Bakgrunn
EU har vedtatt ny personvernsforordning (GDPR – General Data Protection Regulation). Denne trer i kraft 25. mai 2018. Forordningen gir et felles europeisk regelverk for personvern og skal styrke europeiske borgeres personvern. Forordningen skal også styrke tilliten til digitale tjenester og samtidig gjøre det lettere å utveksle personopplysninger over landegrenser.
Justisdepartementet er ansvarlig for innføring av forordningen i norsk lovverk og det er ventet at Stortingsproposisjon for dette fremmes i mars 2018. Høringsutkast foreligger og UiO har avgitt høringssvar.
Formål
Prosjektet skal utrede konsekvensene av ny personvernforordning for UiOs behandling av personopplysninger, herunder pålagte krav og behov, og foreslå endringer slik at det sikres at behandlingene er i tråd med det nye regelverket.
Prosjektet skal identifisere eventuelle endringsbehov, behov for presiseringer og/eller endringer i ansvarsområde og områder hvor det er behov for klargjøringer som følge av nytt regelverk. Prosjektet skal også følge opp overfor den enkelte systemeier slik at behandlingene bringes i samsvar med ny forordning.
Prosjektstart: 8. januar 2018
Prosjektslutt: 15. juni 2018
Hovedleveranser:
Prosjektet har 6 hovedleveranser. I arbeidet med disse skal interessentene involveres i henhold til interessentanalysen.
1: Personvernstrategi
Gjennomgå UiOs personvernsstrategi og foreslå revisjon som er i tråd med den nye personvernforordningen (GDPR), herunder gjennomgå:
- Klassifisering av data
- Oversikt over dataflyt
- Oversikt over type registrerte
- Internkontroll inkludert datasikkerhet
Resultat: Forslag til revisjon av universitetets personvernstrategi.
2: Prosedyrer for etterlevelse
Gjennomgå UiOs prosedyrer for etterlevelse av kravene i ny personvernforordning (GDPR) og foreslå endringer og/eller nye prosedyrer for håndtering av personopplysninger som sikrer at prosedyrene er i tråd med denne.
Involvering i arbeidet med prosedyrer skal skje underveis i henhold til interessentanalysen.
Resultat: Forslag til revisjon av universitetets prosedyrer for håndtering av personopplysninger på følgende områder:
2.1: Personvernerklæring
Utarbeide felles personvernerklæring for UiO som er i tråd med vår personvernstrategi og våre prosedyrer, og som tilfredsstiller kravene i ny personvernforordning (GDPR). Det skal også vurderes om den enkelte systemeier skal ha egne personvernerklæringer tilpasset sine behandlinger.
2.2: Samtykke
Utarbeide felles, og gjennomgå eksisterende, samtykkeskjema for UiO og rutiner for hvordan og når samtykke skal innhentes og dokumentasjon på hvor innhentet samtykke oppbevares.
2.3: Tilgangsprosedyrer
Revidere, og eventuelt etablere retningslinjer for tilgangsprosedyrer til personopplysninger. Dette inkluderer krav til innsyn, retting og sletting.
2.4: Avvik
Gjennomgå UiOs prosedyrer ved avvik, herunder dokumentasjonskrav og hendelseshåndtering, og revidere disse i tråd med ny personvernforordning (GDPR).
2.5: Overføring av personopplysninger
Databehandleravtale: Gjennomgå UiOs mal for databehandleravtale og sikre at den er i tråd med kravene etter ny personvernforordning (GDPR). Dette omfatter tilfeller både hvor UiO er behandlingsansvarlig og databehandler. Gjennomgå allerede inngåtte databehandleravtale og oppdatere disse slik at de er i tråd med kravene i den nye forordningen. Oppdatere informasjon og rutiner for inngåelse av databehandleravtaler.
Overføringsgrunnlag tredjeland: Gjennomgå og sikre at de overføringer UiO gjør i dag er i henhold til kravene etter GDPR. Utarbeide informasjon og rutiner for overføring av personopplysninger til tredjeland.
3: Overføring til linja og oppfølging av implementasjonen
Overlevere revidert personvernstrategi med tilhørende rutiner til UiOs ledelse og systemeiere ved UiO. Informere om kravene etter ny forordning og nye, vedtatte, retningslinjer ved UiO. Følge opp systemeierne i etterkant for å sikre at nye retningslinjer blir implementert og at eierskap er riktig plassert.
I forkant av overlevering skal det sikres at involvering og høring i henhold til interessentanalysee er gjennomført, samt at nye og/eller endrede rutiner er vedtatt.
4: Personvernkonsekvensvurdering
Foreta personvernkonsekvensvurdering av UiOs personopplysninger. Utarbeide retningslinjer for når og hvordan slike analyser skal gjennomføres.
5: Personvernombud
Gjennomgå universitetets ordning for personvernombud og sikre at den er i tråd med krav til Data Protection Officer (DPO) i ny personvernforordning (GDPR). Foreslå eventuelle nødvendige endringer.
Resultat: Etablert personvernombud i tråd med kravene i den nye forordningen.
6: Informasjon
Utarbeide informasjon om ny forordning og implikasjoner av dette for UiO, samt informere relevante parter og enheter på UiO.
Resultat: Informasjon og dokumentasjon av prosedyrer, rutiner og praksis for universitetets håndtering av personopplysninger.
Prosjektstatus:
[Tabellen oppdateres etter hvert som prosjektet går fremover. Faser som er fullført kan markeres med grønn farge. Legg gjerne inn lenke til f.eks. referat fra styringsgruppemøte der godkjenningen ble vedtatt eller andre relevante dokumenter i tabellen.]
| Konsept | Planlegge | Gjennomføre | Avslutte | Realisere | |
|---|---|---|---|---|---|
| Godkjent | Godkjent | Fase 1 - Godkjent | Fase 2 - Godkjent | Godkjent | Pågående |