Personvern

Nord universitet forvalter store mengder personopplysninger. Her finner du informasjon om hvordan vi behandler personopplysninger, hvilke rettigheter du har som registrert, og hvem du kan kontakte.

Om personvern

Vi skal alle ha mulighet til å bestemme over opplysningene om oss selv. Vi har en grunnleggende rett til å ha privatlivet i fred, og til å ha innflytelse på bruken og spredningen av opplysninger om oss.
Personopplysninger er alle former for data, informasjon, opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Det avgjørende for om en opplysning er en personopplysning er om opplysningene kan identifisere deg som person.

Nord har i tillegg til denne generelle personvernerklæringen, egne personvernerklæringer for:
Søkere, studenter og kursdeltakere
Ansatte, oppdragstakere og søkere på stillinger
Deltakere i forskningsprosjekter

Hva er formålet med Nords behandling av personopplysninger?

Nord universitet behandler personopplysninger for å oppfylle institusjonens oppgaver og plikter.

Vi behandler personopplysninger for å ivareta rettighetene til søkere, studenter, kursdeltakere og doktorgradskandidater.

Forskning er en av Nords viktigste oppgaver, og vi behandler personopplysninger om forskningsobjekter i mange av våre forskningsprosjekter.

Vi behandler personopplysninger om arbeidssøkere, ansatte og oppdragstakere for å administrere ansettelser, og for å ivareta våre forpliktelser som arbeidsgiver.

Vi behandler også personopplysninger om kunder, leverandører og andre avtaleparter i den utstrekning dette er nødvendig for å evaluere tilbud i anbudskonkurranser, for å administrere et avtaleforhold eller oppfylle en avtale. F.eks. behandler vi opplysninger om låntakere for å administrere utlån av bøker i vårt universitetsbibliotek.

Av sikkerhetshensyn har vi videoovervåkning på deler av våre campus, og i den sammenheng behandles videobilder av besøkende. Vi har også elektronisk adgangskontroll på alle våre campus, og dersom du har adgangskort blir bruken av dette registrert hos oss.

Vi bruker informasjonskapsuler på www.nord.no og nord.blogg.no i forbindelse med brukeranalyse og sideoptimalisering, samt for å legge til rette for persontilpasset markedsføring. Her kan lese utfyllende informasjon om bruk av informasjonskapsler på våre nettsted, og dine rettigheter som bruker.

Hva er Nords grunnlag for å behandle personopplysninger?

Behandlingen er hjemlet i GDPR artikkel 6 eller 9, og kan være nødvendig for å utøve en oppgave i allmennhetens interesse, utøve offentlig myndighet, eller oppfylle en avtale eller annen rettslig forpliktelse.

I de fleste tilfeller er behandlingen også hjemlet i nasjonal lovgivning, f.eks. universitets- og høgskoleloven eller arbeidsmijøloven. For enkelte behandlinger kreves det at du gir oss samtykke til behandlingen.

Hvilke personopplysninger behandler Nord?

I de fleste tilfeller behandles kun generelle personopplysninger, slik som navn, kontaktinformasjon, søknader, attester, cv, karakterer, bilder, avtaler m.m.

I noen tilfeller behandler vi også sensitive opplysninger. Dette kan f.eks. være helseopplysninger eller opplysninger om fagforeningstilhørighet.

I hvilke systemer behandler Nord personopplysninger?

Nord behandler personopplysninger i flere datasystemer. I personvernerklæringene for studenter, ansatte og forskningsdeltakere finnes mer informasjon om hvilke systemer dette gjelder. Vi bruker blant annet lønns- og personaladministrasjonssystemet SAP, studieadministrasjonssystemet FS og House of Control.
Vi bruker Public 360 som saksbehandlings- og arkivsystem. Her journalføres det som er nødvendig for at vi skal kunne oppfylle våre oppgaver og plikter.

E-post og telefon
Vi benytter e-post og telefon som en del av det daglige arbeidet og i kommunikasjon med interne og eksterne. Relevante opplysninger som fremkommer av telefonsamtaler og e-postutveksling som skjer som en del av saksbehandling blir journalført i Public360.

Vi gjør deg oppmerksom på at vanlig e-post er ukryptert. Vi oppfordrer deg derfor til ikke å sende taushetsbelagte, sensitive eller andre fortrolige opplysninger via e-post.

Telefonsamtaler (telefonnummer fra og til, samt tidspunkt for samtalen) logges. Denne loggen er nødvendig for administrasjon og drift av systemet. I tillegg har ansatte en oversikt over de siste anropene på sine telefoner. Dersom en telefonsamtale er knyttet til en enkeltsak, vil det kunne bli skrevet et notat etter samtalen som journalføres. Det gjøres ingen øvrig systematisk registrering av telefonsamtaler hvor innringer kan identifiseres.

Hvordan samler Nord inn personopplysninger?

Mesteparten av opplysningene vi behandler har du gitt fra deg i forbindelse med en søknadsregistrering, avtaleinngåelse e.l. Noen opplysninger henter vi fra andre kilder. Dette kan f.eks. være NAV, Folkeregisteret eller Register for utestengte studenter (RUST).

Hvordan beskytter Nord personopplysninger dine?

Det er viktig for Nord å ha gode rutiner og retningslinjer for behandling av personopplysninger, og at ansvaret for behandling av personopplysninger er godt organisert. På den måten kan alle som er tilknyttet universitetet bidra til at dine personopplysninger behandles i henhold til gjeldende regelverk.

Nord universitet gjennomfører regelmessig risiko- og sårbarhetsanalyser av våre arbeidsprosesser og av de datasystemene vi benytter.

Vi har flere sikkerhetstiltak for å sikre dine personopplysninger. Vi har f.eks. tilgangskontroller i våre datasystemer som sikrer at våre ansatte kun har tilgang til de personopplysningene de trenger for utføre jobben sin. Ansatte som behandler personopplysninger er underlagt taushetsplikt og gis opplæring i personvern.

Utleveres personopplysningene til andre?

Vi gir ikke personopplysningene dine videre til andre med mindre det foreligger et lovlig grunnlag for slik utlevering. Eksempler på slikt grunnlag vil typisk være fordi du har samtykket til det, fordi utleveringen er nødvendig for å oppfylle en avtale med deg eller det foreligger lovgrunnlag som pålegger oss å gi ut informasjonen.

Vi kan utlevere eller eksportere data som inneholder personopplysninger til andre systemer, det vil si en ekstern databehandler, i de tilfellene der det anses som nødvendig.

De fleste av personopplysningene blir ikke utlevert til land utenfor EU/EØS, eller noen internasjonale organisasjoner.

Unntaket er dersom du er låntaker ved universitetsbiblioteket. Da vil dine personopplysninger bli utlevert til Israel, gjennom underleverandør Ex Libris GmbH. Israel står på EU-kommisjonens liste over godkjente land med tilstrekkelig databeskyttelse. Dine personopplysninger kan også bli utlevert til land utenfor EU/EØS eller internasjonale organisasjoner hvis du deltar i utvekslingsopphold.

I tilfeller hvor Nord universitet mottar begjæringer om innsyn iht. bestemmelsene i offentleglova, vil ikke bestemmelsene i personopplysningsloven gi begrensninger i denne innsynsretten. Det kan derfor skje at Nord universitet sender personopplysninger om deg til andre parter enn det som er nevnt i denne personvernerklæringen.

Brukes personopplysninger i automatisert behandling eller profilering?

I noen tilfeller utfører vi en helt eller delvis automatisert behandling. Dette kan f.eks. være poengberegning ved opptak til studier, kontroll av studieplan eller opprettelse av faktura.

Hvor lenge lagres personopplysningene?

Som utgangspunkt skal ikke personopplysninger lagres lengre enn det som er nødvendig. Det er behandlingsansvarliges ansvar å vurdere hvor lenge det er nødvendig å ha opplysningene tilgjengelig. I noen tilfeller har vi en plikt til å lagre opplysningene i en viss tid, i henhold til bl.a. regnskapsloven og lov om offentlige anskaffelser. 

Selv om vi sletter personopplysningene i våre datasystemer, vil arkivloven i mange tilfeller kreve at opplysningene arkiveres.  

Hva er dine rettigheter og valgmuligheter?

Som registrert har du krav på informasjon om hvordan Nord universitet behandler dine personopplysninger. Du har også en del andre rettigheter som er opplistet nedenfor.

Dersom du ønsker å benytte deg av dine rettigheter, har spørsmål eller behov for rådgivning omkring behandlinger av personopplysninger ved Nord, kan du ta kontakt på behandlingsansvarlig@nord.no. Vi vil behandle din henvendelse uten ugrunnet opphold, og senest innen 30 dager.

Når du henvender deg til oss, vil du bli bedt om å bekrefte identiteten din. Dette gjør vi for å sikre at uvedkommende ikke får tilgang til dine personopplysninger. Du kan også bli bedt om å oppgi ytterligere informasjon

Rett til innsyn
Du har rett til å se/få innsyn i alle personopplysninger som er registrert om deg ved Nord universitet Du har også rett til å få utlevert en kopi av personopplysninger om deg, dersom du ønsker det. I enkelte elektroniske løsninger (f.eks. StudentWeb og CRIStin) kan du selv se hva vi har registrert om deg, samt mulighet til å endre noen av opplysningene.

Rett til å trekke samtykke
Dersom vi behandler opplysninger om deg på grunnlag av ditt samtykke, kan du til enhver tid trekke tilbake samtykket. Den enkleste måten å gjøre dette på, er å ta direkte kontakt med den avdelingen/enheten som innhentet ditt samtykke. Du kan også ta kontakt med behandlingsansvarlig.  

Rett til retting
Du har rett til å få uriktige personopplysninger om deg rettet. Du har også rett til å få ufullstendige personopplysninger om deg supplert. Dersom du mener vi har registrert feil eller mangelfulle personopplysninger om deg, ber vi deg kontakte oss. Det er viktig at du begrunner og eventuelt dokumenterer hvorfor du mener personopplysningene er feil eller mangelfulle.

Rett til begrenset behandling
I enkelte tilfeller kan du har rett til å kreve at behandlingen av personopplysningene dine blir begrenset. Begrensning av personopplysninger vil si at personopplysningene fortsatt blir lagret, men at mulighetene for videre bruk og behandling blir begrensede.

Dersom du mener at personopplysningene er feil eller mangelfulle, eller har protestert mot behandlingen, har du rett til å kreve at behandlingen av personopplysningene dine midlertidig blir begrenset. Det vil si at behandlingen blir begrenset inntil vi eventuelt har rettet personopplysningene dine, eller har fått vurdert om protesten din er berettiget. I andre tilfeller kan du også kreve en mer permanent begrensing av dine personopplysninger. For å ha rett til å kreve begrensing av dine personopplysninger, må vilkårene i personvernforordningen artikkel 18 være oppfylte. Dersom vi mottar en henvendelse fra deg om begrensing av personopplysninger, vil vi vurdere om lovens vilkår er oppfylte.

Rett til sletting
I noen tilfeller har du rett til å kreve at vi sletter personopplysninger om deg. Retten til sletting er ikke en ubetinget rett, og hvorvidt du har rett til sletting må vurderes i lys av personopplysningsloven og personvernforordningen. Dersom du ønsker å få slettet personopplysningene dine, ber vi deg om å ta kontakt med oss. Det er viktig at du begrunner hvorfor du ønsker at personopplysningene blir slettet, og om mulig også opplyser om hvilke personopplysninger du ønsker å få slettet. Vi vil da vurdere om de rettslige vilkårene for å kreve sletting er oppfylt. Vær oppmerksom på at lovverket i enkelte tilfeller gir oss anledning til å gjøre unntak fra retten til sletting. For eksempel vil dette være tilfelle når vi er nødt til å lagre personopplysningene for å oppfylle en oppgave vi er pålagt etter universitets- og høyskoleloven, eller for å ivareta viktige samfunnsinteresser som arkivering, forskning og statistikk.

Rett til å protestere
Du kan ha rett til å fremme en innsigelse mot behandlingen, det vil si protestere mot behandlingen, dersom du har et særskilt behov for å få stanset behandlingen av personopplysningene dine. Eksempler kan være dersom du har et beskyttelsesbehov, fortrolig adresse, eller lignende. Retten til å protestere er ikke en ubetinget rett, og den avhenger av hva som er det rettslige grunnlaget for behandlingen, og om du har et særskilt behov. Hvis du protesterer mot behandlingen, vil vi vurdere om vilkårene for å protestere er oppfylt. Dersom vi kommer til at du har rett til å protestere mot behandlingen, og at innsigelsen er berettiget, vil vi stanse behandlingen og du vil også kunne kreve sletting av opplysningene. Vær oppmerksom på at vi i enkelte tilfeller likevel kan gjøre unntak fra sletting, for eksempel hvis vi er nødt til å lagre personopplysningene for å oppfylle en oppgave vi er pålagt etter universitets- og høyskoleloven, eller for å ivareta viktige samfunnsinteresser.

Rett til å klage over behandlingen
Dersom du mener vi ikke har behandlet personopplysningene på en korrekt og lovlig måte, eller hvis du mener at vi ikke har klart å oppfylle dine rettigheter, har du mulighet til å klage over behandlingen.

Dersom vi ikke tar klagen din til følge, har du mulighet til å fremme klagen for Datatilsynet. Datatilsynet er ansvarlig for å kontrollere at norske virksomheter overholder bestemmelsene i personopplysningsloven og personvernforordningen ved behandling av personopplysninger.

Hva gjøres ved brudd på informasjonssikkerheten?

Dersom Nord avdekker eller får melding om sikkerhetsbrudd, behandles saken av institusjonens informasjonssikkerhetskoordinator (CISO) i henhold til gjeldende regelverk og rutiner.

Dersom man vurderer at sikkerhetsbruddet medfører risiko for krenkelse av personvernet, vil Datatilsynet bli varslet uten ugrunnet opphold, og senest innen 72 timer.

De registrerte som sannsynlig vil bli berørt av et sikkerhetsbrudd, vil bli varslet så raskt som mulig. De registrerte blir da varslet individuelt. Dersom det ikke er mulig å varsle de registrerte individuelt, vil bruddet bli bekjentgjort som en nyhetssak på Nords nettsider.

Behandlingsansvarlig og personvernombud

Behandlingsansvarlig

Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes ved behandlingen. Direktør for HR og Økonomi (CSO) Anita Eriksen har det overordnede ansvaret for behandling av personopplysninger ved Nord universitet. Rektor har det overordnede ansvaret for behandling av personopplysninger i forskningsprosjekter.

Dersom du ønsker å benytte deg av dine rettigheter, har spørsmål eller behov for rådgivning omkring behandlinger av personopplysninger ved Nord, kan du ta kontakt på behandlingsansvarlig@nord.no.

Personvernombud

Personvernombudet skal være et kontaktpunkt for de registrerte (de personer som det behandles persondata om) og for Datatilsynet.

Man kan søke generell veiledning hos personvernombudet. 

Personvernombudet skal informere om forpliktelsene man har etter de nye reglene. Ombudet skal også kontrollere at regelverket overholdes og at personvernkonsekvenser vurderes der det kan være høy risiko for personers personvern og øvrige interesser. 

I mange tilfeller har Nord en rådføringsplikt med personvernombudet. Nord som behandlingsansvarlig skal sørge for at personvernombudet involveres i rett tid og på riktig måte i personvernspørsmål.

Personvernombudet ved Nord universitet er Toril Irene Kringen som kan kontaktes på personvernombud@nord.no



Publisert: 28.06.2018
Oppdatert: 28.06.2018

 

Kontakt

Behandlingsansvarlig

Dersom du ønsker å benytte deg av dine rettigheter, har spørsmål eller behov for rådgivning omkring behandlinger av personopplysninger ved Nord, kan du ta kontakt på behandlingsansvarlig@nord.no. Vi vil behandle din henvendelse uten ugrunnet opphold, og senest innen 30 dager.

 

Personvernombud

Nord universitet har et personvernombud som skal ivareta personverninteressene til alle som universitetet har registrert opplysninger om.

personvernombud@nord.no

Telefon 74 02 27 50

 

NSD

Hvis du har spørsmål knyttet til meldeplikten eller utfylling av meldeskjemaet for behandling av personopplysninger i forskning, kan du ta kontakt med NSD på personvernombudet@nsd.no

Telefon (10.00-14.00): 55 58 21 17 (tast 1)

Gjeldende regelverk

Politikk for informasjonssikkerhet ved Nord universitet

Lov om behandling av personopplysninger (ny personopplysningslov)

Forskrift om behandling av personopplysninger

Personvernforordningen GDPR (EU) 2016/679