Person­­opplysningar ikkje trygge nok ved Nord universitet

Personvernombodet ved Nord universitet peikar på at institusjonen ikkje oppfyller lovpålagde krav til personvern og behandling av personopplysningar.

I årsrapporten frå personvernombodet for 2022 blir det peikt på behov for meir ressursar for å kunne gjennomføre nødvendige tiltak. Nord universitet har i fleire år hatt vesentlege manglar i personvernet.

Rapporten skal handsamast på Nord universitets styremøte i Bodø denne veka.

Manglar opplæring

I rapporten står det mellom anna at «Nord har fulgt opp mange av personvernombudets anbefalinger». Universitetet har ifølgje ombodet fått god kontroll med personopplysningar i forsking.

Samstundes blir det peikt på ei rekke manglar. Fleire av desse medfører «risiko for at viktige krav til personvern ikke blir overholdt».

• Det er ikkje blitt laga overordna retningslinje for behandling av personopplysningar
• Det er i liten grad gjennomført opplæring (kompetansehevande tiltak) av leiarar
• Oversikten over applikasjonar og skyløysingar som tilsette tar i bruk for å lagre personopplysingar er mangelfull
• Det er blitt gjort lite for å utvikle og oppdatere internkontrollsystemet for informasjonstryggleik og personvern

Manglar tid og pengar

Ifølgje personvernombodet er manglande ressursar og låg prioritering dei viktigaste årsakene til at manglane ikkje er blitt retta opp i. I 2022 jobba ombodet i cirka 60 prosent stilling.

Dét er ikkje tilstrekkeleg, meiner ombodet sjølv, og peikar mellom anna på at det er lite kapasitet til å arbeide «på overordnet nivå» med internkontroll utviklingsarbeid.

Les også

Fortsatt hol i personvernet ved Nord universitet

I fjor viste ein intern rapport at delar av informasjonen om handtering av personopplysingar aldri vart oppdaterte etter 2016, då Nord universitet vart etablert gjennom ein fusjon av fleire institusjonar. Nord tilsette eit personvernombod i 2018, då EUs nye personvernlov stilte krav om dette. I fjor peikte ombodet på at det framleis var fleire alvorlege manglar i personvernvernet.

«Har jobba godt»

Rektor ved Nord universitet, Hanne Solheim, Hansen avviser at det står dårleg til med personvernet. Ho kommenterer i ein e-post til Khrono:

«Godt personvernarbeid består av kontinuerlig opplæring, rutiner og systemer og noen organisatoriske elementer. Vi har jobbet godt med opplæring, selv om det kan bli bedre. Vi har mange rutiner og systemer på plass og vi har flere av de organisatoriske elementene på plass.

Så er det riktig at det er flere elementer i årsrapporten fra personvernombudet fra 2021 som ikke er fulgt opp godt nok det siste året. Vi har hatt vakant stilling for informasjonssikkerhetskoordinator (CISO) i litt over et år.

Etter 3. gangs utlysning har vi nå fått en svært kompetent person på plass i denne sentrale stillingen og flere av de oppgavene som står på listen i årets årsrapport fra personvernombudet er det nå prosess på.

Jeg skal følge dette arbeidet tett slik det blir en vesentlig kortere liste med oppfølgingspunkter i neste års rapport».

Les også

Risiko for brot på personvernet «på en rekke områder» ved Nord