Gå til innholdet
Nye nettsider er nylig lansert, og vi fikser fortløpende feil og mangler. Takk for at du har tålmodighet mens vi får alt innhold på plass.

Personvernerklæring for VID

Denne erklæringen redegjør for og gir generell informasjon om hvordan VID vitenskapelige høgskole (VID) behandler personopplysninger. Målet med personvernerklæringen er å gi generell informasjon om behandling av personopplysninger ved VID.

Personvernerklæringen følger de kravene som fremgår av personvernforordningen (GDPR), artikkel 12–15. Personvernforordningen er EUs nye lovgivning på personvernområdet, og har vært i kraft i EU/EØS fra 25. mai 2018 og innarbeidet i norsk lov siden juli 2018.

På denne siden finner du VIDs sentrale personvernerklæring og spesifikke erklæringer for delsystemer. Behandlingsansvarlig VID vitenskapelige høgskole, ved rektor, er behandlingsansvarlig for virksomhetens behandling av personopplysninger. Enkelte av den behandlingsansvarliges oppgaver er delegert til linjelederne, og denne ansvarsfordelingen er beskrevet under hvert enkelt punkt.

Behandlingsformål

Ved VID behandles personopplysninger for administrative formål, for arkivformål, for forskningsformål og for å oppfylle kontrakter. For å kunne administrere systemer, sikre stabil drift og avdekke og oppklare uønskede hendelser logges aktiviteten i IT-systemer. Som hovedregel kan informasjon som er samlet inn til ett bestemt formål, ikke brukes til andre formål uten lovlig grunn.

I hovedsak behandler vi opplysninger som du har gitt oss av en av disse årsakene:

  • Besvare henvendelser fra studenter, studiesøkere, jobbsøkere, ansatte og andre.
  • Registrere din påmelding til arrangementer eller nyhetsbrev.
  • Sende deg brosjyrer, invitasjoner eller annen informasjon du ønsker å få fra oss.
  • Overholde våre avtaler med leverandører, forskningsinstitusjoner, forskere, studenter, ansatte og andre samarbeidspartnere.
  • Deltakelse i et forskningsprosjekt eller et annet forskningsformål.
  • VID har en berettiget interesse i å kunne kontakte deg.

Vi behandler også opplysninger indirekte av blant annet de følgende årsakene:

  • Vi mottar opplysninger om deg fra et annet myndighetsorgan.
  • En klage eller veiledningssak inneholder opplysninger om deg.
  • En avviksmelding inneholder opplysninger om deg.
  • En ansatt, student, pasient eller forskningsdeltaker har oppgitt deg som nærmeste pårørende.
  • En jobbsøker har oppgitt deg som referanse.
  • Det er gitt tillatelse til at tidligere innsamlede opplysninger kan gjenbrukes for forskningseller kvalitetssikringsformål.

Hvilke personopplysninger samler vi inn?

Vi samler i hovedsak inn:

  • Navn
  • E-postadresse/postadresse
  • Arbeidssted
  • Telefon
  • Fødselsdato
  • Foto av studenter og ansatte til bruk for adgangskort
  • IT-logg (driftslogg og applikasjonslogg i IT-systemet)
  • Bilder fra overvåkningskameraer som dekker uteområdene og inngangspartiet innvendig og utvendig.

I tillegg samles det inn andre opplysninger som er nødvendige for å utføre konkrete formål.

Personvernerklæringen gir konkret informasjon for hvert enkelt system og for de ansatte.

Rettslig grunnlag

Hjemmelsgrunnlaget for behandlingen av personopplysninger om søkere og studenter er personopplysningsloven, personvernforordningens artikkel 6 nr. 1 a), b), c), e), f), artikkel 9 nr. 2 a), b) og universitets- og høyskoleloven.

Formålet med behandlingen av personopplysninger om ansatte er å oppfylle rettslige forpliktelser og avtaler. Hjemmelsgrunnlaget for behandlingen av personopplysninger om ansatte er personopplysningsloven og personvernforordningens artikkel 6 nr. 1 a), b), c), e), f), artikkel 9 nr. 2 a), b), artikkel 88. Se nærmere om personvernerklæring for ansatte.

Personopplysningene behandles i henhold til personopplysningsloven §§ 8-10, jf. personvernforordningen artikkel 5, 6 og 9 og 89, helseforskningsloven, helseregisterloven og helsejournalloven.

Forvaltningsloven og universitets- og høyskoleloven med tilhørende forskrifter inneholder saksbehandlingsregler for hvordan opplysninger om ansatte og studenter skal behandles ved VID.

Personopplysninger kan være nødvendige for å oppfylle en avtale med deg, for eksempel en arbeidsavtale, tjenesteavtale, forskningskontrakt eller samarbeidsavtale. (GDPR art. 6 nr. 1 bokstav b).

Vi kan også behandle personopplysninger dersom dette er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern (GDPR art. 6 nr. 1 bokstav f).

Behandling av personopplysninger kan baseres på et frivillig, uttrykkelig og informert samtykke fra deg. Selv om du har avgitt samtykke til oss, kan du på hvilket som helst tidspunkt trekke det tilbake (GDPR art 6 nr. 1 bokstav a).

I enkelte tilfeller foreligger det en rettslig forpliktelse til å behandle personopplysninger, for eksempel i henhold til regnskapsloven, aksjeloven, stiftelsesloven eller åndsverksloven (GDPR art. 6 nr. 1 bokstav c).

Hjemmelsgrunnlaget for behandling av personopplysninger lagret i logger og overvåkningskameraer er personvernforordningen artikkel 6 nr. 1, artikkel 10 og artikkel 32.

Hvem deler vi opplysninger med?

Personopplysninger vil kunne utleveres i henhold til offentlighetsloven ved begjæringer om innsyn.

I forskningsprosjekter kan personopplysninger utleveres uten samtykke dersom forskningsprosjektet har fått innvilget unntak fra taushetsplikten.

Offentlige myndigheter, som for eksempel skattemyndighetene, NAV, påtalemyndighetene og andre kan kreve å få personopplysninger utlevert ved mistanke om straffbare forhold.

I noen tilfeller bruker VID databehandlere (for eksempel leverandører av IT-tjenester) til å behandle personopplysninger på våre vegne. I slike tilfeller inngår vi avtaler med databehandlerne for å sikre at opplysningene behandles i samsvar med personvernregelverket og sykehusets krav til personvern. Bruk av databehandlere regnes ikke som en utlevering av personopplysninger.

Vi deler også din personopplysninger med samarbeidspartnere dersom dette er nødvendig for å oppfylle en avtale eller yte en tjeneste til deg, for eksempel en avtale om praksisopplæring.

IT-loggene utleveres i utgangspunktet ikke, da de er ment som tekniske driftslogger for å sikre stabil drift og avdekke uønskede eller unormale hendelser. De kan bare utleveres til politi eller påtalemyndighet på grunnlag av en rettslig kjennelse.

Dine personopplysninger kan også overføres til utlandet, under forutsetning av at vilkårene i personvernregelverket er oppfylt. Virksomheter som vil overføre personopplysninger til utlandet, kan bare overføre dem til stater som sikrer en forsvarlig behandling av opplysningene.

Hvor lenge oppbevarer vi dine personopplysninger?

Det er fastlagt rutiner for behandling av personopplysninger. Hovedregelen er at det ikke skal lagres flere opplysninger enn det som er nødvendig for oppfylle formålet med behandlingen av dem.

Personopplysninger skal normalt ikke lagres lenger enn det som er nødvendig for å få gjennomført formålet med behandlingen av dem.

VID oppbevarer de opplysningene vi er lovpålagt så lenge loven krever. Lagringsperioden vil dermed variere avhengig av til hvilke formål opplysningene ble registrert. Dersom all lovlig bruk av opplysningene er opphørt og ingen ytterligere lovbestemte krav gjør at de fortsatt må lagres, vil de bli rutinemessig slettet fra våre systemer senest tre måneder etter at formålet er opphørt.

Adgang til loggen slettes etter 30 dager. Kameraene filmer kontinuerlig, og opptakene lagres i sju dager før de slettes.

Dersom du trekker tilbake ditt samtykke til at vi kan behandle dine personopplysninger, vil vi slette alle opplysninger om deg, med unntak av de opplysningene vi er lovpålagt å lagre.

Hva er dine rettigheter?

Innsyn og dataportabilitet

Du har rett til å få informasjon om hvilke av dine personopplysninger vi behandler. Dette gjelder informasjon du selv har oppgitt, informasjon vi har hentet fra eksterne kilder, og informasjon om behandlingen av opplysningene. Du kan til enhver tid kreve innsyn i de opplysningene vi lagrer om deg.

Dataportabilitet er din rett til å motta personopplysninger du selv har gitt oss. Opplysningene skal sendes i et maskinlesbart format. Dette gjelder opplysninger du har gitt oss direkte på grunnlag av samtykke eller for å oppfylle en avtale.

Retting og sletting

VID sletter personopplysninger når de ikke lenger er nødvendige for å oppfylle det formålet de ble innhentet for. Opplysninger som VID er lovpålagt å oppbevare, kan ikke kreves slettet. I de tilfellene som er beskrevet nedenfor skal institusjonen gjennomføre sletting uten ugrunnet opphold og normalt senest innen én måned.

Du kan kreve sletting av opplysningene dine i de følgende tilfellene: i) Dersom du opplever at vi oppbevarer dine personopplysninger urettmessig; ii) dersom du er mindreårig og har brukt en digital tjeneste, slik som sosiale medier; iii) dersom formålet med bruken av opplysningene er oppnådd; iv) dersom virksomheten har sletteplikt etter loven;v) dersom du har trukket tilbake et tidligere avgitt samtykke til behandling av dine personopplysninger; vi) dersom opplysningene har blitt innhentet ulovlig.

Retten til sletting gjelder IKKE i de følgende tilfellene (unntak):

  • Personopplysningene inngår i en ytring som er vernet av ytrings- og informasjonsfriheten.
  • Lagring er nødvendig for arkivering i allmennhetens interesse, for vitenskapelige eller historiske forskningsformål eller for statistiske formål. Unntaket gjelder bare dersom sletting i alvorlig grad vil hindre at disse formålene oppnås.
  • Virksomheten har lagringsplikt etter loven (for eksempel bokføringsplikt eller arkivplikt).
  • Lagring er nødvendig for visse typer bruk innen helsetjenesten, jf. personvernforordningen artikkel 9.
  • Lagring er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav.

Dersom du oppdager feil i de opplysningene som er registrert om deg, kan du kreve at opplysningene korrigeres.

Innsigelse mot behandling

Du har rett til å protestere mot behandling av dine personopplysninger som skjer på grunnlag av berettigede interesser, med mindre slike interesser overstyrer dine grunnleggende rettigheter eller friheter. I tilfeller hvor behandling av dine personopplysninger er basert på vår berettigede interesse og opplysningene benyttes for direkte markedsføring og profilering i forbindelse med slik markedsføring, har du imidlertid alltid rett til å fremme innsigelser mot behandlingen.

Informasjonskapsler/cookies:

Ved besøk på VIDs nettsider lastes det ned små tekstfiler (cookies). Cookies er en standard teknologi som de fleste nettsteder bruker. VID bruker cookies til å generere statistikk for bruken av nettstedet, for å forstå brukernes interesser, og for å kunne tilby tilpassede annonser. Du kan velge å akseptere eller avvise cookies gjennom å endre innstillingene i din nettleser. Dette kan føre til at noen nettsteder ikke vil fungere optimalt.

Har du klager eller spørsmål?

Hvis du er uenig i hvordan vi behandler dine personopplysninger eller har spørsmål om behandlingen, kan du ta kontakt med den avdelingen som er ansvarlig.

E-post: post@vid.no

Hvis du har andre spørsmål om personvern ved VID kan du ta kontakt med vårt personvernombud på personvernombud@vid.no

Ikke ta med sensitiv informasjon eller personopplysninger, som for eksempel fødselsnummer eller helseopplysninger, i din e-post.

Du kan klage på hvordan VID behandler dine opplysninger til Datatilsynet.