Personvern

KRUS har en egen rutine og egne prosedyrer knyttet til mistanke om avvik i personvernet (sist oppdatert 02.10.22). Rutinen gjelder for alle som behandler personopplysninger på vegne av KRUS.

Hva menes med avvik innen personvern?

Listen under gir noen eksempler, men er ikke uttømmende: 

• Sensitive personopplysninger på avveie
• Feilsendt e-post eller post med sensitive personopplysninger
• Riktig mottaker har ved en feil fått sensitive personopplysninger om andre
• Brudd på lover, forskrifter og interne rutiner
• Svikt eller mangler i sikkerhetsrutiner eller tekniske sikkerhetstiltak som innebærer brudd på personopplysningssikkerheten
• Hacking eller databrudd som har betydning for registrertes personopplysninger
• Uvedkommende har fått tilgang til personopplysninger på grunn av manglende eller mangelfull tilgangsstyring
• Publisering av personopplysninger uten rettslig grunnlag eller tilstrekkelig anonymisering.
• Mistet/gjenglemt/forlagt papirdokumenter, PC, minnepinner (ikke kryptert) o.l.

Rutine og prosedyre ved mistanke om avvik - personvern

Enhver som behandler personopplysninger på vegne av KRUS, skal straks vedkommende har mistanke om at personopplysninger har kommet på avveie melde ifra om dette til sin nærmeste leder og til ansvarlig for personvern ved KRUS.

Nærmeste leder eller leder ved enheten er ansvarlig for at avviket meldes personvernrådgiver. Hendelser som innebærer brudd på personopplysningssikkerheten skal håndteres etter prinsipper og styrende internkontrolldokumenter for krise og beredskapshåndtering ved KRUS (Retningslinje: Roller og ansvar i sikkerhetsorganisasjonen).

Sammen med behandlingsansvarlig vil personvernrådgiver vurdere hendelsen og eventuelt kontakte personvernombud eller datatilsynet. I mange tilfeller er det IT som må følge opp saken. Avvik må håndteres.

Avvik skal som hovedregel meldes i Kriminalomsorgens internkontrollsystem (KIKS), som består av et dokumentarkiv og en avviksmodul. Personvernrådgiver kan bistå berørt avdeling med å legge inn avviket i KIKS.

Hvorfor bør du melde avvik?  

• Det gjør KRUS oppmerksom på avviket
• Det er viktig å følge loven
• Det legger grunnlaget for forbedring av rutiner
• Det gir god sikkerhetskultur
• Det reduserer konsekvenser av uheldige rutiner og systemer o.l.

Hva som skal beskrives i avviksmeldingen

• Hva er hovedårsaken til avviket?     
• I hvilket tidsrom oppstod avviket?   
• Når ble avviket oppdaget?    
• Hvor mange personer er berørt?       
• Hva har skjedd?
• Hvilke typer personopplysninger ble berørt?          
• Hvilken relasjon har virksomheten til de berørte personene?           
• Hvor befinner personopplysningene seg etter avviket?
• Hvilke konsekvenser har avviket for virksomheten og den registrerte?    
• Tiltak: Hva gjøres for å redusere de negative konsekvensene for virksomheten og den registrerte?
• Informasjon: Innebærer avviket en så høy risiko for de berørte at informasjon til de berørte er nødvendig? Er dette i så fall sendt? Hvis nei, hvorfor ikke?

Når et avvik er oppdaget

Når et avvik er oppdaget, skal oppfølgingen loggføres fortløpende og saken håndteres som følger:

• Kartlegg hvilke opplysninger som har vært tilgjengelige for hvem.
• Kartlegg hvilken type opplysninger avviket dreier seg om, hvem de registrerte er samt hvor opplysningene stammer fra.
• Fjern tilgang for gjeldende dokument/tjeneste.
• Kartlegg hvem som har tilgang til informasjonen.
• Uberettiget tilgang til opplysningene skal fjernes. Opplysninger det ikke er behov for, eller kopier av slike, være seg fysiske eller digitale, skal straks slettes.

Via tilgjengelige logger skal det kartlegges hvem som har hatt tilgang til informasjonen.

Informasjon til de registrerte

Som hovedregel skal alle varsles om hendelsen. Om praktiske eller andre årsaker vanskeliggjør dette, skal behandlingsansvarlig foreta en konkret vurdering av hva slags varsling som er nødvendig.

Informasjon til øvrige

I samråd med behandlingsansvarlig skal det vurderes om noen av følgende skal informeres:

• Ansatte ved KRUS
• Studenter ved KRUS
• Media

Rapport

Etter hendelsen skal den berørte avdeling i samarbeid med behandlingsansvarlig skrive en rapport som dokumenterer hva som har skjedd og hvilke tiltak som er gjort. Rapporten skal legges inn i KIKS. Personvernombudet vurderer om den skal videresendes Datatilsynet.

Innholdet i "personvern ved digital undervisning" er basert på  «Retningslinje for personvern ved digital undervisning», fastsatt av direktør ved KRUS, versjon 1, 19. juni 2020. Kontaktperson ved spørsmål er personvernrådgiver. Ansatte finner selve retningslinjen i kriminalomsorgens internkontrollsystem (KIKS).

Personvernhensyn skal ivareta ved digital undervisning

Digital undervisning innebærer innsamling/behandling av personopplysninger, herunder lyd- og bildeopptak av undervisere og den som undervises. Personvernhensyn skal ivaretas ved digital undervisning, og løsningene som benyttes må derfor være i samsvar med personvernforordningen (GDPR) og personopplysningsloven (personvernregelverket). KRUS benytter de læringsplattformer og kommunikasjons- og samarbeidsplattformer som direktøren til enhver tid har bestemt.

Med digital undervisning menes her opptak eller direktestrømming (streaming) av undervisning gjennom digitale løsninger, hvor opptaket eller direktestrømmen inneholder lyd fra og/eller video av personer.

Retningslinjen for personvern ved digital undervisning gjelder for:  

• Aspiranter ved studiet «Høgskolekandidat i straffegjennomføring»
• Studenter ved studiet «Bachelor i straffegjennomføring» (inkludert enkeltemnestudenter)
• Kursdeltagere ved kurs i regi av KRUS
• Personer som underviser på oppdrag fra KRUS

Retningslinjen for personvern ved digital undervisning gjelder ikke for:

• Strømming og digitale opptak av arrangementer som ikke er undervisning.

Ulike digitale undervisningsformer

Opptak og strømming av undervisning der bare underviser er en del av opptaket

Opptak av digital undervisning hvor den som underviser er en del av opptaket, vurderes som sidestilt med opptak av vanlig undervisning ved KRUS. Dette vil for eksempel være en form som kan likne på tradisjonelle forelesninger der den som underviser har en monolog, men der det ikke er dialog med deltagerne. Den som underviser samtykker til opptak ved å selv starte opptak.

Den som underviser har selv opphavsretten til eget undervisningsmateriale med mindre annet er avtalt. Opptak av lyd eller bilde som undervisere har gjort av sine forelesninger/kunngjøringer skal likevel ikke benyttes til andre formål enn undervisning.

Opptak og strømming av obligatorisk og frivillig undervisning

Ved strømming av undervisning er det i utgangspunktet frivillig for deltagerne om de ønsker å delta med bruk av bilde og/eller lyd under strømmingen av undervisning. Dette styres av den enkelte deltager med innstillinger ved tilkoblingen til undervisningsstrømmen, og kan når som helst endres av den enkelte aspirant/student/kursdeltager (heretter kalt deltagere) så lenge strømmingen foregår. 

Hvis det ikke er nødvendig å ta opptak for å oppfylle deltagernes rettigheter og institusjonens forpliktelser, skal det i utgangspunktet ikke gjøres.  

Hvis det likevel skal gjennomføres opptak av undervisningen, og deltagerne er en del av opptaket, vil dette vurderes særskilt. 

Det vil da vurderes om behovet til KRUS for å gjøre opptak er strengt nødvendig for å oppfylle formålet med undervisningen. I dette ligger at opptak må være egnet for å nå formålet, nødvendig for å nå formålet og proporsjonalt i forhold til personvernulempen for deltagerne. Eksempelvis kan det være nødvendig å gjennomføre opptak for at deltagere som ikke har anledning til å være til stede i sanntid kan få utbytte av undervisningen.

Dersom det blir gjort opptak av undervisningen skal deltagerne være kjent med at det gjøres opptak. Deltagerne velger selv om de vil delta med eget bilde, lyd eller video. For å begrense inngrepet i deltagernes personvern, vil de for eksempel få mulighet til å stille spørsmål via chat-funksjon, i stedet for å bli en del av film- og/eller lydopptaket.

I forkant av den undervisningen skal det gis skriftlig informasjon på den aktuelle digitale plattformen om at KRUS tar opptak, og at alle spørsmål fra «salen»,dvs. deltagerne, vil bli en del av opptaket. De som ikke ønsker å bli en del av opptaket oppfordres til å bruke aktuell chat-funksjon eller sende spørsmål på meldinger, e-post eller liknende.

Det oppfordres også til at en del informasjon gis muntlig i starten av undervisningen av den som underviser. Denne informasjonen omfatter: 

• formålet med opptaket, som for eksempel «gjennomføring av undervisning av emnet KRUS9999» 
• hvor opptaket blir lagret og delt, for eksempel om det blir lagret på KRUS sin server og delt på Canvas
• hvem som har tilgang til opptaket , for eksempel om det kun er tilgjengelig for studenter og lærere tilknyttet KRUS9999
• når opptaket slettes. Opptak der deltagere kan identifiseres skal som hovedregel slettes når undervisningen i emnet er avsluttet og eksamen i emnet gjennomført. Unntaksvis kan opptaket lagres lenger av spesifikke grunner, som klagemulighet, ny/utsatt eksamen, sykdom, m.v.
• at deltagerne ikke har tillatelse til å foreta opptak av undervisningen for å lagre og eventuelt dele dette på egen eller annen digital plattform

Personopplysninger og GDPR

Digital undervisning innebærer innsamling/behandling av personopplysninger, herunder lyd- og bildeopptak av undervisere og den som undervises. GDPR art. 5 nr. 1 bokstav b tillater at personopplysninger kan samles inn for «spesifikke, uttrykkelig angitte og berettigede formål».

En av de viktigste oppgavene til KRUS er å tilby undervisning på et høyt faglig nivå. Dette oppnås blant annet ved å kombinere tradisjonell undervisning på lærestedet med digitale undervisningstjenester. 

Formålet med å behandle personopplysninger i forbindelse med bruken av digitale undervisningstjenester er således å tilby undervisning på et høyt faglig nivå for derved å øke aspirantenes/studentenes/kursdeltageres kunnskap.

Behandlingsgrunnlag

Behandlingen av personopplysningene foretas med følgende rettslige grunnlag:

• For aspiranter og undervisere:

KRUS har med hjemmel i arbeidsgivers styringsrett besluttet at det skal benyttes digital undervisning. Behandlingen er derfor nødvendig for å oppfylle arbeidsavtalen aspiranter og undervisere har med KRUS, jf. GDPR artikkel 6,1b.

• For studenter og kursdeltagere:

Utdanning innen straffegjennomføring er en oppgave i allmenhetens interesse. Behandlingen er nødvendig for å utføre denne oppgaven, jf. GDPR artikkel 6,1e.

For at KRUS kan benytte et foto eller et videoopptak av personer som er identifiserbare, kreves det at vi har innhentet samtykke fra de som er avbildet. Et unntak for dette, er dersom bildet er fra et offentlig arrangement og viser en gruppe av mennesker. Da kan KRUS benytte bildet uten samtykke, for eksempel for informasjons- og profileringsarbeid av den aktuelle sammenhengen/arrangementet det er tatt i.

Samtykkeskjema

Per 28. oktober 2020, er det følgende samtykkeskjema KRUS benytter til å innhente samtykke til bruk i forbindelse med en enkeltstående publisering:
Samtykke til fotografering/videoopptak -enkeltstående samtykke (Word).

KRUS har eget samtykkeskjema til bruk dersom vi ønsker samtykke til publisering av fotografi/videoopptak i en videre kontekst, for eksempel i forbindelse med rekrutteringskampanjer, brosjyrer eller som generelle illustrasjonsfoto på krus.no. Dersom dette er aktuelt, kontaktes kommunikasjonsrådgiver ved KRUS for tilsendt dokument.

Samtykkeskjema som er ferdig utfylt (minus de felter som skal fylles ut av KRUS), skal sendes til rådgiver kommunikasjon og samfunnskontakt sammen med aktuelt bilde og være arkiveringsklart før dette kan publiseres.

Behandling av opplysninger om deg som studerer ved Kriminalomsorgens høgskole og utdanningssenter KRUS

Hjemmelsgrunnlaget for behandling av personopplysninger om studenter er universitets- og høgskoleloven (UH-loven) §§4-15, som sannsynligvis trer i kraft sommeren 2018, og personvernforordningen (GDPR) artikkel 6 nr. 1 bokstav b eller e, jf. nr. 3 bokstav b. Personvernforordningen er EUs nye lovgivning på personvernområdet og skal gjelde for hele EU/EØS fra 25. mai 2018/sommeren 2018. Behandlingen er nødvendig for å utøve offentlig myndighet, og for å oppfylle og overholde bestemmelser i universitets- og høgskoleloven. Personopplysningene brukes til studieadministrative formål, alt fra søknad, oppmelding til eksamen, utveksling, utskriving av vitnemål og karakterutskrifter, osv. Opplysninger som behandles er navn, fødselsnummer, kontaktinformasjon (adresse og telefonnummer), hvilket kull du tilhører, studieprogram, karakterer, permisjoner, o.l.

Informasjonen hentes fra opptakspapirer, informasjon som du selv registrerer via Studentweb/SøknadsWeb, sensurregistrering og i forbindelse med ordinært studieadministrativt arbeid.

Høgskolens autoritative studentsystem er FS (Felles studentsystem). FS er et studieadministrativt system for universiteter og høgskoler. FS utvikles og forvaltes av Unit - Direktoratet for IKT og fellestjenester i høyere utdanning og forskning. Systemet gir støtte til at studie- og eksamensadministrasjon blir håndtert på en god måte. Alle nødvendige opplysninger registreres i FS. Når studenter og aspiranter har avlagt et tilstrekkelig antall studiepoeng i emner som etter gradsreglementet gir rett til en akademisk grad, utstedes vitnemål for oppnådd grad. Det lagres ikke sensitiv informasjon i FS.

Se også lenker til aktuelle personvernerklæringer i avsnittet "Personvernerklæringer for ulike systemer".

Hvordan vi behandler personopplysninger om deg ved opptak til fengselsbetjentutdanningen (Høgskolekandidat i straffegjennomføring)

KRUS er behandlingsansvarlig for de personopplysningene som vi registrerer og behandler om deg.

Når du søker opptak til fengselsbetjentutdanning (Høgskolekandidat i straffegjennomføring) er dette både en jobbsøknad og en søknad om opptak til høyere utdanning. KRUS innhenter derfor personopplysninger om søkere i to ulike systemer: Jobbnorge, som er en digital søkeplattform for jobbsøkere, og Søknadsweb, som er en webapplikasjon tilknyttet Felles studentsystem (FS).

Felles studentsystem (FS) er et studieadministrativt system utviklet for universiteter, vitenskapelige høgskoler, og statlige høgskoler. Hvordan personopplysninger behandles i Felles studentsystem kan du lese mer om i avsnittet på denne siden som heter Personvernerklæringer for ulike systemer.

Hvordan personopplysninger behandles gjennom Jobbnorge kan du lese om på Jobbnorges nettsider: https://www.jobbnorge.no/personvern

Rettslig grunnlag

Det viktigste rettslige grunnlaget for at vi kan behandle personopplysninger om deg er EU-forordningen om personvern artikkel 6 nr. 1b, samt universitets- og høyskoleloven, straffegjennomføringsloven og forskrift om aspiranter i kriminalomsorgen.

KRUS oppbevarer personopplysningene dine så lenge det er nødvendig for å oppnå formålet med behandlingen, eller er pålagt oppbevaring i henhold til annen lovgivning.

Vi behandler ikke opplysninger av særlig kategori (sensitive opplysninger) i våre digitale fagsystemer som brukes til utvelgelse av kandidatene, men vil be deg sende inn opplysninger om helse og vandel i papirformat.

Helse og vandel kategoriseres som opplysninger av særlig kategori. Disse opplysningene behandles i papirformat så lenge det er nødvendig for å oppnå formålet med behandlingen, og behandles konfidensielt og i henhold til sikkerhetskrav i personvernlovgivningen. Papirer du sender inn som inneholder personopplysninger av særlig kategori vil bli makulert når ansettelses- og opptaksprosessen er avsluttet. Grunnlaget for denne behandlingen er personvernforordningen artikkel 9 nr. 2b, straffegjennomføringsloven §8 og forskrift om aspiranter i kriminalomsorgen.

For å vurdere innsendt dokumentasjon, gjennomføre intervjuer og ringe referanser er behandlingsgrunnlaget personvernforordningen artikkel 6 nr. 1b. Denne bestemmelsen tillater oss å behandle personopplysninger når det er nødvendig for å gjennomføre tiltak på jobbsøkers anmodning før en avtale inngås.

• Personvernerklæring for Felles studentsystem (FS)
• Personvernerklæring for GAUS (lenke til ekstern nettside)
• Personvernerklæring for RUST (lenke til ekstern nettside)
• Personvernerklæring for RUST (engelsk) (lenke til ekstern nettside)
• Personvernerklæring for Vitnemålsportalen (lenke til ekstern nettside)
• Personvernerklæring for Vitnemålsportalen (engelsk) (lenke til ekstern nettside)
• Personvernerklæring for Alma (norsk og engelsk) (lenke til ekstern nettside)
• Personvernerklæring for Oria (norsk og engelsk) (lenke til ekstern nettside)