Til startsiden
  • Personvern
  • Arkiv
  • Nettstedskart
  • Kontakt oss
  • Skriv ut
  • Skriv ut
  • Endre tekststørrelse
English

UDI rundskriv

RS 2008-026
Dokument-ID : RS 2008-026
Saksnummer : 08/3701
Dokumentdato : 16.07.2008
Mottakere :

Driftsoperatør for statlige mottak
Statlige mottak

Krav til databehandling og taushetsplikt i statlige mottak


1. Innledning

2. Målsetting

3. Databehandling

3.1. Definisjoner og avgrensinger

4. Taushetsplikt

4.1. Definisjoner og avgrensinger

5. Krav


1. Innledning

Utlendingsdirektoratet (UDI) fastsetter krav til drift av statlige mottak i tråd med intensjonene i UDI Rundskriv 2011-003 Reglement for drift av statlige mottak (Driftsreglementet).

Dette rundskrivet utdyper de krav og standarder som stilles til informasjonssikkerhet i alle statlige mottak gjennom

  • ­ personopplysningsloven med forskrift
  • ­ forvaltningsloven
  • ­ UDIs databehandleravtale med driftsoperatør (vedlegg 1)

UDIs mulighet til å gi dispensasjon[1] gjelder ikke kravene i lov, forskrift eller databehandleravtale. Dersom driftsoperatør ønsker å utarbeide egne standarder for informasjonssikkerhet, må disse ligge innenfor det UDI her har definert som akseptabelt nivå i rapporten.

2. Målsetting

All håndtering av personopplysninger i statlige mottak skal ivareta beboernes lovfestede rett til personvern.

3. Databehandling

Personopplysningsloven §§ 13 og 15 og personopplysningsforskriftens §§ 2-15 regulerer all behandling av personopplysninger.

Loven §§ 7-16 stiller krav til meldeplikt/konsesjon for personregistre. UDI har søkt Datatilsynet om konsesjon for registrering av personopplysninger som trengs for å løse direktoratets oppgaver, behandlingene utdypes i UDI-2004-06-22V1

3.1. Definisjoner og avgrensinger

Lov og forskrift benytter følgende definisjoner:

  • ­ personopplysninger: opplysninger og vurderinger som kan knyttes til en enkelt person
  • ­ databehandling: enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring eller utlevering, eller en kombinasjon av slike bruksmåter
  • behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes
  • databehandler: den som behandler personopplysninger på vegne av den behandlingsansvarlige

UDI er behandlingsansvarlig for alle personopplysninger som er nødvendige for mottaksdriften, og driftsoperatør er databehandler for de samme personopplysningene. Driftsoperatør trenger derfor ikke søke om konsesjon eller sende melding til Datatilsynet.

4. Taushetsplikt

Forvaltningsloven § 13 regulerer den taushetsplikten en ansatt har når det gjelder personopplysninger vedkommende får gjennom sitt arbeidsforhold. Unntakene følger av §§ 13b-13f.

4.1. Definisjoner og avgrensinger

Loven benytter følgende definisjoner:

  • ­ personopplysninger: opplysninger og vurderinger som kan knyttes til en enkelt person
  •  taushetsplikt: plikt til å holde visse opplysninger hemmelige, slik at andre ikke får kjennskap til de

Ansatte i mottak med kommunal driftsoperatør har taushetsplikt etter forvaltningsloven. Lovens bestemmelser gjelder imidlertid ikke automatisk for ansatte med privat driftsoperatør. UDI har derfor pålagt disse den samme taushetsplikten, med den begrensning at den ikke skal gjelde overfor UDI.[2]

5. Krav

Driftsoperatør skal overholde databehandleravtalen, samt kravene i lov og forskrift. Det innebærer å

a) sikre at mottaket kun behandler personopplysninger som UDI har stilt til rådighet eller som samles inn på vegne av UDI
b) sikre forskriftsmessig oppbevaring av personopplysninger
c) sørge for at kravene til konfidensialitet, integritet og tilgjengelighet er ivaretatt
d) sikre at mottaket har skriftlige rutiner for avviksbehandling som omfatter varsling ved sikkerhetsbrudd og/eller feil bruk av informasjonssystemet
e) sikre at mottaket har rutiner for årlig sikkerhetsrevisjon
f) sikre at mottaket har rutiner for ledelsens gjennomgang av det sikkerhetsarbeidet som er relevant for behandling av personopplysninger
g) kjenne innholdet i UDIs konsesjon for registrering av personopplysninger
h) sørge for at alle ansatte og engasjerte, samt andre med brukekontakt knyttet til driften, underskriver taushetserklæring (vedlegg 2) ved tiltredelse
i) sørge for at journalføring/registrering av dokumenter som inneholder personopplysninger blir anonymisert, slik at de ikke kan koples til en enkelt person
j) sørge for at dokumenter som inneholder personopplysninger vedrørende tidligere beboere ikke oppbevares, med unntak av personopplysninger som fremkommer i regnskapsdokumenter, dersom driftsoperatør omfattes av regnskapsloven, jfr § 1: alle papirdokumenter som ikke skal oversendes UDI makuleres
k) ha rutiner for regelmessig gjennomgang av elektroniske registre, og slette informasjon om tidligere beboere
l) henvise begjæring om innsyn, retting eller sletting til UDI.

Anne Siri Rustad
avdelingsdirektør

Kontakt:
Region- og mottaksavdelingen, RMA Fagstab
Region- og mottaksavdelingen, Regionkontorene

[1] Rundskriv nr. 2011-003 Reglement for drift av statlige mottak pkt. 6.1 Fortolkning og dispensasjon
[2] RS 2011-003 Reglement for drift av statlige mottak pkt. 5.3 Informasjonssikkerhet

Utlendingsdirektoratet
Postboks 2098 Vika
0125 Oslo

Ansvarlig redaktør: Stephan Mo