Navigasjon
Hopp til innhold
i.ntnu.no
Nyheter
Min profil
For ansatte
For studenter
Søk
Meny
Avansert søk og filtrering
Andre søketjenester
Forskning
Litteratursøk (Oria)
Forskningsdata
Publikasjoner (Cristin)
Utdanning
Emner/fag
Studieprogrammer
Pensumlister (Leganto)
Undervisningsrom
Digitale læringsressurser (DLR)
Undervisningsvideoer (Panopto)
Annet
Finn ansatte
Søk på ntnu.no
Office 365 (Sharepoint)
Kart, bygg, rom (MazeMap)
NTNUs bilder (FotoWare)
Blackboard
Inspera
Microsoft 365
Webmail
Timeplan
Reserver rom
Studentweb
Bibliotek
NTNU Hjelp
Eksamen
Campuskart (MazeMap)
Utenlandsstudier
Oppgaveskriving
Programvare
Veiledning
Karriere
Tilrettelegging
Si fra!
Flere tjenester
Blackboard
Inspera
Bibliotek
Webmail
Microsoft 365
Reserver rom
Selvbetjeningsportalen
Reise
NTNU Hjelp
Bestille varer og tjenester
Campuskart (MazeMap)
Vaktmester
Logo, maler og grafisk profil
Læringsstøtte — for undervisere
KASPER — verktøy for utdanningskvalitet
Registrere forskning i Cristin
Kurs og kompetanseutvikling
Si fra!
Flere tjenester
Brødsmule
Intranettet
Kunnskapsbasen
Nyheter
Min profil
For studenter
For ansatte
Logg inn
Kunnskapsbasen
Wikier
Søk
Søk sider
Søk
Disposal of chemical waste
Mappe:
English
These guidelines describe the handling and disposal of chemical waste. Each unit is responsible for handling their own chemical waste. Individuals handling chemical waste are obligated to familiarise themselves with procedures, guidelines and legislation. Norsk versjon - Avhende kjemikalieavfall Subject page about HSE | Pages labelled with waste Innholdsfortegnelse [-] Useful overviews Declaration Classification Labels and signs Waste that should not be mixed with chemical waste How to identify explosive, spontaneously flammable and highly reactive chemicals Mixing different chemicals Diluting chemical waste Help NTNU regulations Legislation Contact Approval/signature Useful overviews NTNU’s table for declaration of hazardous waste(in Norwegian). Price list(you have to be logged in to Innsida). Transport and empty packaging is included in the unit prices. To avoid running out of packaging: Order packaging together with collection of hazardous waste. Overview of standard hazard labels, labels and packaging (in Norwegian) delivered from Norsk Gjenvinning AS. Other packaging and labels can be delivered upon request (additional fees apply). See Contact.Note: For each declaration, the weight is rounded up to the nearest kg. This affects the price. You should therefore consider which types of waste can be safely declared and disposed of together. One declaration can apply for several containers (bottles, cans, etc.). All containers must be labelled, as described under Labels and signs. Declaration Information about waste product numbers, EAL codes, ADR danger classification, UN numbers and packaging categories can be found in NTNU’s table for declaration of hazardous waste(in Norwegian).Check also the safety data sheet's subsection 14 for waste that does not fit any of the categories described in the table above. You can find the safety data sheet in the substance index (in Norwegian) (ECO Archive).You can also use the instructions from NFFA (in Norwegian).For declaration of unidentified chemicals, or if you are unsure of the correct classification/packaging: Always contact the waste recipient before disposal.See also the glossary and Waste recipient’s contact persons (in Norwegian). Classification None of the waste categories should include radioactive, explosive or spontaneously flammable chemicals. Always contact the waste recipient before disposal if you are unsure if the chemicals might have these properties. See How to identify explosive, spontaneously flammable and highly reactive chemicals.Acids and bases are packed in separate boxes.Solid and liquid chemicals are packed in separate boxes.Highly reactive chemicals must be classified and packed separately (waste product numbers 7122 and 7123). Highly reactive chemicals must not be included in other categories, see the chapter Identification of highly reactive chemicals using safety data sheets. Labels and signs The chemicals should, as far as possible, be delivered in the original containers, if these are still suitable for transport and storage. Chemical waste must be labelled on the external packaging with the declaration number, UN number and hazard labels.The labelling must be clearly visible. Use water-resistant markers and pre-printed information and hazard labels (stickers). This can be ordered from the waste recipient. Do not write directly on the outer packaging, as this will be reused to some extent!Always use an absorbent when packing different chemicals together. Apply a layer of vermiculite, or an equivalent, in the bottom of the box. Vermiculite is approved for both organic and inorganic chemicals. Approved packaging is enough for non-chemical waste.Pack the waste to reduce the risk of breakage. Always use shock-absorbing material between the glass containers.In case of breakage, use of plastic containers provides better protection against spillage. For liquid waste: Use plastic containers designed for transport of chemical waste. Use a membrane screw cap if there is risk of gas development from liquid waste. That way, any gas will be released and reduce the risk of the container exploding.Cardboard external packaging used for transport of chemicals must be UN approved. The packaging must be labelled with UN, followed by a combination of numbers and letters describing what the packaging is tested/approved for. Packaging approved for transport of hazardous goods is labelled with the packaging category for which it is suited. Standard cardboard boxes used for delivery of chemicals to NTNU can normally be used as external packaging. Waste that should not be mixed with chemical waste Infectious waste, radioactive waste, explosive and/or spontaneously flammable chemicals should not be mixed with other chemical waste. Pay particular attention to subsections 2 and 14 in the safety data sheet for information about the radioactivity of the chemical. The identification of explosive and spontaneously flammable chemicals is described below. See also: Disposal of infectious waste (in Norwegian)Disposal of radioactive waste How to identify explosive, spontaneously flammable and highly reactive chemicals The waste recipient will not accept explosive and spontaneously flammable substances. It is very important that explosive and spontaneously flammable chemicals are identified and not disposed of together with other chemical waste, because of the risk of fire/explosion. NB: Be particularly careful when handling explosive and spontaneously flammable chemicals! Do not open caps. Avoid knocks and shaking. When disposing of explosive and spontaneously flammable substances, employees at the NV faculty can contact HSE Adviser Espen Fjærvik. Employees at other faculties can contact HSE Adviser Arve Johansen, HSE Division. Identification of explosive and spontaneously flammable chemicals using safety data sheets To safely identify explosive and spontaneously flammable chemicals, you need to thoroughly go through subsections 2, 10, 13 and 14 in the safety data sheet of the product for disposal (see below). Note that older safety data sheets might have a different numbering than given here: Most important hazards (subsection 2) Explosive substances are labelled with the hazard symbol "Explosive" only when this is considered the primary hazard. Spontaneously flammable substances might have different hazard symbols, but are generally labelled ""Inflammable. It is not possible to identify all explosive and spontaneously flammable substances based only on hazard symbols in subsection 2. Substances might be explosive or spontaneously flammable/oxidising even if the primary hazard is toxicity or environmental harm. Example: Dinitrophenol (moistened), CAS 51-28-5: Hazard symbols in subsection 2 are "Toxic" and "Environmentally harmful", but dinitrophenol must nevertheless be classified as explosive. Dinitrophenol is identified as explosive by locating danger classification 4.1 in subsection 14 in the safety data sheet. Then look at the given UN number: UN number 1320 is given. UN number 1320 is then checked against the most frequently used UN numbers of explosive substances. See the list of applicable UN numbers below (danger classification 4.1). Stability and reactivity (subsection 10) Contact the waste recipient if subsection 10 says anything about danger of explosion or spontaneous combustion. Information about waste disposal (subsection 13) This subsection gives general information about the disposal of the specific product. Transport information (subsection 14) Here you can find the UN number, danger classification, packaging category and requirements for labelling with a hazard label. There are two classifications that might be given under the "Hazard label" subsection; main classification and additional classification (e.g. 4.1 + 6.1). Danger classification 1 (explosive substances): The waste recipient cannot accept products that are labelled with danger classification 1. The same applies for substances with danger classification 1 as an additional classification. Danger classification 4.1 (self-reactive substances, desensitised explosives): All substances with danger classification 4.1 as their main classification must be checked against the list of UN numbers of explosive substances. How to do it: Check if danger classification 4.1 is given.Compare the given UN numbers with these UN numbers:UN 1310, 1320, 1321, 1322, 1336, 1337, 1344, 1347, 1348, 1349, 1354, 1355, 1356, 1357, 1517, 1571, 2555, 2556, 2557, 2852, 2907, 3317, 3319, 3344, 3364, 3365, 3366, 3367, 3368, 3369, 3370, 3376, 3380 and 3474. These are the most frequently used UN numbers for explosive substances. Source: ADR/RID 2023, 2.2.41.1.18 (in Norwegian) The waste recipient cannot accept products with these UN numbers. Danger classification 4.2 (spontaneously flammable substances): The waste recipient cannot receive products that are labelled with this danger classification. Danger classification 5.2 (organic peroxides): If the substance has additional classification 1, it is explosive and cannot be accepted by the waste recipient. When in doubt whether a substance is explosive or spontaneously flammable: Contact the waste recipient. Nitro compounds, peroxides and peroxide forming chemicals Everyone should be particularly cautious when handling these products. All nitro compounds must be carefully examined with regards to potential explosion hazard. Many peroxide compounds are very reactive and might be explosive. Examples: Nitrophenol compounds, including CAS no. 96‐91‐3, 489‐98‐5, 88‐89‐1 and 88‐88‐0. Explosion hazard might be given in the safety data sheet under subsection 2 "Most important hazards" and subsection 10 "Stability and reactivity". Organic peroxides have danger classification 5.2 (see above). Organic solvents and other chemicals, including diethyl ether, can form peroxides and become explosive during storage. Consequently, it is extremely important to have control of the storage time when storing this kind of products. Organic solvents and other chemicals that can form peroxides are divided into three risk groups: Group A: Chemicals which can produce dangerous levels of peroxides after long-term storage. Group B: Chemicals where dangerous levels can be produced by concentration as a consequence of evaporation. Group C: Chemicals where peroxide production can create a heat generating polymeric reaction. Substances from groups A and B must be handled with great care. This particularly applies to peroxide forming chemicals that are more than a year old, or ones with an unknown history. When in doubt: Do not open the container, but deliver it directly for disposal. These guidelines for hazardous and chemical waste do not cover all measures that might be necessary with regards to peroxide forming chemicals. Information about risks regarding chemicals that might form peroxides, list of chemicals in the above-mentioned risk groups and recommendations for storage and control are located here: Danish Emergency Management Agency (in Danish)University of Bergen (in Norwegian)Identification of highly reactive chemicals using safety data sheets Highly reactive chemicals must be classified separately and not packed together with, nor be included in, other types of waste. Any explosive and spontaneously flammable substances must be identified first. To identify a product as highly reactive, subsections 2, 10 and 14 in the product's safety data sheet must be checked. The instructions from NFFA (in Norwegian) might be helpful. Most important hazards (subsection 2): The hazard symbol "Oxidising" represents highly reactive substances. Stability and reactivity (subsection 10): The substance is classified as "highly reactive" if high reactivity is given here. When in doubt, the substance should be treated as "highly reactive". Contact the waste recipient for help. Transport information (subsection 14): Danger classification 4.1 (flammable and combustible substances) Many substances in this classification can be highly reactive or explosive. Check the UN number against the list of UN numbers above. When in doubt: Contact the waste recipient. Danger classification 4.2 (Spontaneously flammable substances)The waste recipient cannot receive products that are labelled with this danger classification. Danger classification 4.3 (Development of flammable gas in contact with water) All substances with this danger classification are highly reactive and must be labelled with waste product number 7122. Danger classification 5.1 (Oxidising) All substances with this danger classification are highly reactive and must be labelled with waste product number 7122. This also applies to all substances with the additional classification 5.1. Safety data sheets must always be enclosed when disposing of products with waste product number 7122. Danger classification 5.2 (Organic peroxides) All substances with this danger classification are highly reactive substances and must be labelled with waste product number 7123. Safety data sheets must always be enclosed when disposing of products with waste product number 7123. Danger classification 6.1 (Toxic substances) If the product is labelled with this danger classification, you must thoroughly go through subsection 10 about "stability and reactivity" in the safety data sheet. If high reactivity is given: Contact the waste recipient. Danger classification 8 (Corrosive) Substances with danger classification 8 and additional classification 5.1 (oxidising) are highly reactive. Mixing different chemicals Mixtures of two or more chemicals can be classified in a "Not otherwise specified (n.o.s.) entry" in accordance with ADR/RID 2023 (in Norwegian). E.g.: When classifying a mixture of UN1114 Waste Benzene, danger classification 3, packaging category II, and UN1307 Waste Xylenes, danger classification 3, packaging category III, you can use the following classification: "UN1993 Waste inflammable liquid n.o.s". (Benzene/Xylenes), danger classification 3, packaging category II. Table 2.1.3.10 in ADR/RID 2023 (in Norwegian), p. 142, to determine the mixture’s danger classification and packaging category. An overview of the different n.o.s. entries is provided in point 2.2.X.3, where X refers to the different classifications listed in chapter 2.2. Refer to p. 135 for an overview. If the substance for classification is waste with an unknown compound, the packaging category and UN number can be based on the sender’s knowledge of the substance. If it is possible to determine that the substance’s properties do not qualify for packaging category I, the substance can be classified in the most appropriate n.o.s. entry in packaging category II. Diluting chemical waste Chemical waste cannot be diluted, or mixed with other types of waste, with the goal of reducing the concentration of hazardous substances, cf. the framework directive (EU) 2008/98/EC, article 7, subsection 4. Help Safety data sheetsWaste codes (in Norwegian) – the Norwegian Environment AgencyOrdering chemicals (in Norwegian)Biological factors (in Norwegian) – the Norwegian Labour Inspection AuthorityPurchase agreement for hazardous waste (in Norwegian)Danish Emergency Management Agency: Information about peroxide forming chemicals (in Danish)University of Bergen, HSE portal: Peroxide forming chemicals (in Norwegian)Replacement (in Norwegian) (pdf)Laboratory and workshop handbook (in Norwegian)REACH (in Norwegian) – the Norwegian Environment AgencyChemicals (in Norwegian) – the Norwegian Labour Inspection AuthoritySolvents (in Norwegian) – the Norwegian Labour Inspection AuthorityRespiratory protective devices (in Norwegian) – the Norwegian Labour Inspection AuthorityHazard symbols (in Norwegian) – the Norwegian Environment AgencyKlassifisering and labelling of chemicals (in Norwegian) – the Norwegian Environment AgencyList of Priority Substances – environment.noThe Product Register – the Norwegian Environment AgencySubject page about chemicals (in Norwegian) – the Norwegian Labour Inspection AuthorityInstructions (in Norwegian) from the Norwegian Association for Hazardous Waste (NFFA) 2017–2019 NTNU regulations Emergency plansHSE processChemicals and gasesLaboratory and workshop handbook (in Norwegian)Risk assessmentsRoom cardsCoordination agreement Legislation The Working Environment Act (in Norwegian)Chapter 4: Working environment requirements (in Norwegian)The Workplace Regulation (in Norwegian)The Waste Regulation (in Norwegian)The Fire and Explosion Protection Act (in Norwegian)ADR/RID Regulation of land-carriage of hazardous goods (in Norwegian)Regulation of registration, evaluation, authorization and restriction of chemicals (REACH) (in Norwegian)Regulation of the Pollution Act's application with regard to radioactive pollution and waste (in Norwegian)Regulation of organisation, management and partaking (in Norwegian)Chapter 7: Risk assessment (in Norwegian)Chapter 8: Training (in Norwegian)Chapter 9: Information to employees (in Norwegian)Chapter 10: Planning and adaption of work and safe operation (in Norwegian)Regulation of measure and boundary values (in Norwegian)Regulation of the performance of work (in Norwegian)Chapter 2: Substance database (in Norwegian)Chapter 3: Work where chemicals can constitute a danger to the safety and health of employees (in Norwegian)Chapter 6: Work in environments that can lead to exposure to biological factors (in Norwegian)The Pollution Act (in Norwegian)Chapter 5: About waste (in Norwegian)Chapter 7: Supervision of pollution and waste (in Norwegian)Environmental Information Act (in Norwegian) Contact Questions about handling and disposal of hazardous and infectious waste, incl. sorting, packaging, marking and declaration of hazardous waste. All orders, including packaging and label orders etc., are made through the order system): Norsk Gjenvinning AS, contact person Patrick Fløistad; patrick.floistad@ngn.no, phone: 92600031 08:00–16:00, all business days). NTNU safety adviser: Norsk Gjenvinning AS, contact person Einar Finstuen ); einar.finstuen@ngn.no, phone: 975 29 395 08:00–16:00, all business days)Questions about pricing, terms, invoices, nonconformities and quality: Norsk Gjenvinning AS, contact person Jørn Viggo Lofstad; jorn.viggo.lofstad@ngn.no, phone: 97058874. Note that all waste quantities are rounded up to the nearest kg!Espen Fjærvik, HSE Adviser, NV faculty (waste handling at NV and creating user accounts on avfallsdeklarering.no)Ingvild Hammer, HSE Adviser, MH faculty (waste handling at DMF and creating user accounts on avfallsdeklarering.no) Arve Johansen, HSE Adviser, HSE Division (hazardous waste, infectious waste and creating user accounts on avfallsdeklarering.no)Ann Kristin Sjaastad, Occupational Hygienist, HSE Division Approval/signature Approved by the Director of HSE – 12th August 2021 – HMSRV1802
Gravide og vibrasjoner
Mappe:
Norsk
Retningslinjen gjelder for gravide ansatte og studenter som arbeider i miljø hvor de utsettes for vibrasjoner, og for deres ledere. English version - Pregnancy and vibrations Temaside om HMS | Sider merket med gravid Generelt Du som er gravid Gravide bør være spesielt oppmerksomme når de jobber i miljø hvor de utsettes for vibrasjoner, og sette seg inn i hva slags påvirkning dette kan ha på mor og foster. Se også overordnet retningslinje om gravid i arbeid og studier, tilrettelegging, permisjon med mer. Du som er leder Eksponering for vibrasjoner kan være uheldig for gravide og foster. Ta hensyn til dette hvis du har ansvar for gravide ansatte eller studenter. I vurderingen av arbeidsforholdene skal det også tas hensyn til den gravides egen oppfatning av situasjonen. Når den gravide ønsker det, skal arbeidsgiver så langt det er praktisk mulig, tilby alternative oppgaver eller omplassering. Se også overordnet retningslinje om tilrettelegging, risikovurdering, permisjon med mer. Helkroppsvibrasjoner Gravide bør ikke utsettes for kraftige helkroppsvibrasjoner og/eller støt mot kroppen, for eksempel ved kjøring i terrenggående kjøretøy.Eksponering av hele kroppen for vibrasjoner over lang tid kan øke risikoen for tidlig fødsel eller lav fødselsvekt.Helkroppsvibrasjoner ved kjøring i personbil, buss, lastebil, tog eller opphold på fly eller båt innebærer ikke noen risiko Vibrasjoner i hånd/arm Kan føre til vaskulære og/eller nevrologiske skader i hender/armer. Eksempler: Hvite fingre, nedsatt berøringssans, nedsatt finmotorikk, nummenhet.Kan føre til skader på muskler/skjelett i hender/armer. Eksempler: Smerter, tap av styrke, carpal tunnel syndrom.Det er gjort lite forskning på hvorvidt eksponering for vibrasjoner i hånd/arm kan gi effekter som påvirker gravide og foster spesielt. Hjelp Arbeismiljø før, under og etter graviditet – Veiledning fra Arbeidstilsynet NTNU-bestemmelser Gravid ved NTNU Lovverk Forskrift om utførelse av arbeid med kommentarer- ArbeidstilsynetKontakt Bedriftshelsetjenesten Godkjenning/signatur Godkjent av HMS-sjef - 25. august 2014 - HMSRV5106 - ePhorte 2014/.....
Gravide og biologiske faktorer
Mappe:
Norsk
Retningslinjen gjelder for gravide ansatte og studenter som arbeider i miljø med biologiske faktorer, og for deres ledere med ansvar. English version - Pregnancy and biological factors Temaside om HMS | Sider merket med gravid Innholdsfortegnelse [-] Generelt Du som er gravid Du som er leder Risikovurdering Biologiske faktorer og risiko ved graviditet Hjelp NTNU-bestemmelser Lovverk Kontakt Godkjenning/signatur Generelt Du som er gravid Gravide må være spesielt oppmerksomme på all merking i lokalene hvor de jobber, og sette seg nøye inn i om de kan utsettes for biologiske faktorer. Under svangerskapet er fosteret godt beskyttet mot de fleste infeksjoner som den gravide kan bli utsatt for, men det finnes enkelte unntak. Se også overordnet retningslinje om gravid i arbeid og studier, tilrettelegging, permisjon med mer. Du som er leder Hvis gravid ansatt eller student har arbeidsoppgave der hun blir utsatt for infeksjonsfare, og den aktuelle infeksjonen kan føre til fosterskade, har arbeidsgiver plikt til aktivt å legge arbeidet til rette slik at arbeidstaker ikke blir utsatt for denne risikoen. Som leder har du ansvar for å gjennomføre risikovurdering og iverksette eventuelle tiltak. I vurdering av arbeidsforholdene skal det også tas hensyn til den gravides egen oppfatning av situasjonen. Når den gravide ønsker det, skal arbeidsgiver så langt det er praktisk mulig, tilby alternative oppgaver eller omplassering. Se også overordnet retningslinje om risikovurdering, tilrettelegging, permisjon med mer. Risikovurdering I henhold til Forskrift om utførelse av arbeid § 6-1 skal enheten gjennomføre risikovurdering før planlagt aktivitet. Risikovurderingen skal foretas på grunnlag av alle tilgjengelige opplysninger, særlig: Hvilke biologiske faktorer kan forekomme.Hvilke giftige (toksiske), allergiske eller andre skadelige stoffer de biologiske faktorene kan gi opphav til.Hvilke smitterisikogruppe de biologiske faktorene plassert i.Opplysninger om sykdom forårsaket av de biologiske faktorer som den gravide kan pådra seg i forbindelse med arbeidet; enten av smittsom (infeksiøs), allergisk eller toksisk art.Anbefalinger fra om at det bør iverksettes spesielle verne- og sikkerhetstiltak for å beskytte gravide når de eksponeres eller kan bli eksponert for biologiske faktorer i sitt arbeidsmiljø.Sannsynligheten for at gravide kan få helseskade av de biologiske faktorer.Kunnskap om at en sykdom som er påvist hos den gravide kan ha direkte forbindelse med vedkommende sitt arbeid. Biologiske faktorer og risiko ved graviditet Gravide skal ikke arbeide med biologiske faktorer i smitterisikogruppe 3 eller 4. Gravide kan arbeide med biologiske faktorer i smitterisikogruppe 2 dersom risikovurdering viser at det er tilrådelig. Eksempler på biologiske faktorer som kan smitte fosteret under graviditeten eller smitte barnet under eller etter fødselen: Hepatitt BHepatitt CHIVHerpesTuberkuloseSyfilisVannkopper (varicella)Tyfus Andre faktorer som røde hunder (rubella) og toksoplasmose kan skade fosteret. Arbeidsgiver må sørge for at arbeidstakere i risikoyrker (for eksempel ansatte i barnehager/skoler) blir immunitetstestet for vannkopper, toksoplasmose og parvovirus (erythema infectiosum). Hepatitt B og Hepatitt C blir først og fremst spredd ved «blod-til-blod» overføring. HIV-smitte kan bli spredd på samme måte. Smitteoverføring kan skje ved at viruset kommer inn i blodet ved stikk, ferske hudskader og sår. Hjelp Arbeismiljø før, under og etter graviditet – Veiledning fra Arbeidstilsynet NTNU-bestemmelser Gravid ved NTNU Lovverk Risikovurdering av fare for å utsettes for biologiske faktorer – Forskrift om utførelse av arbeid, kapittel 6, §6-1Klassifisering av biologiske faktorer – Forskrift om tiltaksverdier og grenseverdier for fysiske og kjemiske faktorer i arbeidsmiljøet samt smitterisikogrupper for biologiske faktorer, kapittel 6., § 6-1 vedlegg 2 Kontakt Bedriftshelsetjenesten Godkjenning/signatur Godkjent av HMS-sjef - 29. august 2014 - HMSRV5103 - ePhorte 2014.....
Betingelser for betaling og levering
Mappe:
Norsk
Betalings- og leveringsbetingelser for anskaffelser. Temaside bestille | Sider merket bestille | Sider merket anskaffelser | Hovedside anskaffelser Siden er under redigering. Innholdsfortegnelse [-] Betalingsbetingelser Leveringsbetingelser Kontakt Betalingsbetingelser Betaling skal i Staten normalt skje kontant, dvs. i praksis pr. 30 dager. Andre former er: forskuddsbetaling som normalt kun skal gis som del av fremdriftsbetaling, begrenset til 1/3 av avtalt kontraktsbeløp. Forskudd skal kun gis mot sikkerhet i form av bankgaranti, alt. at betalt beløp settes inn på sperret konto. Renter tilfaller normalt kjøper. remburs kan åpnes ved kjøp som direkte import ved mindre kjøp fra utlandet kan det anvises "kontantforskudd". Anvisende myndighet for de budsjettmidler som finansierer kjøpet må vurdere leverandøren. Kostnader forbundet med bankgaranti bæres normalt av selger. Ved remburs påløper kostnadene kjøpers bank og kjøper bærer normalt kostnaden. Leveringsbetingelser For NTNU er det vanlig å forlange leveringsbetingelsen DAP eller DDP (Incoterms 2020). Dette betyr at selger har risiko-/forsikringsansvar og dekker fraktkostnader frem til leveringsadressen. Betaling skal skje innen 30 - tretti - kalenderdager etter at kjøper har mottatt korrekt faktura. Leveringsbetingelsene skal NTNU forlange ved forespørsel til leverandører. Sjekk opp gjeldende Incoterms. Kontakt Økonomiavdelingen: kontakt@okavd.ntnu.no
Informasjonssikkerhet - roller og ansvar
Mappe:
Norsk
Om informasjonssikkerhet - roller og ansvar. Temaside Informasjonssikkerhet | Sider merket med informasjonssikkerhet Hva er et styringssystem? Styringssystemet beskriver vår sikkerhetsstrategi, og angir de vedtatte rammene for hvordan NTNU gjennom en systematisk og helhetlig praksis beveger seg i takt med strategien for å nå de satte sikkerhetsmålene. Styringssystemet er en kontinuerlig forbedringsprosess, og skal revideres hvert andre år. Uavhengig av om en kaller det ledelsessystem, internkontroll eller styringssystem, så består det av tre deler, som dekker de organsiatoriske, de menneskelige og de tekniske tiltaksområder. Styrende del Angir krav, føringer, organisering og roller for arbeidet med informasjonssikkerhet. Dette er presisert gjennom de styrende dokumenter for informasjonssikkerhet; IKT-reglementet, Politikk for informasjonssikkerhet og underliggende retningslinjer. Styring og kontroll med informasjonssikkerheten følger linjen, og er et lederansvar. Ledere skal ha en god risikoforståelse og oversikt over de informasjonsverdier som enheten håndterer, slik at de er i stand til å ta informerte valg og gjøre prioriteringer ved innføring av sikkerhetstiltak. Gjennom NTNUs styrings- og delegasjonsreglement skal arbeidet med sikkerhet, herunder informasjonssikkerhet og personvern, synliggjøres på et strategisk og taktisk nivå. Videre må det operasjonelle nivået konkretiseres, slik at de interne ressursene som utgjør prosess- og lederstøtte i det systematiske kvalitetsarbeidet kommer på plass. Gjennomførende del Den gjennomførende delen består av linjelederes, prosesseieres, systemeieres og brukeres gjennomføring av kravene i de styrende dokumentene for informasjonssikkerhet. På et overordnet nivå handler dette om verdivurdering og klassifisering av informasjon, risikovurderinger og risikoreduserende tiltak innenfor de respektive ansvarsområder. Arbeidet med sikkerhetskultur og opplæring skal være en systematisk og kontinuerlig forbedringsprosess. Økt kompetanse skal gjøre lederlinjen, prosesseiere, systemeiere og brukere i stand til å klassifisere informasjonen de behandler, gjennomføre risikovurderinger og velge nødvendige tiltak for å beskytte informasjonen i sin informasjonsbehandling. NTNU skal sikre IKT-infrastrukturen gjennom en systematisk implementering av kravene i retningslinjene som er utformet iht. kontrollpunkter i ISO 27001, Tillegg A. Krav til informasjonssikkerhet skal ivaretas i design, anskaffelse, utvikling, forvaltning og avhending av IKT-systemer og infrastruktur. Kontrollerende del Består av avvikshåndtering, rapportering, intern/ekstern revisjon og ledelsens gjennomgang. Fordeling av roller og ansvar RektorHar det overordnede ansvaret for informasjonssikkerheten ved NTNU. OrganisasjonsdirektørEr ansvarlig for at kravene i politikk for informasjonssikkerhet blir implementert i virksomheten gjennom et fungerende styringssystm for informasjonssikkerhet, og for at det utvikles handlingsplaner som sørger for et systematisk og kontinuerlig arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet. Avdelingsleder HR/HMSEr ansvarlig for organisasjonsutvikling og endringsledelse i arbeidet med informasjonssikkerhet; herunder påse at ledere er kjent med, og har tilstrekkelig kompetanse og risikoforståelse, til å ivareta sitt ansvar for å utøve risikostyring innen området informasjonssikkerhet. Avdelingsleder ITEr ansvarlig for at alle ansatte og studenter ved NTNU har tilgang til tjenester og materiell slik at brukerne kan beskytte NTNUs informasjon og informasjonssystemer. Leder Seksjon for digital sikkerhetSkal konsulteres i arbeidet med utvikling av kommunikasjon og opplæringsmateriale for å sikre faglig relevant innhold og oppdatert risiko- og trusselbilde. Leder Avdeling for virksomhetsstyringEr ansvarlig for at informasjonssikkerhet som en av flere virksomhetsområder inngår i en helhetlig internkontroll. Dekaner/museumsdirektør /instituttleder/avdelingsleder/ seksjonssjefEr ansvarlig for etterlevelsen av krav til informasjonssikkerhet, herunder krav til behandling av personopplysninger ved enheten. Har ansvaret for at ansatte i enheten har tilstrekkelig opplæring innen informasjonssikkerhet, og kan ivareta sin plikt til å vurdere risiko ved nye prosjekt og ved all informasjonsbehandling, samt melde og håndtere avvik ved brudd på informasjonssikkerheten. SystemeierEr ansvarlig for at IT-systemenes utvikling, forvaltning og/eller drift møter kravene til informasjonssikkerhet. Er ansvarlig for at opplæringsmateriale knyttet til bruk av IKT-systemer utvikles og kommuniseres iht Retningslinje for arbeid med sikkerhetskultur og opplæring. Prosesseier (Merk ift Retingslinje for behandling av personopplysninger)En prosesseier er en leder i Fellesadministrasjonen, som er ansvarlig for gjennomgående administrative prosesser ved NTNU. Prosesseier har ansvar for felles prosedyrer og retningslinjer samt til enhver tid styre, forbedre og følge opp de gjennomgående prosessene innenfor sitt ansvarsområde. ProsjektlederEr ansvarlig for det operative ansvaret og internkontroll ved gjennomføringen av forskningsprosjekt og andre prosjekter, fra planlegging til avslutning, herunder at krav i relevant lovverk og forskningsetiske og interne retningslinjer, etterleves.
Kontraktsvilkår ved kjøp av varer og tenester
Mappe:
Norsk
På denne sida finn du NTNUs alminnelege vilkår for kjøp av varer og tenester. Desse dokumenta skildrar dei viktigaste krava som leverandørar må akseptere før dei kan inngå avtalar med oss. Vilkåra omfattar òg krav til kvalitetssikring og dokumentasjon, samt krav til helse, miljø og tryggleik. Samla sett gir dei alminnelege vilkåra våre for kjøp av varer og tenester ei detaljert oversikt over det leverandørar må akseptere før dei kan inngå avtalar med oss. Dette sikrar at vi har klare forventningar til kva som krevst og kva som forventast i eit samarbeid, og at vi kan jobbe saman på ein måte som er rettferdig og fordelaktig for begge partar. Generelle vilkår for kjøp av varer:BokmålNynorskEnglish version: NTNU's general contract terms for the purchase of goods Generelle vilkår for kjøp av tenester:BokmålNynorskEnglish version: NTNU's general contract terms for the purchase of services Generelle vilkår for rammeavtalar:BokmålNynorskEnglish version: NTNU's general framework agreement termsNår det gjeld IT-anskaffingar, brukar vi i stor grad Statens standardavtalar (SSA). I bygg- og anleggskontraktar nyttar vi NS-standardar: Oversikt over bruksområde og rollar i juridiske standardkontraktarJuridiske standardar for bygg og anlegg mellom profesjonelle partar Ved kjøp av medisinsk utstyr og laboratorieutstyr, brukar vi som regel avtalen NS 8438. Vilkår for levering og betaling Leverings-og betalingsvilkår blir regulert av kontrakten. NTNU krev vanlegvis leveringsvilkåra DAP eller DDP (Incoterms 2020). Det inneber at seljar har risiko- og forsikringsansvar, og at seljar dekkjer fraktkostnadene fram til leveringsadressa. Som hovudregel skal NTNU betale etterskotsvis, og vanlegvis krevst det 30 dagars betalingsfrist. Sjå også Viktig informasjon ved sending av faktura til NTNU. Kontakt Dersom du har spørsmål, ta kontakt med Økonomiavdelinga på e-post: kontakt@okavd.ntnu.no.
Risikovurdering av forskningsprosjekter med personopplysninger
Mappe:
Norsk
På denne siden finner du veiledning til hvordan utføre en risikovurdering i forskningsprosjekter med personopplysninger. Før behandling av personopplysninger har prosjektleder ansvar for at det foretas en risikovurdering, for å ivareta rettighetene til de personer som har bidratt med data/opplysninger. Sentrale forhold i risikovurderingen er prosjektets omfang, opplysningenes konfidensialitetsklasse, miljøet opplysningene bearbeides og lagres i, og prosjektets varighet. Risikovurderingen skal godkjennes av prosjektleder (eller av veileder i studentprosjekter), og en godkjent og signert versjon skal være tilgjengelig på forespørsel (kan scannes og lagres digitalt). Vurderingen bør gås gjennom med jevne mellomrom og tilpasses eventuelle endringer i prosjektet. Temaside om forskningsdata English version: Risk assessment of research projects with personal data Innholdsfortegnelse [-] Mal for risikovurdering av forskningsprosjekter med personopplysninger Hva er en risikovurdering? Gjennomføring av risikovurdering Tenk på dataflyt Hva kan gå galt? Vurder mulige konsekvenser Vurder relevante tiltak Restrisiko og risikoaksept DPIA Se også Kontakt Mal for risikovurdering av forskningsprosjekter med personopplysninger Det er utarbeidet en egen mal for risikovurderinger av forskningsprosjekter ved NTNU. Malen er et regneark med tre faner. Veiledning finnes i egen fane, og kan også lastes ned i pdf-format. Merk at malen er et utgangspunkt som kan - og bør - tilpasses til prosjektet. Et kortvarig prosjekt med få informanter vil for eksempel kunne ha andre og færre risikofaktorer enn et større forskningsprosjekt med prosjektmedlemmer fra flere institusjoner. Bruk derfor malen til å vurdere reell risiko og lage gjennomførbare tiltak. En kort og høyst uformell videoveiledning er tilgjengelig fra Panopto. Mal for risikovurdering av forskningsprosjekter (xlsx-fil) NB: Helseforskningsprosjekter har egne retningslinjer for planlegging og gjennomføring, se Planlegge og gjennomføre helseforskningsprosjekt. Er du student? Her finner du en forenklet ROS-mal du kan bruke for studentprosjekt (xlsx-fil). Hva er en risikovurdering? Kjernen i en risikovurdering (også kalt risiko- og sårbarhetsanalyse, ROS) består av tre spørsmål: Hva kan gå galt? Hva kan vi gjøre for å hindre det? Hva kan vi gjøre for å redusere konsekvensen dersom det skjer? Målet med en risikovurdering er å avdekke nåværende risikonivå og komme fram til tiltak som kan være med på å redusere risikoen. Risiko angis gjerne som produktet av sannsynlighet og konsekvens angitt som tallverdier i henhold til en skala. Ofte framstilles risikonivået også med utgangspunkt i en fargeskala der grønn betegner lav risiko, gul er moderat, og rød er høy. Gjennomføring av risikovurdering Det er prosjektleder som har ansvar for å gjennomføre en risikovurdering, men det kan være en fordel å ha med flere i arbeidet. For studentprosjekter er det veileder som har ansvaret for å gjøre en risikovurdering sammen med studenten. Tenk på dataflyt Det kan være nyttig å starte med å skissere opp dataflyten for hele prosjektet. Hvordan samles data inn, hvordan overføres de, hvor lagres de, hvor bearbeides de, hvem skal ha tilgang i de ulike fasene, og hva skjer med dem når prosjektet er ferdig? Hva kan gå galt? Når du har oversikt over dataflyten, gjelder det å identifisere hva som kan gå galt i hvert enkelt trinn. Et eksempel kan være persondata lagret på eksterne enheter (diktafon, minnepinne, lokal harddisk etc.) som kommer på avveie. Utover det faktum at viktig datamateriale går tapt dersom det ikke finnes kopier, kan persondata på avveie potensielt være svært belastende for informantene. Vurder mulige konsekvenser En risikovurdering knyttet til behandling av personopplysninger bør vurdere: konsekvensene for de registrerte, det vil si de personene som opplysningene gjelder. Dette bør være hovedfokus for vurderingen.konsekvenser for selve prosjektet (hva skjer for eksempel dersom en mister tilgang til datamateriale eller det skjer brudd på personopplysningsregelverket?)konsekvenser for NTNU som institusjon (for eksempel tap av omdømme eller økonomisk tap som følge av bøter). Potensielle konsekvensen og deres alvorlighet avhenger blant annet av hvor mange personer som omfattes, hvor mange opplysninger det gjelder, og om det er snakk om alminnelige eller særlige kategorier av personopplysninger. Særlige kategorier av personopplysninger (også gjerne kalt sensitive) medfører som regel høyere risiko enn alminnelige, og omfatter opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Denne typen personopplysninger klassifiseres som regel som fortrolige/røde data, mens alminnelige personopplysninger ofte er interne/gule data. Vurder relevante tiltak NTNU har allerede noen tiltak for å forhindre at uønskete hendelser skjer, for eksempel NTNUs retningslinjer for behandling av personopplysninger i forskning og politikk for informasjonssikkerhet. I tillegg finnes det anbefalte verktøy for innsamling og lagring av personopplysninger. De eksisterende tiltakene hjelper imidlertid lite dersom prosjektdeltakerne ikke har kunnskap om dem eller vet hvordan det skal gjennomføres i praksis. Aktuelle tiltak i forskningsprosjekter kan derfor være å gjøre alle prosjektdeltakerne kjent med NTNUs retningslinjer, bruke NTNUs løsninger og tjenester for innsamling og lagring der det er mulig, og etablere gode rutiner for sikring, deling og sletting. Risikovurderingen bør gås gjennom med jevne mellomrom og tilpasses eventuelle endringer i prosjektet. Restrisiko og risikoaksept Det skal godt gjøres å eliminere all risiko i et forskningsprosjekt. Av og til vil en havne i gul risikokategori også etter å ha gjennomført tiltak, og det må da vurderes om det skal iverksettes nye tiltak, eller om risikoen kan aksepteres. Dette må diskuteres i hvert enkelt prosjekt, og ansvaret for å akseptere risiko ligger hos linjeleder, noe som vil si at det som regel er instituttleder som skal godkjenne dersom restrisiko er gul eller høyere. DPIA I prosjekter der det er høy restrisiko for personers rettigheter og friheter også etter foreslåtte tiltak, kan det være nødvendig å gjennomføre en personvernkonsekvensvurdering (Data Protection Impact Assessment, DPIA). Dette er en mer omfattende gjennomgang av behandlingen av personopplysninger. Noen prosjekter vil automatisk utløse krav om DPIA dersom de oppfyller visse kriterier. For prosjekter som meldes til Sikt, vil Sikt hjelpe til med å vurdere om en DPIA er nødvendig, samt bistå med gjennomføringen. NB: For helseforskningsprosjekter er det egne retningslinjer for når og hvordan en DPIA skal gjennomføres. Se også Informasjonssikkerhet - risikovurdering,Behandle personopplysninger i student- og forskningsprosjekt Kontakt Research Data @NTNU/Forskningdatahjelpen - hvis du har spørsmål, tilbakemeldinger eller trenger råd ved utarbeidelse av en risikovurdering for forskningsprosjekt med personopplysninger, ta kontakt med Research Data @NTNU i NTNU Hjelp. Eksterne brukere kan sende epost til research-data@ntnu.no (har du NTNU-bruker vil du få svar i NTNU Hjelp-portalen).Har du spørsmål om risikovurdering i forbindelse med utdanning eller undervisning? Kontakt BLINK Læringshub
Vurdere personvernkonsekvenser
Mappe:
Norsk
English version: Data protection impact assessment Denne siden forklarer hvordan man foretar en vurdering av konsekvenser for personvernet ved behandling av personopplysninger. Den inneholder også en mal for vurdering av personvernkonsekvenser. Temaside om informasjonssikkerhet | Sider merket med Personvern Innholdsfortegnelse [-] Hvorfor skal personvernkonsekvenser vurderes? Prinsipper for behandling av personopplysninger Når skal det gjennomføres en vurdering av personvernkonsekvenser (DPIA)? Sjekkliste for helseforskere Rutiner ved Fakultet for medisin og helsevitenskap Behandling av personopplysninger med høy risiko Kriterier for vurdering om DPIA skal gjennomføres Eksempler på bruk av kriteriene Når er en personvernkonsekvensvurdering (DPIA) ikke nødvendig å gjennomføre? Kontakt Hvorfor skal personvernkonsekvenser vurderes? En vurdering av personvernkonsekvenser (Data Protection Impact Assessment - DPIA) skal sikre at personvernet til de som er registrert (eks studenter, ansatte, forskningsdeltakere) i løsningen ivaretas. Artikkel 35 i personvernforordningen (GDPR) definerer når det er påkrevd å gjøre en DPIA, hva den skal inneholde og hvem som skal gjennomføre den. NTNU har utarbeidet en retningslinje om når det skal utføres en personvernkonsekvensvurdering og om hvordan en vurdering av personvernkonsekvenser skal gjennomføres. Rutinen som gjelder for hele NTNU, er basert på veileder fra WP 29 (Arbeidsgruppe/ekspertgruppe på EU-nivå), veileder fra Datatilsynet og diverse andre retningslinjer og veiledninger fra sektoren om DPIA. Prinsipper for behandling av personopplysninger Det er viktig å understreke at all behandling av personopplysninger skal skje med hensyntaken til de grunnleggende prinsipper for behandling av personopplysninger (GDPR art 5): Lovlig, rettferdig og åpen: Behandling av personopplysninger må ha et rettslig grunnlag. Behandling av personopplysninger skal gjøres i respekt for de registrertes interesser og rimelige forventninger. Behandlingen skal være oversiktlig og forutsigbar for den registrerte. Formålsbegrensning: Formål(ene) skal være spesifikt, uttrykkelig angitt og berettiget. Dataminimering: Personopplysninger skal være adekvate, relevante og begrenset til det som er nødvendig for formålene. Riktighet: Personopplysninger skal være korrekte og oppdaterte. Lagringsbegrensning: Personopplysninger skal slettes eller anonymiseres når formålet er oppnådd. Integritet og fortrolighet: Personopplysninger skal behandles slik at opplysningenes integritet, konfidensialitet og tilgjengelighet beskyttes. Ansvarlighet: Prinsippet om ansvarlighet understreker ansvaret for å opptre i samsvar med prinsippene for behandling av personopplysninger og for å ivareta de registrertes rettigheter og friheter. Vi må kunne dokumentere etterlevelse. Når skal det gjennomføres en vurdering av personvernkonsekvenser (DPIA)? DPIA er obligatorisk når behandling av personopplysninger vil medføre en høy risiko for fysiske personers (eks studenter, ansatte, eksterne kontakter, forskningsdeltakere) rettigheter og friheter. I personvernforordningen artikkel 35 nr. 1 står det: «Dersom det er sannsynlig at en type behandling, særlig ved bruk av ny teknologi og idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige før behandlingen foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for vernet av personopplysninger.» I tillegg skal «den behandlingsansvarlige foreta en gjennomgåelse for å vurdere om behandlingen utføres i samsvar med vurderingen av personvernkonsekvenser, i det minste dersom risikoen som behandlingen medfører, endres.» (Artikkel 35 nr. 11). Mal for vurdering av personvernkonsekvenser (DPIA) (word-dokument) Sjekkliste for helseforskere Er du helseforsker, og vil sjekke om du trenger å gjøre en personvernkonsekvensvurdering? Fakultet for medisin og helsevitenskap har laget en egen sjekkliste for helseforskere (velg nytt element). Rutiner ved Fakultet for medisin og helsevitenskap Fakultet for medisin og helsevitenskap (MH) har en egen mal for dpia for helseforskningsprosekter: MH - Mal for personvernkonsekvensvurdering (DPIA) for helseforskningsprosjekter (word-dokument)MH - Data protection impact assessment (DPIA) (word-document)Insituttleder skal godkjenne og signere personvernkonsekvensvurderingern. Ferdig utfylt personvernkonsekvensvurdering sendes til administrasjonen ved ditt institutt for arkivering i ePhorte (saksnummer 2023/24702). Eksempel på ferdig utfylt og kvalitetssikret DPIA (word-dokument). Personvernombud ved St. Olavs hospital godtar og vurderer personvernkonsekvensvurderinger utfylt i MH-fakultetets mal. Prosjekter som behandler personopplysinger, men faller utenfor helseforskningslovens bestemmelser, skal meldes til NSD - Norsk senter for forskningsdata. Behandling av personopplysninger med høy risiko GDPR artikkel 35 nr. 3) gir noen eksempler på når en behandling sannsynligvis vil medføre en høy risiko. I behandlinger som nevnt i disse eksemplene skal det på NTNU gjennomføres en vurdering av personvernkonsekvenser: a) en systematisk og omfattende vurdering av personlige aspekter ved fysiske personer som er basert på automatisert behandling, herunder profilering, og som danner grunnlag for avgjørelser som har rettsvirkning for den fysiske personen eller på lignende måte i betydelig grad påvirker den fysiske personen, b) behandling i stor skala av særlige kategorier (sensitive personopplysninger) av opplysninger som nevnt i artikkel 9 nr. 1, eller av personopplysninger om straffedommer og lovovertredelser som nevnt i artikkel 10, eller c) en systematisk overvåking i stor skala av et offentlig tilgjengelig område. Kriterier for vurdering om DPIA skal gjennomføres Det kan foreligge høy risiko ved andre behandlinger som ikke omfattes av eksemplene over. Til hjelp for å fange opp andre behandlinger med iboende høy risiko som krever at det skal gjennomføres DPIA på NTNU, skal nedenstående ni egenskaper/kriterier ved behandlingen av personopplysninger vurderes. Det skal gjennomføres en vurdering av personvernkonsekvenser dersom minst to av kriteriene er oppfylt. Dersom bare ett av kriteriene er oppfylt, må det foretas en nøyere vurdering. I disse tilfellene bør prosjektleder rådføre seg med jurist i avdeling for virksomhetsstyring og eller personvernombudet. Kriteriene er: 1. Evaluering eller poengsetting, inkludert profilering og forutsigelse, spesielt «aspekter som gjelder arbeidsprestasjoner, økonomisk situasjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plassering eller bevegelser» 2. Automatiske beslutninger med rettslig eller tilsvarende betydelig virkning. Behandling som har som formål å ta beslutninger om den registrerte som har «rettsvirkning for den fysiske personen» eller «på lignende måte i betydelig grad påvirker den fysiske personen» 3. Systematisk monitorering/overvåking. Behandlingsaktiviteter som brukes for å observere, overvåke eller kontrollere de registrerte, inkludert opplysninger som har blitt samlet inn gjennom nettverk eller «en systematisk overvåking i stor skala av et offentlig tilgjengelig område». 4. Særlige kategorier av personopplysninger eller opplysninger av svært personlig karakter. Dette omfatter særlige kategorier av personopplysninger (tidligere kalt sensitive personopplysninger) som er definert i artikkel 9 (for eksempel helseopplysninger og informasjon om enkeltpersoners politiske meninger). 5. Personopplysninger behandles i stor skala. Det er ikke klart hva som utgjør stor skala. Det anbefales at følgende faktorer vurderes spesielt når man avgjør hvorvidt behandlingen gjennomføres i stor skala: a. Antallet registrerte som berøres, enten som et spesifikt antall eller som en andel av den relevante populasjonen. b. Mengden og/eller spennvidden i personopplysningene som behandles. c. Databehandlingens varighet eller regelmessighet. d. Behandlingens geografiske omfang. 6. Matching eller sammenstilling av datasett som for eksempel stammer fra to eller flere databehandlingsoperasjoner som gjennomføres med ulike formål og/eller av ulike behandlingsansvarlige på en måte som overstiger den registrertes rimelige forventninger. 7. Personopplysninger om sårbare registrerte. Behandling av denne typen av personopplysninger er et kriterium på grunn av den skjeve maktbalansen mellom de registrerte og den behandlingsansvarlige, som betyr at enkeltpersoner kan være ute av stand til, på en enkel måte, å gi sitt samtykke eller motsette seg behandlingen av sine personopplysninger eller utøve sine rettigheter. Sårbare registrerte kan omfatte barn (de kan anses å ikke være i stand til på en bevisst og gjennomtenkt måte å motsette seg eller gi samtykke til behandling av sine personopplysninger), arbeidstakere, mer sårbare befolkningsgrupper som behøver sosial beskyttelse (psykisk syke personer, asylsøkere, eldre personer, pasienter og så videre), samt i de situasjoner der det foreligger en ubalanse i forholdet mellom den registrerte og den behandlingsansvarlige. 8. Innovativ bruk eller anvendelse av ny teknologisk eller organisatorisk løsning, som en kombinasjon av fingeravtrykk og ansiktsgjenkjenning for en forbedret fysisk adgangskontroll og så videre. Det går klart frem av forordningen (artikkel 35 nr. 1 og fortalepunkt 89 og 91) at bruk av ny teknologi som defineres «i samsvar med det oppnådde nivået av teknisk kunnskap» kan medføre behov for å gjennomføre en vurdering av personvernkonsekvenser. Grunnen til dette er at anvendelse av ny teknologi kan medføre nye former for innsamling og bruk av personopplysninger, eventuelt med høy risiko for den enkeltes rettigheter og friheter. De personlige og sosiale konsekvensene ved anvendelsen av ny teknologi kan være ukjente. En vurdering av personvernkonsekvenser hjelper den behandlingsansvarlige å forstå og håndtere slike risikoer. For eksempel kan visse «tingenes internett»-applikasjoner få betydelige konsekvenser for den enkeltes dagligliv og privatliv, og kan derfor kreve en vurdering av personvernkonsekvenser. 9. Når behandlingen «hindrer de registrerte i å utøve en rettighet eller gjøre bruk av en tjeneste eller en avtale». Dette omfatter behandlinger som tar sikte på å tillate, endre eller nekte den registrerte tilgang til en tjeneste eller inngå en avtale. Jo flere av ovennevnte egenskaper/kriterier behandlingen vil oppfylle, desto mer sannsynlig er det at det foreligger en høy risiko, slik at det vil være krav om å gjennomføre en DPIA. Eksempler på bruk av kriteriene Her følger noen eksempler som illustrerer hvordan kriteriene skal brukes til å vurdere om en bestemt behandlingsaktivitet krever en personvernkonsekvensvurdering. Eksempler på behandlingsaktivitet hvor det er sannsynlig at personvernkonsekvensvurdering kreves: Et sykehus behandler sine pasienters genetiske og helsemessige informasjon (sykehusinformasjonssystem). Mulige relevante kriterier: Særlige kategorier av personopplysninger Opplysninger om sårbare registrerte Opplysninger behandlet i stor skala Bruk av kamerasystem for å overvåke kjøreoppførsel på motorveier. Behandlingsansvarlig vil bruke et intelligent videoanalysesystem for å identifisere enkelte biler og automatisk gjenkjenne registreringsskilt Mulige relevante kriterier: Systematisk overvåking Innovativ bruk eller bruk av nye teknologiske eller organisatoriske løsninger. Lagring av pseudonymiserte særlige kategorier av personopplysninger om sårbare registrerte for forskningsprosjekter eller kliniske studier (arkiveringsformål). Mulige relevante kriterier: Særlige kategorier av personopplysninger Opplysninger om sårbare registrerte Hindrer de registrerte i å utøve en rettighet eller å bruke en tjeneste eller kontrakt Innsamling av offentlige sosiale medier-opplysninger for å generere profiler. Mulige relevante kriterier: Evaluering eller poengvurdering Behandling av personopplysninger i stor skala Sammenstilling av datasettSærlige kategorier av personopplysninger Eksempler på behandlingsaktivitet hvor det er sannsynlig at personvernkonsekvensvurdering ikke kreves: Behandling av personopplysninger fra pasienter eller klienter av én enkelt lege/helsearbeider eller advokat. Mulige relevante kriterier: Særlige kategorier av personopplysninger Personopplysninger om sårbare registrerte Et nettmagasin bruker en postliste for å sende sine abonnenter en daglig oppdatering. Mulig relevant kriterium: Behandling av personopplysninger i stor skala En nettbutikk viser reklame for en spesifikk vare, basert på varer som er sett eller kjøpt på sin nettside (begrenset profilering). Mulig relevant kriterium: Evaluering eller poengvurdering En behandlingsansvarlig må likevel vurdere at en behandlingsaktivitet, som tilsvarer et av de overnevnte eksemplene, ikke er sannsynlig til å medføre høy risiko. I slike tilfeller bør behandlingsansvarlig begrunne og dokumentere årsakene til å ikke utføre en personvernkonsekvensvurdering, og inkludere personvernombudets betraktninger. Når er en personvernkonsekvensvurdering (DPIA) ikke nødvendig å gjennomføre? Når det ikke er sannsynlig at behandlingsaktiviteten vil medføre en høy risiko for fysiske personers rettigheter og friheter, jf. art. 35 nr. 1 tolket antitetisk; Når omfanget, konteksten og formålet med behandlingsaktiviteten er svært lik en behandlingsaktivitet det allerede har blitt utført en personvernkonsekvensvurdering for. I slike tilfeller kan resultatene fra den like behandlingsaktivitetens personvernkonsekvensvurdering brukes, jf. art. 35 nr. 1 siste punktum; Når behandlingsaktiviteten har blitt godkjent av Datatilsynet i henhold til direktiv 95/46/EF før mai 2018, og de spesifikke forhold ikke er endret, jf. fortalepunkt 171; Når en behandlingsaktivitet, i tråd med art. 6 nr. 1 bokstav c eller e, er lovregulert, der loven regulerer den spesifikke behandlingsaktiviteten, og hvor en personvernkonsekvensvurdering allerede har blitt gjennomført som en del av grunnlaget for lovreguleringen, unntatt hvis lovgiver har erklært det nødvendig å gjennomføre en personvernkonsekvensvurdering for den aktuelle behandlingsaktiviteten, jf. art. 35 nr. 10; Når behandlingen er inkludert på listen (utarbeidet av Datatilsynet) av behandlingsaktiviteter som ikke krever personvernkonsekvensvurdering, jf. art. 35 nr. 5. I slike tilfeller kreves det ikke en personvernkonsekvensvurdering, men bare hvis behandlingsaktiviteten faller strengt innenfor rekkevidden av den aktuelle behandlingen som er nevnt i listen, og fortsetter å oppfylle alle de relevante kravene i GDPR. Kontakt Har du spørsmål om vurdering av personvernkonsekvenser, kan du kontakte NTNUs personvernombud.
Vurdering av oppdraget - lønn eller næring
Mappe:
Norsk
Sider merket med økonomi | Informasjon for ansatte i økonomifunksjoner Innholdsfortegnelse [-] Lønn eller næring - oppdragsgivers plikter Hva må NTNU gjøre for å utvise tilbørlig aktsomhet? Egen regning og risiko - VIKTIG Hva slags undersøkelser kan oppdragsgiver foreta? Spørsmål som kan stilles og fremlegges som dokumentasjon for vurderingen/undersøkelser (ja/nei-svar): OBS Kriterier som trekker mot næringsvirksomhet Kriterier som trekker mot at oppdraget faller utenfor næringsbegrepet Når må oppdragsgiver foreta undersøkelse? Se også Kontakt Lønn eller næring - oppdragsgivers plikter NTNU skal ikke foreta forskuddstrekk eller beregne arbeidsgiveravgift dersom oppdraget er utført som ledd i selvstendig næringsvirksomhet Ofte et problem å fastslå om oppdragstaker er næringsdrivende eller ikke - og om honoraret er omsetning i denne næringenNTNU har ansvar for å behandle utbetalingen riktigNTNU kan bli gjort økonomisk ansvarlig for unnlatt forskuddstrekk dersom oppdragstaker ikke er næringsdrivende Det økonomiske ansvaret faller bort dersom forholdet ikke skyldes forsømmelighet eller mangel på tilbørlig aktsomhet. NTNU har bevisbyrden Hva må NTNU gjøre for å utvise tilbørlig aktsomhet? Foreta undersøkelser om oppdragstaker faktisk er næringsdrivende eller ikke i forhold til oppdraget som utføres For å være næringsdrivende, må oppdragstaker oppfylle kriteriene i "næringsbegrepet" i skattereglene. Det må dreie seg om en vedvarende virksomhet (vanskelig å vurdere for oppdragsgiver). Virksomheten må drives for egen regning og risiko (viktigste vurdering for oppdragsgiver/utbetaler) Virksomheten må drives med økonomisk vinning for øye (vanskelig å vurdere for NTNU, dette er det skattekontoret som normalt skal vurdere). Egen regning og risiko - VIKTIG "For egen regning" betyr at oppdragstaker selv dekker utgiftene i forbindelse med oppdraget. For eksempel utgifter til materialer, driftsmidler, ansatte og lignende. "For egen risiko" betyr at oppdragstaker har ansvaret for resultatet av oppdraget. (Spm: Kan vi reklamere? Ja - næring, Nei - Lønn.) For eksempel at oppdragstaker må rette opp feil og mangler, at vedkommende kan komme i et erstatningsrettslig forhold overfor oppdragsgiver og lignende. Hva slags undersøkelser kan oppdragsgiver foreta? Oppdragstaker bekrefter at oppdraget er en del av den normale næringsvirksomheten ved å selv fremskaffe utskrift av Nøkkelopplysningene fra enhetsregisteret . Nøkkelopplysningene dokumenterer at oppdragstaker er registrert i Enhetsregisteret og inneholder informasjon om hvilken type næringsvirksomhet (næringskode) oppdragstaker driver. Dersom den næringsdrivende driver næringsvirksomhet innenfor flere næringer vil kun en av disse framkomme av Nøkkelopplysningene. Dersom Nøkkelopplysningene ikke gir informasjon om næringen som gjelder oppdraget ved NTNU, må oppdragstaker fremskaffe Registerutskrift fra Brønnøysundregistrene. Registerutskriften vil inneholde tilleggsinformasjon om evt. annen næringsvirksomhet som ikke fremkommer av Nøkkelopplysningene. Hovedregelen er at alle enkeltpersonforetak er pliktig å registrere seg i Enhetsregisteret. Unntak gjelder enkeltpersonforetak med årlig omsetning mindre enn kr 50.000, dersom de ikke har tilsatte eller ikke er mva.pliktige. Dersom en inngår en avtale med et enkeltpersonforetak som ikke er registrert i enhetsregisteret fordi de er fritatt for slik registrering, må dette oppgis som opplysning i avtalen som inngås. I slike tilfelle vil fødselsnummeret til den næringsdrivende erstatte organisasjonsnummeret på alle dokumenter knyttet til saken. Vurderingen om honoraret skal behandles som lønn eller næringsinntekt følger for øvrig retningslinjene for utbetaling. Skattekontoret skal gi opplysninger om en person blir lignet som næringsdrivende eller ikke. Oppdragsgiver kan få disse opplysningene, men skattekontoret kan ikke oppgi hvilken næring. Skattekontoret skal utstede erklæring om hvilken type næringsinntekt det er utskrevet forskuddsskatt for dersom skattyter (den næringsdrivende) ber om det. Oppdragstaker (næringsdrivende) kan få dette og kan fremlegges for oppdragsgiver. Det er den beste dokumentasjon å fremlegge. Den kan vedkommende kopiere og legge ved fakturaer. (Oppdragsgiver kan ikke få tak i disse opplysningene.) Oppdragsgiver kan undersøke om oppdragstaker er registrert i Foretaksregisteret (Brønnøysundregistrene) og Mva-manntallet (Skattekontoret). Dersom en inngår avtale med et utenlandsk enkeltpersonforetak må vurderingen gjøres uten Nøkkelopplysningene. Spørsmål som kan stilles og fremlegges som dokumentasjon for vurderingen/undersøkelser (ja/nei-svar): Oppdragsgiver kan undersøke om oppdragstaker har Flere oppdragsgivere Eget kontor eller produksjonskanaler Egne driftsmidler Egne ansatteOppdragsgiver kan vurdere om oppdragstaker er økonomisk ansvarlig for resultatet av jobben. Utbedre feil og mangler for egen regning. Hva sier kontrakten? Kan oppdragstaker pådra seg erstatningsansvar? Hva sier avtalen/kontrakten? OBS Ovennevnte momenter er kun eksempler og er ikke uttømmende. Oppdragsgiver må foreta de undersøkelser han mener er nødvendig. Viktig å notere ned hvilke undersøkelser og vurderinger som er foretatt. Oppdragsgiver kan ikke bygge på enkeltmomenter, men må ta en beslutning på grunnlag av den totale opplysningsmassen som er innhentet. Selv om oppdragsgiver har utvist tilbørlig aktsomhet og slipper ansvar for unnlatt forskuddstrekk, kan skattemyndighetene likevel etterberegne arbeidsgiveravgift. Kriterier som trekker mot næringsvirksomhet Disse kriteriene trekker i retning av at oppdraget kan anses som næringsvirksomhet Oppdragstaker driver selvstendig virksomhet fra egne lokaler Oppdragstaker holder egne materialer Oppdragstaker har eget utstyr, verktøy og driftsmidler og bærer det fulle ansvar og økonomiske risiko for disse Oppdraget kan reklameres. Oppdragstaker har selv ansvar for arbeidsresultatet (økonomisk ansvar for forsinkelser, feil og forsømmelser) Oppdragstaker har egne ansatte eller det er anledning til å benytte stedfortreder/vikar Oppdragstaker har høy grad av selvstendighet ved utførelsen Oppdragsgiver har ikke faglig eller administrativ instruksjonsmyndighet Oppdragstaker har flere oppdragsgivere samtidig eller etter hverandre Oppdraget har ikke avtale om flere oppdrag fra samme oppdragsgiver Oppdragstaker bærer selv risikoen for manglende oppdrag og har ikke krav på mistegodtgjørelse eller lignende fra oppdragsgiver Oppdragstaker mottar oppgjør i fast beløp og ikke pr. tidsenhet Kriterier som trekker mot at oppdraget faller utenfor næringsbegrepet Disse kriteriene trekker i retning av at oppdraget faller utenfor næringsbegrepet Oppdragstaker har bare en oppdragsgiver Oppdragstaker stiller sin personlige arbeidskraft til rådighet for oppdragsgiver - kan ikke bruke stedfortredere Oppdragstaker er underordnet oppdragsgivers faglige og administrative kontroll Oppdragsgiver stiller arbeidsrom og materialer til rådighet Oppdragsgiver holder utstyr, verktøy og driftsmidler og bærer det fulle ansvar og økonomiske risiko for disse Oppdraget kan ikke reklameres Oppdragsgiver bærer risikoen for arbeidsresultatetMomentene må ses i sammenheng. Hvordan partene selv karakteriserer forholdet er ikke bindende for skattemyndighetene. Det er det faktiske forholdet mellom partene som er avgjørende. Når må oppdragsgiver foreta undersøkelse? Undersøkelsene må foretas før utbetaling finner sted Forskuddstrekk skal gjennomføres hvis næringsvirksomhet ikke foreligger (og det skal beregnes arbeidsgiveravgift) Oppdragsgiver må derfor lage rutiner på området uavhengig av hvem som forhandler kontrakter, foretar utbetaling og står for regnskapsføring/innrapportering Det er oppdragsgiver som har ansvaret - ikke den enkelte ansatte Undersøkelsene må kunne dokumenteresLønn - selvstendig næringsdrivende - Retningslinjer Vurderingsskjema - Hjelpeverktøy for støtte og dokumentasjon av vurderingsprosessen. Se også Lønn til selvstendig næringsdrivendeTilsetting og arbeidskontraktNæringsdrivende oppdragstakere (skattedirektoratet.no) Kontakt Dersom du har spørsmål, ta kontakt med Økonomiavdelingen på e-post: kontakt@okavd.ntnu.no
Teknologi og verktøy for undervisning
Mappe:
Norsk
På undersidene lenger ned på sida finner du ressurser som du kan bruke i undervisning. English version: Technology and tools for teaching Andre relevante oversiktssider: Tjenester og hjelp for undervisning
Vedlegg lagt til av
Tonje Mogstad Høivik
.
Teknologi og verktøy.png
Technology and tools for teaching
Mappe:
English
On the child pages further down this page you'll find resources to help you with teaching and learning. Norsk versjon: Teknologi og verktøy for undervisning Other relevant pages: Services and help for teaching
Vedlegg lagt til av
Tonje Mogstad Høivik
.
Teknologi og verktøy.png
Arbeid med sikkerhetskultur og opplæring - retningslinje
Mappe:
Norsk
Retningslinje for arbeid med sikkerhetskultur og opplæring. Retningslinjen kan leses i pdf her. Innholdsfortegnelse [-] Formål Gjelder for Overordnede prinsipper Arbeidet med sikkerhetskultur og opplæring Sikkerhetsklima Handlingsplan Opplæringsplan Kommunikasjonsplan Evaluering Roller og ansvar Direktør for organisasjon og infrastruktur Leder av HR- og HMS-avdelingen Dekan/Instituttleder/Linjeleder Leder av HMS og Beredskaps-seksjonen Leder av Seksjon for digital sikkerhet Systemeier English version - Policy for Cyber security culture and training Type dokument: Retningslinje Forvaltes av: Leder av HR- og HMS-avdelingen Godkjent av: Direktør for Organisasjon og infrastruktur Gjelder fra: 12.06.2023 Neste revisjon innen: 12.06.2025 Unntatt offentlighet: Nei Referanse ISO: ISO 27002:2022; 6.3 Referanse LOV/Regel: Arbeidsmiljøloven § 4-2 Referanse interne dokumenter: Politikk for informasjonssikkerhet Formål Formålet med denne retningslinjen er å definere ansvar, målgrupper og arenaer for aktiviteter knyttet til målrettet opplæring, kompetansehevende tiltak og utvikling av bevissthet rundt informasjonssikkerhet i organisasjonskulturen. En organisasjonskultur innebærer en sikkerhetskultur der felles innarbeidede verdier og normer påvirker medarbeideres tanker og forventninger til sikkerhet. Gjelder for Retningslinjen for arbeid med sikkerhetskultur og opplæring gjelder for alle som har tilgang til, og/eller bearbeider og forvalter informasjon gjennom NTNUs IKT-infrastruktur. Overordnede prinsipper a. Som førende for arbeidet med sikkerhetskultur og opplæring ved NTNU ligger den til enhver tid gjeldende handlingsplan for informasjonssikkerhet i statsforvaltningen. I gjeldende handlingsplan beskrives Kunnskap, kompetanse og kultur som et eget tiltaksområde. b. Til grunn for arbeidet med sikkerhetskultur og opplæring skal også NTNUs overordnede risikobilde for samfunnssikkerhet ligge, hvor informasjonssikkerhet er kartlagt som et eget risikoområde. c. Arbeidet med sikkerhetskultur og opplæring skal være en systematisk og kontinuerlig forbedringsprosess. d. Innholdet i alt utviklingsarbeid og opplæring skal understøtte hovedbudskapet om at informasjonssikkerhet dreier seg om samspill mellom mennesker og informasjonssystemer. e. All opplæring skal bidra til å skape økt risikoforståelse samt styrke evnen og lysten til å handle riktig. Arbeidet med sikkerhetskultur og opplæring Målbildet for arbeid med sikkerhetskultur og opplæring er NTNUs vedtatte mål for informasjonssikkerhet1. Arbeidet med å nå dette målbildet innebærer en systematisk og kontinuerlig forbedringsprosess, hvor risikostyring og innebygd informasjonssikkerhet ivaretas gjennom lederes og medarbeideres aktive risikobevissthet og risikoforståelse. Innebygd informasjonssikkerhet er et overordnet prinsipp i arbeidet med informasjonssikkerhet og oppnås når informasjonssikkerhet er: a. Innarbeidet i virksomhetsstyring og understøtter virksomhetens mål b. Innarbeidet i virksomhetens prosesser og prosjekter fra starten av c. Tatt hensyn til i hele livssyklusen til IKT-løsninger d. Et tema alle ansatte kjenner til og vet hva innebærer for sine arbeidsoppgaver Fasene i forbedringsprosessen består av planlegging, gjennomføring, evaluering og revidering. Dette arbeidet skal i hovedsak utvikles og drives sentralisert, i tråd med annet kvalitets- og utviklingsarbeid ved NTNU. Linjens ansvar er å delta i de utviklings- og opplæringstiltak som gjøres tilgjengelige. Linjen har også ansvar for å følge opp særskilt risikofylte områder ved sin enhet med lokale målrettede opplæringstiltak. Innholdet i opplæringen skal bygge på de identifiserte krav til informasjonssikkerhet for de klassifiserte informasjonselementene i de aktuelle systemer, tjenester og prosesser for målgruppene til de ulike opplæringsmodulene. Sikkerhetsklima Sikkerhetsklima dreier seg om den synlige vektleggingen av sikkerhet. Sikkerhetsklima innebærer blant annet lederens prioritering av sikkerhet, vektlegging av sikkerhetssystemer og graden av risikotoleranse brukes for å ha oversikt og kontroll på egen sikkerhet. Ledere skal gjennom systematisk kartlegging av sikkerhetsklima bistå i å avdekke områder for nødvendig opplæring og kompetansehevende tiltak for å skape et kontinuerlig arbeid med utvikling av enhetens sikkerhetskultur. Sikkerhetsklima skal rapporteres til kontrollerende del i styringssystemet. Handlingsplan Med bakgrunn i risikobildet og analyse av NTNUs sikkerhetsklima skal det etableres en sentral handlingsplan på virksomhetsnivå for arbeidet med sikkerhetskultur og opplæring i et flerårsperspektiv. Handlingsplanen skal ha tydelige effekt- og resultatmål for hele NTNU. Handlingsplanen skal inneholde en opplæringsplan og en kommunikasjonsplan for den aktuelle perioden. Handlingsplan skal rapporteres til kontrollerende del i styringssystemet. Opplæringsplan Opplæringsplanen skal inneholde målgruppeorienterte, modulbaserte opplæringstilbud til alle ansatte og med målbar operasjonalisering av hvordan målene i handlingsplanen skal nås. Opplæringsplanen skal i sum over tid treffe innenfor de tre kategoriene tiltak definert i Politikk for informasjonssikkerhet: a. Lederes implementering av risikostyring i enhetene b. Utvikling av sikkerhetskultur, kompetanse og holdninger c. Utvikling av en robust infrastruktur som ivaretar den digitale sikkerheten Opplæringsmodulene og kursene skal også integreres i NTNUs øvrige opplæringsprogram for ledere og ansatte. Kommunikasjonsplan Kommunikasjonsplanen skal i sin strategiske målsetting og oppbygging følge en kommunikasjonsmodell som over tid bidrar til: a. bevissthet og oppmerksomhet for informasjonssikkerhet b. et ønske om å støtte og delta i endringsprosessen c. kunnskap om hvordan sikre NTNUs informasjonsverdier d. evne til å ta imot ny kunnskap og ta i bruk nye arbeidsmetoder e. forankring av ny praksis og sikre etterlevelse Kommunikasjonen som følger opplæringsplanen, skal være i takt med økt risikoforståelse og modenhet for innholdet i opplæringen. Dette for å sikre at kommunikasjonen bygger opp om og gir støtte til opplæringen som gjennomføres, og for å sikre at ansatte innenfor de tjenester og prosesser som styringssystemet møter opplever sammenheng mellom tilgjengelig informasjon og opplæring. For alle målgrupper skal det i hovedsak benyttes etablerte møtearenaer og kanaler til informasjon og kommunikasjon om informasjonssikkerhet. I tillegg vil det produseres tilpasset og målgruppespesifikk informasjon på Innsida, i fakultetskanaler og administrative avdelingskanaler, samt skriftlig informasjon som benyttes som supplement ved behov. Evaluering Handlingsplanens innhold, operasjonalisering og måloppnåelse skal ved endt periode evalueres. Læringspunkter tas med i utforming av etterfølgende opplæringsplan og kommunikasjonsplan for slik å sørge for kontinuerlig forbedring og målrettet utvikling. Evalueringen rapporteres inn til kontrollerende del i styringssystemet. Roller og ansvar Direktør for organisasjon og infrastruktur a. Skal påse at det utvikles handlingsplaner som sørger for et systematisk og kontinuerlig arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet Leder av HR- og HMS-avdelingen a. er ansvarlig for organisasjonsutvikling og endringsledelse i arbeidet med informasjonssikkerhet; herunder påse at ledere er kjent med og har tilstrekkelig kompetanse og risikoforståelse til å ivareta sitt ansvar for å utøve risikostyring innen området informasjonssikkerhet b. er ansvarlig for kartlegging av sikkerhetsklima med spørreundersøkelse annethvert år til ledere c. er ansvarlig for at det utarbeides overordnet handlingsplan for arbeid med sikkerhetskultur og opplæring med tilhørende opplærings- og kommunikasjonsplan for ledere og øvrige ansatte d. er ansvarlig for evaluering av arbeidet med sikkerhetskultur og opplæring, at informasjon og opplæring på sikkerhetsområdet er konsistent samt er i samsvar med overordnede prinsipper og at det dekker relevante arbeidsprosesser e. er ansvarlig for at arbeidet med sikkerhetskultur og opplæring følger opp fokusområder fra ledelsens gjennomgang og andre kontrollaktiviteter f. er ansvarlig for å rapportere på gjennomføringsgrad, effekt og effektivitet i arbeidet med opplæring og bevisstgjøring Dekan/Instituttleder/Linjeleder a. er ansvarlig for at ansatte i enheten har tilstrekkelig opplæring innen informasjonssikkerhet og kan ivareta sin plikt til å vurdere risiko ved nye prosjekt og ved all informasjonsbehandling, samt melde og håndtere avvik ved brudd på informasjonssikkerheten Leder av HMS og Beredskaps-seksjonen a. skal konsulteres i planlegging av kontinuitet og beredskapsarbeidet for å sikre at arbeidet gjennomføres i henhold til Politikk for beredskap Leder av Seksjon for digital sikkerhet a. skal konsulteres i arbeidet med utvikling av kommunikasjon og opplæringsmateriale for å sikre faglig relevant innhold og oppdatert risiko- og trusselbilde Systemeier a. er ansvarlig for at opplæringsmateriale knyttet til bruk av IKT-systemer utvikles og kommuniseres i henhold til gjeldende retningslinje
Roller og ansvar i helseforskningsprosjekt - helseforskning
Mappe:
Norsk
English version: Roles and responsibilities in health research projects - health research Se også: Veiledning til helseforskning Innholdsfortegnelse [-] Prosjektleder Forskningsansvarlig Prosjektmedarbeider Ansvarsfordeling i samarbeidsprosjekt Samarbeidsprosjekt mellom NTNU og St. Olavs Hospital Multisenterstudier Prosjektleder, prosjektansvarlig og prosjektmedarbeiders ansvar og plikter i helseforskningsprosjekt. Prosjektleder Prosjektlederen skal sørge for at etiske, medisinske, helsefaglige, vitenskapelige, personvern- og informasjonssikkerhetsmessige forhold ivaretas i den daglige driften. Det gjelder planlegging, forhåndsgodkjenning, gjennomføring og avslutning med publisering av forskningsresultater og etterforvaltning av forskningsdata. Prosjektleder må ha tilfredsstillende vitenskapelig kompetanse. I de tilfeller forskningsprosjektets art tilsier det, må prosjektleder i tillegg ha nødvendig og relevant klinisk erfaring og kompetanse, eventuelt påse at slik kompetanse er tilknyttet forskningsgruppen. Prosjektleder skal sørge for at det utarbeides søknad og forskningsprotokoll (pdf) i tråd med god vitenskapelig praksis og de krav som stilles i Helseforskningsloven med forskrifter.Prosjektleder har ansvar for at forskningsdeltakerens helse, velferd og integritet ivaretas. Ved planleggingen av forskningsprosjektet skal det gjøres en grundig vurdering av risiko og belastning for deltakerne, og nødvendigheten av prosjektet. Risikoen og belastningen må stå i forhold til påregnelige fordeler for deltakeren selv eller for andre mennesker. Barn og personer uten samtykkekompetanse som ikke selv kan forvente helsegevinst ved å delta, kan kun utsettes for ubetydelig risiko, se § 22 og § 18.Prosjektleder skal sørge for at søknad og protokoll sendes til REK via REKs søknadsportalProsjektleder skal sende søknad til andre godkjenningsinstanser for helseforskning i tillegg til REK der dette kreves.Prosjektleder skal involvere forskningsansvarlig i prosjektet og legge fram søknad og protokoll i forbindelse med forskningsansvarliges stikkprøvekontroll og ellers på forespørsel fra forskningsansvarlig.Prosjektet kan ikke startes før forskningsansvarlig har vurdert prosjektet, og om det faller innenfor enhetens strategi og om de nødvendige ressurser foreligger.Prosjektleder har informasjonsplikt overfor deltakere i forskningsprosjektet. Deltakelse i forskningsprosjekt skal som hovedregel være basert på et dokumentert samtykke fra forskningsdeltakere i helseforskning. Prosjektleder skal sørge for at prosjektet gjennomføres i henhold til forskningsprotokollen REK har godkjent.Prosjektleder skal sende ny søknad til REK ved vesentlige endringer. Hva som regnes som vesentlige endringer defineres nærmere i Helseforskningsloven. Nytt samtykke må som hovedregel innhentes ved vesentlige endringer, jf. § 15.Prosjektleder skal ha tilgang til alle forskningsdata som prosjektet omfatter, og er ansvarlig for de data som prosjektet samler inn og bruker. Prosjektlederen tildeler og holder oversikt over hvem som har tilgang til dataene og skal informere prosjektmedarbeiderne om taushetsplikten.Prosjektleder skal forsikre seg om at forskningsdata både i prosjektperioden og lagring etter prosjektavslutning er forsvarlig håndtert, se: Oppbevaring og utlevering av forskningsdata fra helseforskningProsjektleder skal omgående stanse, eventuelt bringe i orden, forskning som er medisinsk, etisk eller juridisk uforsvarlig eller for øvrig i strid med de tillatelser som er gitt og øvrige krav som stilles til forskningen, jf avvikshåndtering. Forskningsprosjektet skal også stanses dersom det foreligger tilstrekkelige holdepunkter for positive og fordelaktige resultater for deltakerne, slik at alle deltakere kan få tilbud om beste dokumenterte behandling.Prosjektleder skal melde fra til forskningsansvarlig og Helsetilsynet om alvorlige samt uønskede og uventede medisinske hendelser. Forskningsdeltakerne skal omgående informeres dersom de har blitt påført skade, eller det har oppstått komplikasjoner som følge av forskningsprosjektet.Prosjektleder skal gi tilsynsmyndighetene informasjon om forhold som kan medføre fare for forskningsdeltakernes sikkerhet. Ved unaturlig dødsfall skal politiet varsles omgående.Prosjektleder skal sørge for at forskningsdeltakeren på forespørsel, får innsyn i opplysninger om seg selv. Forespørslene skal behandles fortløpende, og besvares innen 30 dager.Prosjektlederen skal sørge for at forskningsresultater blir publisert i overensstemmelse med god vitenskapelig praksis og følge forfatterskapsreglene i Vancouverkonvensjonen. Forskningsansvarlig Den forskningsansvarlige har det overordnete ansvaret for alle forskningsprosjekt som foregår ved virksomheten. De oppgaver og den myndighet som følger denne rollen kan delegeres. Forskningsansvarlig skal sørge for at internkontrollsystemet blir implementert og fulgt i praksis. Forskningsansvarlig skal vurdere om prosjektet faller innenfor enhetens strategi og om de nødvendige ressurser foreligger, i forkant eller i etterkant av REKs behandling (før prosjektet starter). Se forskningsansvarliges vurdering av prosjektetForskningsansvarlig skal ha oversikt over sin forskningsportefølje.Den forskningsansvarlige setter i verk tiltak for å lukke avvik og skal stanse eller bringe i orden forskning som er medisinsk, etisk eller juridisk uforsvarlig eller som er i strid med de gitte tillatelser.Forskningsansvarlig skal gjennomføre systematiske tiltak som fremmer god forskning og som sikrer at forskningen planlegges, organiseres, gjennomføres og avsluttes i samsvar med helseforskningsloven med forskrift. Forskningsansvarlig kan be prosjektleder om utdypende informasjon som søknad og endringsmeldinger, protokoll, informasjonsskriv, samtykkeerklæringer, risikovurderinger, sluttmelding og lagring av data.Forskningsansvarlig skal i styringsdialogen med sin leder rapportere om forskningsvirksomheten ved enheten og i hvilken grad lover og rutiner etterleves og kvalitetsverktøyet benyttes. Prosjektmedarbeider Prosjektmedarbeidere er alle som er involvert i prosjektet (forskere, doktorgradsstudenter og studenter). Student på lavere nivå enn doktorgrad skal være prosjektmedarbeider og kan ikke være prosjektleder. Forskere ved NTNU som arbeider med medisinske og helsefaglige prosjekt plikter å sette seg inn i lover og forskrifter som gjelder for sin forskning og følge rutinene som er fastsatt i dette systemet. Forskere skal gjennomføre prosjektet i tråd med god vitenskapelig praksis og i henhold til prosjektets forhåndsgodkjente forskningsprotokoll.Forskere har taushetsplikt og skal hindre at andre (inkludert forskere utenfor prosjektet og helsepersonell) får adgang eller kjennskap til opplysninger med mindre det er rettslig grunnlag for å utlevere opplysningene.Forskere skal melde alvorlige samt uønskede eller uventede medisinske hendelser omgående til prosjektleder eller den forskningsansvarlige. Det samme gjelder forskning de anser som medisinsk, etisk eller juridisk uforsvarlig eller i strid med de tillatelser som er gitt og faglige krav som stilles til forskningen.Forskere skal gi tilsynsmyndighetene (Helsetilsynet og/eller Datatilsynet) informasjon om forhold som kan medføre fare for forskningsdeltakernes sikkerhet. Forskeren skal også informere prosjektleder eller forskningsansvarlig. Ved unaturlig dødsfall skal politiet varsles.Forskningsresultater skal publiseres i overensstemmelse med god vitenskapelig praksis, herunder forfatterskapsreglene i Vancouverkonvensjonen. Ansvarsfordeling i samarbeidsprosjekt Samarbeidsprosjekt mellom NTNU og St. Olavs Hospital I prosjekt der pasientdata inngår i studien ogprosjektleder har kombinert stilling ved NTNU og St. Olavs Hospital ellerprosjektet gjennomføres med prosjektmedarbeidere både fra NTNU og St. Olavs hospitalskal begge institusjoner være forskningsansvarlig for prosjektet og oppgi dette i søknaden til REK. Ved St. Olavs Hospital er dette klinikksjef forskningsansvarlig. Ved Fakultet for medisin og helsevitenskap (MH) og Fakultet for samfunns- og utdanningsvitenskap (SU) er instituttlederen forskningsansvarlig. De forskningsansvarlige er solidarisk ansvarlig (deler det juridiske ansvaret). Institusjonene utpeker i fellesskap prosjektleder. Prosjektleder og institusjonen der vedkommende er tilsatt, står formelt bak søknad og forskningsprotokoll til REK. Søknaden skal opplyse hvem som er samarbeidsparter, forskningsansvarlige og prosjektmedarbeidere. Prosjektleder skal informere begge institusjonene om utviklingen i prosjektet og melde fra om endringer, avvik og uønskede hendelser. Multisenterstudier En multisenterstudie er et forskningsprosjekt som er basert på én forskningsprotokoll, men der prosjektet utføres ved flere virksomheter. Myndighet og oppgaver i slike studier skal avklares før prosjektet starter. Hvert deltagende senter har et selvstendig ansvar for den delen av prosjektet som utføres ved sin enhet. Studien må derfor meldes til forskningsansvarlig ved institusjonene som deltar, før det settes i gang. Det skal være én prosjektleder som har ansvaret for den daglige driften av hele prosjektet. Ved internasjonale multisenterstudier skal det alltid være en norsk prosjektleder med ansvar for de deler av prosjektet som foregår i Norge.
Avviksmelding og avvikshåndtering innen informasjonssikkerhet og personvern - retningslinje
Mappe:
Norsk
Retningslinje for avviksmelding og avvikshåndtering innen informasjonssikkerhet og personvern. Last ned pdf av retningslinjen. Innholdsfortegnelse [-] Formål Gjelder for Avgrensning Overordnede prinsipper Avvikshåndtering Melde avvik Meldingens innhold Oppfølging av avvik Brudd på personvern Lukking av avvik Roller og ansvar Rektor Direktør for Organisasjon og infrastruktur Linjeleder (avvikseier) Leder av Avdeling for virksomhetsstyring Leder av HR- og HMS-avdelingen Leder av IT-avdelingen Leder av Seksjon for digital sikkerhet Ansatte og studenter Tiltakseier Personvernombud English version - Policy for Discrepancy Reporting and Discrepancy Processing in Information Security and Privacy Type dokument: Retningslinje Forvaltes av: Leder av IT-avdelingen Godkjent av: Direktør for Organisasjon og infrastruktur Gjelder fra: 12.06.2023 Neste revisjon innen: 12.06.2025 Klassifisering: Åpen Referanse ISO: 27002: 5.27,6.4,6.8 Referanse NSMs grunnprinsipper for IKT-sikkerhet: 4.4 Referanse LOV/Regel: Eforvaltningsforskriften § 15, § 25, Personopplysningsloven Referanse interne dokumenter: Politikk for informasjonssikkerhet Formål Formålet med avviksmelding og avvikshåndtering innenfor informasjonssikkerhet og personvern er å håndtere brudd på gjeldende lover og regler samt interne retningslinjer og rutiner. Et særskilt formål er å sikre effektiv melding til Datatilsynet ved brudd på håndteringen av personopplysninger. Det er også et formål å sørge for at berørte registrerte varsles uten ugrunnet opphold slik at disse kan ivareta sine interesser. Gjelder for Retningslinje for avviksmelding og avvikshåndtering gjelder for alle som har tilgang til, og/eller bearbeider og forvalter informasjon gjennom NTNUs digitale og analoge informasjonssystemer. Avgrensning Denne retningslinjen avgrenses mot Retningslinje for hendelseshåndtering og krisehåndtering IT. Overordnede prinsipper a. Avvikshåndteringen skal bidra til kontinuerlig læring og forbedring av NTNUs rutiner, prosesser og systemer. b. Meldinger om avvik og avvikshåndteringen utgjør en betydelig del av det systematiske arbeidet med informasjonssikkerhet, og er en viktig del av NTNUs internkontroll. c. Meldinger om avvik er nødvendig og ønskelig ved NTNU, og alle med tilgang til NTNUs informasjonssystemer har ansvar for å melde avvik ved NTNU. d. Melding om avvik og håndtering av avvik skal føre til positive konsekvenser for den enkeltes arbeidshverdag og for NTNU som helhet ved at NTNUs arbeidsprosesser og systemer forbedres og effektiviseres. e. Å reagere på avvik er ikke forbundet med negative sanksjoner. Det betyr at både den som oppdager avviket, og den som melder det inn er beskyttet mot negative reaksjoner. f. Der resultatet av avviksbehandlingen er knyttet til behandling av personopplysninger skal behandlingen dokumenteres og gjennomgås av ledelsen. Avvikshåndtering Et avvik er i denne retningslinjen definert som et brudd på lover og regler, samt brudd på NTNUs interne regler, politikk og retningslinjer som regulerer enten direkte eller indirekte bruken av NTNUs informasjonssystemer, herunder behandling av personopplysninger. Avvikshåndtering er den samlede prosessen med å avdekke, melde, behandle, rapportere status på, samt lukke avviket. Håndteringen skal gjøre det mulig å gjenopprette tilstanden, fjerne årsaken til avviket, redusere negative konsekvenser for både NTNU og tredjepersoner, samt lettere unngå fremtidige informasjonssikkerhetsbrudd og brudd på personvernet. På den måten bidrar avvikshåndteringen til kontinuerlig læring og forbedring av NTNUs rutiner, prosesser og systemer. Illustrasjon over prosessen for avvikshåndtering Melde avvik a. Den eller de som oppdager avvik skal melde avviket i NTNUs digitale avvikssystem uten unødvendig opphold. b. Hvilke kategorier skal avviksmeldes: Brudd på lover, regler og instrukser Brudd på retningslinjer, rutiner eller prosedyrer for sikker behandling av informasjon Brudd på personopplysningssikkerheten Manglende rutiner og prosedyrer for korrekt informasjonsbehandling og ivaretakelse av informasjonssikkerheten Manglende rutiner for ivaretakelse av personopplysningssikkerhet Manglende sikkerhetskontroller iht. retningslinjer Manglende tilgangskontroll til informasjonsverdier eller utstyr som benyttes til informasjonsbehandling Meldingens innhold a. Innholdet i avviksmeldingen skal, ved å benytte åpen og intern informasjon, beskrive at det har skjedd et brudd, beskrive hvor bruddet har forekommet. Innholdet skal også beskrive hva som eventuelt er konsekvensen av bruddet. b. Avviksmeldingen skal ikke inneholde personopplysninger knyttet til navn eller annen type informasjon der det kan være behov for konfidensialitet. c. Avvik skal aldri rettes mot person, men mot det elementet eller handlingen i arbeidsprosessen som forårsaket sikkerhetsbruddet. Handlingen er «subjektet» i avviket, ikke personen. d. Avvik som omhandler varsel om kritikkverdige forhold i arbeidet med informasjonssikkerhet skal registreres og håndteres i tråd med NTNUs rutiner for varsling iht. arbeidsmiljøloven. Oppfølging av avvik a. Avviket mottas av Seksjon for digital sikkerhet (SDS) som vurderer avvikets kritikalitet (lav (1), moderat(2), høy(3), svært høy(4)). b. Seksjon for Digital sikkerhet påser at det treffes nødvendige strakstiltak og at de ansvarlige blir varslet. c. Ved brudd på personvern, se punkt 4.4 d. Avvikseier skal i samråd med avviksbehandler etter beste evne kartlegge og analysere årsaken til avviket for å forsøke å finne rotårsak. Avvikseier er den linjeleder som eier arbeidsutførelsen som avviket gjelder. Kartleggingen gjør at det kan utvikles målrettede og effektive tiltak knyttet til både kompetanse, ressurser, ledelse og rutiner. Ved alle avvik hvor kritikaliteten anses som lav (1) eller moderat (2), skal avvikseier i linjen være ansvarlig for å håndtere og lukke avviket. Anses kritikaliteten til å være høy (3) eller svært høy (4) skal avvikseier være organisasjonsdirektør eller på tilsvarende nivå. e. Der avviket vurderes som alvorlig/kritisk, vil linjeleder ved den enhet der avviket oppstod være tiltakseier, og må sørge for at nødvendige og umiddelbare pålagte tiltak blir gjennomført. f. Med utgangspunkt i årsaksfaktorer skal avvikseier vurdere hvordan avviket bør håndteres, og utforme forslag til tiltak. Seksjon for Digital sikkerhet skal i samråd med avvikseier dokumentere foreslåtte tiltak i avvikssystemet med fastsatt frist og ansvarlig person for implementering av tiltak, en tiltakseier. Tiltakseiere kan være en eller flere systemeiere, prosesseiere, ledere på et annet nivå eller annen enhet, eller tiltakseier og avvikseier kan i noen tilfeller være samme person. Tiltakene skal konkretisere ønsket effekt. g. Tiltakseier skal vurdere foreslåtte tiltak. Ved tiltak som medfører omfattende endringer eller ressurser, skal tiltakseier utforme forslag til løsning med et grovt estimat for ressursbehov. Dette godkjennes av avvikseier før tiltak iverksettes. h. Tiltakseier rapporterer fremdrift på implementering av tiltaket til avvikseier i avvikssystemet samt når tiltak er implementert. i. Ledere ved NTNU skal ta opp avvik klassifisert som alvorlig eller kritisk i sine ledermøter, og benytte avvikshåndtering som en betydelig faktor i forbedringsarbeidet i sin del av virksomheten. Alle avvik knyttet til håndtering av personopplysninger skal behandles i ledermøter. Brudd på personvern a. Dersom avviket gjelder brudd på personopplysningssikkerheten hvor det er risiko for negative personvernkonsekvenser for den registrerte, eller at størrelsen av avviket er betydelig, skal datatilsynet varsles innen 72 timer. b. Jurist og personvernombud skal være kopiert på avviksmeldingen der det gjelder mulig brudd på personopplysningssikkerheten. c. Varsling til datatilsynet Seksjon for Digital sikkerhet (SDS) skal i samråd med jurist og/eller personvernombud vurdere om avviket skal meldes til Datatilsynet. Ved fravær av jurist skal SDS vurdere om avviket skal meldes til Datatilsynet. Jurist skriver varsel til Datatilsynet i samarbeid med SDS og avvikseier, og i samråd med personvernombudet. Ved fravær av jurist utformer SDS og personvernombud varselet. Linjeleder ved den enhet der avviket oppstod, vil være tiltakseier, og skal sørge for å sende inn rapport til SDS som underlag til samlerapport. d. Ved brudd på personopplysningssikkerheten og det er avvik som kan innebære en høy risiko for de registrertes rettigheter og friheter, må avvikseier/tiltakseier iverksette umiddelbare tiltak for å varsle de registrerte slik at de kan ivareta sine interesser. Varselet skal inneholde: Klar og tydelig beskrivelse av arten til bruddet på personopplysningssikkerheten Kontaktopplysning til personvernombud Sannsynlige konsekvenser Beskrive skadebegrensende tiltak som er iverksatt eller planlagt iverksatt Varslingen skal gjøres av tiltakseier og uten ugrunnet opphold etter å ha blitt kjent med avviket. Lukking av avvik a. Avvik lukkes av avviksbehandler når tiltakene er implementert/gjennomført av tiltakseier, og fungerer etter hensikten. Avvik kan også lukkes ved mer omfattende og langsiktige tiltak som ennå ikke er implementert, men som er akseptert og planlagt iverksatt av tiltakseier. b. Avvikseier aksepterer ferdigstilte tiltak. SDS lukker avviket i samråd med avvikseier. c. Avviket kan lukkes også når ikke alle tiltak er ferdig implementert hvis kortsiktige tiltak for å begrense skadevirkning er implementert. Det forutsettes at korrigerende tiltak er påstartet, men er av et omfang som det vil ta lang tid å få ferdig implementert. d. Avvikseier rapporterer til avviksmelder at avviket er lukket. e. Avvikseier rapporterer til IT-avdelingen om ønsket og oppnådd effekt av avvikshåndteringen. f. Ved avvik som gjelder personopplysninger, og som er meldt til Datatilsynet, skal tilbakemeldinger fra Datatilsynet registreres på egen sak i ephorte, saksnr 2018/43111. Jurist i avdeling for virksomhetsstyring eller SDS orienterer organisasjonsdirektør og linjeleder om utfallet. Avviksmelder gjøres kjent med tilbakemeldingen når avviket lukkes av SDS. Roller og ansvar Rektor a. er ansvarlig for å fremlegge årlig rapport om informasjonssikkerhet og avviksmeldinger for NTNUs styre Direktør for Organisasjon og infrastruktur a. er ansvarlig for at NTNU har en prosess for å håndtere avvik innen informasjonssikkerhet b. er ansvarlig for at avvikshåndtering inngår i ledelsens årlige gjennomgang av arbeidet med informasjonssikkerhet c. er avvikseier ved alvorlige eller kritiske brudd på personvernet Linjeleder (avvikseier) a. er ansvarlig for at ansatte har kunnskap om når og hvordan avvik skal meldes b. er ansvarlig for at avvikshåndtering er en del av forbedringsarbeidet ved egen enhet c. er avvikseier og ansvarlig for en forsvarlig håndtering av avvik ved egen enhet d. er ansvarlig for at tiltak distribueres til tiltakseier for implementering. e. er tiltakseier i de tilfeller overordnet nivå er avvikseier f. er ansvarlig for å trekke inn nødvendig bistand ved behov g. skal analysere avviket, vurdere hvordan avviket bør håndteres og utforme forslag til tiltak for å lukke avviket. h. er ansvarlig for å sørge for varsling til de registrerte dersom personopplysninger kan være på avveie Leder av Avdeling for virksomhetsstyring a. er ansvarlig for at avvikssystem knyttet til informasjonssikkerhet inngår som en del av NTNUs helhetlige internkontroll og virksomhetsstyring b. er ansvarlig for at NTNU har et digitalt avvikssystem for meldinger og håndtering av avvik c. er ansvarlig får å tilrettelegge for innsamling og analyser av data som viser at NTNU har en tilfredsstillende avvikshåndtering d. er ansvarlig for arbeidet med avvikshåndtering ved underlagt intern/ekstern revisjon e. skal konsulteres ved endringer i denne retningslinjen Leder av HR- og HMS-avdelingen a. er ansvarlig for at det legges til rette for og tilbys målrettet opplæring innenfor avviksprosessen for ledere og ansatte slik at avvikshåndtering skjer i henhold til denne retningslinjen b. skal konsulteres ved endringer i denne retningslinjen Leder av IT-avdelingen a. er ansvarlig for mottak, vurdering, fordeling og rapportering av avviksmeldinger b. skal vurdere om ønskede effekter av avvikshåndteringen er oppnådd Leder av Seksjon for digital sikkerhet a. er ansvarlig for ressurser til å sikre forsvarlig mottak og videreformidling av avvik innen informasjonssikkerhet b. skal konsulteres ved endringer i denne retningslinjen c. er ansvarlig for avviksbehandling innenfor informasjonssikkerhet og personvern Ansatte og studenter a. er ansvarlige for å melde avdekkede avvik inn i avvikssystemet i henhold til denne retningslinjen Tiltakseier a. er ansvarlig for implementering av de tiltak som avvikseier har utformet. b. skal melde til avvikseier når tiltak er implementert, eller det er en plan for implementering over tid. Personvernombud a. skal påse at NTNUs retningslinje om avvikshåndtering følges b. skal påse at NTNU overholder sine forpliktelser om å varsle Datatilsynet og de registrerte
Strålevern - ansvar og oppgaver
Mappe:
Norsk
UTGÅTT, IKKE GYLDIG. NYE SIDER OM VEDRØRENDE STRÅLEVERN FINNER DU HER. NTNU bruker flere typer strålekilder i forskning og undervisning. NTNU har egen godkjenning fra Direktoratet for strålevern og atomsikkerhet (DSA) for dette. Bruk av strålekilder er regulert i lovverk og NTNUs egne retningslinjer. Mange strålekilder kan medføre skade på mennesker og materiell. English version: Radiation protection – responsibility and task delegation Ser du etter noe annet? Temaside om HMS | Sider merket med strålevern Innholdsfortegnelse [-] Ansvar og oppgaver Linjeleder Faglig ansvarlig Instrumentansvarlig Sentral strålevernkoordinator Lokal strålevernkoordinator Brukere av strålekilder Autoriserte brukere av strålekilder Spørsmål ved HMS-runde Strålekilder ved NTNU Bruk av strålekilder når det er flere til stede Sjekkliste for nyanskaffelse Hjelp NTNU-bestemmelser Lovverk Kontakt Godkjenning Ansvar og oppgaver Linjeleder Linjeleder har ansvar for at arbeid med strålekilder gjøres på forsvarlig måte og at det lokale strålevernet fungerer tilfredsstillende. Du som er linjeleder skal: Utpeke en eller flere lokale strålevernkoordinatorer eller selv ivareta strålevernkoordinatorens oppgaver. Sørge for at lokale strålevernkoordinatorer har tilstrekkelig kompetanse, tid og ressurser til å utføre arbeidet. Sørge for at alle som jobber med strålekilder har tilstrekkelig kompetanse, minimum tilsvarende strålevernskurs som tilbys gjennom Kompetanseutvikling ved NTNU (krever innlogging).Vurdere om det er nødvendig å etablere lokal beredskapsplan for ulykker, uhell og unormale hendelser med strålekilder. Lokal beredskapsplan skal sammenholdes med sentral og stedlig beredskapsplan, DFU10 Ulykke og uhell med strålekilder. Det er viktig at beredskapsplanen gjøres kjent i virksomheten. Sørge for at det fins lokale retningslinjer for bruk av strålekilder der dette er nødvendig. Påse at risikovurdering blir gjennomført. Sørge for inndeling av yrkeseksponerte ansatte i henhold til §31 i Strålevernforskriften, og at disse blir registrert i Nasjonalt yrkesdoseregister.Sørge for at ansatte får helseundersøkelse i henholdt til kravene i Forskrift om utførelse av arbeid §15-4 (ioniserende stråling), §16-7 (kunstig optisk stråling) og §16 A-7 (elektromagnetiske felt). Se også NTNUs interne bestemmelser om helseundersøkelser og synsundersøkelser. Sørge for at det føres register over arbeidstakere som arbeider med ioniserende stråling i henhold til §31-4 i Forskrift om utførelse av arbeid.Sørge for at sjekkliste for nyanskaffelse følges når det anskaffes laser klasse 4, elektronmikroskop, røntgenapparat eller andre apparater som kan medføre vesentlig risiko. Faglig ansvarlig Med faglig ansvarlig menes en person som har til oppgave å lede eller kontrollere andre arbeidstakere eller studenter i arbeid i laboratorier, verksteder eller felt. Dette kan for eksempel være faglig veileder i doktorgrads- eller studentprosjekt, prosjektleder, leder for faggruppe eller laboratorium. Faglig ansvarlig skal: Skaffe til veie nødvendige opplysninger om aktuelle strålekilder. Gjøre seg kjent med sentrale og lokale retningslinjer, håndbøker, bruk av måle- og verneutstyr, avfallshåndtering samt lokale beredskapsplaner som berører arbeid med aktuelle strålekilder.Informere lokal strålevernkoordinator om strålekilder og bruk av strålekildene (anskaffelse, lokalisering, forflytninger, avhending, eventuelle utslipp, med videre).Samarbeide med lokal strålevernkoordinator om driftsinstrukser, nødprosedyrer og lignende.Gjennomføre risikovurdering av arbeid med strålekilder, inklusiv gjennomføring av nødvendige tiltak. Autorisere brukere, sørge for at brukere av strålekilder har riktig kompetanse, definere tilgang til apparatur og rom med strålekilder.Kontrollere: Forsvarlig oppbevaring og funksjon til sikkerhetsutstyr.Sørge for at avfall fra arbeid med strålekilder oppbevares og avhendes i henhold til retningslinje.Informere alle med tilknytning til lokalene (for eksempel verneombud, romansvarlig, driftspersonell) om arbeidet med strålekildene og nødvendige forholdsregler.Vurdere nødvendige tiltak, sikkerhetsutstyr og -funksjoner. Vurdere egnet utstyr for kontrollmålinger av strålekilder.Sørge for faremerking, adgangskontroll, tiltak mot tyveri, sabotasje, brann skader, vannskader og lignende for kilder, utstyr og arbeidsplasser (hele eller deler av rom).Sørge for at arbeidet blir organisert på en slik måte at strålingsbelastning minimeres. Instrumentansvarlig For enkelte strålekilder vil det være aktuelt å oppnevne en instrumentansvarlig. Se mer om dette her: Strålevern - røntgenapparat og Strålevern - lasere. Sentral strålevernkoordinator NTNUs strålevernsarbeid ivaretas av strålevernkoordinatorer sentralt ved HMS-seksjonen og lokalt ved enhetene. Sentral strålevernkoordinator skal: Administrere NTNUs systematiske strålevernsarbeid. Ha oversikt over hvilke lover, forskrifter og lokale bestemmelser som gjelder for NTNUs strålekilder. Sørge for tilbud om generell opplæring innen strålevern. Være kontaktledd mellom Direktoratet for strålevern og atomsikkerhet (DSA) og NTNU. Rapportere til HMS-sjefen. Bistå enhetene med: Veiledning i sikker bruk av strålekilder og verneutstyr Bestemmelse (måling, estimering) av strålingseksponering og stråledoser Risikovurdering av aktiviteter der strålekilder inngår Veiledning ved avhending av strålekilder og fjerning av radioaktiv forurensning i arbeidslokalene. Bistå ved vurdering av strålingseksponering og mulig helserisiko Lokal strålevernkoordinator Lokale strålevernkoordinatorer er utnevnt for å ivareta strålevern ved enheter som bruker og håndterer strålekilder. Lokal strålevernkoordinator skal: Administrere lokalt strålevernsarbeid. Ha kunnskap om og gi veiledning om bestemmelse av strålingseksponering, håndtering av søl/kontaminering, avhending av strålekilder, og lignende. Bistå ved risikovurdering, opplæring og arbeid med sikkerhetstiltak. Drive lokal opplæring i NTNUs retningslinjer for strålekilder og jobbe for å gjøre disse kjent blant ansatte som jobber med strålekilderHa oversikt over: Alle strålekilder ved enheten; innkjøp, bruk, oppbevaring og avhending. Opplysninger om plassering, kildetype og midlertidige forflytninger skal også registreres. Listene skal føres fortløpende for hvert enkelt laboratorium eller forskningsgruppe. Evt. serienummer eller annen informasjon som entydig kan identifisere kildene skal registreres. Lokal strålevernkoordinator skal aktivt etterspørre endringer knyttet til strålekilder (anskaffelser, forflytninger, avhendinger osv.) 1 gang pr år. Alle som bruker strålekilder ved enheten, hvilken kompetanse de har og hvilken kategori av yrkeseksponerte ansatte de tilhører (i henhold til §31 i Strålevernforskriften). Se mal for oversikt (docx). Som yrkeseksponert regnes alle ansatte som eksponeres for stråling i forbindelse med sitt yrke, der strålekilden eller eksponeringssituasjonen er en påregnelig del av yrkesutøvelsen, og knyttet til yrkesutøvelsen. I NTNU-sammenheng omfatter dette også masterstudenter og stipendiater som håndterer strålekilder, enten selvstendig eller i samarbeid med andre (for eksempel veileder). Utslipp av radioaktive stoffer og avhending av radioaktivt avfall. Lovverk og retningslinjer som gjelder for enhetens strålekilder. Sørge for innmelding av meldepliktige kilder, jf. §13 i Strålevernforskriften, til Direktoratet for strålevern og atomsikkerhet sitt elektroniske meldesystem eller søknad om godkjenning for bruk hvis kilden ikke omfattes av NTNUs sentrale godkjenninger. Årlig rapportere oversikten over innkjøp, bruk, oppbevaring og avhending av strålekilder til sentral strålevernkoordinator. Være enhetens administrator i Nasjonalt yrkesdoseregister, og sørge for innmelding av nødvendige opplysninger til yrkesdoseregisteret.Melde fra til sentral strålevernkoordinator om alle brukere som kan risikere å bli eksponert for stråledoser utover 1 mSv pr år fra ioniserende strålekilder. Kontrollere at strålekilder, utstyr og alle rom der strålekilder brukes og oppbevares er forskriftsmessig merket og sikret mot tyveri, sabotasje og skader forårsaket av for eksempel brann og vann. Forsikre seg om at bruken av strålekilder er forankret i lovverk og eventuelle lokale bestemmelser. Sørge for rutinemessige kontamineringskontroller der det er nødvendig. Sørge for at alle uhell og uønskede hendelser blir meldt som avvik. Rapportere til linjeleder. Brukere av strålekilder Se Strålevern - arbeid med strålekilder. Autoriserte brukere av strålekilder En autorisert bruker av strålekilder er godkjent for selvstendig bruk av apparatur. En autorisert bruker skal ha instrumentspesifikk kunnskap om oppstartsprosedyrer, instrumentinnstillinger, avstengning, sikkerhetsanordninger, evt. nødprosedyrer, norske forskriftskrav m.m. Spørsmål ved HMS-runde Hvordan sikrer enheten at kravene til godt strålevern er oppfylt? Har enheten behov for å utvikle/forbedre egne rutiner, og i så fall hvilke? Hvordan arbeider enheten for å redusere mulig eksponering av personer og nærliggende områder for enhetens strålekilder? Hvordan arbeider enheten for å redusere bruk av ioniserende strålekilder, evt. gå over til ioniserende kilder med lavere aktivitet? Hvordan forebygges utslipp av eventuelle miljøskadelige strålekilder? Strålekilder ved NTNU Strålekilder deles i to hovedkategorier: Ioniserende: Radioaktive stoffer, røntgenapparater, elektronmikroskoper Ikke-ioniserende: Lasere, kortbølget ultrafiolett stråling (UVC), kilder med potensielt skadelig elektromagnetisk stråling og andre. De viktigste strålekildene ved NTNU: Lasere Radioaktive kilderRøntgenapparatUVC-kilderElektronmikroskop Bruk av strålekilder når det er flere til stede Den ansvarlige for forsøk/demonstrasjon skal forsikre seg om at alle tilstedeværende har forstått faremomentene og benytter nødvendig verneutstyr. Ved demonstrasjoner for spesielle grupper, f.eks. barn, vil oppfølging av sikkerhetstiltak være særskilt viktig. Sjekkliste for nyanskaffelse Ved nyanskaffelser av klasse 4-lasere, elektronmikroskop, røngtenapparat, eller andre apparater som kan medføre vesentlig risiko, skal følgende avklares: Hvem er eier (ved innkjøp i felleskap med flere enheter)? Eier skal sørge for at kilder som er meldepliktige i henhold til Strålevernforskriften §13 meldes i Statens strålevern sitt elektroniske meldesystem for strålekilder før kilden anskaffes.Hvem er hovedansvarlig for HMS (ved innkjøp/samdrift med andre (for eksempel SINTEF). Enhetene skal utarbeide samordningsavtale. Hvem skal utføre service? Serviceavtaler? Kreves spesiell skjerming overfor naborom/nabovirksomhet?Benytt innkjøpsseksjonens sjekkliste for større innkjøp. Vurder samtidig om det er behov for å skaffe sikkerhetsutstyr og nødvendig skjermingsutstyr. Sørg for at strålekilden leveres med merkinger også på norsk.Kontakt e-vaktmester dersom det er behov for råd i forbindelse med renholdsrutiner, ventilasjonskrav med mer.Kontakt Eiendomsforvaltningen hvis det er krav om bygningstekniske endringer. Hjelp Arbeidsplassforskriften med kommentarer - ArbeidstilsynetArbeidstakerregister over eksponerte arbeidstakere - ArbeidstilsynetNasjonalt yrkesdoseregister - Statens strålevernForskrift om organisering, ledelse og medvirkning med kommentarer - ArbeidstilsynetForskrift om tiltaks- og grenseverdier med kommentarer - ArbeidstilsynetForskrift om utførelse av arbeid med kommentarer - ArbeidstilsynetFørstehjelpsutstyr - Arbeidstilsynet Graviditet og arbeidsmiljø - Arbeidstilsynet Graviditet og arbeidsmiljø med stråling - Arbeidstilsynet Graviditet og tilrettelegging/omplassering - Arbeidstilsynet ICNIRP (International Commission on Non-Ionizing Radiation ProtectionIFE (Institutt for energiteknikk, Kjeller)Ioniserende stråling - FolkehelseinstituttetIRPA (International Radiation Protection Association)Laboratorium, sikkerhet og arbeidsmiljø – ArbeidstilsynetDirektoratet for strålevern og atomsikkerhet (DSA) – hjemmeside med veiledere og annen informasjon Stråling og helse - populærvitenskapelig bok av Fysisk institutt, Universitetet i OsloUniversitetet i Bergen – strålevern Universitetet i Oslo – strålevern Universitetet i Tromsø – strålevern NTNU-bestemmelser Strålevern - arbeid med strålekilderStrålevern - lasereStrålevern - radioaktive kilderStrålevern - radioaktivt avfallStrålevern - røntgenapparatStrålevern - UVC-kilderStrålevern - elektronmikroskopStrålevern - beredskap ved uhell og ulykkeHMS-rundeMelde avvikMålrettet helseundersøkelseOptiske strålekilder og synsundersøkelseRisikovurderingRomkortSentral beredskapsplan Lovverk Arbeidsmiljøloven §§1-1, 1-2, 1-5, 4-4, 5-3, 18-1, 19-1, 20-1 Strålevern og bruk av stråling – Strålevernloven ForurensningslovenStrålevernforskriften – Direktoratet for strålevern og atomsikkerhet (DSA)Forskrift om organisering, ledelse og medvirkning- Arbeidstilsynet Arbeidsplassforskriften- Arbeidstilsynet Forskrift om utførelse av arbeid- Arbeidstilsynet Kap. 15 Ioniserende strålingKap. 16 Kunstig optisk strålingKap. 16 A Elektromagnetisk feltForskrift om tiltaks- og grenseverdier - Arbeidstilsynet Kap. 4 StrålingForskrift om administrative ordninger - Arbeidstilsynet Avfallsforskriften – Klima- og forurensingsdirektoratet Forurensningsforskriften – Klima og forurensingsdirektoratet Forurensingslovens anvendelse på radioaktiv forurensing og radioaktivt avfall - Forskrift Kontakt Sentral strålevernkoordinator: Ann Kristin SjaastadBedriftshelsetjenestenAnn Kristin Sjaastad, yrkeshygieniker Bjørg Aadahl, bedriftslege Lokale strålevernskoordinatorer Godkjenning Type dokumentRetningslinjeForvaltes avHMS-seksjonenGodkjent avHMS-sjefKlassifiseringÅpenSist oppdatert07.10.2020Neste gjennomgangOktober 2021Unntatt offentlighetNeiReferanseStrålevernforskriftenReferanse interne dokumenterHMSR32, Retningslinjer - strålevernDenne retningslinjen er underlagtHMS-politikk
Prosedyre for melding av SUSAR i klinisk legemiddelutprøving
Mappe:
Norsk
I legemiddelstudier som utgår fra NTNU må prosjektelder følge retningslinjer for meldinger av suspected unexpeted serious adverse reactions (SUSAR). For mer forklaring se retningsjlinjer i NorCRIN prosedyren «Safety reporting». Meldingene som skal registreres i den europeiske databasen EudraVigilance må først sendes via SUSAR@helse-bergen.no ved bruk av CIOMS meldeskjema. Dette meldeskjema må sendes kryptert (7-zip) vedlegg. Før studiestart anbefales avklaring omkring dette ved kontakt med Klinisk forskningsenhet Midt-Norge. For å rekke registrering av SUSAR til EudraVigilance innen henholdsvis 7 og 15 dager skal sponsor sende melding til Helse Bergen med følgende tidsfrister: Innen 3 dager (72 timer) for SUSAR som medfører risiko for død og livstruende sykdom Innen 5 dager for andre typer SUSAR (alvorlige hendelser)
Tjenester og hjelp for undervisning
Mappe:
Norsk
På undersidene lenger ned på sida finner du ressurser som du kan bruke i undervisning. English version:Services and help for teaching Andre relevante oversiktssider: Teknologi og verktøy for undervisning
Vedlegg lagt til av
Tonje Mogstad Høivik
.
Tjenester og hjelp 4.png
Services and help for teaching
Mappe:
English
On the child pages further down this page you'll find resources to help you with teaching and learning. Norsk versjon: Tjenester og hjelp for undervisning Other relevant pages: Technology and tools for teaching
Vedlegg lagt til av
Tonje Mogstad Høivik
.
Tjenester og hjelp 4.png
Støy
Mappe:
Norsk
Støy kan øke risiko for uhell, bidra til stress og forårsake skadet hørsel. English version - Noise Temaside om HMS | Sider merket med verneutstyr Innholdsfortegnelse [-] Arbeidsmiljø med støy Sikkerhet Støyskader Grenseverdier Aktuelle spørsmål ved HMS-runde Hjelp NTNU-bestemmelser Lovverk Kontakt Godkjenning/signatur Arbeidsmiljø med støy Støy er uønsket lyd. Lydstyrken måles i decibel (dB). For å avgjøre om støyen er skadelig eller ikke, blir det tatt hensyn til lydstyrken, hvor lenge støyen varer, hvor ofte man blir utsatt for støyen og om det er impulsstøy (smell). Sikkerhet Støy fra teknisk utstyr eller andre lydkilder skal søkes redusert gjennom skjerming eller andre tekniske tiltak ved kilden. Hvis dette ikke er tilstrekkelig må hørselvern brukes. Vær oppmerksom på at støy øker risikoen for uhell fordi støyen distraherer og fordi det blir vanskelig eller umulig å høre og forstå signaler. Støy bidrar dessuten til stress, som igjen øker belastning og risiko for å gjøre feil. Sørg derfor for at du har tilstrekkelig opplæring og nødvendig informasjon for å jobbe på en god og trygg måte. Hvis enhetens risikovurdering konkluderer med at det er nødvendig med vernetiltak og personlig verneutstyr, skal slikt utstyr være tilgjengelig og i forskriftsmessig stand. Hvis du eksponeres for hørselsskadelig støy skal du få tilbud om hørselsundersøkelse. Tilbudet gis deg på bakgrunn av risikovurdering. Bedriftshelsetjenesten kan bistå i vurderingen. Støyskader Skade på hørselen kan oppstå hvis du blir utsatt for: Uventet støy.Sterk støy.Sterk og kortvarig støy som eksplosjon, slaglyd, skudd, spikerpistol eller lignende. Risikoen for støyskade øker hvis du arbeider i støy og med visse kjemiske stoffer samtidig, særlig løsemidler som toluen, styren og karbondisulfid.Hørselstap forårsaket av støy er varig. Hørseltap fra støy på arbeidsplassen er den vanligste yrkesskaden i Europa. Støy kan også være plagsom uten at den forårsaker skader. Les mer om Støy, temaside på Arbeidstilsynet.no. Skade skal meldes i NTNUs avvikssystem. Grenseverdier Tiltaks- og grenseverdier for støy er angitt i Forskrift om tiltaks- og grenseverdier, kapittel 2. Dersom du utsettes for støy som overskrider grenseverdiene i §2-2 skal du til helseundersøkelse. Aktuelle spørsmål ved HMS-runde Produseres støy som er ubehagelig og som hindrer ansatte i å føre samtaler uanstrengt?Hvilke rutiner har enheten for bruk av personlig verneutstyr?Hvilke rutiner har enheten for å sikre tilbud om hørselstest ved fare forhørselsskade? Hjelp Laboratoriet, sikkerhet og arbeidsmiljø - ArbeidstilsynetStøy, temaside - Arbeidstilsynet NTNU-bestemmelser HelseundersøkelseHMS-rundeMelde avvikRisikovurdering Lovverk Arbeidsmiljøloven § 4-4Forskrift om organisering, ledelse og medvirkning - Arbeidstilsynet Kap 7 Risikovurdering Kap 15 Bruk av personlig verneutstyrArbeidsplassforskriften - ArbeidstilsynetForskrift om utførelse av arbeid - Arbeidstilsynet Kap 7 Arbeid med fare for forplantningsskader Kap 10-13 Arbeidsutstyr Kap 14 Arbeid som kan medføre eksponering for støy eller mekaniske vibrasjoner Kap 22 Sikkerhetsskilting og signalgivingForskrift om tiltaks- og grenseverdier - Arbeidstilsynet Kap 2 StøyForskrift om administrative ordninger - Arbeidstilsynet Kontakt BedriftshelsetjenestenMargunn Losengaard Karlsen, bedriftssykepleierAnn Kristin Sjaastad, yrkeshygienikerBjørg Aadahl, bedriftslege Godkjenning/signatur Godkjent av HMS-sjef - 7. juli 2014 - HMSR59 - ePhorte 2013/11308
Personvernombud NTNU
Mappe:
Norsk
Alle offentlige virksomheter har med innføringen av GDPR krav om å ha et eget personvernombud. Temaside om informasjonssikkerhet | Sider merket med Personvern Hvem er personvernombud ved NTNU? NTNUs personvernombud er Thomas Helgesen. Personvernombudets oppgaver Personvernombudet skal gi NTNUs ledelse og ansatte informasjon og råd om forpliktelsene NTNU har i henhold til EUs personvernforordning og norsk lovgivning om personvern.Personvernombudet skal kontrollere at EUs personvernforordning og annen relevant lovgivning om vern av personvernopplysninger og interne retningslinjer overholdes og at personvernkonsekvenser vurderes der det kan være høy risiko for personers rettigheter og friheter.Personvernombudet skal på anmodning gi råd om vurdering av personvernkonsekvenser (DPIA) og kontrollere gjennomføringen av den. NTNU som behandlingsansvarlig skal sørge for at personvernombudet involveres i rett tid og på riktig måte i personvernspørsmål. NTNU har en rådføringsplikt med personvernombudet. Dette trer inn i stedet for meldeplikten og konsesjonsplikten som gjaldt før den nye GDPR-lovgivningen kom.Ansatte og studenter ved NTNU kan søke generell veiledning hos personvernombudet.Personvernombudet skal være et kontaktpunkt for de registrerte (de personer som det behandles persondata om) og for Datatilsynet. Personvernombudet skal holde seg informert om og følge opp avvik ved brudd på personvernet.
Viser 21 - 40.
← Første
Forrige
Flere