Jeg er saksbehandler eller administrativ leder

Mange administrativt ansatte behandler personopplysninger som del av sin saksbehandling. Her finner du råd om hva du må tenke på og hvilket ansvar du har.

Publisert 8. nov. 2023 15:39 - Sist endret 8. jan. 2024 16:43

Administrative ledere

Administrative ledere omfatter i denne sammenheng instuttledere, senterledere og avdelingsledere.

Personvernansvar administrativ leder

Admininstrative ledere har ansvar for å

etablere tilfredsstillende rutiner og retningslinjer for behandling av personopplysninger for de systemer eller tjenester som anvendes i administrasjon og saksbehandling innenfor deres respektive ansvarsområder;
Sikre tilstrekkelig grunnlag for behandling;
registrere og ajourføre alle behandlinger av personopplysninger i Behandlingslisten på side om Behandlingsprotokoll:
sørge for at saksbehandlere får tilstrekkelig informasjon og opplæring om rutiner og retningslinjer;
• bistå ved årlig internkontroll (revisjon)

For instituttledere, se også mer informasjon om rutiner og ansvar for personvern i forskningsprosjekt.

Saksbehandlere

Saksbehandlere omfatter her kontorsjefer og alle i HR, Studieavdelingen, Kommunikasjon-, IT-, Økonomi- og Eiendomsavdelingen som behandler personopplysninger i forbindelse med sitt arbeid.

Saksbehandlers ansvar for personvern

Saksbehandler skal

sørge for tilfredsstillende datakvalitet på personopplysninger som behandles i saksbehandlingen (tilstrekkelige og relevante, korrekte og oppdaterte)
vurdere grunnlag for behandling av personopplysninger (Datatilsynet)
følge etablerte rutiner og retningslinjer på din enhet og interne regler for NIH
sette seg inn i klassifiseringsrutiner og lagringsguide for NIH
melde inn behov for opplæring i rutiner og retningslinjer til din nærmeste leder

Spesielt om fødselsnummer

Spesielle vilkår for bruk av fødselsnummer

Merk at fødselsnummer ikke regnes som en særlig kategori av personopplysninger (sensitiv personopplysning). Siden fødselsnummer ofte anvendes for å identifisere enkeltpersoner, inneholder personopplysningsloven likevel spesielle vilkår slik at fødselsnummer bare kan brukes når:

det er saklig behov for sikker identifisering av enkeltpersoner
sikker identifisering ikke kan oppnås på andre måter, for eksempel ved bruk av ansatt- eller studentnummer

Les mer om reglene for bruk av fødselsnummer på datatilsynet.no.

Forespørsel om adresselister

Praksis for formidling av navnelister

NIH praktiserer personvernet slik at navnelister over våre studenter i utgangspunktet ikke formidles til eksterne aktører.

Hvis formålet med tiltaket er i tråd med høyskolens målsetninger, må studentenes personvern tas med i vurderingen om hvorvidt adresselister kan formidles eksternt.

Formidling av adresselister skal registreres i Behandlingslisten.

Varsle om avvik for personvern og datasikkerhet

Send varsling til sikkerhetsavvik@nih.no. Beskriv hendelsen og hva som har skjedd. Informer også din direkte leder - dersom dette er mulig.

Eksempler på brudd kan være at personopplysninger er formidlet til noen som ikke trengte dem (kanskje som et vedlegg i en e-post eller "lenger nede" i e-posten), passord er kommet på avveie som følge av "phishing", informasjon som skulle vært lagret med tilgangsstyring er feilklassifisert og ligger åpent på nettet.

NIH - på institusjonsnivå - skal rapportere brudd på personopplysningssikkerheten til Datatilsynet innen 72 timer.

Generelle råd om personvern

Beskytt andres privatliv

Pass på at du ikke lar utskrifter bli liggende igjen i printeren (bruk sikker-print) eller på skrivebordet når du ikke er tilstede. Utskrifter skal oppbevares i låsbare skap og skal ikke tas med utenfor kontoret/arbeidsstedet.
Ikke send personsensitiv informasjon slik som bankkontonummer, personnummer osv. på mail, bruk heller tilgangsregulerte områder.
Bruk ansattnummer fremfor personnummer der det er mulig.
Husk at opplysninger fra lønns- og personalsystemet og økonomisystemene kun skal benyttes internt ved NIH. Eksterne personer som ønsker tilgang til data fra våre systemer må ta kontakt med systemeier.
Ikke lagre rapporter på personlige hjemmeområder eller ukrypterte minnepinner. Dersom du skal lagre en rapport bør dette gjøres på et fellesområde der færrest mulig andre har tilgang.
Din brukerkonto i systemene er personlig og skal aldri deles med andre eller på andre måter misbrukes. Det er viktig at du beskytter dine passord slik at disse ikke kommer på avveie.
Husk alltid å låse (Windows-tast + L) eller logge av PC når du går fra plassen din, selv om det kun er for et minutt eller to.
Vær bevisst på at du har tilgang til informasjon som kan skade dine medarbeideres/kollegers privatliv dersom det kommer på avveie. Vern derfor godt om disse opplysningene!

Vurder behovet for å lagre eller skrive ut rapporter

Du bør gjøre en grundig vurdering før du eventuelt lagrer eller skriver ut resultatet av en rapport. Har du egentlig behov for disse opplysningene senere? Eller holder det kanskje å se resultatet på skjermen der og da? Prøv å la være å lagre eller skrive ut resultatet av en rapport med mindre det virkelig er nødvendig.

Rydd opp etter deg

Dersom du har valgt å lagre eller skrive ut en rapport fra systemene, er det viktig at du sletter/makulerer denne så snart formålet er oppfylt. Sørg for å innarbeide en god rutine for jevnlig rydding og sletting av dokumenter.

Vær ditt ansvar bevisst

Gå foran som et godt eksempel og hjelp dine medarbeidere og kolleger til å adoptere dine gode vaner og holdninger til bruk av personopplysninger. Når vi sammen har et bevisst forhold til dette, kan vi være trygge på at våre personlige opplysninger er i gode hender!.

Veiledninger og annet fra Datatilsynet

Personvernprinsippene

Virksomhetens plikter

Ha behandlingsgrunnlag

Sjekkliste for virksomheten