DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som är forskare

Relevanta dokument
DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som är forskare

DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som jobbar med utbildning och administration

DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som är forskare

DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som jobbar med utbildning och administration

DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som är forskare

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Dataskyddsförordningen 2018

Personuppgiftsinformation för Svedala kommun

Dataskyddsförordningen 2018

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Behandling av personuppgifter vid Göteborgs universitet

GDPR- Seminarium 2017

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Dataskyddsförordningen för prefekter och administrativa chefer

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

GDPR. Ulrika Harnesk 17 oktober 2018

Dataskyddsförordningen - GDPR

Nya dataskyddsförordningen GDPR

Strand Kapitalförvaltning AB:s integritetspolicy

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Kerstin Wardman, 25 april 2018

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Dataskyddsförordningen

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

GDPR NYA DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen i utbildningsverksamhet

Information om behandling av personuppgifter

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

PERSONUPPGIFTSBITRÄDESAVTAL

Att hantera personuppgifter

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

GDPR - Riktlinjer för hantering av personuppgifter

Dataskyddsförordningen GDPR

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

GDPR. Dataskyddsförordningen

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

PERSONUPPGIFTSBITRÄDESAVTAL

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Den nya Dataskyddsförordningen

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Dataskyddsförordningen (GDPR)

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Personuppgiftsbiträdesavtal

GDPR definition och hur utbildningen berör(t)s av förordningen

Vården och reglerna om dataskydd

Dataskyddsförordningen GDPR - General Data Protection Regulation

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Dataskyddsförordningen

Personuppgiftsbehandling Dataskydd

Farsta stadsdelsnämnd är personuppgiftsansvarig för behandlingen av personuppgifter inom nämndens verksamheter.

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Personuppgiftsbiträdesavtal

Lathund Dataskydd för krögare

GDPR General data protection regulation Dataskyddsförordningen

I de fall du är direkt kund hos NS är NS den personuppgiftsansvarige.

AMF Fastigheters integritetspolicy

Instruktion till mall för registerförteckning

Personuppgiftsbiträdesavtal

Personuppgiftsbehandling i forskning

Integritetspolicy för Judiska församlingen (JF) i Stockholm

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Koncernkontoret Enheten för juridik

Den nya dataskyddsförordningen

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Integritetspolicy. Med anledning av ny lagstiftning den 25/ GDPR. General Data Protection Regulation

Information om GDPR. Nya regler för personuppgifts hantering Förbered din bostadsrättsförening

GDPR- Vad har hänt och hur ser tillämpningen ut?

Mertzig Asset Management AB

Riktlinjer för hantering av personuppgifter

Dataskyddsförordningen, GDPR

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Dataskyddsförordningen och Lunds universitet KRISTINA ARNRUP THORSBRO 30/

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Riktlinjer för behandling av personuppgifter

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

EU:s dataskyddsförordning

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

PuL och GDPR en översiktlig genomgång

Att. GDPR Humlegårdsgatan , Stockholm. Besök oss gärna på

Dataskyddsförordningen

Policy för personuppgiftsbehandling

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Transkript:

DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som är forskare

VAD ÄR GDPR? Dataskyddsförordningen (GDPR - The General Data Protection Regulation) är EU-förordning som gäller som svensk lag. Lagen trädde i kraft den 25 maj 2018. Lagen är till för att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Samma lag gäller inom hela EU.

DATASKYDDSFÖRORDNINGEN (GDPR) EU-nivå Dataskyddslagen Registerförfattningar Nationell nivå I Sverige kompletteras dataskyddsförordningen av den kompletterande dataskyddslagen. Till skillnad från personuppgiftslagen är dataskyddslagen inte heltäckande utan reglerar bara de frågor där dataskyddsförordningen medger kompletterande nationell reglering.

NÄR GÄLLER GDPR? GDPR gäller för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg (alltid om uppgifterna finns i datorn). GDPR gäller också helt manuell behandling av personuppgifter om personuppgifterna ingår eller är avsedda att ingå i ett register som är sökbart enligt särskilda kriterier (ibland om uppgifterna finns på papper)

VAD HÄNDER OM MAN INTE FÖLJER GDPR? Datainspektionens verktyg o Tillsyn, föreläggande, varning och reprimand o Administrativa sanktionsavgifter För mindre allvarliga överträdelser ska avgiften för myndigheter uppgå till högst 5 miljoner kronor och för allvarligare överträdelser till högst 10 miljoner kronor. Den registrerades egna möjligheter o Lämna in klagomål till Datainspektionen o Begära skadestånd Allmänhetens förtroende för universitetet och vår verksamhet skadas.

PERSONUPPGIFTER Varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade) Avgörande är om uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. Exempel - personnummer, namn, e-postadress, IP-nummer och cookies, bilder och ljudupptagningar, inlägg på sociala medier, inloggningsuppgifter, telefonnummer, adresser m.m. Information som har kodats, krypterats eller pseudonymiserats men som kan hänföras till en fysisk person med hjälp av kompletterande uppgifter är personuppgifter. Helt anonymiserade personuppgifter inte personuppgifter

VAD ÄR BEHANDLING AV PERSONUPPGIFTER? Alla former av åtgärder med personuppgifter är personuppgiftsbehandling, till exempel: insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning, utlämning, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

PERSONUPPGIFTSANSVARIG En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter För den verksamhet som bedrivs inom universitetet är det Umeå universitet som är personuppgiftsansvarig och som har det yttersta ansvaret för all behandling av personuppgifter som sker inom ramen för verksamheten. Samtliga anställda är inom ramen för sin anställning skyldiga att följa de regler och rutiner som arbetsgivaren ställer. Detta gäller även behandling av personuppgifter. För vissa anställda, som exv forskare med ansvar för ett forskningsprojekt som behandlar känsliga personuppgifter eller systemägare är detta ansvar än större.

GEMENSAMT PERSONUPPGIFTSANSVAR I samarbetsprojekt är många gånger samtliga parter ansvariga för sin egen behandling av personuppgifter i det gemensamma projektet. Även om man inte kan avtala om vem som ska ha personuppgiftsansvaret är det lämpligt att i samarbetsavtal klargöra hos vem eller vilka av samarbetspartnerna personuppgiftsansvar ligger. Om det finns ett gemensamt personuppgiftsansvar (dvs alla samarbetspartners ansvarar för allas personuppgiftsbehandlingar, sk solidariskt ansvar) ska det klargöras i samarbetsavtalet vem som har respektive ansvar för att fullgöra skyldigheterna enligt GDPR.

PERSONUPPGIFTSBITRÄDE En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning Exempelvis ett företag som tillhandahåller en molntjänst, ett analysföretag, ett rekryteringsföretag Ett personuppgiftsbiträde får enbart behandla personuppgifter enligt instruktion från den personuppgiftsansvarige. Den personuppgiftsansvarige och personuppgiftsbiträdet måste upprätta ett så ett så kallat personuppgiftsbiträdesavtal (PUBA). Om personuppgiftsbiträdet i sin tur vill anlita ett personuppgiftsbiträde kallas denna för underbiträde. Underbiträdet måste godkännas av den personuppgiftsansvarige och PUBA ska ingås mellan biträdet och underbiträdet.

RÄTTSLIG GRUND FÖR BEHANDLING Utan en rättslig grund är personuppgiftsbehandlingen inte laglig. Det är lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter. Myndigheter bör därför endast behandla personuppgifter med stöd av lag. De lagliga grunder vi normalt åberopar: Allmänt intresse (det ska finnas stöd i lag eller annan författning, kollektivavtal eller beslut som har meddelats med stöd av lag eller annan författning, ex vis högskolelagen) Myndighetsutövning Rättslig förpliktelse Avtal

SAMTYCKE SOM RÄTTSLIG GRUND ENLIGT GDPR Samtycke är också en rättslig grund för att personuppgiftsbehandlingen ska vara laglig enligt GDPR. Kan man stödja sin personuppgiftsbehandling på någon av de andra fem rättsliga grunderna, så får man inte dessutom inhämta samtycke. Samtycke kan inte användas som rättslig grund när det råder betydande ojämlikhet mellan den registrerade och personuppgiftsansvarige. En sådant ojämlikt förhållande kan vara särskilt vanligt mellan offentliga myndigheter och enskilda registrerade. Endast undantagsvis bör Umeå universitet åberopa samtycke som rättlig grund. Samtycke ex vis vid externa kontakter, anhöriguppgifter, studentarbeten

SAMTYCKE VID FORSKNING Vid forskning som 1.innebär ett fysiskt ingrepp på en forskningsperson, 2.utförs enligt en metod som syftar till att påverka forskningspersonen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt, 3.avser studier på biologiskt material som har tagits från en levande människa och kan härledas till denna människa, ska, enligt lag (2003.460) om etikprövning av forskning som avser människor, information lämnas till forskningspersonen och får bara utföras om forskningspersonen samtyckt till forskningen. Samtycke från de registrerade som rättlig grund enligt GDPR ska inte inhämtas den rättsliga grunden för personuppgiftsbehandlingen enligt GDPR är allmänt intresse.

KÄNSLIGA PERSONUPPGIFTER (SÄRSKILDA KATEGORIER AV PERSONUPPGIFTER) Huvudregeln är att det är förbjudet att behandla känsliga personuppgifter, men det finns en rad undantag. Man måste alltså hitta ett undantag som gäller om man vill behandla känsliga personuppgifter. etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, en persons sexualliv eller sexuella läggning, genetiska uppgifter, biometriska uppgifter som entydigt identifierar en person Undantag ex vis: behandlingen krävs enligt lag, behandlingen är nödvändig för handläggningen av ett ärende, behandlingen är nödvändigt för att följa arkivföreskrifter behandlingen är nödvändig för forskning dock krävs etikprövning.

SÄRSKILT INTEGRITETSKÄNSLIGA PERSONUPPGIFTER Det finns många andra typer av personuppgifter som är särskilt skyddsvärda men som inte är känsliga personuppgifter. Det kan till exempel vara löneuppgifter uppgifter om lagöverträdelser värderande uppgifter, till exempel uppgifter från utvecklingssamtal, uppgifter om resultat från personlighetstester eller personlighetsprofiler information som rör någons privata sfär uppgifter om sociala förhållanden Tänk på att integritetskänsliga uppgifter kan kräva att man har en högre säkerhetsnivå än för mer harmlösa personuppgifter har betydelse för riskbedömningen när man gör konsekvensanalys kan vara avgörande för om man måste rapportera en personuppgiftsincident.

PERSONNUMMER Ett personnummer anses vara en extra skyddsvärd personuppgift. Datainspektionen anser därför att personnummer bör exponeras så lite som möjligt. Personnummer ska inte finnas på adressetiketter, i kuvertfönster eller i försändelser som sänds utan kuvert så att de är synliga för vem som helst. Undvik att skicka med e-post. Huvudregel: behandla bara personnummer om det är klart motiverat.

GRUNDLÄGGANDE PRINCIPER Laglighet, korrekthet och öppenhet: det ska finnas en rättslig grund, behandlingen ska vara rättvis, skälig, rimlig och proportionerlig, de registrerade ska informeras om hur deras personuppgifter behandlas. Ändamålsbegränsning: man får bara samla in och behandla personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. Uppgiftsminimering: man får inte behandla fler personuppgifter än vad som behövs för ändamålen Riktighet: Uppgifterna ska vara korrekta, annars ska de rättas eller raderas. Lagringsminimering: personuppgifterna ska radera när de inte längre behövs (obs! vi har dock arkivskyldighet) Integritet och konfidentialitet: personuppgifterna ska skyddas, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs

ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND? Överföring av personuppgifter till tredje land är när personuppgifter blir tillgängliga för någon i ett land utanför EU/EES-området. Det är tillåtet i vissa fall, men reglerna är strikta. Dataskyddsförordningen innehåller därför regler om under vilka förutsättningar det är tillåtet att föra över personuppgifter till länder utanför EU/EES. Se https://www.datainspektionen.se/globalassets/dokument/riktlinjerom-undantag-enligt-artikel-49.pdf Kontakta universitets jurister på pulo@umu.se för hjälp med dessa frågor. Exempel När ni skickar personuppgifter till samarbetspart i tredjeland När ni anlitar ett personuppgiftbiträde i ett land utanför EU/EES. När ni lagrar personuppgifter i en molntjänst som är baserad utanför EU/EES. När ni lagrar personuppgifter, till exempel på en server, i ett land utanför EU/EES.

REGISTRERADES RÄTTIGHETER Den registrerade har rätt att få information när hans eller hennes personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av den personuppgiftsansvarige i samband med att uppgifterna samlas in från den registrerade (inte i efterhand med andra ord). Information (checklista för hur information ska lämnas finns på https://www.aurora.umu.se/globalassets/dokument/universit etsforvaltningen/universitetsledningens- kansli/juridik/checklista-information-till-registrerad-2018-10- 17.pdf/ Det finns undantag från huvudregeln om att informera den registrerade när personuppgifterna hämtas in från andra källor än de registrerade själv.

REGISTRERADES RÄTTIGHETER Om en registrerad kommer in med en begäran om registerutdrag, att bli glömd, raderad m.m. se instruktion på Aurora https://www.aurora.umu.se/regler-ochriktlinjer/juridik/personuppgifter/ Begäran från den registrerade om att få registerutdrag, att bli glömd, raderad är inte samma sak som en begäran om utlämnande av allmän handling.

ALLMÄNNA HANDLINGAR OCH PERSONUPPGIFTER Dataskyddsförordningen hindrar inte utlämnande av allmänna handlingar. Utgör uppgifterna allmänna handlingar ska de lämnas ut om inte sekretess hindrar ett utlämnande. Om de uppgifter som ska lämnas ut innehåller personuppgifter i större mängd måste sekretessprövningen, vid sidan av övriga tillämpliga sekretessgrunder, även omfatta prövning om huruvida det kan antas att den som begär ut personuppgifterna kommer att behandla dem på ett sätt som strider mot dataskyddsförordningen, dataskyddslagen eller 6 etikprövningslagen (GDPR-sekretess).

FORTS. ALLMÄNNA HANDLINGAR OCH PERSONUPPGIFTER Om de efterfrågade personuppgifterna utgör känsliga personuppgifter och efterfrågas för att användas i forskning, är förekomsten av ett etikprövningstillstånd en förutsättning för att uppgifterna ska kunna lämnas ut (utan etikprövningstillstånd skulle ett utlämnande innebära att personuppgifterna behandlas i strid med dataskyddsförordningen hos mottagande forskare). Även vid förfrågningar för annat syfte än forskning måste särskild uppmärksamhet fästas vid personuppgifter som utgör känsliga personuppgifter.

UTLÄMNANDE AV ALLMÄN HANDLING För det fall man överväger att, i annat än pappersform, lämna ut allmänna handlingar som innehåller personuppgifter, (exempelvis för forskning där etikprövningstillstånd till behandlingen föreligger), måste lämpliga tekniska och organisatoriska åtgärder vidtas för att uppgifterna ska skyddas. Om personuppgifterna innehåller känsliga personuppgifter eller personnummer ökar naturligtvis kraven kraftigt på sättet för överföring av uppgifter. Är uppgifterna som lämnas ut av mer allmän karaktär, exempelvis sådana uppgifter som redan framgår av vår externa web kan e-post vara ett alternativ för överföring.

ARKIVSKYLDIGHET Dataskyddsförordningen hindar inte myndigheter att arkivera handlingar som innehåller personuppgifter i det fall vi har en skyldighet enligt lag att arkivera handlingarna.

PERSONUPPGIFTER I ANSTÄLLDAS DATORER Det finns troligen personuppgifter i era arbetsdatorer. Dataskyddsförordningen (GDPR) gäller för dessa uppgifter också. Så långt det går bör personuppgifter hanteras i gemensamma system med behörighetsstyrning.

E-POST Innehåller alltid personuppgifter Används i vår verksamhet med de lagliga grunder vi stödjer oss på där E-post ett särskilt utsatt färdmedel : flytta epost till andra system/diarieför, arbeta inte i e-posten känsliga personuppgifter; undvik eller kryptera personnummer; undvik eller kryptera

E-POST Sprid inte i onödan, skicka inte adresser synligt utom organisationen Informera de behandlade - Länka i din signatur till vår hemsida: https://www.umu.se/om-webbplatsen/juridiskinformation/behandling-av-personuppgifter/ Undvik att använda din e-post vid UmU för privat e-post eller e-post du skickar i inom ramen för någon annan roll du har, exempelvis som facklig företrädare.

ANMÄLAN OM BEHANDLING Universitetet måste ha kontroll över de personuppgiftsbehandlingar vi är ansvariga för och vi ska kunna visa att vi har kontroll. Det finns därför krav på att myndigheten ska föra register över var och hur personuppgiftsbehandling sker - anmäl era behandlingar dataskyddsombudet om inte en generell anmälan finns Det finns också krav på myndigheten att föra register över när UmU är personuppgiftsbiträde anmäl era behandlingar som personuppgiftsbiträden till dataskyddsombudet. Avanmäl behandlingen när den upphör.

VILKA BEHANDLINGAR MÅSTE JAG ANMÄLA? Forskning varje forskningsprojekt där personuppgifter behandlas måste anmälas av ansvarig forskare Utbildning central generell anmälan av förutsägbar behandling It-system varje systemägare ansvarar för att anmälan sker Administration/myndighetsärenden central generell anmälan av förutsägbar behandling Personuppgiftsbiträde varje biträdesförhållande ska anmälas av ansvarig för avtalsförhållandet Umu använder sig av Draft-It som registersystem. Begär att få länk till anmälan via pulo@umu.se och ange vilken kategori av behandling det är fråga om. Studentarbeten anmäls på institutionsnivå

VAD BEHÖVER EN FORSKARE TÄNKA PÅ KRING SÄKERHET? VÄRDERA! Värdera informationen! Titta på forskningsdata kontra forskningsresultat. Vad blir konsekvenserna? Vad händer om forskningsdata läcker ut? Kan materialet anses vara publicerat och allmän kunskap? Vad händer om data förvanskas, förstörs eller inte längre är tillgängligt? Vikta utifrån: Konfidentialitet Riktighet Tillgänglighet Vilka lagar styr? Värderingen sätter säkerhetsnivån oftast behöver forskningsdata en högre skyddsnivå!

VAD BEHÖVER EN FORSKARE TÄNKA PÅ KRING SÄKERHET? RISKER? Gör riskanalys titta på hot och sårbarheter Förutspå vad som kan hända och försök minimera oönskade händelser!

VAD BEHÖVER EN FORSKARE TÄNKA PÅ KRING SÄKERHET? SKYDDSÅTGÄRDER! Behörighetstilldelning är viktigt! med en godkännandeprocess Starkare kontroll av behörig användare genom 2-faktorsautentisering Loggning behövs - värdet på forskningsdatat styr nivån på loggningen All kommunikation bör vara krypterad, överväg om informationen i sig behöver krypteras. Datalivscykelhantering Planera för lagring, gallring, arkivering och förstöring tänk på kommande kostnader Backuper återskapande av information kontra redundans hur länge kan ni vara utan forskningsdata? Välj lösningar som är mer isolerade från andra system och mindre exponerad mot internet.

INCIDENTRAPPORTERING Personuppgiftsincident är en säkerhetsincident som kan innebära risker för den registrerade uppgifterna förstörs eller kommer i orätta händer vilket kan leda till ID-stöld, bedrägeri, ekonomisk förlust, sekretessbrott m.m. Misstänker du att det har skett en personuppgiftsincident vänder du dig till IRT (Incident Response Team). IRT når du på abuse@umu.se. Dataskyddsombudet gör anmälan till datainspektionen.

MER INFORMATION https://www.aurora.umu.se/regler-ochriktlinjer/juridik/personuppgifter/ https://www.aurora.umu.se/globalassets/dokument/universit etsforvaltningen/universitetsledningens-kansli/juridik/gdpr- informations-och-utbildningsmaterial-umu ver1-2018-05-22.pdf https://www.datainspektionen.se/

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss