Tema

  • Asylmottak

Rettskildekategori

  • Retningslinje
Red.anm.: Retningslinjen er ikke oppdatert etter at ny personopplysningslov trådte i kraft 20. juli 2018. UDI har ny organisering fra 1. januar 2022. For de aller fleste asylmottakene er retningslinjen erstattet av kravspesifikasjoner pga. nye driftsavtaler. Retningslinjene er tilgjengelig på udiregelverk.no i en overgangsperiode inntil alle mottak har nye driftsavtaler, og oppdateringer som følge av MOT-portal og navn på organisatoriske enheter etter organisasjonsutviklingen er ikke oppdatert. Kontakt UDIs regionale enhet ved spørsmål.
  • Saksnummer i UDISAK (arkiv)

UDI 2008-026 Krav til databehandling og taushetsplikt i asylmottak

Retningslinjer for UDIs krav og standarder til alle i asylmottak gjennom personopplysningsloven, forvaltningsloven og UDIs databehandleravtale med driftsoperatører.

1. Innledning

Utlendingsdirektoratet (UDI) fastsetter krav til drift av statlige mottak i tråd med intensjonene i UDI 2011-017 Reglement for drift av asylmottak (Red.anm: Retningslinjen er arkivert 09.01.2024).

Dette rundskrivet utdyper de krav og standarder som stilles til informasjonssikkerhet i alle statlige mottak gjennom

  • ­ personopplysningsloven med forskrift

  • ­ forvaltningsloven

  • ­ UDIs databehandleravtale med driftsoperatør (se vedlegg 1)

UDIs mulighet til å gi dispensasjon i henhold til UDI 2011-017 punkt 6.1 gjelder ikke kravene i lov, forskrift eller databehandleravtale. Dersom driftsoperatør ønsker å utarbeide egne standarder for informasjonssikkerhet, må disse ligge innenfor det UDI her har definert som akseptabelt nivå i rapporten.

2. Målsetting

All håndtering av personopplysninger i statlige mottak skal ivareta beboernes lovfestede rett til personvern.

3. Databehandling

Personopplysningsloven (2000) §§ 13 og 15 og personopplysningsforskriftens §§ 2-15 regulerer all behandling av personopplysninger.

Loven §§ 7-16 stiller krav til meldeplikt/konsesjon for personregistre. UDI har søkt Datatilsynet om konsesjon for registrering av personopplysninger som trengs for å løse direktoratets oppgaver, behandlingene utdypes i UDI-2004-06-22V1. 

3.1. Definisjoner og avgrensinger

Lov og forskrift benytter følgende definisjoner:

  • ­ personopplysninger: opplysninger og vurderinger som kan knyttes til en enkelt person

  • ­ databehandling: enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring eller utlevering, eller en kombinasjon av slike bruksmåter

  • behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes

  • databehandler: den som behandler personopplysninger på vegne av den behandlingsansvarlige

UDI er behandlingsansvarlig for alle personopplysninger som er nødvendige for mottaksdriften, og driftsoperatør er databehandler for de samme personopplysningene. Driftsoperatør trenger derfor ikke søke om konsesjon eller sende melding til Datatilsynet.

4. Taushetsplikt

Forvaltningsloven § 13 (ekstern lenke) regulerer den taushetsplikten en ansatt har når det gjelder personopplysninger vedkommende får gjennom sitt arbeidsforhold. Unntakene følger av §§ 13b-13f.

4.1. Definisjoner og avgrensinger

Loven benytter følgende definisjoner:

  • ­ personopplysninger: opplysninger og vurderinger som kan knyttes til en enkelt person
  •  taushetsplikt: plikt til å holde visse opplysninger hemmelige, slik at andre ikke får kjennskap til de

Ansatte i mottak med kommunal driftsoperatør har taushetsplikt etter forvaltningsloven. Lovens bestemmelser gjelder imidlertid ikke automatisk for ansatte med privat driftsoperatør. UDI har derfor pålagt disse den samme taushetsplikten, med den begrensning at den ikke skal gjelde overfor UDI, se UDI 2011-017 punkt 5.3 (Red.anm: Retningslinjen er arikvert 09.01.2024).

5. Krav

Driftsoperatør skal overholde databehandleravtalen, samt kravene i lov og forskrift. Det innebærer å

a) sikre at mottaket kun behandler personopplysninger som UDI har stilt til rådighet eller som samles inn på vegne av UDI
b) sikre forskriftsmessig oppbevaring av personopplysninger
c) sørge for at kravene til konfidensialitet, integritet og tilgjengelighet er ivaretatt
d) sikre at mottaket har skriftlige rutiner for avviksbehandling som omfatter varsling ved sikkerhetsbrudd og/eller feil bruk av informasjonssystemet
e) sikre at mottaket har rutiner for årlig sikkerhetsrevisjon
f) sikre at mottaket har rutiner for ledelsens gjennomgang av det sikkerhetsarbeidet som er relevant for behandling av personopplysninger
g) kjenne innholdet i UDIs konsesjon for registrering av personopplysninger
h) sørge for at alle ansatte og engasjerte, samt andre med brukekontakt knyttet til driften, underskriver taushetserklæring (vedlegg 2) ved tiltredelse
i) sørge for at journalføring/registrering av dokumenter som inneholder personopplysninger blir anonymisert, slik at de ikke kan koples til en enkelt person
j) sørge for at dokumenter som inneholder personopplysninger vedrørende tidligere beboere ikke oppbevares, med unntak av personopplysninger som fremkommer i regnskapsdokumenter, dersom driftsoperatør omfattes av regnskapsloven, jfr § 1: alle papirdokumenter som ikke skal oversendes UDI makuleres
k) ha rutiner for regelmessig gjennomgang av elektroniske registre, og slette informasjon om tidligere beboere
l) henvise begjæring om innsyn, retting eller sletting til UDI.