Bortfall av konsesjon fra Datatilsynet
N?r det nye personvernregelverket (GDPR) trer i kraft, faller b?de melde- og konsesjonsplikten bort. Vilk?rene gitt i konsesjonen bortfaller ogs?. Det blir alts? ikke lenger konsesjonsplikt for forskning, kvalitetssikring og helseregistre. Den erstattes av andre plikter som i praksis betyr at virksomhetene selv m? gj?re de vurderingene som Datatilsynet tidligere har gjort ved behandling av konsesjonss?knader.
Man flytter alts? ansvaret for behandling av personopplysninger fra tilsynsmyndigheten til virksomhetene, og fjerner byr?kratiske prosesser for behandling av personopplysninger. Tilsynsmyndighetene vil g? over til ? kontrollere etterlevelse av regelverket gjennom tilsyn heller enn ? forh?ndsgodkjenne behandlinger.
Datatilsynet har avgjort at selv om det nye regelverket ikke gjelder f?r 25.mai, er alle virksomheter fritatt fra disse pliktene allerede n?, og de vil ikke lenger behandle konsesjonss?knader. Det vil heller ikke v?re behov for ? s?ke om ? gj?re endringer i allerede p?g?ende behandlinger.
Eksisterende konsesjoner vil kunne brukes som god veiledning i hvordan vi skal tolke og anvende forordningens regler fremover og Datatilsynet anbefaler at dere f?lger disse i st?rst mulig grad fremover og dokumenterer eventuelle endringer. Eventuelle endringer b?r erstattes med andre tiltak som holder ulempene for behandlingen av data p? et akseptabelt niv?. Informasjon om UiOs rutiner som f?lge av dette vil komme fortl?pende.
Les mer p? Datatilsynet sine nettsider
Oppdatering av registreringer Helseforsk
UiO har opprettet et GDPR-prosjektet som skal tilrettelegge for at universitetets prosedyrer, rutiner og praksis knyttet til h?ndtering av personopplysninger er i tr?d mer det nye regelverket. Prosjektet ?nsker n? at alle enheter gj?r en gjennomgang for ? sikre at alle prosjekt som behandler personopplysninger som tilh?rer oss er registrert b?de hos personvernombudet NSD/REK og i Helseforsk. Vennligst g? gjennom dine prosjekter og se at alt stemmer. Sjekk spesielt at du har huket av og lastet opp REK- og/eller NSD-godkjenninger, for da er du sikker p? at det er registrert i hht nytt lovverk. Dersom du oppdager at du skulle meldt inn behandling av personopplysninger til NSD og/eller REK, registreres dette i skjemaet for etterregistrering av prosjekt, f?r 11.mai, s? vil USIT f?lge dette opp.
Det er selvsagt ?nskelig at man registrerer og oppdaterer i Helseforsk som del av rutinemessig gjennomgang dersom man har nye eller endrede prosjekter (med eksisterende godkjenninger fra REK/NSD). Se veiledning for utfylling i Helseforsk p? HELSAMS nettsider
UiOs GDPR-prosjekt kan f?lges her
Lurer dere p? noe kan dere ta kontakt med Fakultetets personvernteam Katrine Ore katrine.ore@medisin.uio.no og Hilde Henriksen hilde.henriksen@medisin.uio.no
Kartlegging av IT-systemer
Har du v?rt i dialog med USIT for ? klarere ut bruken av et bestemt system?
Bruker du en programvare/system utenfor det som finnes p? en UiO-PC til ? behandle ikke-anonyme data?
Vi har flere prosjektrelaterte systemer dette gjelder, for eksempel bruk av nettbrett og skytjenester og GDPR-prosjektet har utf?rt en systemkartlegging for USIT sine systemer og delsystemer og samlet disse i en oversikt. Men det er tjenester og systemer i bruk innenfor forskning og undervisning/eksamen p? fakultetene og instituttene som ikke er del av den sentrale kartleggingen og de ?nsker dermed en registrering av systemene som ikke finnes i denne oversikten
Dersom du benytter systemer som ikke st?r oppf?rt i oversikten skal alts? f?lgende nettskjema brukes: https://nettskjema.no/a/96174, send kopi av kvitteringsepost til it-hjelp@helsam.uio.no.
Om du lurer p? om du b?r registrere et system eller har andre sp?rsm?l, kontakt Morten Ariansen eller Viktor Bredholt: it-hjelp@helsam.uio.no