Internkontroll

Ledelsens ansvar

Forskningen har ofte behov for personopplysninger. Bruken er regulert ved lov. Den daglige håndteringen av personopplysninger foretas av forskere og studenter. Men det juridiske ansvaret for at loven følges har øverste leder ved forskningsinstitusjonen. Hvordan skal ledelsen sørge for at forskere og studenter til en hver tid behandler personopplysninger lovlig, forsvarlig og sikkert?

Gi skriftlige rutiner og god opplæring

Ledelsens beste hjelpemiddel er skriftlige rutiner og god opplæring. Ledelsen har plikt til å lage et internkontrolldokument. Det skal inneholde instrukser til ledere og ansatte om deres oppgaver i arbeidet med personopplysninger. Dokumentet bør deles i tre hoveddeler, slik at alle lett finner frem til sine rutiner:

  1. Rutiner for ledelsen: skaffe oversikt over behandlingen av personopplysninger og regelverket, lage sikkerhetsstrategi, beskrive rutiner og gi opplæring til ansatte, sørge for jevnlig revisjon av rutinene.
  2. Rutiner for forskere, veiledere og studenter: vurdere om det er nødvendig med personopplysninger i prosjektet, skaffe riktige forhåndstillatelser, ivareta lovens grunnkrav og deltagernes rettigheter, sørge for sikker lagring/bruk av data, sikre lovlig avslutning (anonymisere eller ha lov til å arkivere persondata)
  3. Rutiner for ansatte i forskningsadministrasjonen: føre jevnlig tilsyn med forskningen, oppdage og håndtere avvik, gi innspill til ledelsen om revisjon av internkontrollrutiner.

Det er ikke nok å lage dokumentet. Ledelsen har ansvar for at alle i virksomheten kjenner rutinene. Derfor må rutinene beskrive tydelig hvem som skal gi opplæring til ulike grupper av ledere og ansatte.

Dokumentet bør revideres årlig, for å oppdatere rutinene i lys av avvikssaker og endringer i regelverk, forskningsvirksomhet og sikkerhetssituasjon.

Gode rutiner forebygger avvik, og gjør at institusjonen kommer godt ut ved tilsyn.

Hva gjør personvernombudet?

Som personvernombud er NSD en god rådgiver for ledelsen i internkontrollarbeidet. Våre brosjyrer gir veiledning i hvordan man lager et internkontrolldokument, og konkrete tips til rutiner. Vi gir også råd til institusjoner som ønsker innspill til sine rutinebeskrivelser.

NSD avlaster også institusjonen med mange praktiske internkontrolloppgaver. Vi veileder ledere og administrativt ansatte, forskere og studenter om forskning og personvern. Vi foretar forhånds- og etterkontroll av enkeltprosjekter. Vi varsler ledelsen om avvik og bistår i avvikshåndteringen. Og vi gir institusjonen oversikt over prosjektene i Meldingsarkivet, slik at institusjonen selv kan føre tilsyn med forskningen.

Vær oppmerksom på oppnevnelsen av personvernombud ikke fritar ledelsen fra ansvar. Det er ledelsens plikt å påse at internkontrollsystemet fungerer.

© NSD - Norsk senter for forskningsdata • Kontakt NSDPersonvern og informasjonskapsler (cookies)