Spørsmål og svar

Ofte stilte spørsmål

Her har vi samlet svar på noen vanlige spørsmål. Du kan også finne mye god informasjon i Datatilsynets ordliste og på UNITs ressurssider.

Jeg trenger hjelp. Hvem kan jeg kontakte?

Jeg trenger hjelp. Hvem kan jeg kontakte?

Du kan kontakte informasjonssikkerhetleder - CISO

Hva er GDPR?

Hva er GDPR?

GDPR (General Data Protection Regulation) er EUs forordning om beskyttelse av personopplysninger. Den er gjort til norsk lov og trådte i kraft i Norge 20. juli 2018. Alle norske virksomheter må følge disse reglene. 

Når gjelder GDPR meg?

Når gjelder GDPR meg?

GDPR kan være relevant for deg på flere måter:

  1. NMBU har innhentet, lagret eller på annen måte behandlet opplysninger om deg, altså dine personopplysninger, f.eks. fordi du er ansatt eller student.
  2. Du er leder, systemeier, driftsansvarlig eller har på andre måter i oppgave å forvalte personopplysninger på vegne av NMBU. 

Hvem kan jeg be om hjelp angående GDPR?

Hvem kan jeg be om hjelp angående GDPR?

Alle ansatte som på en eller annen måte må forholde seg til GDPR-reglene (som systemeier eller på annen måte), kan ta kontakt med sin nærmeste leder for bistand. Du kan også ta kontakt med CISO.

Hva er en personopplysning?

Hva er en personopplysning?

Personopplysninger er informasjon eller vurderinger som alene eller sammen med andre opplysninger kan knyttes til en enkeltperson, slik at denne kan identifiseres. Eksempler er navn, adresse, telefonnummer, bilde, fødselsdato, mv.

"Pseudonyme" opplysninger om enkeltpersoner regnes også som personopplysninger. Dette er opplysninger hvor identiteten er skjult (identifiserende informasjon, for eksempel navn eller fødselsnummer, er fjernet), men det er likevel mulig å finne ut hvem opplysningene handler om (re-identifisering). I forbindelse med eksamenssensur, kan re-identifisering av personopplysninger – studentenes karakterer – skje ved at kandidatnummer erstattes med studentnavn etter at sensuren har falt.

Dersom det ikke på noen måte er mulig å identifisere hvem opplysningene knytter seg til, er opplysningene anonyme. Anonyme opplysninger regnes ikke som personopplysninger og omfattes derfor ikke av reglene i GDPR. 

Når er informasjon om personer underlagt GDPR-reglene?

Når er informasjon om personer underlagt GDPR-reglene?

NMBU følger GDPR-reglene for alle typer personopplysninger som behandles ved NMBU. Enkelte typer personopplysninger er også underlagt spesialregler, som for eksempel arkivloven eller offentlighetsloven.

GDPR-reglene gjelder ikke når studenter eller ansatte bruker personopplysninger til rent personlige eller private formål. 

Hva er sensitive personopplysninger ("særlige kategorier")?

Hva er sensitive personopplysninger ("særlige kategorier")?

Sensitive personopplysninger, som i loven kalles "særlige kategorier av personopplysninger", gjelder særlige personlige forhold, og defineres som følgende opplysningstyper:

  • rase eller etnisk opprinnelse
  • politisk oppfatning
  • religiøs overbevisning eller livssyn
  • genetiske opplysninger
  • biometriske opplysninger (som har til hensikt å entydig identifisere en fysisk person)
  • helseopplysninger
  • opplysninger om seksuelle forhold eller seksuelle orientering
  • fagforeningsmedlemskap

GDPR-forordningen setter strengere vilkår for å behandle slike opplysninger, som krever ekstra vern, jf. artikkel 9. 

Fødselsnumre er ikke ansett som en sensitiv personopplysning, jf. straks nedenfor. 

Hvilke krav gjelder for bruk av fødselsnummer?

Hvilke krav gjelder for bruk av fødselsnummer?

Fødselsnumre er ikke ansett som sensitive personopplysninger. Som for andre alminnelige personopplysninger, må man ha et behandlingsgrunnlag. I tillegg gjelder et særkrav etter personopplysningsloven § 12, som lyder: "Fødselsnummer og andre entydige identifikasjonsmidler kan bare behandles​ når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering."

Hvis man kan identifisere vedkommende person godt nok på annen måte, feks. ved bruk av navn, kundenummer, eller lignende, er det altså ikke tillatt å bruke fødselsnumre. NMBU vil i mange tilfeller ha rett og plikt til å bruke fødselsnumre, feks. fordi vi skal rapportere inn inntektsopplysninger og lignende til Skatteetaten, NAV, mv. 

Jeg er usikker på om min innsamling av opplysninger omfattes av GDPR. Hva gjør jeg?

Jeg er usikker på om min innsamling av opplysninger omfattes av GDPR. Hva gjør jeg?

Ta kontakt med CISO.

Hva er en "behandling" av personopplysninger?

Hva er en "behandling" av personopplysninger?

Behandling er en fellesbetegnelse på alle former for bruk av personopplysninger, slik som innsamling, registrering, sammenstilling, lagring, utlevering, videresending, sletting, mv. 

Hvem er "den registrerte"?

Hvem er "den registrerte"?

Den registrerte er vedkommende person eller personer som opplysningene handler om. Dette kan for eksempel være studenter, ansatte, gjester eller respondenter i spørreundersøkelser. 

Hva er en behandlingsansvarlig?

Hva er en behandlingsansvarlig?

Den behandlingsansvarlige er den som bestemmer formålet med behandlingen av opplysningene og hvilke hjelpemiddel som skal brukes. NMBU er behandlingsansvarlig for de aller fleste alle personopplysninger som behandles i regi av NMBU. NMBU skal sørge for at bruken av personopplysninger skjer i samsvar med GDPR-reglene. 

Hva er en databehandler?

Hva er en databehandler?

En databehandler er den som behandler personopplysninger på oppdrag fra den behandlingsansvarlige. En databehandler er normalt en virksomhet. For eksempel vil JobbNorge være databehandler for alle stillingssøknader som sendes inn via deres nettsider, mens NMBU er behandlingsansvarlig. 

Hva er en databehandleravtale?

Hva er en databehandleravtale?

En databehandleravtale er en avtale mellom databehandleren og den behandlingsansvarlige om hvordan personopplysninger skal behandles. Når NMBU skal inngå slike avtaler, bruker vi UNITs maler, som finnes på norsk og engelsk.  

Hva er en systemeier?

Hva er en systemeier?

Alle datasystemer og elektroniske tjenester ved NMBU skal ha en systemeier. I vår sammenheng betyr dette at systemeieren har ansvaret for å følge opp at systemet oppfyller GDPR-kravene.

Systemeieroppgaven delegeres til den stillingen hvor det mest naturlig hører hjemme. For eksempel er økonomidirektøren systemeier for lønnssystemet (UBW), hvis ikke systemeieroppgaven er delegert videre til noen andre, som lederen for lønnsseksjonen. 

Er systemeieren personlig ansvarlig for NMBUs system?

Er systemeieren personlig ansvarlig for NMBUs system?

Nei. Systemeieren har fått delegert denne oppgaven, på samme måte som en hvilken som helst annen arbeidsoppgave. Systemeieren har altså et ansvar for å følge opp at jobben gjøres, et oppfølgingsansvar. Det endelige og juridiske ansvaret ligger alltid hos NMBU som arbeidsgiver.

Er jeg som systemeier personlig ansvarlig når jeg underskriver på en databehandleravtale?

Er jeg som systemeier personlig ansvarlig når jeg underskriver på en databehandleravtale?

Nei. Systemeieroppgaven innebærer bare at man skal sørge for at en databehandleravtale inngås, hvis det er nødvendig. Systemeieren kan bruke NMBUs maler for slike avtaler. Det er NMBU som arbeidsgiver som har det juridiske ansvaret etter avtalen, akkurat som for alle andre avtaler arbeidstakere inngår på vegne av NMBU, eksempelvis innkjøpsavtaler, arbeidsavtaler, osv. 

Hvordan gjør jeg det med dokumentasjon tilknyttet mitt system?

Hvordan gjør jeg det med dokumentasjon tilknyttet mitt system?

All dokumentasjon skal lagres i Public 360. Det er utarbeidet instruks for hvordan nødvendig dokumenter skal lagres.