Ressursoversikt personvern

Alle forskningsprosjekt som gjennomføres av NIH-ansatte skal registreres i Prosjektweb.  Prosjektweb er tilgjengelig via Innersvingen.

For masterprosjekter må veileder registrere prosjektet og deretter legge til studenten som prosjektmedlem (@student.nih.no).

Stipendiat og veileder kan avtale seg imellom hvem som skal stå som prosjektleder i Prosjektweb. Det er uansett veileder som har forskningsansvaret for prosjektet.

I Prosjektweb får du tilgang på sjekklister/huskelister for prosjektadministrasjon. Ved å laste opp prosjektdokumenter som avtaler, budsjett og rapporteringer oppfyller du også arkiveringsplikten - dokumentene overføres direkte til P360. Se veiledere på Innersvingen/Nyttig/Forskningsstøtte.

Alle forskningsprosjekt ved NIH som inkluderer personopplysninger, skal meldes Sikt - personverntjenester (tidligere NSD) for vurdering før igangsetting. Forsker melder selv prosjektet via Sikts meldingsportal. For studentprosjekt skal studenten gi veileder tilgang til prosjektet/meldeskjema. Veileder har det formelle prosjektlederansvaret og skal ha godkjent prosjektet før det meldes inn. 

Via meldingsportalen får forsker/student også tilgang til mal for informasjonsskriv til prosjektdeltakere og samtykkeskriv. Eventuelle endringer i prosjektet – inklusiv forsinkelse og forlengelse - skal meldes Sikt.

Selv om Sikt gjør vurderinger av personvernrisiko for NIH, er det fortsatt NIH/prosjektleder som har ansvar for at prosjektgjennomføringen følger lover og regler på personvernområdet.

I prosjekter med spesielle personvernutfordringer kan det måtte gjøres en utvidet vurdering (Data Protection Impact Assessment - DPIA). Sikt kan gjennomføre DPIA i samråd med forsker og personvernombud ved NIH. 

Se mer om rutiner for melding til Sikt/Sikts tjenester her.

Fra 2022 er NSD en del av Sikt - kunnskapssektorens tjenesteleverandør. 

Personvernombudet skal ivareta personverninteressene til både studenter og ansatte og styrke institusjonens evne til å etterleve regelverket. Personvernombud ved NIH er Rolf Haavik og kan nås via e-post: personvernombud@nih.no.

Les mer om personvernombudets rolle  på Datatilsynets sider.

Seniorrådgiver Kaja Stene (HR-avdelingen) er personvernrådgiver på NIH.

Kontaktinfo:

epost kajast@nih.no 

telefon: 23 26 20 95 / 913 69 808

Sikresiden.no lages av og for norske universiteter, høgskoler og forskningsvirksomheter. På sikresiden.no gis det forebyggende opplæring og råd om hva du skal gjøre i en krisesituasjon. 

Se informasjon om personvern på sikresiden.no

Se også Sikresiden om informasjonssikkerhet

Du kan endre institusjonstilhørighet øverst i høyre hjørne hvis det ikke automatisk kommer opp Norges idrettshøgskole/NIH.

I rollen som behandlingsansvarlig har NIH en rekke personvernplikter. Pliktene følger hovedsakelig av bestemmelsene i personvernforordningen og personopplysningsloven.

NIH skal sørge for at:

• elektronisk og manuell behandling av personopplysninger skjer på en lovlig og forsvarlig måte i tråd med personvernprinsippene
• den enkelte sikres medbestemmelse over og kontroll med hvordan NIH behandler hans/hennes personopplysninger
• NIH har etablert interne rutiner, retningslinjer og gjennomfører egnede tekniske og organisatoriske tiltak som ivaretar de personvernplikter NIH er pålagt.

Les mer om personvernforordningen (lovdata.no).

Som behandlingsansvarlig er NIH pliktig til å ivareta personvernrettighetene til den som opplysningene gjelder, det vil si ansatte, studenter, gjesteforskere, gjester eller respondenter og informanter i forskningsprosjekter.

Den enkeltes personvernrettigheter gjelder ved all elektronisk behandling av alminnelige og særlige kategorier av personopplysninger som skjer i forskning, undervisning, administrasjon og formidling ved NIH. Rettighetene gjelder også ved behandling av personopplysninger som inngår (eller er ment å inngå) i manuelle personregistre.

Formålet med personvernrettighetene er at de som opplysningene gjelder skal ha medbestemmelse over og kontroll med hvordan NIH behandlinger deres personopplysninger.

For å sikre at de registrerte har medbestemmelse over og kontroll med hvordan NIH behandler deres personopplysninger, har den enkelte på visse vilkår disse rettigheter:

• rett til informasjon om behandlingsansvarlig, formålet med behandlingen av personopplysninger og eventuelle andre mottakere av personopplysningene
• rett til innsyn
• rett til retting/korrigering
• rett til sletting
• rett til begrensning av behandling
• rett til dataportabilitet
• rett til å protestere

Personvernforordningen omfatter all behandling av personopplysninger, herunder hvor elektroniske hjelpemidler blir brukt.

Med elektroniske hjelpemidler menes for eksempel:

• datamaskiner
• programvare
• datanettverk
• bærbare dataenheter (mobiltelefoner, nettbrett, pc, osv.)
• elektronisk adgangskontroll
• kameraovervåkningssystemer

Elektroniske hjelpemidler omfatter også datasystemer som benyttes ved NIH, for eksempel FS, SAP / DFØ, P360 eller Canvas.

I tillegg regnes nettbaserte ressurser, for eksempel hjemmesider, skytjenester eller pedagogiske nettjenester, som elektroniske hjelpemidler.

Hvilke regler gjelder for innføring og drift av elektroniske kontrolltiltak?

Elektroniske kontrolltiltak kan blant annet ha som formål å beskytte NIHs bygninger og verdier mot hærverk, ødeleggelse eller tyveri. Slike tiltak omfatter for eksempel bruk av kameraovervåkning og systemer for adgangskontroll hvor passeringsdata om studenter eller ansatte registreres og lagres.

Elektroniske kontrolltiltak omfatter også, på visse vilkår, innsyn i ansatte eller studenters e-post, personlige lagringsområder, private datautstyr og internettbruk.

Ved innføring av elektroniske kontrolltiltak ved NIH gjelder reglene i arbeidsmiljøloven kapittel 9. Reglene i arbeidsmiljøloven innebærer følgende:

• Kontrolltiltak skal ikke innføres uten at det foreligger en saklig grunn for det.
• Kontrolltiltak skal bare innføres dersom nytten av tiltaket klart overstiger den personvernulempen som det innebærer for ansatte, studenter, gjesteforskere og gjester.
• Kontrolltiltak skal drøftes med representanter for ansatte og studenter før tiltakene innføres.
• Det skal gis informasjon til ansatte og studenter om hvordan innførte kontrolltiltak er innrettet og fungerer.
• Innførte kontrolltiltak skal jevnlig evalueres og behovet for å opprettholde tiltakene skal vurderes.

Les mer om reglene i arbeidsmiljøloven som gjelder ved innføring av kontrolltiltak (arbeidstilsynet.no).

Arbeidsmiljøloven har særlige regler om innsyn i ansattes e-post, personlige lagringsområder, private datautstyr og internettlogger (datatilsynet.no). Innsyn i studenters e-post, personlige lagringsområder, private datautstyr og internettlogger reguleres av personvernforordningen.

Det er utnevnt system- eller tjenesteeiere for alle elektroniske kontrolltiltak som er innført ved NIH. System- eller tjenesteeierne er delegert ansvaret for at reglene om personvern og behandling av personopplysninger følges.

I tillegg til å ivareta de særlige reglene i arbeidsmiljøloven og personvernforordningen om innføring og drift av elektroniske kontrolltiltak, har system- eller tjenesteeierne for elektroniske kontrolltiltak de samme pliktene som øvrige system- eller tjenesteeiere ved NIH.

Databehandlere er eksterne aktører (ofte kommersielle selskaper eller andre universiteter/høyskoler) som har fått i oppdrag å drifte et elektronisk system eller tjeneste på vegne av NIH.

Eksterne aktører blir databehandlere for NIH når driften av elektroniske systemer eller tjenester innebærer at de får tilgang til personopplysninger som NIH er behandlingsansvarlig for.

Som behandlingsansvarlig er NIH pliktig til å sørge for at det bare brukes databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i personvernforordningen når de behandler opplysninger om ansatte, studenter, gjesteforskere, gjester eller respondenter/informanter i forskningsprosjekter.

Dette skal først skje ved at det gjennomføres risikovurderinger av informasjonssikkerheten i de eksterne systemene eller tjenestene som NIH vurderer å anvende. Dersom risikovurderingen viser at informasjonssikkerheten er tilfredsstillende, skal det inngås skriftlige avtaler (databehandleravtaler) med databehandlerne.