Personvernombudets inntreden

Høgskolen i Østfold har sitt eget personvernombud (heretter PVO). Martin Gautestad Jakobsen introduserer seg selv og noen knakende gode problemstillinger som gjesteblogger denne uken.

Et halvt år før tiltredelse ved Høgskolen i Østfold diskuterte jeg og noen tidligere advokatkolleger hva GDPR ville ha som innvirkning på advokatvirksomheten. Det var bred konsensus om at GDPR var uproblematisk; dokumentasjonen du trenger produserer du én gang, personvernerklæringen får du av advokatforeningen, og de registrertes rettigheter (klientene) om sletting kan man i realiteten se bort fra. Advokatkontor vil nesten alltid være forpliktet til å lagre saksdokumentene, for (1) å ivareta en rettslig forpliktelse, og for at (2) denne interessen vil til enhver tid veie tyngre enn den registrertes personverninteresser.

Denne lite ydmyke holdningen kan ikke overføres til universitets- og høyskolesektoren.

Vi i sektoren behandler massive mengder med personopplysninger, vi bruker en lang rekke verktøy, innenfor et vell av fagdisipliner osv. osv. Studentene våre forplikter seg til å oppgi sensitive persondata for å bli utdannet hos oss, respondenter og informanter gir essensiell informasjon som forskningsdata. Overordnet gjør vi dette for å ivareta vårt samfunnsoppdrag, altså etter de beste intensjoner. Men vi vet også meget godt hvilken vei som er brolagt med de beste intensjoner.

HiØ bør prioritere to områder for første halvår av 2019. Til opplysning jobber flinke folk på saken allerede.

Martin Gautestad Jakobsen Foto: hiof

For det første må institusjonen få kontroll over innhenting og lagring, herunder spesielt bruk av tredjepartsløsninger. Chatter man med studenter på Facebook, deler man dokumenter innen undervisning eller forskning via Slack, ja, så lagres all informasjonen på private servere hos private selskaper. Dersom det kommer et innsynskrav i alle personopplysninger HiØ har på vedkommende, og vedkommende spesifiserer blant annet at Slack ble brukt i undervisningen, da har vi et problem. For HiØ har ikke kontroll på dataene, og kan mest sannsynlig ikke få det heller.

For det andre må vi sørge for at det fremragende arbeidet som gjøres på HiØ fortsetter ufortrødent videre. Driften kan ikke nedlegges kun fordi vi er blitt bevisste GDPR. Samtidig er det viktig at hver enkelt opparbeider seg en bevissthet om hva man gjør med andres personopplysninger og hvorfor vi har kommet i posisjon til bruke dem. Så fremt begrunnelsen for bruk av personopplysninger er transparent og tydelig, og at risikoen for spredning og uberettiget innsyn er minimal, bør innføringen av gode GDPR-rutiner gå greit. Så lenge man har litt tålmodighet.

Dette innlegget ble publisert i Uncategorized. Bokmerk permalenken.