Behandling av personopplysninger for systemeiere

Behandling av personopplysninger for systemeiere

Systemeiere ved NHH har ansvaret for at personopplysninger håndteres på rett måte fra behandlingen starter til den avvikles.

Systemeiers ansvar for personvernet ved behandling av personopplysninger omfatter følgende oppgaver:

  • Ved innkjøp/utvikling av systemet eller tjenesten

    Ved innkjøp/utvikling av systemet eller tjenesten

    • Ved innkjøp, sørge for å kreve innebygget personvern fra leverandør av systemløsning.
    • Beskrive og dokumentere hva personopplysningene som behandles i systemet eller tjenesten skal brukes til: hva er formålet/hensikten med systemet eller tjenesten?
    • Beskrive og ha oversikt over hvilke typer personopplysninger som skal behandles i systemet eller tjenesten.
    • Beskrive hvilken hjemmel/lovlig grunn NHH har til å behandle personopplysninger i systemet eller tjenesten.
    • Beskrive kravene til nødvendig beskyttelse av personopplysningene som skal behandles i systemet eller tjenesten for å sikre at systemet eller tjenesten har tilstrekkelig teknologi og mekanismer for å oppfylle kravene.
  • Før bruken av systemet eller tjenesten starter

    Før bruken av systemet eller tjenesten starter

    • Foreta risikovurdering av informasjonssikkerhet til personopplysningene i systemet eller tjenesten.
    • Inngå avtale med eventuell databehandler (databehandleravtale) som drifter systemet eller tjenesten på vegne av NHH.
    • Melde systemet eller tjenesten til NHH sitt personvernombud.
    • Utforme informasjon til ansatte, studenter, gjesteforskere eller gjester om deres personvernrettiheter – dvs. utarbeide personvernerklæring.
    • Sørge for at det foreligger rutiner for sletting i systemet.
  • Mens systemet eller tjenesten er i bruk

    Mens systemet eller tjenesten er i bruk

    • Kontrollere at personopplysningene som behandles i systemet eller tjenesten ikke brukes til helt andre formål enn hva som er planlagt uten at behandlingsgrunnlaget dekker dette, herunder samtykke eller lovhjemmel.
    • Kontrollere at personopplysningene som behandles i systemet eller tjenesten har tilfredsstillende kvalitet, det vil si at opplysningene er tilstrekkelige og relevante, korrekte og oppdaterte.
    • Kontrollere at det ikke registreres overskuddsinformasjon i systemet eller tjenesten (personopplysninger som ikke er nødvendige for å ivareta formålet/hensikten med systemet eller tjenesten).
    • Slette eller anonymisere overskuddsinformasjon som likevel er blitt registrert i systemet eller tjenesten.
    • Besvare henvendelser fra og ivareta rettighetene til den som personopplysningene gjelder.
    • Foreta jevnlige risikovurderinger av informasjonssikkerhet til personopplysningene som behandles i systemet eller tjenesten.
    • Iverksette tiltak som sørger for at informasjonssikkerheten til personopplysningene som behandles i systemet eller tjenesten er tilfredsstillende.
    • Jevnlig kontrollere at eventuelle databehandlere overholder vilkårene i inngåtte databehandleravtaler.
    • Melde inn avvik som oppstår ved behandling av personopplysninger i systemet eller tjenesten.
    • Melde inn vesentlige endringer i bruken av systemet eller tjenesten til personvernombudet ved NHH.
    • Bistå ved årlig internkontroll.
  • Ved avvikling av systemet eller tjenesten

    Ved avvikling av systemet eller tjenesten

    • Avgjøre hvilke personopplysninger som skal slettes, eventuelt anonymiseres, og hvilke som skal arkiveres.
    • Sørge for at alle personopplysninger som ikke skal arkiveres blir forsvarlig slettet og anonymisert.
    • Sørge for at personopplysninger som skal tas vare på blir arkivert.

Spørsmål? Kontakt personvernombud@nhh.no

NHH har et eget ledelsessystem for informasjonssikkerhet. Systemeiere som ikkje har tilgang kan kontakte IT-seksjonen via helpdesk@nhh.no