Internkontroll

Alle institusjoner som er ansvarlig for behandling av personopplysninger har en lovpålagt plikt til å drive internkontroll med egen virksomhet. Denne plikten er beskrevet i personopplysningsloven § 14:

”Den behandlingsansvarlige skal etablere og vedlikeholde planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet.

Den behandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemda.”

Internkontroll innebærer å arbeide systematisk for at den behandling av personopplysninger som finner sted ved virksomheten er i henhold til gjeldende regelverk.

Hvordan etablere og videreutvikle internkontroll?

Datatilsynets veileder for internkontroll og informasjonssikkerhet beskriver prosessen med å etablere internkontroll. Støtteverktøyet kan brukes til å kontrollere om virksomheten tilfredsstiller lovpålagte krav til internkontroll og informasjonssikkerhet.

Hvordan bidrar personvernombudet?

Institusjoner som har avtale med NSD skal melde sine forskningsprosjekter til personvernombudet, dersom prosjektene utløser meldeplikt etter personopplysningsloven. Personvernombudet vurderer prosjektene i henhold til personopplysningsloven og helseregisterloven med forskrifter, samt veileder forskere og studenter i gjeldende regelverk. Ved angitt prosjektslutt innhenter personvernombudet informasjon fra forsker/student om personopplysningene er slettet eller om de lagres videre i tråd med nødvendige tillatelser. Ved eventuelle avvik i behandlingen av personopplysninger, vil personvernombudet underrette institusjonen, slik at institusjonen kan arbeide systematisk med å lukke og forebygge avvik. Personvernombudets forhånds- og etterkontroll av forskningsprosjektene utgjør således en sentral del av institusjonens internkontrollsystem. Institusjonen har på sin side ansvar for å tilrettelegge sine prosedyrer slik at de er tilpasset personvernombudets oppgaver. Blant annet må institusjonen ha gode rutiner for å informere forskere og studenter om meldeplikten. Institusjonen bør også påse at tilrådninger blir fulgt og sørge for at eventuelle avvik bli lukket. Videre har institusjonen ansvar for informasjonssikkerheten i det enkelte prosjekt. Meldingsarkivet gjør det enklere for institusjonen å ivareta sine oppgaver.

Meldingsarkivet - et verktøy for internkontroll

Meldingsarkivet gir institusjonen systematisk oversikt over egne forskningsprosjekter som er meldt til personvernombudet, med detaljert informasjon om hvert prosjekt, inkludert alle relevante saksdokumenter. Les mer om Meldingsarkivet.

Hvordan får jeg tilgang til meldingsarkivet?

Meldingsarkivet er rettet mot ansatte som har ansvar for kontroll og dokumentasjon av bruk av personopplysninger i forskning. Meldingsarkivet er derfor tilgangsregulert. Institusjonens ledelse bestemmer hvilke personer som skal ha tilgang på hvilket nivå, og delegerer ansvaret for distribuering av brukerrettigheter til en brukeransvarlig.

Kontakt Personvernombudet: Tlf 55 58 21 17 (tast 1) • personvernombudet@nsd.no