1. Bakgrunn og begrunnelse for prosjekt
EU har vedtatt ny personvernsforordning. Denne trer i kraft 25. mai 2018. Forordningen gir et felles Europeisk regelverk for personvern og skal styrke europeiske borgeres personvern. Forordningen skal også styrke tilliten til digitale tjenester og samtidig gjøre det lettere å utveksle personopplysninger over landegrenser. Justisdepartementet er ansvarlig for innføring av forordningen i norsk lovverk og det er ventet at Stortingsproporsjon for dette fremmes i mars 2018. Høringsutkast foreligger og UiO har avgitt høringssvar.
UiO er en stor organisasjon som behandler personopplysninger på mange områder, fra personal- og studieadministrasjon til forskning. For å sikre at vi ivaretar alle aspekter av det nye regelverket anses det som hensiktsmessig å prosjektorganisere arbeidet med gjennomføringen og sikring av etterlevelse av det nye regelverket.
2. Prosjektets mål og interessenter
Prosjektet skal utrede hvordan ny personvernforordning vil påvirke UiOs behandling av personopplysninger, herunder pålagte krav og behov, og foreslå endringer slik at det sikres at behandlingene er i tråd med det nye regelverket. Prosjektet skal identifisere eventuelle endringsbehov, behov for presiseringer og/eller endringer i ansvarsområde og områder hvor det er behov for klargjøringer som følge av nytt regelverk. Prosjektet skal også følge opp overfor den enkelte systemeier at behandlingene bringes i samsvar med ny forordning.
Prosjektets interessenter vil i særlig grad være UiOs ledelse og linjeledelse med et særlig ansvar for at personopplysningsregelverkets krav oppfylles i UiOs virksomhet. Det er derfor avgjørende for prosjektets vellykkethet at interessentene involveres og høres underveis for å sikre at leveransene er av en slik art at de i praksis kan følges opp i organisasjonen. Potensielt kan prosjektets arbeid medføre endringer i allerede etablerte rutiner og praksis, noe som vil kunne få konsekvenser for interessentene. I etterkant av prosjektets arbeid og overlevering til UiOs ledelse og linjen vil UiOs arbeid med personopplysninger som organisasjon være i tråd med nytt personvernregelverk.
3. Rammebetingelser
Ny personopplysningslov som gjennomfører EUs personvernforordning (The General Data Protection Regulation – GDPR) i norsk rett. Forordningen gjøres gjeldende som norsk rett gjennom en henvisningsbestemmelse i den nye personopplysningsloven som også vil inneholde lovbestemmelser som utfyller bestemmelsene i forordningen. Gjeldende særlovgivning vil gi føringer på deres områder i påvente av endret regulering i henhold til ny personopplysningslov.
4. Prosjektets leveranser og avgrensning
Prosjektet skal utrede konsekvensene av det nye regelverket og sikre at UiO følger de nye retningslinjene ved å foreslå endringer i gjeldende rutiner og retningslinjer der det er nødvendig.
Prosjektet gis fullmakt til å utrede og foreslå endringer på fagområder som i vanligvis er underlagt andre fagavdelinger under den forutsetning at fagavdelingene og andre relevante interessenter involveres underveis.
Prosjektet skal sammen med de relevante fagavdelingene utarbeide planer for å sikre at nye retningslinjer blir fulgt opp når det nye personvernregelverket er innført. Dette innebærer bl.a. at det skal lages planer for utarbeidelse av opplæringsopplegg for universitets ansatte og studenter.
Selve gjennomføringen av opplæringen, det å sikre etterlevelse av de nye retningslinjene og å følge opp systemeiere etter at systemet er brakt i overenstemmelse med nytt regelverk er ikke del av prosjektets leveranser.
Prosjektet har seks hovedleveranser. I arbeidet med disse skal interessentene involveres i henhold til interessentanalysen.
|
Leveranser |
Beskrivelse |
|---|---|
|
Gjennomgå UiOs personvernsstrategi og foreslå revisjon som er i tråd med personvernforordniningen, herunder gjennomgå:
Resultat: Forslag til revisjon av universitetets personvernstrategi legges frem for vedtak. |
|
Gjennomgå UiOs prosedyrer for etterlevelse av personvernforordningen og foreslå endringer og /eller nye prosedyrer for håndtering av personopplysninger som sikrer at prosedyrene er i tråd med denne. Resultat: Forslag til revisjon av universitetets prosedyrer for håndtering av personopplysninger på følgende områder: |
|
Utarbeide felles, samt gjennomgå eksisterende, personvernerklæring for UiO som er i tråd med vår personvernstrategi og våre prosedyrer, og som tilfredsstiller kravene etter personvernforordningen. Det skal også vurderes om den enkelte systemeier skal ha egne personvernerklæringer tilpasset sine behandlinger. |
|
Utarbeide felles, og gjennomgå eksistrende, samtykkeskjema for UiO og rutiner for hvordan og når samtykke skal innhentes og dokumentasjon på hvor innhentet samtykke oppevares. |
|
Revidere, og eventuelt etablere, UiOs retningslinjer for tilgangsprosedyrer til personopplysninger. Dette inkluderer krav til innsyn, retting og sletting. |
|
Gjennomgå UiOs prosedyrer ved avvik, herunder dokumentasjonskrav og hendelseshåndtering, og revidere disse i tråd med personvernforordningen. |
|
Databehandleravtale: Gjennomgå UiOs mal for databehandleravtale og sikre at den er i tråd med kravene etter personvernforordningen. Dette omfatter tilfeller både hvor UiO er behandlingsansvarlig og databehandler. Gjennomgå allerede inngåtte databehandleravtale og oppdatere disse slik at de er i tråd med kravene etter personvernforordningen. Oppdatere informasjon og rutiner for inngåelse av databehandleravtaler. Overføringsgrunnlag tredjeland: Gjennomgå og sikre at de overføringer UiO gjør i dag er i henhold til kravene etter personvernforordningen. Utarbeide informasjon og rutiner for overføring av personopplysninger til tredjeland. |
|
Overlevere revidert personvernsstrategi med tilhørende rutiner til UiOs ledelse og systemeiere ved UiO. Informere om kravene etter ny forordning og nye, vedtatte, retningslinjer ved UiO. Følge opp systemeierne i etterkant for å sikre at nye retningslinjer blir implementert og at eierskap er riktig plassert. |
|
Foreta personvernkonsekvensvurdering av de personopplysninger UiO behandler på overordnet nivå. Utarbeide retningslinjer for når og hvordan slike analyser skal gjennomføres. |
|
Gjennomgå UiOs ordning for personvernombud og sikre at den er i tråd med personvernforordningens. Foreslå eventuelle nødvendige endringer. Resultat: Etablert personvernombud i tråd med kravene i personvernforordningen. |
|
Utarbeide informasjon om ny forordning og betydningen av dette for UiO, samt informere relevante parter og enheter på UiO. Resultat: Informasjon og dokumentasjon av prosedyrer, rutiner og praksis for håndtering av universitetets håndtering av personopplysninger er tilgjengelig. |
5. Grov tidsplan
|
Fase |
Oppgave |
Frist |
Utfører |
Merk |
|---|---|---|---|---|
|
I |
Konseptfase |
15. jan 2018 |
Prosjektgruppe |
Vedtas av prosjekteier |
|
I |
Personvernstrategi |
Mai 2018 |
Prosjektgruppe |
Deler av strategi vedtas. |
|
I |
Prosedyrer for etterlevelse |
Mai 2018 |
Prosjektgruppe |
Deler av prosedyrene vedtas. |
|
I |
Gjennomføre interessentanalyse |
Jan 2018 |
Kommunikasjonsansvarlig og prosjektleder |
|
|
II |
Overlevering til linjen |
Mars – mai 2018 |
Prosjektgruppe |
Oppfølging i linjen vil kunne strekkes frem til og med mai 2018 |
|
II |
Personvernkonsekvensavurdering |
April-mai 2018 |
Prosjektgruppe |
Frist avhenger av retningslinjer fra Datatilsynet |
|
II |
Personvernombud |
Feb -april 2018 |
Prosjektgruppe |
Vedtak |
|
II |
Utarbeide informasjonsmateriell |
Mars-Mai 2018 |
Kommunikasjonsansvarlig |
Godkjennes underveis av prosjektleder, -eier og styringsgruppe |
|
III |
Informasjon ut i organisasjonen |
Feb-> 2018 |
Kommunikasjonsansvarlig |
Godkjennes underveis av prosjektleder, -eier og styringsgruppe |
Kort oppsummert kan man si at Fase I er en utredningsfase der prosjektet gjør alle vurderinger, regelendringer ol samt kommer med malverk. I Fase I inngår også konseptfasen. Fase II er fase der den enkelte systemeier tilpasser seg dette malverket og Fase III er en informasjons- og oppfølgingsfase.
6. Organisering, ansvar og hovedaktiviteter
Prosjekteier, styringsgruppen, prosjektleder og kommunikasjonsansvarlig er ansvarlig for å koordinere og bidra i konseptfasen. Styringsgruppen skal godkjenne prosjektbeskrivelsen.
Under følger beskrivelse av prosjektets organisering med ansvar for prosentandel for arbeid.
Prosjekteier
- Lars Oftedal, IT-direktør
Styringsgruppe
- Lars Oftedal (USIT)
- Johannes Falck Paulsen (EL)
- Hanna Ekeli (AF)
- Morten Dæhlen (MN)
- Monica Bakken (HF)
Prosjektleder
- Maren Magnus Voll (USIT) 60%
Prosjektgruppe
- Espen Grøndahl (USIT, 20%)
- Anita Handegard (ADS, 20%)
- Lena Charlotte Finseth (AF, 20)
- Katrine Ore (MED, 20%)
- Kommunikasjonsansvarlig Marit Brennset (USIT, 20%)
- Prosjektkoordinator – Jarle Ebeling (USIT, 40%)
- Asbjørn Hem (USIT, 20%)
- Morten Opsal (EIR, 10%) Personvernombud for administrative behandlinger
7. Budsjett
Det er ikke avsatt egne budsjettmidler til prosjektet. USITs medarbeidere fører tidsbruk på angitte CT-koder til prosjektet.
SKAIT har innvilget prosjektet NOK 625.000 til å innhente ekstern juridisk eller konsulentbistand i prosjektperioden slik at vi kan sikre at de nødvendige juridiske vurderingene blir gjennomført for å sikre prosjektets måloppnåelse.
8. Endringslogg
(Prosjektbeskrivelsen vedtas som utkast før planleggingsfase, og i endelig versjon i overgang til gjennomføringsfasen. Ved store endringer i prosjektet underveis, og minst i overgang mellom definerte gjennomføringsfaser skal dokumentet oppdateres. Ved overgang fra planleggings- til gjennomføringsfase, og ved senere revisjoner, skal det angis hvilke endringer som er gjort, hvem som har gjort endringen, og hvem som har godkjent at endringen blir foretatt.)
|
Versjon |
Dato |
Endring |
Ansvar for å beskrive endringen |
Ansvar for godkjenning av endring |
|
1 |
02.02.2018 |
Første versjon |
Prosjektleder |
Styringsgruppen |
|
2 |
08.03.2018 |
Endret tidsplan og justert tekst under 4. Prosjektets leveranser og avgrensning |
Prosjektleder |
Styringsgruppen |
|
|
|
|
|
|
|
|
|
|
|
|
9. Distribusjonslogg
(For å sikre alle relevante interessenter har mottatt siste versjon av prosjektbeskrivelsen, må distribusjonsloggen oppdateres i tråd med versjonshåndteringen.)
|
Versjon |
Dato |
Mottakere |
|
1 |
07.02.2018 |
Prosjektgruppen |
|
1 |
15.02.2018 |
Styringsgruppen |
|
2 |
19.03.2018 |
Styringsgruppen |
|
|
|
|