EUs forordning for personvern, The General Data Protection Regulation (GDPR), blir norsk lov i 2018 og de nye personvernreglene trer i kraft i mai. Det betyr at vi får nye regler for personvern i Norge. Det nye regelverket gir virksomheter nye plikter og enkeltpersoner nye rettigheter.
Her følger informasjon om forberedelser til GDPR ved Kunnskapsdepartementets tjenesteorgan avdeling BIBSYS (KDTO/BIBSYS).
Oversikt over databehandlinger
Dagens lovverk og GDPR krever en oversikt over databehandlinger og hjemmelsgrunnlag for behandling av personopplysninger. Vi oppdaterer og kvalitetssikrer vårt register over tjenester i henhold til krav stilt i GDPR.
KDTO/BIBSYS vil også kvalitetssikre vårt register over avtalepartnere, tjenester og kontaktpunkt. Vi vil involvere avtalepartnerne i dette arbeidet. Mer informasjon kommer.
Personvernerklæring
KDTO/BIBSYS etablerer/fornyer tjenestenes personvernerklæring innen 25.mai.
Avtaleverk - databehandleravtaler
KDTO/BIBSYS vil ta initiativ til nye databehandleravtaler for tjenestene. Vi prioriterer dette arbeidet ut fra personvernrisiko og administrativ kapasitet. Vi vurderer det slik at der vi har eksisterende databehandleravtaler er disse dekkende i en overgangsfase, gitt en plan for å revidere disse i henhold til GDPR. Fokus er derfor på kort sikt, innen 25.mai, å etablere nye avtaler for tjenestene Brage, Pensumlistesystem og MOOC. Eksisterende databehandleravtale for Alma/Oria vil bli revidert deretter.
GDPR har krav til utforming av databehandleravtale som ikke fanges opp i publisert mal fra Datatilsynet per dags dato. KDTOs sekretariat for informasjonssikkerhet har utarbeidet en sjekkliste for nye databehandleravtaler og publisert et forslag til mal i henhold til krav i GDPR. Arbeidet er kvalitetssikret i samråd med institusjoner i sektoren. KDTO/BIBSYS vil benytte denne malen ved etablering av nye databehandleravtaler. Lenke til sjekkliste for databehandleravtaler og forslag til nytt malverk: https://www.uninett.no/infosikkerhet/databehandleravtaler https://www.uninett.no/infosikkerhet/databehandleravtaler.%E2%80%8B
Dialog angående avtaler går via tjenesteansvarlig ved KDTO/BIBSYS. Vi ønsker at henvendelser rutes via sakssystemet til brukerstøtte.
Avtaleverk - samtykker
Under GDPR - som i dagens situasjon - er behandlingsansvarlig (les: institusjonene) ansvarlig for å etablere samtykke der dette benyttes som behandlingsgrunnlag for personopplysninger i tjenestene. Vi forutsetter at samtykke er dokumentert av behandlingsansvarlig på vegne av den registrerte, og at samtykkene blir oppdatert i henhold til krav stilt i GDPR.
Merk krav til utforming og innhenting av samtykke - se https://www.datatilsynet.no/rettigheter-og-plikter/overordnet-om-rettigheter-og-plikter/samtykke/ https://www.datatilsynet.no/rettigheter-og-plikter/overordnet-om-rettigheter....
Oppdatering av tjenester og rutiner
GDPR definerer rettigheter for den registrerte som må sikres både i tjenesten og i kjeden mellom behandlingsansvarlig og databehandler. Målet er at tjenestene skal ivareta rettighetene mest mulig innebygd og automatisert. I enkelte tilfeller vil det være behov for manuell rutine hos behandlingsansvarlig og databehandler for å møte en rettighet. Eksempelvis kan tilbaketrekking av et samtykke fordre manuell behandling for enkelte tjenester. Tjenesteansvarlig må sammen med behandlingsansvarlig definere eventuelle manuelle rutiner for tjenesten.
Alle våre tjenester, rutiner og verktøy vil ikke være fullt tilpasset alle krav i GDPR innen 25.mai, men vi skal ha en plan for videre arbeid og vi skal kunne møte et eventuelt tilsyn. Oppgavene må prioriteres ut fra personvernrisiko og vurderes opp mot øvrige oppgaver.
Internkontroll
BIBSYS har anvendt NTNUs system for internkontroll frem til overgangen til KDTO. KDTO vil etablere et nytt system for internkontroll for organisasjonen som helhet. Dette er et arbeid som vil ta noe tid. Innen et felles system er etablert vil kritiske rutiner være på plass, eksempelvis rutine for hendelseshåndtering og varsling.
Personvernombud
KDTO er i prosess med å etablere et personvernombud.
Kontaktpunkt hos oss
Alle henvendelser angående GDPR ønskes via sakssystemet til KDTO/BIBSYS brukerstøtte. Se http://support.bibsys.no/ http://support.bibsys.no/.
Vennlig hilsen
Kunnskapsdepartementets tjenesteorgan
ICT Services for Education and Research
Avd. BIBSYS