Systemeiers ansvar for personvernet ved behandling av personopplysninger omfatter følgende oppgaver:
-
Ved innkjøp/utvikling av systemet eller tjenesten
Ved innkjøp/utvikling av systemet eller tjenesten
- Ved innkjøp, sørge for å kreve innebygget personvern fra leverandør av systemløsning.
- Beskrive og dokumentere hva personopplysningene som behandles i systemet eller tjenesten skal brukes til: hva er formålet/hensikten med systemet eller tjenesten?
- Beskrive og ha oversikt over hvilke typer personopplysninger som skal behandles i systemet eller tjenesten.
- Beskrive hvilken hjemmel/lovlig grunn NHH har til å behandle personopplysninger i systemet eller tjenesten.
- Beskrive kravene til nødvendig beskyttelse av personopplysningene som skal behandles i systemet eller tjenesten for å sikre at systemet eller tjenesten har tilstrekkelig teknologi og mekanismer for å oppfylle kravene.
-
Før bruken av systemet eller tjenesten starter
Før bruken av systemet eller tjenesten starter
- Foreta risikovurdering av informasjonssikkerhet til personopplysningene i systemet eller tjenesten.
- Inngå avtale med eventuell databehandler (databehandleravtale) som drifter systemet eller tjenesten på vegne av NHH.
- Melde systemet eller tjenesten til NHH sitt personvernombud.
- Utforme informasjon til ansatte, studenter, gjesteforskere eller gjester om deres personvernrettiheter – dvs. utarbeide personvernerklæring.
- Sørge for at det foreligger rutiner for sletting i systemet.
-
Mens systemet eller tjenesten er i bruk
Mens systemet eller tjenesten er i bruk
- Kontrollere at personopplysningene som behandles i systemet eller tjenesten ikke brukes til helt andre formål enn hva som er planlagt uten at behandlingsgrunnlaget dekker dette, herunder samtykke eller lovhjemmel.
- Kontrollere at personopplysningene som behandles i systemet eller tjenesten har tilfredsstillende kvalitet, det vil si at opplysningene er tilstrekkelige og relevante, korrekte og oppdaterte.
- Kontrollere at det ikke registreres overskuddsinformasjon i systemet eller tjenesten (personopplysninger som ikke er nødvendige for å ivareta formålet/hensikten med systemet eller tjenesten).
- Slette eller anonymisere overskuddsinformasjon som likevel er blitt registrert i systemet eller tjenesten.
- Besvare henvendelser fra og ivareta rettighetene til den som personopplysningene gjelder.
- Foreta jevnlige risikovurderinger av informasjonssikkerhet til personopplysningene som behandles i systemet eller tjenesten.
- Iverksette tiltak som sørger for at informasjonssikkerheten til personopplysningene som behandles i systemet eller tjenesten er tilfredsstillende.
- Jevnlig kontrollere at eventuelle databehandlere overholder vilkårene i inngåtte databehandleravtaler.
- Melde inn avvik som oppstår ved behandling av personopplysninger i systemet eller tjenesten.
- Melde inn vesentlige endringer i bruken av systemet eller tjenesten til personvernombudet ved NHH.
- Bistå ved årlig internkontroll.
-
Ved avvikling av systemet eller tjenesten
Ved avvikling av systemet eller tjenesten
- Avgjøre hvilke personopplysninger som skal slettes, eventuelt anonymiseres, og hvilke som skal arkiveres.
- Sørge for at alle personopplysninger som ikke skal arkiveres blir forsvarlig slettet og anonymisert.
- Sørge for at personopplysninger som skal tas vare på blir arkivert.
Spørsmål? Kontakt personvernombud@nhh.no