Om behandlingsprotokoll

NIH er pålagt å ha oversikt over alle behandlinger av personopplysninger som gjennomføres på eller av institusjonen. Dette følger av Personopplysningsloven artikkel 30.

Sist oppdatert \ Tekst: fa Skriv ut

    Vi må ha kontroll over hvor vi behandler personopplysninger, hvem vi behandler personopplysninger om og for hvilke formål vi behandler personopplysninger.

    Av praktiske årsaker har NIH to separate oversikter - en for behandlinger knyttet til admininstrative oppgaver og en for forskningsprosjekter .

    Behandlingslisten - protokoll for admininstrative behandlinger

    I "Behandlingslisten" skal administrative behandlingsaktiviteter registreres. Det innebærer behandlinger som har en vedvarende karakter, er gjentagende eller gjøres som en rutine eller etter en retningslinje.  Unntak er hvis behandlingene gjøres innenfor de sentrale system (FS, Canvas, SAP) og behandlingen gjøres til de sentrale formål.

    Benytter man imidlertid de sentrale systemene til å gjøre behandlinger som faller utenfor de sentrale formål, må disse registreres.

    Behandlingsprotokollen ligger i egen Teams-gruppe. Avdelingslederne kan selv gi sine medarbeidere tilgang til å registrere behandlinger innenfor eget ansvarsområde.

    Hva skal registreres i Behandlingslisten?

    Behandlingslisten skal vise informasjon om behandlingen, om datamaterialet og om datasikkerheten.  I regnearket er det følgende kolonner:

    • Ansvarlig enhet
    • Kontaktperson for den enkelte behandling
    • Kort beskrivelse av aktiviteten
    • Innsamlings- og behandlingsperiode
    • Når slettes data?
    • Formål 
    • Rettslig grunnlag 
    • Gruppe med registrerte 
    • Hvor mange er registrerte  
    • Hvilke persondata samles inn
    • Behandles særlige kategorier (ja eller nei)
    • Klassifisering hvilken kategori tilhører dataene - velg farge
    • Hvordan samles data inn?
    • Hvem skal bruke dataene
    • Hvor registreres, oppbevares og bearbeides data?
    • Utleveres data til andre utenfor NIH?
    • Brukes eksterne databehandlere?
    • Overføres data til utlandet - eventuelt til land utenfor EU/EØS
    • Er risikovurdering gjenomført?
    • Eventuelle kommentarer
    • Er DPIA gjennomført?


    Behandlingsprotokoll for forskningsprosjekter

    Alle forskningsprosjekter med personopplysninger skal meldes NSD (Sikt - personverntjenester) for vurdering av personvern. Den samlede oversikten over innmeldte forskningsprosjekt utgjør NIHs behandlingsprotokoll for forskningsprosjekt.