Internkontroll

«Internkontroll skal være ledelsens verktøy for å ivareta sitt ansvar og demonstrere etterlevelse etter    personvernregelverket, og de ansattes verktøy for å utføre oppgaver på en forsvarlig og sikker måte» (Datatilsynet)

Bruken av personopplysninger er regulert ved lov og det juridiske ansvaret for at loven følges har øverste leder ved forskningsinstitusjonen jf. personvernforordningen art. 24.

Ledelsen må avgjøre hva som er lovlig, forsvarlig og sikker nok behandling av personopplysninger, og sørge for at alle ansatte, inkludert forskere og studenter får skriftlige rutiner og opplæring i disse. Internkontrollen skal også inneholde rutiner for forebygging, avdekking og håndtering av avvik.

Internkontrolldokumentet som er de samlede instruksene og rutinene bør revideres årlig, i lys av avvikssaker, endringer i regelverk, eventuelle endringer i forskningsvirksomheten og sikkerhetssituasjonen.

Datatilsynet har utarbeidet en ny veileder for internkontroll og informasjonssikkerhet, tilpasset kravene i personvernregelverket. NSD anbefaler alle å benytte denne i sitt arbeid med å etablere og vedlikeholde internkontroll.

Hva gjør NSD?

NSD tilbyr ledelsen rådgivning i internkontrollarbeidet. Vi veileder i hvordan man lager et internkontrolldokument. Vi utarbeider kurs om internkontrollarbeid for de som har avtale med oss om dette og gir råd til institusjoner som ønsker innspill til sine rutinebeskrivelser.

NSD avlaster også institusjonen med flere praktiske internkontrolloppgaver. Vi foretar forhånds-, underveis- og etterkontroll av enkeltprosjekter. Vi varsler ledelsen om avvik og bistår i avvikshåndteringen. Via oversikt i Meldingsarkivet kan institusjonen selv føre tilsyn med forskningsprosjektene.

Vær oppmerksom på at bruken av NSD som personvernrådgiver eller oppnevnelsen av et personvernombud, ikke fritar ledelsen fra ansvar. Det er ledelsens plikt å påse at internkontrollsystemet fungerer.

Avvikshåndtering

Ved behandling av personopplysninger er det alltid risiko for avvik. Avvik vil si at personopplysninger behandles i strid med lov eller institusjonens retningslinjer, eller at det skjer brudd på informasjonssikkerheten.

God avvikshåndtering er et viktig virkemiddel for å oppnå lovlig og trygg behandling av personopplysninger. Det reduserer faren for store feil og gjentakelser. Det er bedre at institusjonen jobber systematisk for å oppdage og behandle avvik internt, enn at avvikene avdekkes av Datatilsynet, mediene eller andre. Med forordningen er kravene til avvikshåndtering skjerpet. Flere typer avvik må meldes til Datatilsynet og varselet må sendes innen 72 timer.


 

Sist endret: 25-09-2018

© NSD - Norsk senter for forskningsdata • Kontakt NSDPersonvern og informasjonskapsler (cookies)