Bedrer kontrollen ved bruk av personopplysninger

Silje Gripsrud
Publisert

I fjor kritiserte Datatilsynet flere norske forskningsinstitusjoner for å ha manglende rutiner og for liten intern styring i forhold til bruk av personopplysninger. UiB har nå vedtatt nye retningslinjer for å sikre at kravene i personopplysningsloven blir oppfylt.

Datatilsynet utarbeidet en rapport om UiBs behandling av helse- og personopplysninger i forskningsøyemed basert på en gjennomgang av fem forskningsprosjekter, samt dokumentasjon om IT-regelverk og behandling av personopplysninger ved universitetet. Rapporten viste at dataene i prosjektene var behandlet på en forsvarlig måte og at personvernet var tilstrekkelig beskyttet, men tilsynet pekte også på mangler når det gjelder lovpålagte krav om informasjonssikkerhet og intern kontroll.

– Forskningsmiljøene har hatt ulike rutiner, men UiB som organisasjon har ikke hatt gode nok overordnete retningslinjer og rutiner for intern oppfølging av pågående prosjekter. Nå har vi utarbeidet et rammeverk som består av dokumenter knyttet til sikkerhetsstrategi og intern kontroll, sier underdirektør ved UiB, Geir Strøm.

Han sier det er beklagelig at man tidligere ikke har hatt nok fokus på personvern sentralt, men forsikrer at dette ikke betyr at det har vært noen feilbruk av personopplysninger. Her viser han blant annet til Norsk Samfunnsvitenskapelig datatjeneste som ble oppnevnt som personvernombud for forskning ved UiB i 2003. De har passet på at personvernet til dem det blir forsket på blir ivaretatt og vurdert om det enkelte undersøkelsesopplegget tilfredsstiller personopplysningslovens krav til behandling av personopplysninger.

– Har dette medført at UiB sentralt har skjøvet ansvaret over til NSD?

NSD har gjort en god jobb og sikrer rutinene i forkant og ved avslutning av forskningsprosjektene. Det UiB fikk påpakning for var at vi ikke hadde god nok sentral oversikt over pågående virksomhet. Vi skal nå forbedre rutinene opp mot NSD og avklare rollene bedre, sier Strøm.

Selv om Datatilsynet først og fremst hadde fokus på behandling av personopplysinger i forskning, oppdaget de også avvik som har betydning for UiBs behandling av personopplysninger generelt. De hevder blant annet at de eksisterende dokumentene ”Overordnet IKT-sikkerhetspolicy ved UiB” og ”Administrative IKT-system og regler for systemeiere ved UiB” er ”mangelfulle og misvisende”.

– Betyr dette at personopplysningene til de ansatte ikke har vært håndtert på en forsvarlig måte?

– Nei Men vi må bedre dokumentere våre sikkerhetskrav og de risikovurderinger som gjøres. Vi må også dokumentere våre rutiner for håndtering av avvik fra våre krav og retningslinjer, sier Strøm.

Arbeidsgruppen, som har utarbeidet de styrende dokumentene og rutinebeskrivelsene, skal også ha ansvaret for å følge opp saken ved å gjøre dokumentere lettere tilgjengelig og informere enhetene om saken. Det nye regelverket vil blant annet gjøres kjent via intranett og i ulike fora i tiden fremover.

Saken var oppe i Universitetsstyret 27. oktober og her ble de nye kvalitetssikringssystemene ved UiB vedtatt.

nyheter
På Høyden tester nå ut Commento som ny kommentarfeltløsning. Logg inn med en Google-konto eller ved å opprette en Commento-konto gjennom å trykke på Login under.

Det kan være behov for å oppdatere siden når man logger inn første gang.

Vi modererer debatten i etterkant og alle innlegg må signeres med fullt navn. Se På Høydens debattregler her. God debatt!
Powered by Labrador CMS