Hjem
Personvernportalen
Personvernerklæring

Personvernerklæring for Universitetet i Bergen

Denne erklæringen redegjør for hvordan Universitetet i Bergen (UiB) samler inn og bruker personopplysninger. Målet med personvernerklæringen er å gi overordnet informasjon om UiBs behandling av personopplysninger.

kvinne i gull holder i sverd og vekt
Foto/ill.:
colourbox

Hovedinnhold

Denne personvernerklæringen handler om:

  • Hvem som er ansvarlig for behandling av dine personopplysninger
  • For hvilke formål UiB behandler personopplysninger
  • Hvilke plikter UiB har når vi behandler opplysningene.
  • Hvilke rettigheter du har som registrert hos oss.

Personvernerklæringen følger kravene som fremgår av Lov om behandling av personopplysninger (personopplysningsloven). Denne erklæringen oppdateres fortløpende.

Behandling av personopplysninger ved UiB

UiB skal ikke behandle personopplysninger i større utstrekning enn hva som er nødvendig for oppfylle universitetets formål. Universitetets virksomhet er nærmere beskrevet i universitets- og høyskoleloven § 1-3. Formålet med personopplysningsloven er å beskytte den enkelte mot at personvernet blir krenket ved behandling av personopplysninger. Det er viktig for UiB at behandlingen av personopplysninger derfor utgjør et så lite inngrep som mulig for den enkelte registrerte, ut ifra det som er praktisk, teknisk og økonomisk mulig, jf. personopplysningsloven og personvernforordningen artikkel 5. Som registrert har du derfor viktige rettigheter som skal ivaretas.

Behandlingsansvarlig

Universitetet i Bergen, ved rektor, er behandlingsansvarlig for virksomhetens behandling av personopplysninger. Behandlingsansvarliges oppgaver er delegert til linjelederne. Der det daglige ansvaret er delegert, kommer det frem under hvert enkelt punkt. Delegeringen omfatter kun oppgavene og ikke ansvaret.  

Oversikt over innholdet i personvernerklæringen:

Når samler UiB inn personopplysninger?

Ved UiB behandles personopplysninger for administrative formål, for arkivformål og for forskningsformål. Informasjon som er samlet inn til ett bestemt formål, kan som hovedregel ikke brukes til andre formål uten samtykke fra den det gjelder.

I hovedsak behandler vi opplysninger som du har gitt oss for en av disse årsakene:

  • Du har kontaktet oss angående studietilbud eller er eller har vært student
  • Du har søkt jobb hos oss eller er eller har vært ansatt hos oss
  • Du har vært deltaker i et forskningsprosjekt eller for annet forskningsformål
  • Du er eller har vært pasient ved en av våre klinikker
  • Du har bedt om innsyn etter offentlighetsloven
  • Du har meldt deg på kurs eller arrangementer
  • Du abonnerer på nyhetsbrev
  • UiB har en berettiget interesse å kunne kontakte deg

Vi behandler også opplysninger indirekte av følgende årsaker:

  • Vi mottar opplysninger om deg fra et annet myndighetsorgan
  • En klage eller veiledningssak inneholder opplysninger om deg
  • En avviksmelding inneholder opplysninger om deg
  • En ansatt, student, pasient eller forskningsdeltaker har oppgitt deg som nærmeste pårørende
  • En jobbsøker har angitt deg som referanse
  • Når tidligere innsamlede opplysningene er tillat gjenbrukt for forsknings- eller kvalitetssikringsformål

Sentrale lover for UiBs behandling av personopplysninger

Personopplysningsloven, som inkorporerer EUs personvernforordning (GDPR) i norsk rett i sin helhet, inneholder regler om behandling av personopplysninger, herunder innsamling, sikring, hvem som har tilgang og utlevering. Alle behandlinger av personopplysninger må overholde de grunnleggende prinsippene nedfelt i forordningens artikkel 5, herunder ha lovlig behandlingsgrunnlag i artikkel 6 for alminnelige personopplysninger, og i tillegg i artikkel 9 for behandling av særlige kategorier personopplysninger.

Forvaltningsloven, statsansatteloven, universitets- og høyskoleloven og forskrifter, inneholder saksbehandlingsregler for hvordan saker om ansatte og studenter vil bli behandlet ved UiB. Som part i en sak har man særskilte rettigheter, bl.a. om innsyn i sakens dokumenter. Universitets- og høyskoleloven regulerer på enkelte områder universitetene og høyskolene sin saksbehandling, mens den på andre områder kun legger føringer for det interne regelverket ved den enkelte utdanningsinstitusjon.

Offentleglova med forskrifter inneholder reglene for når et dokument er offentlig tilgjengelig for allmennheten, og når et dokument kan unntas offentlighet. UiB praktiserer meroffentlighet, det vil si at UiB så langt det er mulig etterstreber at dokumenter skal være offentlige.

Arkivloven inneholder regler om hvordan sakens dokumenter skal oppbevares, herunder om lagring i arkivinstitusjon.

Helseregisterloven inneholder regler om hvordan helseopplysninger som samles inn vil bli behandlet, herunder hvordan de sikres, hvem som har tilgang og om de kan utleveres til andre.

Pasientjournalloven med forskrifter inneholder bestemmelser om behandling av helseopplysninger i som er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner.

Helsepersonelloven regulerer bruk av personopplysninger til kvalitetsregistre for å evaluere pasientbehandling ved UiB og inneholder regler om helsepersonells taushetsplikt.

Helseforskningsloven med forskrift regulerer bruk av personopplysninger til medisinsk og helsefaglig forskning og må tilrås av REK. 

Dine rettigheter

Hvem kan jeg kontakte?

Behandlingsansvarlig

Personopplysningsloven og personvernforordningen artikkel 4 nr. 7)  bestemmer at behandlingsansvarlig er den institusjon som alene eller sammen med andre bestemmer formålet med behandlingen av opplysningene. I henhold til myndighetskartet er det rektor som har det overordnede ansvaret for alle behandlinger av personopplysninger, og er behandlingsansvarlig. Den daglige oppfølgingen av ansvaret for informasjonssikkerheten er delegert til IT-direktøren. Den enkelte avdeling er ansvarlig for sine behandlinger om deg,

Dersom du ønsker å få informasjon om hva slags type opplysninger som er registrert om deg, ønsker innsyn/retting/sletting i det som er registrert om deg, eller har generelle spørsmål om behandlinger av personopplysninger ved UiB, kan du ta kontakt med vårt personvernombud. Du har krav på svar uten ugrunnet opphold, og senest innen 30 dager.

Personvernombudet

UiB har et personvernombud som skal ivareta personverninteressene til både studenter og ansatte og andre registrerte ved UiB. Personvernombudet kan blant annet bistå enkeltpersoner som er registrert med personopplysninger hos UiB med å ivareta deres rettigheter, men det er behandlingsansvarlig som har ansvaret for at UiB følger de oppsatte reglene. Personvernombudet kan også yte bistand og besvare eventuelle spørsmål. Du kan kontakte personvernombudet på personvernombud@UiB.no.

Innsyn

Du har krav på å få vite hvilke personopplysninger som er registrert om deg ved UiB og hvordan disse opplysningene blir behandlet jf. bestemmelser i personopplysningsloven og personvernforordningen artikkel 15. Du har rett til å få vite hva formålet med behandlingen av opplysningene, hvilke typer opplysninger som behandles, om de er eller vil bli utlevert til andre og i så fall til hvem, hvor lenge opplysningene vil bli lagret og eventuelle rutiner for sletting. Du har også rett til å vite i hvilken grad du har rett til retting, sletting, avgrensning eller å protestere mot behandlingen. Du har også rett til å vite hvordan opplysningene innsamles. Du har rett på kopi av alle opplysningene dine, også elektroniske spor. Du har rett til innsyn uten ugrunnet opphold og senest innen en måned. Det er i utgangspunktet gratis for deg å benytte innsynsretten.

                Les mer om retten til innsyn her, på Datatilsynet sine nettsider.

Retting av personopplysninger

Du har i visse tilfeller rett til å kreve retting og sletting av opplysninger om deg selv, jf. personvernforordningen artikkel 16. Eksempelvis vil dette kunne gjelde opplysninger som er uriktige og / eller ufullstendige, eller opplysninger UiB ikke har adgang til å behandle. Du må kunne sannsynliggjøre at opplysningene er uriktige og hva som er korrekt.

Du har krav på at retting skjer uten ugrunnet opphold og normalt senest innen én måned. I tilfeller der retting ikke er praktisk mulig, eller der opplysningene er korrekte, men gir et uriktig inntrykk, kan du kreve at opplysningene suppleres.

                Les mer om retten til å rette eller supplere opplysninger her, på Datatilsynet sine nettsider.

Sletting av personopplysninger

I visse tilfeller har du rett til å be om at opplysninger slettes. Dette kalles også «retten til å bli glemt». Med mindre ett av unntakene gjelder, kan du kreve sletting av opplysningene dine i følgende tilfeller, jf. personvernforordningen artikkel 17:

  • Dersom du benytter deg av retten til å protestere mot bruken av opplysningene dine
  • Dersom opplysningene er behandlet på grunnlag av samtykke, og du trekker tilbake samtykket
  • Dersom du er mindreårig og har brukt en digital tjeneste, slik som sosiale medier
  • Dersom formålet med bruken av opplysningene er oppnådd
  • Dersom opplysningene har blitt innhentet ulovlig
  • Dersom virksomheten har sletteplikt etter loven

I ovennevnte tilfelle skal institusjonen gjennomføre sletting uten ugrunnet opphold og normalt senest innen én måned.

Retten til sletting gjelder IKKE i følgende tilfeller (unntak):

  • Personopplysningene inngår i en ytring som er vernet av ytrings- og informasjonsfriheten
  • Lagring er nødvendig for arkivering i allmennhetens interesse, vitenskapelige eller historiske forskningsformål eller statistiske formål. Unntaket gjelder bare dersom sletting i alvorlig grad vil hindre at målene nås.
  • Virksomheten har lagringsplikt etter lov (for eksempel bokføringsplikt eller arkivplikt).
  • Lagring er nødvendig for visse typer bruk innen helsetjenesten, jf. personvernforordningen artikkel 9.
  • Lagring er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav

                Les mer om retten til sletting her, på Datatilsynet sine nettsider.

Begrensning av behandling av personopplysninger

I noen tilfeller kan du be om behandlingen av personopplysningene dine begrenses. I så fall kan opplysningene lagres, men ikke brukes til noe.

                Les mer om retten til begrensning her, på Datatilsynet sine sider.

Protestere mot en behandling av personopplysninger

Dersom vi behandlinger opplysninger om deg med grunnlag i våre oppgaver eller på bakgrunn av en interesseavveining, har du rett til å protestere mot vår behandling av dine personopplysninger. Dette gjelder i hovedsak når vi behandler personopplysningene uten ditt samtykke. Forordningens artikkel 21 bestemmer derfor at du i noen tilfeller kan protestere mot at opplysningene dine blir behandlet.

Retten til å protestere gjelder IKKE i følgende tilfeller (unntak):

  • Personopplysningene er nødvendige for å utføre en avtalen du har med virksomheten
  • Virksomheten er pålagt i lov å behandle personopplysningene dine.

Retten til å protestere gjelder heller ikke dersom virksomheten kan vise til at tungtveiende grunner går foran protesten din (interesseavveining).

                Les mer om retten til å protestere her, på Datatilsynet sine nettsider.

Hva registreres når du besøker nettsidene våre?

Bruk av informasjonskapsler (cookies) på uib.no

 Hva er informasjonskapsler/cookies?

Informasjonskapsler, også kalt cookies, er små tekstfiler som lagres lokalt på datamaskinen din når du laster ned en nettside, slik som uib.no. Cookies er en standard teknologi som de fleste nettsteder bruker.

Den reviderte ekomloven fra 2013, § 2-7b, «cookie-paragrafen» krever at vi gir informasjon om hvordan vi bruker informasjonskapsler på nettstedet. Så lenge vi har informert om hvilke cookies vi bruker, hvilke opplysninger vi behandler, hva formålet med behandlingen er og hvem som håndterer informasjonen, er innstillingen i nettleseren din nok for et samtykke til at vi bruker cookies.

De fleste nettlesere (som for eksempel Google Chrome, Safari, Internet Explorer) er stilt inn for automatisk å akseptere cookies, men du kan velge å endre disse innstillingene om du ønsker. Gjør det, kan det føre til at ikke alle nettsider vil fungere optimalt. Se informasjon ned på siden hvis du ønsker å trekke tilbake samtykket ditt, eller endre innstillingene i nettleseren din.

Ved å bruke uib.no samtykker du til at vi setter informasjonskapsler/cookies i din nettleser.

Hvorfor bruker UiB cookies?

UiB bruker cookies til å generere statistikk for bruken av nettstedet, for å gjennomføre spørreundersøkelser om hva brukerne mener om uib.no og for å kunne tilby tilpassede annonser  (retargeting) på Google, Facebook og Twitter. For eksempel i rekrutteringsøyemed bruker Studieadministrativ avdeling cookes til markedsføring/retargeting av potensielle studenter.

Statistikken er et redskap for å forbedre nettstedet vårt, i tillegg til å vurdere effekten av markedsføring på andre digitale plattformer. For hver side som blir vist, blir følgende opplysninger lagret på serverne våre.

  • Hvilken side du ser på, hvilken side du kommer fra, og hvilken side du går til
  • Om du har besøkt nettstedet vår tidligere
  • Dato og tidspunkt.
  • Hvilken nettleser du bruker, hvilken enhet og hvilket operativsystem du har

 

IP-adressen din blir anonymisert, og kan ikke bli knyttet til din person. Adressen blir kun brukt til feilsøking ved systemfeil, og IP-adressene blir slettet etter seks dager.

Følgende informasjonskapsler brukes på uib.no:

Nettstedet bruker cookies fra Google, Siteimprove og (publiseringløsning)

Google Analytics

Google Analytics blir brukt til å analysere besøk vi får på nettstaden vår. Det blir gjort ved hjelp av følgjande cookies:

  • __utmz:  Gir oss informasjon om hvor du kommer fra når du lander på en nettside hos UiB, for eksempel fra en søkemotor (Google, Bing etc.). Vi bruker Google Analytics både internt på nettstedet, i banner og for bilder. Derfor kan brukerne noen ganger finne to cookies som heter __utmz.
  • __utma:  Er ein cookie som gir oss informasjon om talet på gongar brukaren har vore inne på nettstaden vår. Vi nyttar __utma for å sjå kva for brukarar som besøker oss for første gong, og kva for brukare som har vore her fleire gonger.
  • __utmb og __utmc:  Viser oss kor lenge brukaren blir på nettstaden vår. __utmb og __utmc blir sletta med ein gang du forlèt nettsider tilhørande universitetet.
  • __utmt:  Denne informasjonskapselen blir brukt til å avgrense datainnsamlinga frå nettstaden slik at ytinga ikkje blir påverka. Informasjonskapselen blir sletta etter ti minutt.
  • __utmv:  Dette er ein cookie som gjer det mogleg å kartleggje åtferd på nettstaden og ytinga til nettstaden.

Du kan velge bort cookies fra Google Analytics ved å  besøke Google sine nettsider.

Siteimprove

Siteimprove er et verktøy vi bruker for å forbedre kvaliteten på innholdet på nettsidene våre (for eksempel ødelagte/døde lenker, språk og universell utforming).

Eksternweb

Publiseringsløsningen til uib.no UiB.no (w3) har en informasjonskapsel som blir brukt i forbindelse med markedsføring:

_mauuid:  Informasjonskapselen gjør det mulig for oss å sette opp helautomatiserte, intelligente e-postkampanjer som tilpasser seg avhengig av bruksmønsteret til den enkelte mottaker. Den gir oss også anledning til å sette i gang automatiske kampanjer til potensielle studenter som identifiserer seg blant annet ved å abonnere på nyhetsbrev eller fylle ut kontaktskjema.

Tredjeparts spørringer

Tredjeparts spørringer (third party requests) er spørringer som er laget av en bruker til en ekstern tjenesteleverandør, som for eksempel annonser og widgets fra sosiale medier. Til tross for at disse spørringene ikke setter noen cookies, kan de fortsatt overføre informasjon til tredjepart. Google Analytics arbeider gjennom tredjeparts spørringer.

Du kan hindre at informasjonskapsler lagres på datamaskinen ved å endre innstillingene i nettleseren din. Du må imidlertid være oppmerksom på at hvis du endrer innstillingene, vil du kanskje ikke kunne bruke nettstedets funksjonalitet i sin helhet.

nettvett.no kan du lese mer om hvordan du administrerer informasjonskapsler i nettleseren din:

Veiledning om hvordan du administrerer informasjonskapsler

Veiledning om hvordan du trekker tilbake samtykket ditt i nettleseren

Mere om informasjonskapsler/cookies på Nasjonal kommunikasjonsmyndighet (Nkom) sine nettsider

 

Behandling av søkere og studenters personopplysninger

Formål

Hjemmelsgrunnlaget for behandlingen av personopplysninger om søkere og studenter er personopplysningsloven og personvernforordningens artikkel 6 nr. 1 a), b), c), e), f), artikkel 9 nr. 2 a), b), og universitets- og høyskoleloven. 

Hvilke personopplysninger behandler UiB?

Søkere

Søker du opptak til og/eller er student ved UiB må vi samle inn og registrere blant annet navn, fødselsnummer og kontaktinformasjon.
Dersom du har samtykket, kan vi også hente inn resultatene dine fra enkelte andre læresteder. Formålet med registreringene er å administrere din søknad og dine studier hos oss. Opplysningene registrerer du normalt selv via Samordna opptak, i tillegg til Evuweb og Søknadsweb. Enkelte opptak foregår med papirbaserte søknadsskjema, og da registrerer vi opplysningene du har gitt oss i våre systemer.

Studenter
Felles Studentsystem (FS) er det systemet UiB bruker til studieadministrative data. Studentweb er en del av FS. Personvernerklæring for FS og tilhørende applikasjoner finner du her. UiBs læringsplattform (Mitt UiB) og digitalt eksamenssystem (Inspera) henter data om deg fra FS. Kalender- og beskjedløsningen i MittUiB henter opplysninger om hvilke program og emner du er registrert i fra FS. Dersom du har en søknads- og/eller vedtaksprosess ved universitetet, vil dette være registrert i universitetets saksbehandlings- og arkivsystem. Bildet på aktive studiekort og nøkkelkort lagres i FS og vil være det samme bildet som eventuelt overføres til mobilappen Studentbevis ved aktivering av denne.

Personopplysninger til tredjepart

UiB vil kunne utlevere eller eksportere data som inneholder personopplysninger til andre systemer, det vil si ekstern databehandler, eksempelvis til Lånekassen, i de tilfellene der det anses som nødvendig. For en komplett oversikt over eksterne databehandlere som personopplysninger kan hentes fra og utleveres til, se personvernerklæring for FS.

Hvis du har betalt semesteravgift inneværende semester, eller fått tildelt en studierett de siste to månedene, kan Universitetet i Bergen utlevere personopplysninger til Studentsamskipnaden på Vestlandet, Sammen. Dette for at studentsamskipnaden skal vite at du er student og at du har rett til å få tilgang til tjenester fra studentsamskipnaden. Studentsamskipnaden kan få utlevert fødselsnummeret ditt (11 siffer), navnet ditt, når du sist betalte semesteravgift og ID-en til studentkortet ditt. 

Utlevering av personopplysninger etter offentleglova

Med jevne mellomrom mottar UiB begjæringer om innsyn iht. bestemmelsene i offentleglova. Vi gjør oppmerksom på at bestemmelsene i personopplysningsloven ikke vil kunne gi begrensninger i denne innsynsretten der henvendelsen gjelder personopplysninger.

Delegert behandlingsansvar

Avdelingsdirektør for Studieadministrativ avdeling er delegert det daglige ansvaret for behandling av personopplysninger om søkere og studenter. Det innebærer å sørge for at det er utarbeidet nødvendige rutiner for å sikre konfidensialitet og kvalitet og at opplysningene ikke lagres lengre enn nødvendig. Avdelingsdirektøren er også ansvarlig for at det tilbys nødvendig opplæring i bruk av it-systemer og gjeldende rutiner.

Hjemmelsgrunnlaget for behandlingen av personopplysninger om søkere og studenter er personopplysningsloven og personvernforordningens artikkel 6 nr. 1 a), b), c), e), f), artikkel 9 nr. 2 a), b), og universitets- og høyskoleloven. 

 

Behandling av ansattes personopplysninger

Delegert behandlingsansvar

HR-direktøren er delegert det daglige ansvaret for behandling av personopplysninger om ansatte. Det innebærer å sørge for at det er utarbeidet nødvendige rutiner for å sikre konfidensialitet og kvalitet og at opplysningene ikke lagres lengre enn nødvendig. HR-direktøren er også ansvarlig for at det tilbys nødvendig opplæring i bruk av it-systemer og gjeldende rutiner.

Formål

Formålet med behandlingen av personopplysninger om ansatte er å oppfylle rettslige forpliktelser og avtaler. Hjemmelsgrunnlaget for behandlingen av personopplysningene om ansatte er personopplysningsloven og personvernforordningens artikkel 6 nr. 1 a), b), c), e), f), artikkel 9 nr. 2 a), b), artikkel 88.

Hvilke personopplysninger behandler UiB?

Ansatte ved UiB er registrert med navn, fødselsnummer og kontaktinformasjon. I tillegg registreres stillings- og lønnsopplysninger, utdanning og tjenesteansiennitet, samt navn og alder på barn under 12 år og navn og kontaktinformasjon til nærmeste pårørende. Ansattes sidegjøremål registreres også.

Informasjonen innhentes fra deg som jobbsøker eller ansatt og fra andre instanser, som skattemyndigheter, NAV og tidligere arbeidsgiver.

Ansattes personopplysninger kan utleveres til offentlige myndigheter som Skatteetaten, Statens Pensjonskasse og NAV. Lønnsopplysninger kan også utleveres til fagforening med hjemmel i tariffavtale. I tillegg kan opplysninger utleveres til samarbeidende virksomheter som reisebyrå, kredittkortselskap mv. dersom du som ansatt har samtykket til det.

Opplysninger om navn, stilling og arbeidsområde regnes å være offentlige opplysninger og kan publiseres på universitetets nettsider. Portrettbilde av deg som ansatt publiseres med mindre du reserverer deg mot en slik publisering.

Arkivering og sletting av personopplysninger

Opplysningene arkiveres i universitetets rekrutteringsverktøy, personaldatasystem, sentralt brukeradministrasjonssystem hos IT-avdelingen for tilganger til elektroniske verktøy og arkivsystem med personalmapper. Systemene er tilgangsstyrte, og det er ikke andre enn de som har behov for det som har tilgang til personopplysningene.

Utgangspunktet er at personopplysninger ikke skal lagres lenger enn nødvendig for å gjennomføre formålet med behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes.

Utlevering av personopplysninger og innsyn etter offentleglova

Informasjon om utlevering og innsyn av opplysninger finner du under punktet Utlevering og innsyn, og  pressens og allmenhetens innsyn etter offentlighetsloven. (lenker)

Innsyn

Ansatte har tilgang til sin personopplysninger i personaldatasystemet (HR- portalen). Innsyn i øvrige opplysninger i personalmappen gis ved henvendelse til administrasjonen ved fakultetet eller senteret. For sentraladministrasjonen rettes henvendelsen til HR- avdelingen.

Behandling av opplysninger om forskningsdeltakere

Redegjørelse for hvordan UiB behandler personopplysninger som brukes i forskning.

Hjemmelsgrunnlag

Personopplysningene behandles i henhold til personopplysningsloven §§ 8-10, jf. Personvernforordningen artikkel 5, 6 og 9 og artikkel 89, og helseforskningsloven.  

Personopplysningsloven gir adgang til behandling av personopplysninger for forskningsformål, under forutsetning at personvernet til deltakerne er ivaretatt gjennom tekniske og organisatoriske tiltak som den behandlingsansvarlige har iverksatt, at personvernkonsekvenser er vurdert og det er rådført med personvernombud/rådgiver der nødvendig. UiB har avtale med Norsk senter for forskningsdata (NSD) for rådgivning om personvernspørsmål i forskning. Helseforskningsprosjekter må ha etisk forhåndsgodkjenning fra REK, i tillegg til behandlingsgrunnlag i personvernforordningen.

Opplysninger som behandles som del av forskningsprosjekter

Hvilke personopplysninger (definert som opplysninger og vurderinger som er knyttet til en enkeltperson) som skal registreres, vurderes med utgangspunkt i hvilke personopplysninger som er nødvendige for å oppnå formålet med forskningsprosjektet. Personopplysninger som er samlet inn til et forskningsformål, kan som hovedregel ikke brukes til andre formål uten samtykke.

I de Generelle forskningsetiske retningslinjer heter det at samtykke er hovedregelen ved forskning på mennesker eller på opplysninger og materiale som kan knyttes til enkeltindivider. Samtykket skal være informert, uttrykkelig, frivillig og dokumenterbart. Samtykke forutsetter samtykkekompetanse. Det må utvises årvåkenhet for å sikre reell frivillighet der deltaker står i et avhengighetsforhold til forsker eller er i en ufri situasjon.

Samtykket kan trekkes tilbake på hvilket som helst tidspunkt under gjennomføringen av forskningsprosjektet.

Forskere, studenter og veiledere som har tilgang til personopplysninger har taushetsplikt.

Det er fastlagt rutiner for behandling av personopplysninger. Hovedregelen er at det skal aldri være større grad av personidentifikasjon enn det som er nødvendig for forskningsprosjektet. Personopplysningene kan avidentifiseres eller anonymiseres.

  • Avidentifiserte opplysninger er personopplysninger der navn, fødselsnummer og andre direkte personentydige kjennetegn er fjernet og erstattet av et nummer eller kode (koblingsnøkkel), slik at opplysningene ikke direkte kan knyttes til en enkeltperson.
  • Anonyme opplysninger er opplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger, direkte eller indirekte, kan knyttes til en enkeltperson. Anonyme data regnes derfor ikke som personopplysninger.

Alle forskningsprosjekter som behandler personopplysninger er underlagt behandlingsansvarliges internkontrollsystem for forskning. Behandlingsansvarlige skal sikre at prinsippene i personvernforordningens artikkel 5 overholdes i alle prosjekter, herunder at behandlingen har behandlingsgrunnlag i artikkel 6 og i artikkel 9 hvis behandlingen omfatter særlige kategorier (sensitive) personopplysninger. Behandling av særlige kategorier personopplysninger for forskningsformål har rådføringsplikt med personvernombud eller personvernrådgiver med tilsvarende kompetanse og uavhengighet, som institusjonen har avtale med.  Helseforskningprosjekter trenger etisk forhåndsgodkjenning fra Regional etisk komité for medisinsk og helsefaglig forskning (REK). Når behandlingsansvarlige vurderer at det er nødvendig eller når regelverket krever det, skal det gjennomføres en vurdering av personvernkonsekvenser (Data Protection Impact Assessment, DPIA).

Personopplysninger skal normalt ikke lagres lengre enn det som er nødvendig for å få gjennomført forskningsprosjektet. Dersom det er behov for lagring utover tidsrommet som er spesifisert ved starten av prosjektet, skal det innhentes nytt samtykke eller det må søkes om dispensasjon.

Overføring og sekundær bruk av personopplysninger

I enkelte tilfeller kan det bli gitt tillatelse til overføring av personopplysninger mellom forskningsinstitusjoner. Taushetsbelagt materiale som f.eks. journalopplysninger, opplysninger fra offentlige etater og ulike registre som helseregister, strafferegister, sosial- og trygderegistre kan også innhentes til bruk i forskning. Slik bruk av taushetsbelagte personopplysninger krever at registereier har gitt dispensasjon fra kravet om å innhente nytt samtykke. Ved vurderingen av dispensasjon vil det foretas en interesseavveining der den samfunnsmessige nytten av forskningen må overstige ulempen det er for forskningsdeltaker å ikke bli spurt.

Personopplysningene kan overføres til andre virksomheter under forutsetning av at de kan tilby tilfredsstillende lagring av personopplysningene og ellers oppfyller vilkårene i personvernregelverket.

Personopplysningene kan også overføres til utlandet under forutsetning av at vilkårene i personvernregelverket er oppfylt. Virksomheter som vil overføre personopplysninger til utlandet, kan bare overføre til stater som sikrer en forsvarlig behandling av opplysningene.

Personopplysninger kan lagres både elektronisk og på papir. Ved Universitetet i Bergen er det retningslinjer for at aktive forskningsdata skal lagres på universitetets forskningsserver (SAFE) eller annen tilsvarende sikker løsning.

Personopplysninger skal normalt slettes eller anonymiseres ved prosjektavslutning.

Les mer om behandling av personopplysninger etter avsluttet prosjekt.

Delegering av oppgaver

Rektor ved Universitetet i Bergen har det overordnede faglige ansvar for forskningen som utføres ved universitetet. Hvert fakultet har en dekan som har fått delegert det daglige (operative) forskningsansvaret. Noen oppgaver skal utføres av dekan, andre kan delegeres i linjen til instituttleder eller senterleder.

Ansvaret gjelder all informasjon innsamlet til forskningsformål som behandles, uavhengig av lagringsform. Dette innebærer at det er utarbeidet nødvendige rutiner for å ivareta personvernregelverket, herunder sikre konfidensialitet, kvalitet og at opplysningene ikke lagres lengre enn nødvendig. Ansvaret innebærer også at det gis nødvendig opplæring av prosjektledere om personvernlovgivning, etiske, medisinske, helsefaglige, vitenskapelige og informasjonssikkerhetsmessige forhold.

Dine rettigheter

Som utgangspunkt har du rett på innsyn, retting og sletting etter personvernforordningens artikkel 15. Lovgiver har imidlertid fastsatt visse begrensninger i de registrertes rettigheter når opplysninger brukes for forskningsformål, jf. personopplysningsloven § 17. For mere informasjon se Dine rettigheter

Behandling av opplysninger om pasienter ved universitetsklinikkene

Redegjørelse for hvordan UiB behandler personopplysninger om pasienter i forbindelse med helsehjelp, undervisning og kvalitetssikring

For informasjon om behandling av dine opplysninger når du deltar i et forskningsprosjekt, se behandling av opplysninger om forskningsdeltakere.

Hjemmelsgrunnlag

UiB registrerer, behandler og lagrer personopplysninger om pasienter i henhold til arkivloven, pasientjournalloven, helsepersonelloven og helseforskningsloven.

Opplysninger som behandles

Informasjon om pasienter lagres i elektronisk pasientjournal. Den inneholder informasjon om navn, fødselsnummer og kontaktinformasjon, samt opplysninger om diagnose, sykdomsforløp, behandling, informasjon som er gitt og andre forhold som kan være av betydning.

Hvilke personopplysninger som behandles, vurderes ut ifra hvilke personopplysninger som er nødvendige for å foreta en undersøkelse og behandling. Informasjon om deg som er samlet inn til et bestemt formål, kan som hovedregel ikke brukes til andre formål uten ditt samtykke. Gjenbruk av opplysningene kan brukes til kvalitetssikringsformål og til andre formål som ikke er uforenelig med det opprinnelige formålet. Bruk av personopplysninger for formål knyttet til vitenskapelig forskning er etter personopplysningsloven ikke å anses som uforenlig med det opprinnelige formålet, så lenge visse vilkår er oppfylt.
 
Både studenten som behandler deg, og veileder er underlagt taushetsplikt.

Opplysninger blir innhentet i form av samtaler, undersøkelser, behandling, observasjoner o.l. 
Opplysninger kan også bli samlet inn fra andre behandlere, for eksempel fastlege eller sykehus, eller fra pårørende. For at UiB skal kunne hente inn informasjon fra andre kreves som hovedregel samtykke.

Helsepersonelloven § 39 pålegger den som yter helsehjelp en plikt til å dokumentere helsehjelpen. Pasientjournalen skal inneholde relevante og nødvendige opplysninger om pasienten og helsehjelpen, samt de opplysninger som er nødvendige for å oppfylle meldeplikt eller opplysningsplikt fastsatt i lov eller i medhold av lov. Det skal fremgå hvem som har ført opplysningene i journalen, 

Opplysninger som er registrert om pasienter ved UiB, utleveres som hovedregel kun etter samtykke.

Det er strenge regler for hvordan en journal skal behandles, oppbevares og hvem som kan ha tilgang til den. Journalopplysningen er lagret elektronisk på en sikker terminalserver eller på PC som ikke er koblet mot nett. Studenter har begrenset tilgang til journaler for pasienter de ikke behandler og studentenes tilgang er begrenset til den perioden de har praksis.

Journaler skal oppbevares frem til det ikke lenger antas å bli bruk for dem. Når dette ikke lenger er tilfellet, skal som en hovedregel journalene makuleres på betryggende vis. 

Delegering av oppgaver                                                                    

Daglig behandlingsansvar: Klinikkleder

 

Behandling i forbindelse med kurs og arrangement/
Event/Conference online registration privacy statement – for UiB

Utlevering og innsyn

Utlevering av personopplysninger til andre utenfor UiB

Personopplysningene om studenter og ansatte er registrert av universitetet for bruk til bestemte formål og skal brukes i henhold til dem. UiB er samtidig lovpålagt til å utlevere en del informasjon til andre offentlige instanser, for eksempel til Lånekassen og skattemyndighetene. Andre aktører kan også være interessert i slike opplysninger. 

Som hovedregel kan UiB kun utlevere dine personopplysninger til andre når du har samtykket. I noen tilfeller blir opplysninger utlevert uten samtykke: når det er hjemmel i lov, for å oppfylle en avtale med deg, eller når det er nødvendig for å utføre oppgaver som er pålagt UiB som behandlingsansvarlig.

Eksempler på utlevering av personopplysninger uten samtykke:

  • Opplysninger til den en arbeidsgiver i den grad opplysningene gjelder arbeidstakerens skikkethet til et bestemt arbeid eller oppdrag når dette er hjemlet i lov
  • Forskning: Utlevering krever som hovedregel samtykke, men kan også gjøres uten samtykke hvis forskningsprosjektet har fått innvilget unntak fra taushetsplikten
  • Til NAV. NAV har rett til å innhente opplysninger i kontrolløyemed som ledd i saksbehandling, jfr. Folketrygdloven § 21-4.
  • Statens lånekasse for utdanning, med hjemmel i lov.
  • Til skattemyndighetene, med hjemmel i lov.
  • Til påtalemyndigheten, ved mistanke om straffbare forhold.
  • Nærmeste pårørende, når informasjonen er nødvendig for at nærmeste pårørende kan ta avgjørelser på vegne av slektning/nærstående som ikke selv er i stand til å ta en avgjørelse.
  • Opplysninger som er nødvendige for behandling av visse typer saker kan utleveres til den nemnd/utvalg som skal behandle saken. Dette innebærer at nødvendige opplysninger i forbindelse med:
    • Klagesaker og fuskesaker til Den sentrale klagenemnd ved UiB, og Felles klagenemnd (Kunnskapsdepartmentets klageorgan)
    • Skikkethetssaker til Skikkethetsnemnda
    • Enkeltsaker i forbindelse med vitenskapelig uredelighet til Redelighetsutvalget (RU)

Behandlingsansvarliges innsyn i ansattes og studenters personlige lagringsområder, e-postkasser eller den enkeltes aktivitet på nettet

I utgangspunktet har ingen ved UiB eller utenforstående tilgang til studenter og ansattes personlig e-postkasse, personlige lagringsområde eller den enkeltes aktivitet på nettet. Dette kan kun skje i svært spesielle tilfeller regulert av IKT-reglementet, og i medhold av arbeidsmiljøloven § 9-5,  personopplysningsloven og personvernforordningen. Slike unntakstilfeller kan for eksempel være i forbindelse med sykefravær, død eller mistanke om straffbare forhold. 

 logger en del av aktiviteten i IT-systemene. Formålet med logging er å sikre stabil drift, fange opp og avklare forhold rundt uønskede hendelser og administrere kvotebegrensninger (eksempelvis for utskrifter og diskplass). Det er kun driftspersonale med ansvar for de aktuelle systemene som har tilgang til loggene. De skal ikke brukes til annet formål enn det de er samlet inn for og de utleveres ikke til utenforstående. Utlevering til politi og påtalemyndighet skal kun skje etter skriftlig tillatelse fra universitetsdirektøren

Pressens og allmennhetens innsyn etter offentlighetsloven

Alle saksdokumenter ved UiB er i utgangspunktet offentlige dersom det ikke er gjort unntak i lov eller i medhold av lov. Det betyr at alle som ber om innsyn kan gjøre seg kjent med innholdet i dokumentene. Taushetsbelagte opplysninger er unntatt offentlighet. Dette kan være sensitive opplysninger knyttet til studenter, ansatte, pasienter og forskningsdeltakere, og informasjon knyttet til forskning og forretningshemmeligheter. Interne dokumenter kan også unntas offentligheten. Seksjon for dokumentasjonsforvaltning forvalter UiBs sentrale postmottak og arkiv. Seksjonen har det overordnede arkivfaglige ansvaret ved universitetet.

Offentlig journal

En journal er et register over saksdokumenter som behandles i et organ. UiB sin Offentlig journal er en elektronisk postjournal som gir oversikt over journalførte saksdokumenter ved UiB. Opplysningene ligger tilgjengelig på nett for de tre siste månedene. Saksbehandler er ansvarlig for at dokumentasjon er korrekt og tilstrekkelig, og at ev unntak fra offentlighet er skjedd på riktig lovmessig grunnlag. Dokumentsenteret gjennomfører en kvalitetssikring av Offentlig journal før publisering.

Innsyn i saksdokumenter

Forespørsler om innsyn i UiB sitt saksarkiv kan rettes til Dokumentsenteret i vedlagte bestillingsskjema.

Henvendelser til UiB om innsynsforespørsler vil også være offentlig, enten den kommer i form av brev eller elektronisk i form av epost. Alle henvendelser blir registrert i UiBs elektroniske arkiv- og saksbehandlingssystem.

 

Sikring av personopplysninger i IT-logg

Informasjon om hvordan UiB behandler personopplysninger i logger fra IT-systemer.

Hjemmelsgrunnlaget for behandling av personopplysninger i logger er personopplysningsloven og personvernforordningen artikkel 32.

Formålet med å logge aktiviteten i IT-systemer er å administrere systemer, sikre stabil drift og avdekke og oppklare uønskede hendelser.

Loggene er kategorisert som:

  • driftslogger - logger som normalt lagres i UiBs eller samarbeidspartneres IT-systemer og har informasjon om den tekniske tilstanden til en løsning men kan også ha informasjon om innlogginger og andre aktiviteter knyttet til personer.
  • applikasjonslogger - logger fra tjenester som kan inneholder data som identifiserer personer og aktiviteter i applikasjoner.

UiB har alminnelige driftslogger og applikasjonslogger i sine IT-systemer.
Det finnes også flow-logger som inneholder informasjon om hvilke enheter som kommuniserer og hvor mye data som sendes. Det betyr at det meste av aktivitetene brukere av systemene foretar seg, etterlater elektroniske spor.

Opplysningene eksisterer i loggene som en del av en større teknisk loggaktivitet. De hentes fra en rekke systemer hvor sentrale maskiner sikrer pålitelig trafikk mellom bruker og systemene.

Loggene utleveres i utgangspunktet ikke, da de er ment som tekniske driftslogger for å sikre stabil drift og avdekke uønskede eller unormale hendelser. De kan utleveres til politi eller påtalemyndighet på grunnlag av rettslig kjennelse. Universitetsdirektøren kan be om å få logger utlevert iht. personvernforordningen artikkel 32 og 33.

Alle logger fra IT-systemene samles i sentralt loggmottak der de blir behandlet og slettet i henhold til retningslinjen som er bestemt av IT-direktøren.

Logger er kun tilgjengelige for de på IT-avdelingen som drifter det sentrale loggmottaket. De som skal ha tilgang til å søke i loggene, må ha et tjenestebehov og slike søk blir også logget. Samtlige på IT-avdelingen har underskrevet taushetserklæring.

Sikring av UiBs lokaler

Redegjørelse for hvordan UiB behandler personopplysninger for å sikre universitetets lokaler

Hjemmelsgrunnlaget for behandling av personopplysninger i logger og kameraovervåkning er personvernforordningen artikkel 6 nr. 1 og artikkel 10.

Formålet med universitetets bruk av personopplysninger i forbindelse med ansattes og studenters bruk av universitetets bygg og lokaler, er for verne om ansatte og studenters liv og helse, samt beskytte informasjon og verdier som er viktig for driften av universitetet, herunder å oppdage og oppklare uønskede hendelser, som tyveri og hærverk.

Studenter og ansatte fotograferes når de får adgangskort. Det lagres navn, brukernavn, fødselsdato og bibliotekbrukernummer. I tillegg lagres tekniske opplysninger om hvilke tilganger som er gitt for kortet, for eksempel rettigheter knyttet til bestemte bygg eller arealer. Personopplysningene hentes automatisk fra UiBs brukersystemer og studentregisteret (FS).

UiB har elektronisk adgangskontroll på utvalgte dører/funksjoner i UiB sine bygg. Kun kortinnehaver kan gi samtykke til å se logg tilhørende kortnummer, eller politi når anmeldelse er gitt. Informasjonen som lagres ved bruk av kort og pin-kode er kortnummer opp mot navn, tid og dør/kortleser. Loggen slettes etter 30 dager. Kun ansatte på kortsenteret har tilgang til lagrede opplysninger.

Kameraer er kun plassert for å dekke uteområder og inngangsparti innvendig og utvendig. Kameraene filmer kontinuerlig og opptakene lagres i 7 dager før de slettes.

Kun dedikerte personer har tilgang til systemene. De har en tilgangsprofil som er tilpasset deres arbeidsoppgaver. De logger seg på systemene som personlige brukere.

Informasjon fra systemene for fysisk sikring utgis kun til politiet dersom det foreligger en rettslig kjennelse, eller ved anmeldelse. Den som skal anmelde en hendelse/forhold til politiet kan få utlevert opptak/bilde med å dokumentere skriftlig fra direktør/avdelingsleder at myndighet til å anmelde fra fakultet eller sentraladministrasjon er gitt. Det er kun leder for brannvern og fysisk sikring som har myndighet til å utlevere opplysninger fra systemene.

Brukere deaktiveres når de ikke lenger skal ha adgangskort.

Eiendomsdirektøren er delegert det daglige ansvaret for behandling av personopplysningene, som del av den fysisk sikringen. Det innebærer blant annet å sørge for at det er utarbeidet nødvendige rutiner for å sikre konfidensialitet, kvalitet og at opplysningene ikke lagres lengre enn nødvendig, samt sikre at det gis nødvendig opplæring.