Behandle personopplysninger om andre

Personopplysninger skal behandles slik at personvernet ikke krenkes.

Tre portretter. Foto: Thomas Ekström/Sikresiden
Tre portretter. Foto: Thomas Ekström/Sikresiden
Icon representing Processing of personal data – Portrait of a person next to row of information

Behandle personopplysninger om andre

Personopplysninger skal behandles slik at personvernet ikke krenkes.

Tre portretter. Foto: Thomas Ekström/Sikresiden
Icon representing Processing of personal data – Portrait of a person next to row of information

Behandle personopplysninger om andre

Bruk av personopplysninger om andre

Personopplysninger brukes i mange sammenhenger; for eksempel i studentoppgaver, undervisning, forskning, publisering og saksbehandling.

Når du bruker personopplysninger har du ansvar for å sette deg inn reglene. Du skal også vurdere hvordan opplysningene skal sikres ut i fra hvilken verdi de har (konfidensialitet, integritet (riktighet) og tilgjengelighet).

Personvernregelverket regulerer all behandling av personopplysninger, blant annet innsamling, registrering, bearbeiding, lagring, tilpasning, gjenfinning, overføring og sletting. I personvernforordningen kalles dette behandling av personopplysninger.


Vurder dette før du behandler personopplysninger om andre

Personvernforordningen stiller krav som gjelder både når opplysningene er samlet inn fra personen selv, og når de er åpent tilgjengelig på nett. 

Du skal dokumentere:

Sjekk også

  • om behandlingen trenger tilrådning fra personvernombudet og/eller godkjenning på annen måte
  • med personvernombudet så tidlig som mulig i prosessen
  • grunnleggende prinsipper,
    se Datatilsynets veileder om grunnleggende prinsipper etter nytt regelverk.
  • om IT-løsningene eller systemet du planlegger å bruke er sikret for behandling av de aktuelle personopplysningene
  • om kravene til innebygd personvern tilfredsstilles i IT-løsning, -system, utarbeidelse av rutiner, organisering og opplæring,
    se Datatilsynets veileder om innebygd personvern.
  • med studie- eller arbeidssted om alt er ivaretatt. Det kan være andre krav som også må vurderes og oppfylles.
Du har ansvar for å sikre personopplysningene riktig

Personopplysninger skal sikres slik at uvedkommende ikke blir kjent med dem og ikke får endret, slettet eller skadet innholdet, samt at opplysningene er tilgjengelige for dem som skal ha tilgang til dem.

Kravene til sikring øker med opplysningenes behov for konfidensialitet (grad av sensitivitet) og antall registrerte personer.

Eksempler på typiske sikkerhetstiltak er innlogging, sikkerhetskopiering og logging av hvem som leser, endrer eller sletter opplysninger. Logging kan brukes til å kontrollere at uvedkommende ikke er inne i systemene eller at brukere misbruker tilganger til for eksempel å snoke.

Mer om informasjonssikkerhet, se Sikre informasjon.

Utlevering og overføring

Noen personopplysninger er det lovpålagt å overføre til andre, for eksempel til Lånekassen og skattemyndighetene.

Andre offentlige etater har også rett til å få utlevert visse opplysninger, for eksempel NAV og politiet.

Det kan også være nødvendig å overføre opplysninger mellom virksomheter, for eksempel i forskningsprosjekter med eksterne partnere eller når man benytter eksterne IT-tjenester trengs det databehandleravtale.

Hvem som helst kan be om innsyn i offentlige arkiver. Det er kun ansatte med særskilte fullmakter som kan fatte beslutninger om utlevering av opplysninger. Sjekk rutiner på eget studie- eller arbeidssted.

Arbeidsgiver kan i særskilte tilfeller gjøre innsyn i ansattes e-post eller private filer.

Tillitsvalgte og ansatte kan få innsyn i lønnsopplysninger.

Alle personer kan be om å få utlevert opplysninger om seg selv.

Sletting og arkivering

Personopplysninger skal som regel slettes når de ikke lenger er i bruk. Det gjelder alle kopier (også på personlige filområder).

Forskningsdata skal vanligvis slettes eller anonymiseres når forskningsprosjektet er ferdig.

Personopplysninger som er arkivverdige skal arkiveres. Det gjelder for eksempel personopplysninger som har vært gjenstand for saksbehandling, hvem som er tatt opp til ulike studier, eksamensbesvarelser og masteroppgaver.

Sjekk rutiner for sletting og arkivering på ditt studie- eller arbeidssted.

Se mer om lagring, arkivering og sletting

Mer om sletting, se "slettmeg.no".

Si fra om uønskede hendelser (avvik) 

Alle har ansvar for å si fra om personopplysninger på avveier (avvik)

Eksempler på hva du skal si fra om:

  • feilsendt e-post og vedlegg
  • feilutlevering-  eller publisering
  • mistet utstyr (mobil, laptop, nettbrett, notater og lignende)
  • feil i tilganger, utstyr eller programvare som kan svekke sikkerheten
  • rutiner som mangler, ikke fungerer eller som ikke følges

En uønsket hendelse kan ha ulik alvorlighetsgrad avhengig av om det gjelder opplysninger om få personer eller mange, eller om det omfatter særlige kategorier (sensitive personopplysninger) eller ikke.

Sjekk med ditt studie- eller arbeidssted om hvordan uønskede hendelser eller avvik skal meldes inn.

Se mer om melding av uønskede hendelser (avvik)

Lær mer

Lær mer