Personvern
Risiko for brot på personvernet «på en rekke områder» ved Nord
Nord universitet manglar rutinar og retningslinjer for handtering av personopplysningar både innan forsking, utdanning og administrasjon, meiner personvernombodet.
OBS! Denne artikkelen er mer enn tre år gammel, og kan inneholde utdatert informasjon.
Følg styremøte ved Nord universitet her.
Ganske nøyaktig to år etter at Nord tilsette sitt eige personvernombod ligg den første årsrapporten på bordet. Rapporten avdekker store manglar i personvernet og informasjonstryggleiken ved universitetet.
- Nord manglar rutinar, retningslinjer og styrande dokument for behandling av personopplysningar. Dette gjeld både forsking, utdanning og administrasjonen.
- Rolle- og ansvarsfordelinga i handteringa av personvern og personopplysningar er uklar.
- Det finst ingen rutinar for handtering av avvik og brot på lovar og reglar for handtering av personopplysningar.
Ifølgje rapporten har to avvik ført til melding til Datatilsynet i løpet av dei siste to åra. I tillegg har det vore nokre mindre avvik, heiter det. Desse er blitt vurdert som «interne avvik hvor de ikke har vært behov for å melde til tilsynsmyndighet eller de berørte».
Kor mange avvik som faktisk har funne stad, finst det likevel ingen formell oversikt over.
«Trolig tilfeldig»
Sidan det ikkje er utarbeidd rutinar for å behandle brot på personvernet, manglar personvernombodet oversikt over kor mange avvik som faktisk er handsama. «Dette medfører trolig at det er tilfeldig om personvernombudet blir involvert i avvikssaker», står det i årsrapporten.
Ombodet har likevel «en opplevelse av» å bli inkludert i saker der det er behov for rådgiving. Dei gongene personvernombodet er blitt involvert har prosessane vore «riktige og gode».
Nord manglar system for styring av informasjonssikkerheit. Det fører til at personvernombudet har «begrenset mulighet til å føre kontroll med om Nord universitet overholder sine forpliktelser etter personvernregeleverket».
Bruken av personopplysningar er lovregulert, og universitetet skal gjennom internkontroll sørge for at rutinar og instruksar blir vurdert og oppdatert årleg, på bakgrunn av mellom anna avvikssaker.
Personvernombodet ved Nord universitet gir i rapporten uttrykk for å ha «en viss oversikt over tilstanden», gjennom det daglege arbeidet.
Nokre tiltak for å bøte på situasjonen er sett i verk. Samstundes peikar ombodet i rapporten på mangel på ressursar som ein viktig årsak til manglane.
Rektor: — Ikkje dramatisk
Overfor Khrono er rektoren ved Nord universitet, Hanne Solheim Hansen, oppteken av å avdramatisere situasjonen.
— Eg opplever ikkje dette som dramatisk, seier ho.
— Er det ikkje dramatisk om personopplysningar kjem på avveg?
— Det er alvorleg dersom det skjer, men vi er klar over at vi må ta tak i det, og kjem til å gjere det.
Hansen seier dei i liten grad handterer sensitive personopplysningar.
— Det mest sensitive er personalmapper og studentopplysningar.
— Handterer ikkje forskarane sensitive personopplysningar?
— I nokon prosjekt gjer dei det, men der har vi heilt eigne rutinar med innmelding til REK-systema (Regional etiske komitear, red.merkn.) NSD — Norsk senter for forskingsdata, seier Hansen.
Det er så langt ikkje sett av pengar til å utbetre personvernet ved universitetet.
— Pengane må vi berre finne. Vi må halde fram med implementeringa i heile organisasjonen, seier ho.
Venter på system
Personvernombodet sjølv, Toril Kringen, seier eit nytt kvalitetssystem som universitetet rullar ut sentralt, skal få skikk på styringa av personvernet og internkontrollen.
— Vi er på god veg, og universitetet er i gang med å bygge opp kvalitetssystem der rutinar, retningslinjer og internkontroll skal på plass, seier Kringen.
Som eksempel på noko som har kome på plass, viser ho til nettundervisninga, der det no skal vere retningslinjer og gode informasjonssystem på plass.
Kringen seier ho ikkje er kjent med kva tid kvalitetssystemet vil kome i drift og kunne takast i bruk personvernarbeidet.
Den eine av dei to avvikssakene som er blitt meld til Datatilsynet er ifølgje Kringen knytt til administrasjonen og faren for indirekte tilgang til sensitive personopplysningar gjennom postjournalane.
Det var etter at EUs nye personvernlovgiving (GDPR) vart innført i Noreg i 2018, at Nord tilsette eit eige personvernombod.
Nord universitet har styremøte torsdag 11.juni. Her finn du saksdokument og dagsorden.