Vi må ha kontroll over hvor vi behandler personopplysninger, hvem vi behandler personopplysninger om og for hvilke formål vi behandler personopplysninger. Kravet følger av Personopplysningsloven artikkel 30.
Av praktiske årsaker har NIH to separate oversikter - en for behandlinger knyttet til admininstrative oppgaver og en for forskningsprosjekter.
Behandlingslisten - protokoll for administrative behandlinger
I "Behandlingslisten" skal administrative behandlingsaktiviteter registreres. Det innebærer behandlinger som har en vedvarende karakter, er gjentagende eller gjøres som en rutine eller etter en retningslinje. Unntak er hvis behandlingene gjøres innenfor de sentrale system (FS, Canvas, SAP) og behandlingen gjøres til de sentrale formål.
Brukes imidlertid de sentrale systemene til å gjøre behandlinger som faller utenfor de sentrale formål, må disse behandlingene registreres.
Behandlingsprotokollen ligger i egen Teams-gruppe. Avdelingslederne kan selv gi sine medarbeidere tilgang til å registrere behandlinger innenfor eget ansvarsområde.
Hva skal registreres i Behandlingslisten?
Behandlingslisten skal vise informasjon om behandlingen, om datamaterialet og om datasikkerheten. I regnearket er det følgende kolonner:
- Ansvarlig enhet
- Kontaktperson for den enkelte behandling
- Kort beskrivelse av aktiviteten
- Innsamlings- og behandlingsperiode
- Når slettes data?
- Formål
- Rettslig grunnlag
- Gruppe med registrerte
- Hvor mange er registrerte
- Hvilke persondata samles inn
- Behandles særlige kategorier (ja eller nei)
- Klassifisering hvilken kategori tilhører dataene - velg farge
- Hvordan samles data inn?
- Hvem skal bruke dataene
- Hvor registreres, oppbevares og bearbeides data?
- Utleveres data til andre utenfor NIH?
- Brukes eksterne databehandlere?
- Overføres data til utlandet - eventuelt til land utenfor EU/EØS
- Er risikovurdering gjenomført?
- Eventuelle kommentarer
- Er DPIA gjennomført?
Behandlingsprotokoll for forskningsprosjekter
Alle forskningsprosjekter med personopplysninger skal meldes Sikt - personverntjenester (tidligere NSD) for vurdering av personvern. Den samlede oversikten over innmeldte forskningsprosjekt utgjør NIHs behandlingsprotokoll for forskningsprosjekt.