Tema
- Asylmottak
Rettskildekategori
- Retningslinje
UDI 2008-026 Krav til databehandling og taushetsplikt i asylmottak
1. Innledning
Utlendingsdirektoratet (UDI) fastsetter krav til drift av statlige mottak i tråd med intensjonene i UDI 2011-017 Reglement for drift av asylmottak (Red.anm: Retningslinjen er arkivert 09.01.2024).
Dette rundskrivet utdyper de krav og standarder som stilles til informasjonssikkerhet i alle statlige mottak gjennom
-
personopplysningsloven med forskrift
-
forvaltningsloven
-
UDIs databehandleravtale med driftsoperatør (se vedlegg 1)
UDIs mulighet til å gi dispensasjon i henhold til UDI 2011-017 punkt 6.1 gjelder ikke kravene i lov, forskrift eller databehandleravtale. Dersom driftsoperatør ønsker å utarbeide egne standarder for informasjonssikkerhet, må disse ligge innenfor det UDI her har definert som akseptabelt nivå i rapporten.
2. Målsetting
All håndtering av personopplysninger i statlige mottak skal ivareta beboernes lovfestede rett til personvern.
3. Databehandling
Personopplysningsloven (2000) §§ 13 og 15 og personopplysningsforskriftens §§ 2-15 regulerer all behandling av personopplysninger.
Loven §§ 7-16 stiller krav til meldeplikt/konsesjon for personregistre. UDI har søkt Datatilsynet om konsesjon for registrering av personopplysninger som trengs for å løse direktoratets oppgaver, behandlingene utdypes i UDI-2004-06-22V1.
3.1. Definisjoner og avgrensinger
Lov og forskrift benytter følgende definisjoner:
-
personopplysninger: opplysninger og vurderinger som kan knyttes til en enkelt person
-
databehandling: enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring eller utlevering, eller en kombinasjon av slike bruksmåter
-
behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes
-
databehandler: den som behandler personopplysninger på vegne av den behandlingsansvarlige
UDI er behandlingsansvarlig for alle personopplysninger som er nødvendige for mottaksdriften, og driftsoperatør er databehandler for de samme personopplysningene. Driftsoperatør trenger derfor ikke søke om konsesjon eller sende melding til Datatilsynet.
4. Taushetsplikt
Forvaltningsloven § 13 (ekstern lenke) regulerer den taushetsplikten en ansatt har når det gjelder personopplysninger vedkommende får gjennom sitt arbeidsforhold. Unntakene følger av §§ 13b-13f.
4.1. Definisjoner og avgrensinger
Loven benytter følgende definisjoner:
- personopplysninger: opplysninger og vurderinger som kan knyttes til en enkelt person
- taushetsplikt: plikt til å holde visse opplysninger hemmelige, slik at andre ikke får kjennskap til de
Ansatte i mottak med kommunal driftsoperatør har taushetsplikt etter forvaltningsloven. Lovens bestemmelser gjelder imidlertid ikke automatisk for ansatte med privat driftsoperatør. UDI har derfor pålagt disse den samme taushetsplikten, med den begrensning at den ikke skal gjelde overfor UDI, se UDI 2011-017 punkt 5.3 (Red.anm: Retningslinjen er arikvert 09.01.2024).
5. Krav
Driftsoperatør skal overholde databehandleravtalen, samt kravene i lov og forskrift. Det innebærer å
a) sikre at mottaket kun behandler personopplysninger som UDI har stilt til rådighet eller som samles inn på vegne av UDI
b) sikre forskriftsmessig oppbevaring av personopplysninger
c) sørge for at kravene til konfidensialitet, integritet og tilgjengelighet er ivaretatt
d) sikre at mottaket har skriftlige rutiner for avviksbehandling som omfatter varsling ved sikkerhetsbrudd og/eller feil bruk av informasjonssystemet
e) sikre at mottaket har rutiner for årlig sikkerhetsrevisjon
f) sikre at mottaket har rutiner for ledelsens gjennomgang av det sikkerhetsarbeidet som er relevant for behandling av personopplysninger
g) kjenne innholdet i UDIs konsesjon for registrering av personopplysninger
h) sørge for at alle ansatte og engasjerte, samt andre med brukekontakt knyttet til driften, underskriver taushetserklæring (vedlegg 2) ved tiltredelse
i) sørge for at journalføring/registrering av dokumenter som inneholder personopplysninger blir anonymisert, slik at de ikke kan koples til en enkelt person
j) sørge for at dokumenter som inneholder personopplysninger vedrørende tidligere beboere ikke oppbevares, med unntak av personopplysninger som fremkommer i regnskapsdokumenter, dersom driftsoperatør omfattes av regnskapsloven, jfr § 1: alle papirdokumenter som ikke skal oversendes UDI makuleres
k) ha rutiner for regelmessig gjennomgang av elektroniske registre, og slette informasjon om tidligere beboere
l) henvise begjæring om innsyn, retting eller sletting til UDI.
Tema
- Asylmottak
Mottaker
- Driftsoperatør for asylmottak
Eier
- UDI Mottak og retur
Rettskildekategori
- Retningslinje