysningsloven av 14. april 2000.

Helseforskning reguleres av helseforskningsloven. EUs personvernforordning gjelder også for helseforskning. Det samme gjelder personopplysningsloven dersom ikke annet følger av helseforskningsloven. 

Forsknings-, student-, og kvalitetssikringsprosjekter som behandler personopplysninger, skal fortsatt meldes til Norsk senter for forskningsdata (NSD). NSD vil ikke lenger være personombud for forskning når den nye personopplysningsloven trer i kraft, men vil ha en rådgivende rolle overfor NTNU. NSD skal vurdere om prosjektet er i samsvar med kravene etter EUs personvernforordning. Helseforskningsprosjekter skal fortsatt forhåndsgodkjennes av Regional komite for medisinsk og helsefaglig forskningsetikk (REK).

2.5 Styrende dokumenter

Styringsreglementet for NTNU har som formål å beskrive universitetets organisering og oppgavefordeling. Delegasjonsreglementet beskriver fordeling av myndighet og fullmakter. Ansvaret for behandling av personopplysninger følger organisasjons- og delegasjonsstrukturen ved NTNU, med Styret som overordnet ansvarlig med delegasjoner som følger linjen. Rektor er NTNUs øverste ansvarlige for behandling av personopplysninger. Rektor har delegert til organisasjonsdirektøren å godkjenne, koordinere og iverksette nødvendige tiltak, herunder pålegge fakultetene og avdelingene i fellesadministrasjonen plikter for å sikre at behandlingen av personopplysninger skjer i henhold til NTNUs mål og overordnede retningslinjer og lovbestemte krav samt at informasjonssikkerheten fungerer tilfredsstillende. 

Politikk for informasjonssikkerhet beskriver NTNUs sikkerhetsmål og sikkerhetsstrategi i punkt 6 og 7 samt roller og ansvar i punkt 8. Politikken gjelder også for behandling av personopplysninger. Til slutt i dette dokumentet er rollene nærmere beskrevet når det gjelder behandling av personopplysninger.  Ledere som har ansvar for mål, arbeidsoppgaver, tjenester og prosesser, har også ansvar for etterlevelsen av kravene til behandlingen av personopplysninger ved sin enhet. I tillegg til politikk-dokumentet gjelder NTNUs IKT-reglement og underliggende retningslinjer.  

Linjeleder, systemeier og prosesseier har sentrale roller i forbindelse med behandling av personopplysninger.

Linjeleder: Leder med personalansvar (prorektorer, direktører, avdelingsledere, dekan, museumsdirektør, instituttledere, seksjonsledere). 

Systemeier: Leder som er ansvarlig for å utvikle, forvalte og/eller drifte et informasjonssystem på vegne av NTNU. En som oppbevarer data kan også anses som systemeier. NTNU har en egen Retningslinje for systemeier.

Prosesseier: En prosesseier er en leder i fellesadministrasjonen, som er ansvarlig for gjennomgående administrative prosesser ved NTNU. Prosesseier har ansvar for felles prosedyrer og retningslinjer samt til enhver tid, styre, forbedre og følge opp de gjennomgående prosessene innen sitt ansvarsområde. 

2.6 Sentrale begrep og definisjoner

Personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson, enten direkte eller indirekte, f.eks. navn, identifikasjonsnummer, on-line-identifikator, IP-adresse, ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet. Indirekte personidentifiserende opplysninger er bakgrunnsopplysninger som kan gjøre det mulig å spore opplysningene tilbake til en enkeltperson, for eksempel bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, nasjonalitet, etc. 

Helseopplysning: personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om mottatte helsetjenester, som gir informasjon om vedkommendes helsetilstand. 

Sensitive personopplysninger: opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering (EUs personvernforordning bruker begrepet «særlige kategorier av personopplysninger». Vi bruker det tidligere begrepet sensitive personopplysninger i denne retningslinjen). 

Behandling av personopplysning: enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring. 

Register: enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, enten samlingen er plassert sentralt, er desentralisert eller spredt på et funksjonelt eller geografisk grunnlag. 

Behandlingsansvarlig: en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes. NTNU er behandlingsansvarlig i de aller fleste tilfellene der det behandles personopplysninger ved NTNU. Dersom to eller flere behandlingsansvarlige i fellesskap fastsetter formål og midler som skal brukes skal de være felles behandlingsansvarlige. 

Databehandler: en ekstern fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige. Blackboard, som er leverandør av læringsstøttesystem til NTNU, er et eksempel på en databehandler.      

Samtykke: enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende. Må kunne dokumenteres. 

Pseudonymisering: behandling av personopplysninger på en slik måte at personopplysningene ikke lenger kan knyttes til en bestemt person uten bruk av tilleggsopplysninger, forutsatt at nevnte tilleggsopplysninger lagres atskilt og omfattes av tekniske og organisatoriske tiltak som sikrer at personopplysningene ikke kan knyttes til en identifisert eller identifiserbar fysisk person. 

Anonyme opplysninger: opplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson.   

3 Krav til behandling av personopplysninger

3.1 Generelle prinsipper for personvern

Personvern handler om retten til privatliv og retten til å bestemme over egne personopplysninger. Den enkelte skal i størst mulig grad kunne bestemme over egne personopplysninger. Reglene for behandling av personopplysninger bygger på noen grunnleggende prinsipper. Prinsippene fremgår av artikkel 5 i EUs personvernforordning. Øvrige bestemmelser i EUs personvernforordning bygger på disse. All behandling av personopplysninger skal skje i samsvar med disse prinsippene som er:

• Lovlig, rettferdig og åpenhet om behandlingen - Det må finnes en lov (rettslig grunnlag) som tillater behandlingen av personopplysninger. Minst ett av de grunnlagene som fremgår i EUs personvernforordning, må være oppfylt. Behandlingen av personopplysninger skal gjøres i respekt for de registrertes interesser og skape tillit. Behandlingen av personopplysninger skal være forståelig og forutsigbar for den registrerte slik at vedkommende kan innrette seg og gis mulighet til å gjøre sine rettigheter gjeldende. Åpenhet om behandlingen er en forutsetning for at enkeltpersoner skal kunne ivareta sine rettigheter og interesser. 
• Formålsbegrensning - Personopplysninger skal bare behandles for spesifikke, uttrykkelige, angitte og legitime formål. Personopplysninger kan ikke gjenbrukes til formål som er uforenlig med det opprinnelige formålet. Viderebehandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål anses som forenlig med de opprinnelige formålene. Dette forutsetter at det er innført tekniske og organisatoriske tiltak for å sikre den registrertes rettigheter, særlig for å sikre at prinsippet om dataminimering overholdes. Aktuelle tiltak kan omfatte pseudonymisering. Dersom tiltakene kan oppfylles ved viderebehandling som ikke gjør det mulig å identifisere de registrerte, skal formålene oppfylles på denne måten (anonymisering av personopplysningene). Viderebehandling forutsetter at EUs personvernforordning og loven har vært fulgt ved den opprinnelige innsamlingen av personopplysningene.   
• Dataminimering - Mengden innsamlede personopplysninger skal begrenses til det som er nødvendig for formålet med innsamlingen.
• Riktighet - Personopplysninger som behandles, skal være korrekte, og skal om nødvendig oppdateres.

• Lagringsbegrensning - Personopplysninger skal slettes eller anonymiseres når de ikke lenger er nødvendige for formålet de ble innhentet for med mindre personopplysningene er arkivpliktige (dvs. inngår i dokumenter som er gjenstand for saksbehandling og har verdi som dokumentasjon). Offentlige virksomheter er underlagt arkivplikt hvilket medfører at NTNU i stor grad er pliktig til å arkivere opplysninger om ansatte og studenter.

• Integritet og konfidensialitet - Dette betyr at den behandlingsansvarlige (NTNU eller den som handler på vegne av NTNU) må sørge for tiltak mot utilsiktet og ulovlig ødeleggelse, tap og endringer av personopplysninger. Dette skal gå foran tilgjengelighet.

• Ansvarlighet - NTNU skal opptre i samsvar med disse prinsippene og sørge for at de registrertes rettigheter blir ivaretatt. NTNU skal kunne dokumentere at virksomheten har gjennomført nødvendige organisatoriske og tekniske tiltak for å etterleve EUs personvernforordning.

3.2 Oversikt over behandling av personopplysninger (protokoll)

Linjeleder skal sørge for at det blir ført oversikt (protokoll) over behandling av personopplysninger som utføres i sin enhet. Systemeier har ansvar for å føre denne oversikten for system som vedkommende er systemeier for. Prosesseier skal føre oversikten for gjennomgående administrative prosesser.  Linjeleder / systemeier / prosesseier har også ansvar for at oversikten blir oppdatert og vedlikeholdt.

Oversikten skal inneholde informasjon som fremgår i EUs personvernforordning artikkel 30.

Oversikten skal føres i NTNUs felles system for oversikt over behandling av personopplysninger.

Meldingsarkivet til Norsk senter for forskningsdata (NSD), som utpekte ansatte ved NTNU har tilgang til, gir en oversikt over behandling av personopplysninger i forskningsprosjekter som er meldt til NSD. Helseforskningsprosjekter der Fakultet for medisin og helse er forskningsansvarlig, skal føres i NTNUs oversikt over helseforskningsprosjekter (sharepointløsning). Helseforskningsprosjekter der andre fakultet er forskningsansvarlig, skal meldes til NSD og vil bli registrert i NSDs meldingsarkiv. 

3.3 Rettslig grunnlag

3.3.1 Generelt

Behandling av personopplysninger krever et rettslig grunnlag (lovlig grunn), dvs. at det er en lov (f.eks. EUs personvernforordning, personopplysningsloven, universitets- og høyskoleloven) eller forskrift som tillater den aktuelle behandlingen.

For å behandle personopplysninger må ett av grunnlagene i EUs personvernforordning artikkel 6 nr.1 være oppfylt. Grunnlaget kan være samtykke eller ett av de andre alternativene. Minst ett av følgende vilkår må være oppfylt: 

• den registrerte har gitt samtykke (som må være dokumentert) til behandling av sine personopplysninger for ett eller flere spesifikke formål
• behandlingen er nødvendig for å
  
  • oppfylle en avtale med den registrerte
  • verne den registrertes eller en annen fysisk persons vitale interesser (liv og helse)
  • oppfylle en rettslig forpliktelse som den behandlingsansvarlige er pålagt 
  • utføre en oppgave i allmennhetens interesse
  • utøve offentlig myndighet som den behandlingsansvarlige er pålagt

For de tre siste alternativene kreves i tillegg et supplerende grunnlag i nasjonal lov. Bestemmelser i personopplysningsloven eller universitets- og høyskoleloven eller andre lover kan være et slikt supplerende lovgrunnlag. 

Hvis det skal behandles sensitive personopplysninger (helseopplysninger, opplysninger om etnisitet, politisk oppfatning mm.), kreves i tillegg at ett av punktene i artikkel 9 nr. 2 er oppfylt. 

Artikkel 6 nr. 1 bokstav f tillater behandling av personopplysninger hvis virksomheten som behandler personopplysningene, har en berettiget interesse i den aktuelle behandlingen og hensynet til den registrertes personvern ikke overstiger denne interessen. Bestemmelsen vil som regel ikke kunne brukes som grunnlag for behandling av personopplysninger om studenter da den ikke gjelder for behandling som utføres av offentlige myndigheter som ledd i utførelsen av deres oppgaver. Bestemmelsen kan være et grunnlag for behandling av personopplysninger om ansatte.  

3.3.2 Personopplysninger om søkere, studenter og doktorgradsstudenter

Universitets- og høyskoleloven § 4-15 vil gi adgang til å behandle personopplysninger om søkere, studenter og doktorgradskandidater (heretter studenter) i studieadministrative systemer i følgende tilfeller:

• Formålet må være å ivareta den registrertes rettigheter, eller å oppfylle institusjonens oppgaver og plikter etter UH-loven. 
• Navn, fødselsnummer, D-nummer (midlertidig fødselsnummer) og karakterer fra videregående opplæring og universiteter og høyskoler som er hentet fra offentlige myndigheter, offentlige systemer for vitnemål, statlige, fylkeskommunale og private utdanningsinstitusjoner kan behandles når dette er nødvendig for å oppfylle formålet. 
• Opplysninger om helse, sosiale forhold og andre sensitive opplysninger som studenten selv har gitt institusjonen eller har samtykket til, når opplysningene er nødvendige for formålet nevnt i punket over. 

Dersom personopplysninger skal behandles i andre sammenhenger, må studenten samtykke eller det må finnes et annet rettslig grunnlag.  

3.3.3 Personopplysninger om ansatte

Det rettslige grunnlaget for behandling av grunnopplysninger om ansatte er EUs personvernforordning artikkel 6 nr. 1 b, dvs. at behandlingen er nødvendig for å oppfylle en avtale med den registrerte. For sensitive personopplysninger må et av vilkårene i artikkel 9 nr. 2 i tillegg være oppfylt. Personopplysningsloven § 6 gir et supplerende grunnlag for behandling av sensitive personopplysninger når dette er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter.

Bestemmelser om innsyn i arbeidstakers e-postkasse og kameraovervåking på arbeidsplassen vil bli fastsatt av departementet som forskrifter til arbeidsmiljøloven, med hjemmel i aml. §§ 9-5 og 9-6.  

3.3.4 Samtykke som rettslig grunnlag

Samtykke fra den registrerte kan være et rettslig grunnlag for behandling av personopplysninger. Dette forutsetter at følgene vilkår er oppfylt: 

• Frivillig - Det må ikke knytte seg noen fordeler eller negative sanksjoner til samtykket. Det må tas hensyn til ulikevekten mellom partene dersom universitetet vurderer å bygge behandlingen på samtykke fra studenter og ansatte.  Dette kan medføre at samtykket i realiteten ikke anses som fritt.  
• Spesifikt - Det må fremgå hvilke(t) formål samtykket gjelder for.
• Informert - Det må være klart hva som er omfattet av samtykket når den registrerte samtykker.
• Utvetydig - Det må være klart at vedkommende har gitt samtykke, hvilken dato det ble gitt og navnet på den som ga samtykket. Behandlingsansvarlig må kunne påvise dette, dvs. at det må kunne dokumenteres, enten skriftlig eller elektronisk.

 Den registrerte må, til enhver tid, kunne trekke tilbake samtykke og det må være like enkelt å trekke det tilbake som å gi det.

3.4 Risikovurdering

Risikovurdering omfatter de tre stegene risikoidentifisering, risikoanalyse og risikoevaluering.  Linjeleder / systemeier er pliktig til å sørge for at det gjennomføres en risikovurdering før behandlingen av personopplysninger kan starte.  Prosesseier skal foreta en overordnet risikovurdering. I forsknings-, student-, og kvalitetssikringsprosjekter skal prosjektleder foreta risikovurdering.

Risikovurderingen skal bidra til å forebygge uønskede hendelser eller mangler ved behandlingen av personopplysninger ved NTNU, som kan ha konsekvenser for studenter, ansatte, forskningsdeltakere og/eller samfunnet mer generelt. 

NTNUs Retningslinje for risikostyring for informasjonssikkerhet gir anvisning på hvordan man kan foreta en risikovurdering.
  

3.5 Vurdering av personvernkonsekvenser og forhåndsdrøfting med Datatilsynet

3.5.1 Generelt om personvernkonsekvensvurderinger (DPIA)

Hvis det er sannsynlig at en type behandling vil medføre høy risiko for enkeltpersoners rettigheter og friheter, skal den behandlingsansvarlige foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personvernet, jf. EUs personvernforordning artikkel 35.

Dette vil som eksempel være aktuelt ved bruk av ny teknologi, ved automatiserte behandlinger som vil ha rettslige virkninger for enkeltpersoner, behandling i stor skala av sensitive personopplysninger, systematisk overvåkning i stor skala av et offentlig område. Datatilsynet har utarbeidet en veileder for vurdering av personvernkonsekvenser. Veilederen gir en oversikt over når det må gjennomføres en vurdering av personvernkonsekvenser  (Data Protection Impact Assessment - DPIA). 

Linjeleder / systemeier skal sørge for at det blir utført en DPIA der det er krav om dette. Vedkommende skal rådføre seg med personvernombudet. Dette gjelder også om vedkommende er i tvil om det er nødvendig med en DPIA. 

Linjeleder / systemeier / prosesseier skal bruke NTNUs mal og skal dokumentere vurderingen i saks- og arkivsystemet (ephorte). Også en vurdering som konkluderer med at det ikke er nødvendig å utføre en DPIA skal dokumenteres, enten i NTNUs felles system for oversikt over behandling av personopplysninger, jf. punktet Oversikt over behandling av personopplysninger (protokoll) eller i saks- og arkivsystemet. 

Se Datatilsynets veileder og sjekkliste for vurdering av personvernkonsekvenser (DPIA og NTNUs nettside Vurdere personkonsekvenser.

3.5.2 Rådføringsplikt med Datatilsynet ved fortsatt høy risiko

NTNU er pliktig til å rådføre seg med Datatilsynet dersom konklusjonen er at behandlingen fortsatt, etter at det er satt inn tekniske og/eller organisatoriske tiltak, vil medføre høy risiko, det ikke treffes tiltak for å redusere risikoen og det fortsatt er ønskelig å igangsette den planlagte behandlingen. Rektor avgjør om NTNU skal be om en forhåndsdrøfting med Datatilsynet. En eventuell henvendelse skal gå fra rektor.   

3.6 Databehandleravtale

Linjeleder har ansvar for å inngå skriftlig databehandleravtale hvis eksterne (en virksomhet eller fysisk person) skal behandle personopplysninger på vegne av NTNU. Systemeier og prosesseier har tilsvarende ansvar. Det kan bare inngås avtale med databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen av personopplysningene oppfyller kravene etter EUs personvernforordning og vern av de registrertes rettigheter.

Avtalen skal oppfylle de kravene som fremgår av EUs personvernforordning artikkel 28. NTNU har i samarbeid med UH-sektoren utarbeidet en standard databehandleravtale som skal brukes. Hvis NTNUs standardavtale ikke kan brukes, skal forelagt avtale kontrolleres opp mot denne. Avtalen skal også vurderes av jurist før den blir inngått. 

NTNUs rutine for inngåelse av databehandleravtale skal følges, se NTNUs nettside. 

Databehandleren skal ikke engasjere en annen databehandler (underleverandør) uten at det er skriftlig godkjent av linjeleder / systemeier / prosesseier. NTNU er ansvarlig for databehandleres og eventuelle underleverandørers behandling av personopplysningene og har ansvar for å vurdere og kontrollere om de er kompetent til å behandle de aktuelle personopplysningene i tråd med EUs personvernforordning. 

Linjeleder / systemeier / prosesseier er ansvarlig for at databehandleravtaler blir gjennomgått hvert andre år og revidert hvis det er behov for dette.   

Databehandler skal jevnlig gjennomføre sikkerhetsrevisjoner av eget arbeid med sikring av personopplysninger mot uautorisert eller ulovlig tilgang, endring, sletting, skade, tap eller utilgjengelighet. Databehandler skal dokumentere sikkerhetsrevisjonene. NTNU skal gis tilgang til revisjonsrapportene. Linjeleder / systemeier / prosesseier er ansvarlig for at dokumentasjon fra databehandlers sikkerhetsrevisjon blir innhentet.  

Når NTNU sammen med andre behandlingsansvarlige i fellesskap fastsetter formål med og midler for behandlingen av personopplysningene, foreligger et delt behandlingsansvar. I slike tilfeller må det inngås en avtale som angir partenes ansvar. NTNUs mal kan benyttes, se NTNUs side Overføring av personopplysninger – avtalemaler.

3.7 Overføring av personopplysninger til utlandet

Linjeleder er ansvarlig for at personopplysninger som skal overføres til land eller internasjonale organisasjoner utenfor EU/EØS, bare overføres dersom kravene etter EUs personvernforordning kap. V (artikkel 44 flg.) er oppfylt. Merk at overføring også omfatter det å gi tilgang til personopplysninger. Systemeier og prosesseier har tilsvarende ansvar.

 Det må gjøres en risikovurdering av overføringen, for å sikre at informasjonssikkerheten er tilfredsstillende. Risikovurderingen må kunne dokumenteres. 

• Overføring til land utenfor EU/EØS kan skje dersom EU-kommisjonen har godkjent at landet har en forsvarlig behandling av personopplysninger (se Rules for the protection of personal data inside and outside the EU).
• Overføring utover dette krever at EUs standardkontrakt for overføring til behandlingsansvarlig eller databehandler i tredjeland brukes, eller at overføringen er tillatt etter øvrige punkter i EUs personvernforordning kap. V. EUs standardkontrakter er tilgjengelig på Datatilsynets nettsider.
• Overføring med hjemmel i EUs personvernforordning artikkel 49 gir unntak for særlige tilfeller. Dette gjelder f.eks. dersom den registrerte uttrykkelig har samtykket til aktuell overføring eller overføringen er nødvendig for å oppfylle en avtale inngått i den registrertes interesse mellom den behandlingsansvarlige og en annen fysisk eller juridisk person. Eksempel på dette er medlemmer hjemmehørende utenfor EU/EØS i sakkyndige komiteer.
• Standardkontraktene som er utarbeidet etter det tidligere EU-direktivet i 1995, kan benyttes inntil nye kontrakter er utarbeidet. Tillatelser fra Datatilsynet og EU-kommisjonen etter tidligere direktiv eller lov skal fortsette å gjelde frem til de endres, erstattes eller oppheves. 

 Avtale om overføring av personopplysninger til utlandet skal forelegges IT-avdelingen og vurderes av jurist før avtalen blir inngått.  

3.8 De registrertes rettigheter 

Med registrert menes enkeltpersoner, søkere, studenter, ansatte, forskningsdeltakere og andre som NTNU behandler personopplysninger om. Den det er registrert personopplysninger om, har en rekke rettigheter knyttet til å få informasjon når det samles inn opplysninger om vedkommende, innsyn i egne personopplysninger som blir behandlet i virksomheten, krav på retting, sletting, begrensning av behandling, innsigelse og rett til dataportabilitet (EUs personvernforordning artikkel 12 – 23).

Det er flere unntak fra retten, både i EUs personvernforordning og personopplysningsloven §§ 16 og 17. Som eksempel kan nevnes opplysninger som er taushetsbelagt (der innsyn vil røpe opplysninger om andre personer eller sikkerhetstiltak). Det er også enkelte unntak knyttet til arkiv-, forsknings- eller statistiske formål. NTNU er som offentlig institusjon underlagt arkivloven hvilket innebærer at personopplysninger om ansatte og studenter i stor grad er arkivpliktig og ikke kan kreves slettet.  

Registrerte som ønsker innsyn mm., skal henvende seg i samsvar med NTNUs fremgangsmåte og identifisere seg før innsyn mm. kan gis.  Behandling av innsynskrav skal skje i samsvar med NTNUs rutine.  Avdeling for dokumentasjonsforvaltning skal være mottaker av innsynskrav i henhold til NTNUs rutine.    

Systemeier eller linjeleder som behandlingsansvarlig skal sørge for at den det samles inn opplysninger om, blir informert og at henvendelser fra den registrerte blir fulgt opp i samsvar med kravene etter EUs personvernforordning. Prosjektleder skal følge opp henvendelser om innsyn mm. fra forskningsdeltakere og er ansvarlig for at informasjonsplikten overfor disse blir fulgt opp. 

Systemeier skal oppnevne en systemkontakt som kan bistå Avdeling for dokumentasjonsforvaltning med innsynskrav når den registrerte krever kopi av personopplysninger fra et gitt system.  

3.9 Bilde, video-, og lydopptak

Den som skal publisere et bilde offentlig (f.eks. på internett, intranettet, i læringsstøttesystem, i trykt versjon) av en enkeltperson eller en mindre gruppe av personer, må innhente samtykke fra den som er avbildet. Samtykket må være skriftlig eller kunne dokumenteres på annen måte, f.eks. elektronisk.

Det følger av åndsverkloven av 15. juni 2018 § 104 at fotografi som avbilder en person, ikke kan gjengis eller vises offentlig uten samtykke fra den avbildede. Unntak gjelder hvis 

• avbildningen har aktuell og allmenn interesse
• avbildningen av personen er mindre viktig enn hovedinnholdet i bildet
• bildet gjengir forsamlinger, folketog i friluft eller forhold eller hendelser som har allmenn interesse.

Video-, og/eller lydopptak av personer som kan gjenkjennes, krever samtykke fra den enkelte. Det samme gjelder publisering f.eks. på internett, intranettet og i læringsstøttesystem.

Linjeleder er ansvarlig for at behandlingen (bruk, lagring, sletting, utlevering mm.) skjer i samsvar med personvernregelverket og i tråd med NTNUs prosesser, rutiner og valgte verktøy/systemer.

Samtykkeskjema og veiledning/rutine skal være tilgjengelig på NTNUs nettsider.  

3.10 Kameraovervåkning

Leder for Avdeling for campusservice avgjør om overvåkningskamera skal monteres og er ansvarlig for at rutiner for lagring, sletting og eventuell utlevering blir fulgt. Dette gjelder for hele NTNUs arealer og bygningsmasse.

Leder for avdeling for campusservice skal sørge for at fortsatt behov for kameraovervåking blir vurdert jevnlig.

Det skal, ved skilting, gjøres tydelig at stedet blir overvåket, om det inkluderer lydopptak og hvem som er behandlingsansvarlig (NTNU ved Avdeling for campusservice).

Opptak skal slettes en uke etter at opptakene er gjort. Hvis det er sannsynlig at opptaket vil bli utlevert til politiet i forbindelse med etterforskning av straffbare handlinger eller ulykker, kan opptakene oppbevares i inntil 30 dager.

Utlevering av opptak kan kun skje i følgende tilfeller:

• den som er avbildet, samtykker
• utleveringen skjer til politiet ved etterforskning av straffbare handlinger eller ulykker, og lovbestemt taushetsplikt ikke er til hinder for utleveringen
• det ellers følger av lov at utleveringen kan skje

3.11 Adgangskontroll

Leder for Avdeling for campusservice har ansvar for lagring av personopplysninger ved adgangskortproduksjon.

Personopplysninger fra NTNU overføres daglig fra felles database til NTNU Vakt og service. Persondata som overføres, er den enkeltes navn, fødselsnummer / studentnummer, e-postadresse, arbeidssted og dato for oppstart. Opplysningene skal kun benyttes til produksjon av adgangskort. Det er kun dedikerte medarbeidere i Vakt og service som skal ha tilgang til opplysningene.

Ved midlertidig tildeling av adgangskort for eksterne skal det fastsettes en sluttdato.

3.12 Generell behandling av personopplysninger

Det er den enkelte linjeleders ansvar å sørge for at de fysiske rammebetingelsene ligger til rette for sikker behandling av personopplysninger i enheten. Linjeleder har ansvar for å utarbeide rutiner for å minimalisere sikkerhetsrisikoen.

Ephorte er NTNUs saksbehandlings- og arkivsystem. Ephorte støtter også digital saksflyt og signering samt digital utsendelse (sikker digital post). 

Taushetsbelagte eller sensitive personopplysninger skal behandles i ephorte eller annet godkjent fagsystem. Dette er opplysninger som betegnes som fortrolige eller strengt fortrolige i NTNUs klassifiseringssystem. 

Papirdokumenter som inneholder taushetsbelagte, sensitive eller andre personopplysninger som etter sitt innhold er unntatt offentlighet, skal oppbevares i låsbare skap på kontorer/arealer som er låst utenom ordinær arbeidstid. 

Dokumenter som inneholder taushetsbelagte eller sensitive personopplysninger som sendes elektronisk til medlemmer i styrer og utvalg, skal være atskilt fra øvrige saker slik at medlemmene kan slette disse opplysningene når saken er behandlet. Det er kun adgang til å benytte elektronisk forsendelse dersom den digitale løsningen er klassifisert for overføring av taushetsbelagte eller sensitive personopplysninger.

NTNU har utarbeidet en oversikt over lagring av filer og dokumenter og hvilke systemer/verktøy som kan brukes til hva. Denne skal være tilgjengelig på NTNUs nettsider. 

3.13 Taushetsplikt

Alle som rutinemessig arbeider med taushetsbelagte personopplysninger, skal ha kjennskap til personvernregelverket og underskrive taushetserklæring.

Ansatte samt konsulenter og leverandører som gjennom vedlikehold og drift av NTNUs IKT-struktur og systemer får tilgang til taushetsbelagte personopplysninger, skal kjenne til regelverket om behandling av personopplysninger og underskrive taushetserklæring. Krav til, og opplysninger om taushetsplikten for medlemmer i utvalg, styrer og råd skal innarbeides i oppnevningsbrevet til medlemmene.

3.14 Lagring, sletting og arkivering

Personopplysninger skal ikke lagres lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen hvis ikke annet er bestemt i lov eller f.eks. i forbindelse med finansiering av forskning. Dette følger av prinsippet om lagringsbegrensning og dataminimering.  Linjeleder har ansvar for å utarbeide rutiner for sletting som skal minimalisere sikkerhetsrisikoen i sin enhet. Systemeier har dette ansvaret for det systemet vedkommende er systemeier for og prosesseier for gjennomgående administrative prosesser.  

Hver enkelt medarbeider er ansvarlig for å slette personopplysninger som er lagret på vedkommendes personlige brukerområde. Linjeleder er ansvarlig for at personopplysninger blir slettet på fellesområder i sin enhet. 

• Personopplysninger som ikke skal oppbevares med hjemmel i arkivloven eller annen lovgivning, skal slettes. 
• Systemeier / linjeleder / prosesseier skal sørge for fortløpende sletting / opprydding av unødvendige personopplysninger – innen 6 måneder – etter at en ansatt slutter eller en student er uteksaminert eller har sluttet. 
• Personopplysninger, som det midlertidig er nødvendig å lagre på passordbeskyttet fellesområde eller personlig område i forbindelse med utføring av en arbeidsoppgave, skal slettes når formålet ikke lenger er tilstede.
• Medlemmer i nemnder og utvalg som får tilsendt saksdokumenter elektronisk som inneholder taushetsbelagte eller sensitive personopplysninger, skal slette tilsendt materiale når saken er behandlet.
• Personopplysninger som inngår i saksdokumenter på papir i forbindelse med møter i nemnder og utvalg, skal samles inn og makuleres etter møtene. Leder for den administrative enheten som nemnda / utvalget er organisert i tilknytning til - ved sekretæren – har ansvar for innsamling /makulering av saksdokumenter etter møtene. 
• Arkivpliktige dokumenter, dvs. dokumenter som er gjenstand for saksbehandling og har verdi som dokumentasjon, skal arkiveres i institusjonens arkivsystem.

 3.15 Bruk av fødselsnummer

• Fødselsnummer og andre entydige identifikasjonsmidler kan bare behandles når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering, jf. personopplysningsloven § 12.
• Fødselsnummer kan sendes i sikker digital post. Fødselsnummer skal ikke være tilgjengelig for andre enn mottakeren. Dersom fødselsnummer sendes pr. post skal det ikke være synlig i konvoluttvindu eller være skrevet på utsiden av konvolutten.
• Hvis fødselsnummer skal sendes pr. e-post, skal e-posten krypteres. Hvordan e-post kan krypteres fremgår av NTNUs nettsider.

3.16 Bruk av e-post

I samsvar med Datatilsynets føringer skal følgende ikke sendes på e-post:

• taushetsbelagte eller sensitive personopplysninger
• fødselsnummer 
• personopplysninger om mange, f.eks. regneark, lister

Disse punktene gjelder både e-post som sendes internt ved NTNU og eksternt.

Dersom e-post og/eller vedlagte filer krypteres, kan e-post unntaksvis brukes. Risikoen må vurderes, passord må sendes separat (SMS eller muntlig) og må være i samsvar med NTNUs krav til passord, jf. NTNUs IKT-reglement.  

3.17 Særlig om behandling av personopplysninger i forbindelse med skikkethetssaker

Alle skal følge disse rutinene ved behandling av personopplysninger i forbindelse med skikkethetsvurdering:  

• Opplysninger eller dokumenter som angår en students skikkethet, og som inneholder opplysninger som kan identifisere vedkommende, skal aldri sendes med e-post.
• Ephorte skal være eneste verktøy som benyttes ved behandling av personopplysninger i forbindelse med skikkethet. Avdeling for dokumentasjonsforvaltning (arkivet) skal bistå i tilrettelegging ved bruk av ephorte.
• Korrespondanse med studenter skal skje med sikker digital post (ephorte) eller vanlig post, ikke e-post.
• Ansatte som ikke har tilgang til ephorte, men som vil ha behov for dette i forbindelse med en students skikkethet, må ta opp spørsmålet om tilgang til ephorte med sin leder.
• Rapport og møtereferater i forbindelse med særskilt skikkethetsvurdering (etter tvilsmelding) arkiveres i egen sak i ephorte.
• Studenten det gjelder, har, i samsvar med forvaltningsloven §§ 18 – 19, rett til innsyn i dokumentene som gjelder sin sak.
• Dersom studenten uteksamineres fra NTNU, anses vedkommende som skikket for yrket og det skal ikke gis innsyn i arkivert materiale, f.eks. i forbindelse med ansettelsessaker.   

3.18 Utlevere informasjon om studenter og ansatte til eksterne

Utlevering av personopplysninger fra NTNUs systemer til andre formål enn det de er samlet inn for, skal godkjennes av systemeier. Systemeier er ansvarlig for at utleveringen blir dokumentert slik at informasjonsplikten ved krav om innsyn fra den registrerte kan ivaretas. Informasjon som er innsamlet og lagret for generell personalforvaltning og om studenter for administrative formål, skal normalt ikke utleveres til utenforstående med mindre de som ber om opplysningene har rett til innsyn etter offentleglova.

Hvis det gjelder opplysninger, som det ikke er innsynsrett i etter offentleglova, må den instansen (f.eks. NAV, Vernepliktsverket) som ber om opplysningene, vise til en lovhjemmel som gir rett til å få opplysningene utlevert.  Denne type henvendelser skal behandles av systemeier. Systemeier har ansvar for å undersøke om det foreligger nødvendig lovhjemmel for utleveringen og om nødvendig etterlyse dette. 

Taushetsbelagte opplysninger kan utleveres dersom vilkårene etter forvaltningsloven § 13 b er oppfylt, f.eks. til en advokat som representerer en student eller ansatt i en sak ved NTNU.    

Hvis innsyn gis, skal det opplyses om at den som får innsyn må ha et eget behandlingsgrunnlag for eventuell elektronisk viderebehandling av opplysningene.  

Ved henvendelser fra politiet om innsyn i elektronisk lagret materiale gjelder NTNUs Rutine ved utlevering av elektronisk lagret materiale til politi eller påtalemyndighet.   

3.19 Forholdet til innsyn etter andre lover

Spørsmål om innsyn i det offentliges dokumenter reguleres av lov av 19. mai 2006 om rett til innsyn i offentleg verksemd (offentleglova). Partsinnsyn reguleres av lov av 10. februar 1967 om behandlingsmåten i forvaltningssaker (forvaltningsloven).

Etter EUs personvernforordning artikkel 86 kan den enkelte stat fastsette regler om innsyn i offentlige dokumenter. Bestemmelsene om innsyn for enhver etter offentleglova og partsinnsyn etter forvaltningsloven går derfor foran bestemmelsene i EUs personvernforordning og personopplysningsloven. Dette innebærer at det ved spørsmål om innsyn i dokumenter ved NTNU kan gis innsyn i dokumenter som inneholder personopplysninger dersom offentleglova hjemler dette. Det vil da være dokumentbegrepet i offentleglova som blir avgjørende for hvilke dokumenter det kan gis innsyn i. Tilsvarende gjelder for partsinnsyn eller etter forvaltningsloven. Saksbehandler, eventuelt i samråd med sin leder, avgjør spørsmål om innsyn.

3.20 Opplæring  

Nærmeste overordnede er ansvarlig for at ansatte får nødvendig opplæring i de bestemmelser som gjelder for behandling av personopplysninger. Retningslinje for behandling av personopplysninger ved NTNU skal inngå som element i opplæringen.

Dekan er ansvarlig for at studentene får nødvendig opplæring i kravene til behandling av personopplysninger. 

Leder av HR- og HMS-avdelingen har et særlig ansvar for organisasjonsutvikling og endringsledelse i arbeidet med informasjonssikkerhet; herunder å påse at ledere er kjent med og har tilstrekkelig kompetanse og risikoforståelse, til å ivareta sitt ansvar for å utøve risikostyring innen området informasjonssikkerhet, jf. Politikk for informasjonssikkerhet punkt 8.h.  

3.21 Innebygd personvern (Privacy by Design)

Innebygd personvern og personvern som standard innstilling betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning.  Dette er en forpliktelse som virksomheten har etter EUs personvernforordning artikkel 25.

Formålet med innebygd personvern er at den behandlingsansvarlige før og under anskaffelse / utvikling av systemer og tjenester vurderer personvernspørsmål. Kravet til innebygd personvern og personvern som standardinnstilling gjelder uavhengig av risiko. Linjeleder / systemeier skal sørge for at innebygd personvern blir implementert i samsvar med EUs personvernforordning artikkel 25 ved utvikling og anskaffelse. Personvernombudet skal involveres.    

4 Håndtering av avvik

Avvik ved behandling av personopplysninger skal håndteres i samsvar med NTNUs retningslinje for avviksmelding og avvikshåndtering innen informasjonssikkerhet og personvern.

Formålet med avviksmelding og avvikshåndtering er å håndtere brudd på gjeldende lover, regler samt interne retningslinjer og rutiner. Håndteringen skal gjøre det mulig å gjenopprette tilstanden, fjerne årsaken til avviket, redusere negative konsekvenser for både NTNU og tredjepersoner, samt lettere unngå fremtidige sikkerhetsbrudd og brudd på personvernet. 

Et særskilt formål er å sikre effektiv melding til Datatilsynet ved brudd på håndteringen av personopplysninger (innen 72 timer). Det er også et formål å sørge for at berørte registrerte varsles så snart som mulig slik at disse kan ivareta sine interesser. 

Avvik skal håndteres i samsvar med NTNUs retningslinje: 

• Når det oppdages avvik, skal dette meldes i NTNUs avvikssystem og eventuelt til nærmeste leder.
• Avviket mottas av Seksjon for digital sikkerhet på Gjøvik.
• Seksjon for digital sikkerhet påser at det treffes nødvendige strakstiltak og at avviket fordeles til riktig avvikseier (linjeleder).
• Avvikseier følger opp videre med varsling av berørte og tiltak for å lukke avviket.
• Hvis avviket er alvorlig eller kritisk for personvernet, skal organisasjonsdirektøren være avvikseier.
• Personvernombudet skal informeres om avviket så tidlig som mulig. 
• Jurist i samarbeid med Seksjon for digital sikkerhet og personvernombudet vurderer om avviket er meldepliktig til Datatilsynet. Datatilsynet skal varsles innen 72 timer. 

5 Kontroll og etterlevelse

Institutter skal årlig, ved hjelp av en mal for egenkontroll, rapportere til fakultetet behandling av personopplysninger. Det samme gjelder seksjoner ved avdelinger i fellesadministrasjonen. Fakultet / avdeling skal sammenfatte den innsamlede informasjonen ved hjelp av malen. Instituttene skal også rapportere om kontroll av forskningsprosjekter, se punktet Kontroll og etterlevelse - forskningsprosjekter. En sammenfatning av dette skal også inngå i fakultetets rapport.

Dekan/avdelingsleder skal sørge for at det blir utarbeidet en rapport som skal sendes til Avdeling for virksomhetsstyring. Rapporten oversendes organisasjonsdirektøren for rektors gjennomgang. Rapportene skal blant annet danne grunnlag for rektors årlige orientering til NTNUs styre om arbeidet med informasjonssikkerhet, herunder behandling av personopplysninger.  

6 Særlig om behandling av personopplysninger i forskning

Ifølge fortalen punkt 159 (forarbeidene) til EUs personvernforordning bør behandling av personopplysninger i forbindelse med formål knyttet til vitenskapelig forskning tolkes vidt og f.eks. omfatte teknologisk utvikling og demonstrasjon, grunnleggende forskning, anvendt forskning og privatfinansiert forskning. 

6.1 Helseforskning – forhåndsgodkjenning av REK

Medisinsk og helsefaglig forskning (helseforskning) er forskning på mennesker, humant biologisk materiale eller helseopplysninger der formålet er å skaffe til veie ny kunnskap om helse og sykdom. Det samme gjelder forskning som omfatter pilotstudier og utprøvende behandling.

Helseforskning skal være forhåndsgodkjent av Regional komite for medisinsk og helsefaglig forskningsetikk (REK) før prosjektet kan starte, jf. helseforskningsloven §33. REK skal gjøre en forskningsetisk vurdering av prosjektet. REKs forhåndsgodkjenning vil ikke være et tilstrekkelig lovlig grunnlag for behandling av personopplysninger i helseforskning. Behandlingen av personopplysninger må også ha et lovlig grunnlag i EUs personvernforordning. Forskningsansvarlig, dvs. NTNU, vil være ansvarlig for å vurdere om behandlingen av personopplysninger i helseforskningsprosjekter vil være i samsvar med EUs personvernforordning. 

Denne retningslinjen gir de overordnede retningslinjene også for helseforskning. NTNUs portal for medisinsk og helsefaglig forskning gir mer detaljerte forskningsadministrative rutiner og retningslinjer. 

Prosjektleder skal sørge for at det blir sendt søknad med forskningsprotokoll til REK, via REKs søknadsportal i samsvar med de krav som REK stiller til søknaden.  Forskningsansvarlig (se punktet Forskningsansvarlig/behandlingsansvarlig) skal involveres før søknad sendes. Etter at forskningsprosjektet er forhåndsgodkjent av REK skal det godkjennes av forskningsansvarlig før det kan settes i gang.

Der andre fakultet enn Fakultet for medisin og helse (MH) er forskningsansvarlig i helseforskningsprosjekter, skal prosjektleder i tillegg til søknad til REK også melde forskningsprosjektet til Norsk senter for forskningsdata – NSD. NSD skal vurdere om den planlagte behandlingen av personopplysninger i prosjektet er i samsvar med kravene etter EUs personvernforordning. Behandling av personopplysninger kan ikke starte før NSD har gitt tilbakemelding om sin vurdering. 

Generelt anbefales at prosjektopplysninger sendes inn/meldes inn til NSD og REK så fort som mulig, dvs. parallelt. NSD vil vurdere fra sak til sak om de vurderer ferdig prosjektet, eller om de vil avvente REK sin vurdering av prosjektet. 

6.2 Melding til NSD

Forsknings-, student-, og kvalitetssikringsprosjekter som behandler personopplysninger samt helseforskning hvor andre fakultet enn MH er forskningsansvarlig, skal meldes til Norsk senter for forskningsdata (NSD). Det samme gjelder prosjekter der personopplysninger behandles manuelt hvis disse inngår eller skal inngå i et personregister. 

NSD har en rådgivende rolle. NSD skal vurdere om prosjektet tilfredsstiller kravene i EUs personvernforordning. Behandlingen av personopplysninger kan ikke settes i gang før NSD har gitt tilbakemelding til prosjektleder om at den planlagte behandlingen vurderes å være i samsvar med EUs personvernforordning.   

Dersom student eller forsker skal samle inn data i utlandet, gjelder meldeplikten til NSD ved behandling av personopplysninger på lik linje som ved datainnsamling i Norge. 

Prosjektleder, eller veileder ved studentprosjekt, er ansvarlig for at prosjektet blir meldt til NSD. Prosjektet skal meldes senest 30 dager før datainnsamlingen skal starte. NSD tilbyr også arkivering av prosjektdata ved prosjektslutt.

Etter EUs personvernforordning er det et krav at virksomheten skal føre oversikt over alle behandlinger av personopplysninger. NSD skal på vegne av NTNU føre oversikt over alle forsknings-, student og kvalitetssikringsprosjekter som blir meldt til NSD. Oversikten vil danne grunnlag for tilsyn og kontroll med forskningsprosjekter, jf. retningslinjens punktet Kontroll og etterlevelse - forskningsprosjekter.  

6.3 Vurdering av personvernkonsekvenser

Hvis det er sannsynlig at en type behandling vil medføre høy risiko for enkeltpersoners rettigheter og friheter, skal den behandlingsansvarlige foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personvernet, jf. EUs personvernforordning artikkel 35. Dette gjelder også for forskning.

NSD tar initiativ til og bistår i vurdering av personvernkonsekvenser (personvernkonsekvenser (Data Protection Impact Assessment - DPIA) for de prosjektene som blir meldt til NSD. NSD skal utføre vurderingen av DPIA i samråd med personvernombudet.

Fakultet for medisin og helsevitenskap har utarbeidet en egen mal for vurdering av personvernkonsekvenser i helseforskningsprosjekter. Prosjektleder er ansvarlig for at det blir foretatt en vurdering av personvernkonsekvenser. Personvernombudet skal på anmodning gi råd om vurderingen av personvernkonsekvenser og kontrollere gjennomføringen av denne.  

Les om vurdering av personvernkonsekvenser og finn mal for vurdering av personvernkonsekvenser.

6.4 Roller og ansvar

6.4.1 Forskningsansvarlig / behandlingsansvarlig

Forskningsansvarlig / behandlingsansvarlig er den som utøver behandlingsansvaret på vegne av rektor i forskningsprosjekter. Helseforskning bruker begrepet forskningsansvarlig, mens for den øvrige forskningen er tilsvarende begrep behandlingsansvarlig. For enkelthets skyld brukes forskningsansvarlig som felles begrep i denne retningslinjen.

Forskningsansvarlig er dekan som har det overordnete ansvaret for alle forskningsprosjekt som foregår ved fakultetet. Dekan kan delegere oppgavene til instituttleder. 

Forskningsansvarlig skal tilrettelegge for at forskning blir utført slik at etiske, medisinske, helsefaglige, vitenskapelige, personvern- og informasjonssikkerhetsmessige forhold blir ivaretatt fra planlegging til avslutning og for etterforvaltning av forskningsdata og humant biologisk materiale. 

Forskningsansvarlig skal   

• sørge for rutiner, infrastruktur og internkontrollsystemer for forskningsvirksomheten i henhold til gjeldende lovverk og retningslinjer og for at disse er implementert og følges i praksis
• være involvert før søknad sendes REK / melding sendes NSD og skal informeres om utfallet av behandlingen
• i forkant eller i etterkant vurdere om prosjektet faller innenfor enhetens strategi og om de nødvendige ressurser foreligger
• etter at et prosjekt er forhåndsgodkjent av REK eller vurdert av NSD godkjenne prosjektet før det kan settes i gang
• ha oversikt over sin forskningsportefølje
• skal stanse forskning som er etisk eller juridisk uforsvarlig eller som er i strid med forutsetningene for prosjektet
• gjennomføre systematiske tiltak som fremmer god forskning og som sikrer at forskningen planlegges, organiseres, gjennomføres og avsluttes i samsvar med gjeldende regelverk

 6.4.2 Prosjektleder (hvis kun én forsker, så er vedkommende prosjektleder)

• har det operative ansvaret og skal sørge for internkontroll ved gjennomføringen av forskningsprosjektet, fra planlegging til avslutning, herunder at krav i relevant lovverk og forskningsetiske og interne retningslinjer etterleves
• skal sørge for nødvendig søknad til REK eller melding til NSD. Hvis prosjektet er helseforskning, skal prosjektleder sende søknad om forhåndsgodkjenning til Regional komite for medisinsk og helsefaglig forskningsetikk (REK). I tillegg skal helseforskningsprosjektet meldes til NSD hvis ikke Fakultet for medisin og helsevitenskap (MH) er forskningsansvarlig. 
• skal sørge for at avtaler som er påkrevet for ivaretakelse av informasjonssikkerhet og personvern blir inngått (for inngåelse av databehandleravtaler se punktet Databehandleravtale)
• skal involvere forskningsansvarlig i forkant av søknad til REK eller melding til NSD og legge frem søknad og meldeskjema dersom forskningsansvarlig ber om det
• skal foreta en risikovurdering og vurdere personvernkonsekvenser, jf. punkt 6.3 
• skal utarbeide en datahåndteringsplan, jf. punktet Datahåndteringsplan (DMP) 
• er ansvarlig for å sørge for tilgangsstyring dersom det er behov for konfidensialitet ved behandling av personopplysninger i prosjektet 
• er ansvarlig for at relevante og nødvendige dokumentasjonskrav ivaretas i prosjektet 
• skal sette seg inn i relevant lovgivning for behandling av personopplysninger og relevante retningslinjer for informasjonssikkerhet ved bruk av NTNUs IKT-infrastruktur 
• er ansvarlig for å følge opp henvendelser fra forskningsdeltakere om innsyn mm. 
• er pliktig til å melde avvik (uønsket hendelse) ved brudd på informasjonssikkerhet og personvern i henhold til NTNUs retningslinje for avviksbehandling 
• skal melde fra til forskningsansvarlig og Helsetilsynet om alvorlige, uønskede og uventede medisinske hendelser. Forskningsdeltakerne skal også omgående informeres dersom de har blitt påført skade eller det har oppstått komplikasjoner som følge av forskningsprosjektet.  

Doktorgradskandidater kan være prosjektledere. Studenter på lavere nivå kan ikke være prosjektledere.  

6.4.3 Veileder for studentprosjekt

• er alltid prosjektleder for studentprosjekter på lavere nivå enn doktorgrad 
• er ansvarlig for at studenter i studentprosjekt er gjort kjent med NTNUs rutiner og retningslinjer og overordnet regelverk innen informasjonssikkerhet og behandling av personopplysninger

6.5 Rettslig grunnlag

6.5.1 Generelt

Dersom personopplysninger skal behandles i forbindelse med forskning, kreves et rettslig grunnlag (en lov som tillater det). Etter forskningsetiske prinsipper er samtykke hovedregelen ved forskning på opplysninger som kan knyttes til enkeltindivider.  Etter fortalen punkt 33 (forarbeidene) til EUs personvernforordning bør forskningsdeltakere kunne gi samtykke til visse områder innen vitenskapelig forskning når dette er i samsvar med anerkjente etiske standarder for vitenskapelig forskning. Forskningsdeltakerne bør ha mulighet til å gi sitt samtykke bare til visse forskningsområder eller deler av forskningsprosjektet i det omfang det tilsiktede formålet tillater det. Se nærmere om informasjon til forskningsdeltakere og samtykke i Rutine for informasjon til forskningsdeltakere og samtykke. 

Ved behandling av alminnelige personopplysninger vil rettslig grunnlag være:  

• Samtykke etter EUs personvernforordning artikkel 6 nr. 1 bokstav a, eller
• Hvis ikke samtykke: at behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse og er nødvendig for formål knyttet til vitenskapelig forskning, jf. artikkel 6 nr. 1 bokstav e) og personopplysningsloven § 8 som supplerende grunnlag.
• Behandlingen må omfatte nødvendige tiltak for å sikre at den er i tråd med EUs personvernforordning og at forskningsdeltakeres personvern ivaretas. 

Ved behandling av sensitive personopplysninger vil rettslig grunnlag være:

• Samtykke etter artikkel 9 nr. 2 bokstav a, eller 
• Hvis ikke samtykke: at behandlingen er nødvendig for vitenskapelig forskning forutsatt at samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene for den enkelte, jf. artikkel 9 bokstav j og personopplysningsloven § 9 som supplerende grunnlag.
• Behandlingen må være omfattet av nødvendige garantier, f.eks. at personopplysningene pseudonymiseres slik at opplysningene ikke lenger blir direkte knyttet til den enkelte uten tilleggsopplysninger, at det er tilgangsstyring og logging. 

Ved behandling av personopplysninger om straffedommer og lovovertredelser vil rettslig grunnlag være:

• Samtykke etter artikkel 6 nr. 1 bokstav a, eller 
• Hvis ikke samtykke: da gjelder tilsvarende som for sensitive personopplysninger, dvs. at samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene for den enkelte. I interesseavveiningen skal det legges vekt på at behandlingen skjer uten den registrertes samtykke. Vurderingen må dokumenteres. Rettslig grunnlag: artikkel 6 nr. 1 bokstav e og artikkel 10 med supplerende grunnlag i personopplysningsloven § 11.
• Behandlingen må være omfattet av nødvendige garantier for å ivareta forskningsdeltakernes personvern, jf. punktet ovenfor om sensitive personopplysninger. 

6.5.2 Helseforskning

Vedtak om dispensasjon fra taushetsplikt vil utgjøre et supplerende lovgrunnlag. REKs forskningsetiske vurdering (forhåndsgodkjenning etter helseforskningsloven §§ 9 og 33) vil utgjøre et egnet og særlig tiltak for å verne den registrertes rettigheter og interesser. REK skal, som ledd i den forskningsetiske vurderingen, også vurdere behandlingen av personopplysninger.   

6.5.4 Viderebehandling til forskningsformål

Viderebehandling til forskningsformål av allerede innsamlede personopplysninger anses som forenlig med det opprinnelige formålet.  Dette forutsetter at det er innført tekniske og organisatoriske tiltak for å sikre den registrertes rettigheter, særlig for å sikre at prinsippet om dataminimering overholdes. Aktuelle tiltak kan f.eks. være pseudonymisering.

Dersom forskningsformålet kan oppfylles ved anonymiserte opplysninger, skal viderebehandlingen skje på denne måten. Viderebehandling til forskningsformål forutsetter at de allerede innsamlede opplysningene er behandlet i samsvar med regelverket.

Dersom viderebehandlingen innebærer utlevering til en annen behandlingsansvarlig (dvs. andre enn NTNU), må den som mottar opplysningene, ha et eget rettslig grunnlag for behandlingen.    

6.6 Datahåndteringsplan (DMP) 

Alle forskningsprosjekter skal ha en datahåndteringsplan. Prosjektleder har ansvar for at det blir satt opp en datahåndteringsplan for prosjektet.   Datahåndteringsplanen skal beskrive hvordan forskningsdata skal samles inn, lagres og deles slik at dataene blir håndtert sikkert og forsvarlig.

Planen skal være et aktivt dokument som oppdateres underveis i prosjektet og som dokumenterer hvordan forskningsdata blir behandlet og organisert gjennom hele prosjektet. En datahåndteringsplan skal også inkludere vurderinger knyttet til etikk og personvern. Planen skal tilfredsstille krav fra finansieringskildene og være i tråd med NTNUs retningslinje for behandling av personopplysninger.  

6.7 Lagring av aktive forskningsdata

Personopplysninger skal ikke lagres lenger enn det som er nødvendig for formålet de ble innhentet for, hvis ikke annet er bestemt i lov eller f.eks. i forbindelse med finansiering av forskning.

• Prosjektleder er ansvarlig for de data som prosjektet samler inn og bruker og skal ha tilgang til alle forskningsdata som prosjektet omfatter. Prosjektleder tildeler tilgangsrettigheter og holder oversikt over hvem som har tilgang til dataene. Prosjektleder er også ansvarlig for håndteringen av aktive forskningsdata og for sletting/lagring av data på en betryggende måte ved prosjektets avslutning. 
• Prosjektleder skal sørge for at det iverksettes tiltak angående forskningsdataene som står i forhold til faktisk risiko basert på en risikovurdering, se punktet Risikovurdering. Sentrale forhold i risikovurderingen er prosjektets omfang, opplysningenes følsomhet, trusselbildet knyttet til miljøet opplysningene bearbeides og lagres i, og prosjektets varighet. Alle vurderinger og tiltak skal være dokumentert.

• For å minimere risikoen ved behandling av personopplysninger skal prosjektleder vurdere om personopplysningene kan pseudonymiseres, dvs. behandles på en slik måte at personopplysningene ikke lenger kan knyttes til en bestemt registrert uten bruk av tilleggsopplysninger. Opplysningene vil fortsatt regnes som personopplysninger etter loven. 
• Ved anonymisering skal det være umulig å knytte opplysninger til enkeltpersoner. Først når man er sikker på at opplysningene ikke kan knyttes til en gruppe på under 5 personer, anses opplysningene som anonymiserte. Anonymiserte opplysninger er ikke personopplysninger og reguleres ikke av personvernlovgivningen.

6.8 Lagringsbaser

TSD

NTNU IT har på vegne av NTNU inngått avtale med Universitetet i Oslo (UiO) om at forskere kan bruke tjenesten TSD 2.0 som er sikker lagring av sensitive personopplysninger. 

Bestilling gjøres ved å signere tillegget til databehandleravtalen som NTNU har inngått med UiO.  Instituttleder signerer avtalen.   

NICE-1

NICE-1 har samme funksjonalitet som NTNUs ordinære filområder, men den som skal bruke NICE-1, må koble seg opp via vpn med tofaktor-pålogging for å bruke lagringsområdet. Les mer på NTNUs side NICE-1 om fremgangsmåten for å bestille lagringsplass på NICE-1.  

6.9 Prosjektmedarbeideres tilgang til forskningsdata

Forskningsdataene skal bare være tilgjengelig for godkjente prosjektmedarbeidere fram til prosjektavslutning. Prosjektleder bestemmer hvilke prosjektmedarbeidere som skal ha tilgang til pseudonymiserte personopplysninger og koblingsnøkkel. Prosjektleder skal ha dokumenterbar oversikt over hvem som har tilgang til data. Oversikten skal være tilgjengelig for forskningsansvarlig. 

Prosjektmedarbeidere skal normalt ikke ha tilgang til koblingsnøkkel. I de tilfeller de har tilgang til koblingsnøkkelen, er ikke lenger dataene å anse som pseudonymiserte, men som direkte personidentifiserbare, noe som skjerper kravene til forsvarlig behandling og oppbevaring.  

6.10 Avslutning av forskningsprosjekter

Ved prosjektslutt skal prosjektleder sørge for at personopplysningene blir anonymisert eller slettet hvis det ikke er krav om lagring etter godkjenninger som er gitt eller i forbindelse med finansiering av forskningsprosjektet. Prosjektleder skal sørge for at det blir sendt nødvendige bekreftelser til REK og NSD. Veileder i studentprosjekter skal sørge for dette i studentprosjekter.

6.11 Kontroll og etterlevelse - forskningsprosjekter

Forskningsansvarlig skal gjennomføre systematiske tiltak for å påse at prosjektet gjennomføres i tråd med retningslinjene og at behandling av personopplysninger er i samsvar med lover, forskrifter og NTNUs egne retningslinjer.

Hvis forskningsansvarlig oppdager avvik, skal NTNUs retningslinje for avviksmelding og avvikshåndtering innen informasjonssikkerhet og personvern følges, jf. punktet Håndtering av avvik. Et utvalg på 10 % av forskningsprosjektene samlet sett skal kontrolleres årlig. Utvalget skal hentes fra forskjellige faser i gjennomføringen: oppstart, gjennomføring og avslutning. 

Kontroll med oppstart

Forskningsprosjekter som er tildelt forskningsmidler og andre kjente prosjekter skal kontrolleres i forhold til meldingsoversikten hos NSD. Dette for å kontrollere om rådføringsplikten er overholdt. 

Kontroll med gjennomføring

Forskningsansvarlig kontrollerer om forskningsprosjektet har innhentet eventuelle nødvendige godkjenninger / tillatelser og om rådgivningsplikten med NSD og personvernombud er overholdt. Kontrollen skal avdekke om prosjektet gjennomføres i samsvar med de opplysninger som er gitt til REK / NSD og de godkjenninger / råd som er gitt.

Kontroll med avslutning

Forskningsansvarlig skal kontrollere om rutinene knyttet til avslutning er fulgt og at forskningsdata som er oppbevart elektronisk eller i andre arkiv er slettet eller anonymisert.

I styringsdialogen med sin leder skal forskningsansvarlig rapportere om i hvilken grad lover, retningslinjer og rutiner etterleves og hvilke tiltak som er gjort.

7 Særlig om behandling av personopplysninger i forbindelse med undervisning

7.1 Video-, og lydopptak

Det er ikke nødvendig å innhente samtykke fra faglærer for å strømme/gjøre opptak av undervisning som er nødvendig for å oppfylle NTNUs plikt til å gi studenter undervisning og som krever NTNU-pålogging for å kunne følges. EUs personvernforordning artikkel 6 nr. 1 bokstav f gir rettslig grunnlag. NTNU kan ha en berettiget interesse i at undervisningen strømmes, f.eks. for at den skal være tilgjengelig for studenter på flere campus. Personvernulempen anses som lav når det kreves NTNU-pålogging for å kunne følge undervisningen.  

Dersom opptaket skal legges ut åpent på internett, kreves alltid samtykke fra faglærer og NTNUs avtaleskjema om tilgjengeliggjøring på nett skal brukes.

Hvis det er studenter til stede, skal det være tydelig merket ved inngangen og i rommet at undervisningen blir filmet. 

Video- og / eller lydopptak av studenter slik at de kan gjenkjennes, krever samtykke fra studenten. Samtykket skal tilfredsstille kravene til gyldig samtykke, se punktet Samtykke som rettslig grunnlag, og skal kunne dokumenteres. 

Studenter som ønsker å ta opptak (video-, og/eller lyd) av undervisning må ha samtykke fra faglærer hvis det ikke foreligger vedtak om tilrettelegging.  Studenten kan kun bruke opptaket i forbindelse med egne studier. Studenten kan ikke bruke opptaket på annen måte eller publisere opptaket uten faglærers skriftlige samtykke (f.eks. på internett eller i andre sammenhenger).  

Dersom videoopptak av studenter er en obligatorisk del av undervisningen for at læringsmålene skal nås, skal det fremgå av studieplanen. I slike tilfeller er det rettslige grunnlaget for bruk av video EUs personvernforordning artikkel 6 nr. 1 bokstav e med supplerende grunnlag i universitets- og høyskoleloven § 4-15. 

Linjeleder er ansvarlig for at behandlingen (bruk, lagring og sletting mm.) skjer i samsvar med personvernregelverket og i tråd med NTNUs prosesser, rutiner og valgte løsninger.   

7.2 Bilde, video- og lydopptak – studenter i praksis

Hvis studenter i praksis skal ta bilde eller video-, og / eller lydopptak av personer, krever dette samtykke fra personen, jf punktet Samtykke som rettslig grunnlag. Bilde, video-, eller lydopptak av mindreårige krever samtykke fra foreldre eller foresatte.  Bilder fra praksis skal ikke legges ut på internett/sosiale medier.   

7.3 Læringsplattformer

Det er NTNUs valgte læringsplattformer som har godkjent databehandleravtale som skal brukes til å koordinere og administrere emneinnhold, til kommunikasjon i undervisningen mm.

7.4 Studentprosjekt

Veileder for studentprosjekt skal sørge for at studenter er kjent med reglene for behandling av personopplysninger i forbindelse med studentprosjekt.

Ved behandling av personopplysninger i forbindelse med bachelor-, master-/ hovedoppgave og doktorgrad skal reglene for behandling av personopplysninger i forskning følges, se kap. 5.

8 Erstatning og oppreisning ved personvernbrudd

Brudd på personvernreglene kan føre til overtredelsesgebyr fra Datatilsynet og at den berørte får krav på erstatning/oppreisning. Dersom NTNU ilegges gebyr, er den enheten hvor bruddet skjedde, ansvarlig for å dekke dette. Tilsvarende gjelder eventuelle erstatnings-/oppreisningsbeløp til berørte. 

9 Roller og ansvar

9.1 Styret

• Har et overordnet ansvar for behandling av personopplysninger ved NTNU

9.2 Rektor

• er NTNUs øverste behandlingsansvarlig for behandling av personopplysninger ved NTNU
• skal årlig orientere styret om behandling av personopplysninger i virksomheten

9.3 Organisasjonsdirektør

• er delegert oppgaven å godkjenne, koordinere og iverksette nødvendige tiltak for å sikre at behandlingen av personopplysninger skjer i samsvar med lovbestemte krav og NTNUs retningslinjer.  
• er ansvarlig for innsamling og rapportering til ledelsens årlige gjennomgang
• skal påse at relevante parter blir varslet ved alvorlige brudd på personvernet
• er ansvarlig for å iverksette nødvendige tiltak for å sikre en forsvarlig avviksbehandling 

9.4 Prorektorer, direktører og avdelingsledere i Fellesadministrasjonen

• er ansvarlig for etterlevelsen av krav til behandling av personopplysninger ved enheten
• er ansvarlig for å følge opp at lovverk og rutiner og godkjenninger følges, og at avvik lukkes
• er ansvarlig for å holde en løpende og oppdatert oversikt over IKT-systemer som anvendes
• er ansvarlig for at ansatte i enheten har tilstrekkelig opplæring i behandling av personopplysninger og kan ivareta sin plikt til å vurdere risiko ved nye prosjekt og behandlinger, samt melde avvik ved brudd på informasjonssikkerheten
• er ansvarlig for at alle ansatte innen enheten har tilgang til tjenester og materiell slik at brukerne kan ivareta den registrertes personvern
• er ansvarlig for en systematisk gjennomgang av databehandleravtaler og andre avtaler av betydning og gjennomgang av avvik ved enheten på minimum årlig basis
• er ansvarlig for at internkontrollen fungerer ved enheten

9.5 Dekan/museumsdirektør

• er ansvarlig for etterlevelsen av kravene til behandlingen av personopplysninger ved fakultetet / vitenskapsmuseet
• er ansvarlig for at alle instituttledere er kjent med gjeldende rutiner og retningslinjer for behandling av personopplysninger
• er ansvarlig for å fastsette nødvendige lokale rutiner ved behov
• er ansvarlig for å følge opp at lovverk og rutiner og godkjenninger følges, og at avvik lukkes
• er ansvarlig for å holde en løpende og oppdatert oversikt over IKT-systemer som anvendes
• er forskningsansvarlig / behandlingsansvarlig ved eget fakultet og skal ha oversikt over forskningsporteføljen ved fakultetet
• er ansvarlig for at ansatte i enheten har tilstrekkelig opplæring i behandling av personopplysninger og kan ivareta sin plikt til å vurdere risiko ved nye prosjekt og behandlinger, samt melde avvik ved personvernbrudd
• er ansvarlig for at studentene ved NTNU har nødvendig opplæring i behandling av personopplysninger
• er ansvarlig for at alle ansatte innen enheten har tilgang til tjenester og materiell slik at brukerne kan ivareta de registrertes personvern
• er ansvarlig for å gjennomføre dialog med respektive underliggende enheter, herunder om oppfølgingen av rutiner og avvik, på minimum årlig basis
• er ansvarlig for at internkontrollen ved behandling av personopplysninger fungerer ved fakultetet / Vitenskapsmuseet

9.6 Instituttleder

• er ansvarlig for etterlevelsen av kravene til behandling av personopplysninger ved instituttet
• er ansvarlig for at ansatte er kjent med relevante lover og regler, samt rutiner for behandling av personopplysninger og forskningsetiske retningslinjer
• er ansvarlig for at ansatte istandsettes til å ivareta sine plikter til å vurdere risiko ved nye prosjekt og behandlinger, samt melder avvik ved personvernbrudd
• er ansvarlig for at internkontrollen for behandling av personopplysninger fungerer ved instituttet

9.7 Leder av IT-avdelingen

• er ansvarlig for å holde en løpende og oppdatert oversikt over NTNUs IKT-infrastruktur, og at informasjonssikkerheten i og mellom systemene ivaretas
• er ansvarlig for at alle ansatte og studenter ved NTNU har tilgang til tjenester og materiell slik at brukerne kan ivareta de registrertes personvern

9.8 Leder av Seksjon for digital sikkerhet

• er ansvarlig for gjennomføring av sikkerhetskrav til NTNUs IKT-infrastruktur og mottak av avviksmeldinger

9.9 Systemeier 

• en leder som er ansvarlig for å utvikle, forvalte og/eller drifte et informasjonssystem på vegne av NTNU. En som oppbevarer data kan også anses som systemeier.
• er ansvarlig for at IT-systemets utvikling, forvaltning og/eller drift møter kravene til informasjonssikkerhet, herunder behandling av personopplysninger

Se nærmere definisjon av begrepet systemeier i NTNUs politikk for informasjonssikkerhet.

9.10 Prosesseier (vil være prorektorer eller direktører)

• er ansvarlig for gjennomgående administrative prosesser ved NTNU
• har ansvar for felles prosedyrer og retningslinjer og skal til enhver tid styre, forbedre og følge opp de gjennomgående prosessene slik at de ivaretar kravene til behandling av personopplysninger

9.11 Forskningsansvarlig, prosjektleder og veileder for studentprosjekt 

Se punktet Roller og ansvar.

9.12 Personvernombudet ved NTNU

• skal gi NTNUs ledelse og ansatte informasjon og råd om forpliktelser NTNU har i henhold i til EUs personvernforordning og annen relevant lovgivning om personvern
• skal på anmodning gi råd om vurdering av mulige personvernkonsekvenser (DPIA) og kontrollere gjennomføringen av den
• skal kontrollere overholdelsen av EUs personvernforordning og annen relevant lovgivning om vern av personopplysninger og interne retningslinjer
• skal holde seg informert om og følge opp avvik ved brudd på personvernet
• skal samarbeide med og være kontaktpunkt for Datatilsynet og de registrerte  

9.13 Personvernrådgiver for forskning Norsk senter for forskningsdata NSD

• skal gi råd om hvordan NTNU som behandlingsansvarlig best mulig kan ivareta personverninteressene i forskningsprosjekter
• skal motta meldinger om behandlinger av personopplysninger i forskningsprosjekter og føre protokoll/oversikt over slike behandlinger i et eget meldingsarkiv 

9.14 Alle brukere

• som skal behandle personopplysninger, er ansvarlige for å sette seg inn i relevant lovgivning for behandling av personopplysninger 
• er ansvarlige for å gjøre seg kjent med retningslinjer og rutiner for behandling av personopplysninger ved bruk av NTNUs IKT-infrastruktur og i forskningsprosjekter og andre prosjekter
• er pliktige til å melde avvik (uønsket hendelse) ved brudd på personvern i henhold til NTNUs Retningslinje for avviksmelding og avvikshåndtering innen informasjonssikkerhet og personvern