Bortfall av konsesjon fra Datatilsynet
Når det nye personvernregelverket (GDPR) trer i kraft, faller både melde- og konsesjonsplikten bort. Vilkårene gitt i konsesjonen bortfaller også. Det blir altså ikke lenger konsesjonsplikt for forskning, kvalitetssikring og helseregistre. Den erstattes av andre plikter som i praksis betyr at virksomhetene selv må gjøre de vurderingene som Datatilsynet tidligere har gjort ved behandling av konsesjonssøknader.
Man flytter altså ansvaret for behandling av personopplysninger fra tilsynsmyndigheten til virksomhetene, og fjerner byråkratiske prosesser for behandling av personopplysninger. Tilsynsmyndighetene vil gå over til å kontrollere etterlevelse av regelverket gjennom tilsyn heller enn å forhåndsgodkjenne behandlinger.
Datatilsynet har avgjort at selv om det nye regelverket ikke gjelder før 25.mai, er alle virksomheter fritatt fra disse pliktene allerede nå, og de vil ikke lenger behandle konsesjonssøknader. Det vil heller ikke være behov for å søke om å gjøre endringer i allerede pågående behandlinger.
Eksisterende konsesjoner vil kunne brukes som god veiledning i hvordan vi skal tolke og anvende forordningens regler fremover og Datatilsynet anbefaler at dere følger disse i størst mulig grad fremover og dokumenterer eventuelle endringer. Eventuelle endringer bør erstattes med andre tiltak som holder ulempene for behandlingen av data på et akseptabelt nivå. Informasjon om UiOs rutiner som følge av dette vil komme fortløpende.
Les mer på Datatilsynet sine nettsider
Oppdatering av registreringer Helseforsk
UiO har opprettet et GDPR-prosjektet som skal tilrettelegge for at universitetets prosedyrer, rutiner og praksis knyttet til håndtering av personopplysninger er i tråd mer det nye regelverket. Prosjektet ønsker nå at alle enheter gjør en gjennomgang for å sikre at alle prosjekt som behandler personopplysninger som tilhører oss er registrert både hos personvernombudet NSD/REK og i Helseforsk. Vennligst gå gjennom dine prosjekter og se at alt stemmer. Sjekk spesielt at du har huket av og lastet opp REK- og/eller NSD-godkjenninger, for da er du sikker på at det er registrert i hht nytt lovverk. Dersom du oppdager at du skulle meldt inn behandling av personopplysninger til NSD og/eller REK, registreres dette i skjemaet for etterregistrering av prosjekt, før 11.mai, så vil USIT følge dette opp.
Det er selvsagt ønskelig at man registrerer og oppdaterer i Helseforsk som del av rutinemessig gjennomgang dersom man har nye eller endrede prosjekter (med eksisterende godkjenninger fra REK/NSD). Se veiledning for utfylling i Helseforsk på HELSAMS nettsider
UiOs GDPR-prosjekt kan følges her
Lurer dere på noe kan dere ta kontakt med Fakultetets personvernteam Katrine Ore katrine.ore@medisin.uio.no og Hilde Henriksen hilde.henriksen@medisin.uio.no
Kartlegging av IT-systemer
Har du vært i dialog med USIT for å klarere ut bruken av et bestemt system?
Bruker du en programvare/system utenfor det som finnes på en UiO-PC til å behandle ikke-anonyme data?
Vi har flere prosjektrelaterte systemer dette gjelder, for eksempel bruk av nettbrett og skytjenester og GDPR-prosjektet har utført en systemkartlegging for USIT sine systemer og delsystemer og samlet disse i en oversikt. Men det er tjenester og systemer i bruk innenfor forskning og undervisning/eksamen på fakultetene og instituttene som ikke er del av den sentrale kartleggingen og de ønsker dermed en registrering av systemene som ikke finnes i denne oversikten
Dersom du benytter systemer som ikke står oppført i oversikten skal altså følgende nettskjema brukes: https://nettskjema.no/a/96174, send kopi av kvitteringsepost til it-hjelp@helsam.uio.no.
Om du lurer på om du bør registrere et system eller har andre spørsmål, kontakt Morten Ariansen eller Viktor Bredholt: it-hjelp@helsam.uio.no