Personopplysninger og sensitive personopplysninger

Hva er sensitive opplysninger

Når vi skal besvare henvendelser fra studenter, saksbehandle søknader eller diskutere tilretteleggingstiltak vil vi ofte forholde oss til sensitive personopplysninger.

Personopplysningsloven, artikkel 9, 1. ledd:

Behandling av personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, er forbudt.

Praktisk håndtering i studentsaker og ulike tiltak

Informere studenter om hva som ikke skal sendes per epost

Adresseinformasjon med epostadresser er å finne mange steder på nettsidene til hiof. På den måten oppfordrer vi studentene til å sende epost til både enkeltpersoner og samleadresser. Det er viktig at vi gjør oppmerksom på at sensitive personopplysninger ikke skal sendes på epost.

Dette gjør vi:

  1. En standard tekst publiseres sammen med adresseinformasjon (eksamen-fred@hiof.no, eksamen-halden@hiof.no, studier@hiof.no, opptak@hiof.no m. fl.

    Forslag til tekst: 
    Husk at du ikke skal sende sensitive personopplysninger på epost. Har du behov for å dokumentere slike opplysninger, bruk skjemaet Innsending av sensitiv informasjon
  2. Informasjon om ikke å sende sensitive personopplysninger publiseres i listen med E-post-regler
  3. Lenke til skjema for sensitive opplysninger: Skjemaet Innsending av sensitive opplysninger publiseres sammen med lenke til ulike søknadsskjema der man kan legge ved dokumentasjon.

Rutine for å besvare epost med sensitive opplysninger

Alle som er i kontakt med studenter sender og mottar daglig mye epost. Disse inneholder av og til sensitive personopplysninger da studenter kan ha behov for å beskrive og forklare sin helsetilstand.

Denne rutinen skal følges når man mottar epost fra personer som sender sensitive personopplysninger om seg selv:

  1. Dra eposten over til P360 dersom det er behov for å beholde historikk.
    • Besvar med epost. Fjern tekst i innsendt epost som inneholder sensitive opplysninger. Svar uten å gjengi sensitive opplysninger.
    • Besvar med brev (hiof brevmal eller notat)
      Start svarene med følgende setning (eller tilsvarende):
      Du har sendt en epost som inneholder sensitive personopplysninger. Eposten vil bli lagret sikkert eller slettet i henhold til gjeldende personvernregler. Husk at dersom du senere vil sende informasjon som inneholder sensitive opplysninger skal du bruke skjemaet Innsending av sensitive opplysninger.
  2. Dersom du svarer med brev, send svaret i Digipost
  3. Eposten skal slettes fra Outlook når den er ferdig behandlet, både fra innboks og slettede elementer.

Rutine for deling av skriftlig informasjon med sensitive opplysninger mellom ansatte

Ofte har administrasjon og fagmiljø eller kollegaer internt i administrasjonen behov for å dele skriftlige opplysninger om en student. Anonymisering er krevende. Studentnummer eller initialer er ikke god nok anonymisering.

Denne rutinen skal følges når det er behov for å dele referat eller andre dokumenter med andre ansatte som inneholder sensitive personopplysninger:

  1. Vurdere om det er tilstrekkelig å overføre informasjonen muntlig
  2. Hvis informasjonen må deles skriftlig - kryptering
    Krypteringsnøkkelen skal oppgis muntlig, i Teams eller på SMS. Dokumentet skal lagres sikkert eller slettes etter at saksbehandlingen er avsluttet.
  • Kryptering i Word:
Bildet viser hvordan man krypterer et dokument i Word.
Skjermdump. Hvordan kryptere i Word.

     3. Dokumentet skal lagres sikkert eller slettes etter at saksbehandlingen er avsluttet.

Digital studentlogg kan også brukes for å lagre og dele studentopplysninger. Digital studentlogg (skjema) er pr i dag i bruk ved noen profesjonsutdanninger og det jobbes med å utvide bruken av denne.

Retningslinjer for publisering av navn på studenter i praksis i Canvas og epost

Internt:

Det kan være behov for å dele informasjon om hvor studenter i et studentkull er i praksis. Det er ok å publisere slik informasjon i Canvas dersom følgende er på plass (jf Personvernombudet ved Høgskolen i Østfold 18/11 2022):

  • Formålet med delingen må være tydelig.
  • Kun personer som trenger opplysningene skal se dem. Det betyr publisering i Canvas er ok, men ikke åpne nettsider. Publisering på nettsider kan eventuelt passordbeskyttes (Feide-innlogging).
  • Det skal kun publiseres navn, hiof-epostadresse og praksissted, eventuelt praksislærer.

Eksternt:

I forbindelse med praksis er det behov for å sende studenters personopplysninger til eksterne samarbeidspartnere i praksisfeltet. Det er ok å dele slik informasjon på epost dersom følgende er på plass (jf Personvernombudet ved Høgskolen i Østfold 15/2 2023):

  • Formålet med delingen må være tydelig.
  • Kun personer som trenger opplysningene skal se dem. Det betyr at det kun er personopplysninger om studenter som skal i praksis i den aktuelle enheten som skal sendes til navngitte kontaktpersoner ved enheten.
  • Antall personer opplysningene omhandler kan ikke overskride 50 stykker.

Elektronisk oversendelse av personopplysninger med flere enn 50 studenter samlet skal gjøres kryptert og følge HiØs retningslinjer for sikkerhet. Det samme gjelder hvis den elektroniske oversendelsen inneholder helseopplysninger eller personnummer.

Sletterutiner

Alle ansatte skal rutinemessig slette dokumenter som ikke lenger er gjenstand for behandling. Det gjelder epost og dokumenter som er lagret på maskiner (ikke servere).

Sletterutiner skal inngå i årshjul i seksjoner som håndterer større mengder sensitive opplysninger.

Publisert 18. apr. 2023 12:39 - Sist endret 12. juni 2023 13:26
Del på e-post