Rutiner for registrering av kontaktperson ifm samfunnssikkerhet og beredskap

KDs styringsdokument for arbeid med samfunnssikkerhet og beredskap i UH-sektor pålegger institusjoner å ha egne beredskapsplaner og interne rutiner ved krisesituasjoner oppstått ved institusjonen. Som et av tiltakene opprettes det kontakt- og varslingslister ved institusjonene. Noen av institusjonene ønsker å benytte FS til dette.

Registrering av kontaktperson 

Det er nå utarbeidet en løsning for at studenten kan registrere informasjon om kontaktperson i StudentWeb. Opplysningene lagres i Felles studentsystem. En kontaktperson er den personen studenten oppgir som skal kontaktes i krisesituasjoner. Feltet «Kontaktperson» er et fritekstfelt der studenten registrerer navn, telefonnummer og e-post/bostedsadresse for kontaktperson. 

Merk! Informasjon om kontaktperson skal kun brukes i krisesituasjoner hvor studenten enten er bevistløs eller omkommet. Opplysningene om kontaktperson skal kun utleveres til politiet og andre nød- og redningsetater i forbindelse med krisesituasjonen. Institusjonen kan aldri selv kontakte personer registrert i dette registeret. 

Det er opp til den enkelte institusjon å ta løsningen i bruk. 

Det er frivillig for studenten å oppgi informasjon om kontaktperson. 

Hjemmelsvurdering; krav som må oppfylles før feltet aktiveres 

Det er et lovpålagt krav for institusjonene som ønsker å ta i bruk et kontaktpersonfelt å foreta en skriftlig vurdering knyttet til retten til å lagre disse personopplysningene - behandlingsgrunnlag. 

Behandlinger av personopplysninger reguleres av bestemmelsene i Personvernforordningen (GDPR) og personopplysningsloven. Personopplysninger er alle opplysninger og vurderinger som kan knyttes til en identifisert eller identifiserbar fysisk person, for eksempel navn, adresse, telefonnummer og epostadresse. Behandling av personopplysninger er enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring, utlevering eller tilgjengeliggjøring. Det er dette vi legger i ordet behandling når det brukes i denne teksten. 

Personopplysninger skal bare samles inn for spesifikke, utrykkelige angitte og berettigede formål, og opplysningene skal ikke viderebehandles på en måte som er uforenlige med de formål opplysningene opprinnelig ble samlet inn for. Dette betyr at kontaktinformasjonen ikke kan brukes til annet enn det som er formålet med registeret nemlig å lette politi og andre nød- og redningsetaters arbeid ved en alvorlig hendelse på institusjonen eller i regi av institusjonen. 

Merk! Det må også sikres at det ikke registreres sensitive personopplysninger i registeret. Dersom en kontaktperson har adresse i eksempelvis et fengsel eller et psykiatrisk sykehus vil informasjonen være å anse som sensitiv. Ansvaret for å sikre at sensitive personopplysninger ikke lagres i dette registeret, eller FS for øvrig, ligger alene hos den enkelte institusjon. 

Personvernforordningen (GDPR) og personopplysningsloven 

Institusjonene i UH-sektoren (og alle andre) må ha et rettslig grunnlag for å behandle personopplysninger i henhold til GDPR artikkel 6.  

Det er nevnt flere behandlingsgrunnlag i GDPR artikkel 6, og i UH-sektoren kan følgende grunnlag være aktuelle:  

  • Den registrerte samtykker til behandling av sine personopplysninger (samtykke, jf. GDPR artikkel 6 nr. 1) 

  • Behandlingen av personopplysninger er nødvendig for å oppfylle formål i allmennhetens interesse og utøving av offentlig myndighet, og det finnes supplerede rettsgrunnlag i nasjonal lov (lovhjemmel, jf. GDPR artikkel 6 nr. 1 bokstav e og nr. 3.) 

  • Behandlingen er nødvendig for formål knyttet til berettigede interesser, med mindre den registrertes interesser eller grunnleggende friheter og rettigheter går foran og krever vern (interesseavveining, jf. GDPR artikkel 6 nr. 1 bokstav f) 

Kravet til behandlingsgrunnlag gjelder også ved behandling av personopplysninger om kontaktpersoner. Hver institusjon er lovpålagt å foreta en selvstendig vurdering av behandlingsgrunnlaget, basert på egen situasjon. Det følgende skal anses som veiledende. 

Samtykke

Dersom institusjonen belager seg på samtykke fra den registrerte (dette er da den som er oppgitt som kontaktperson), må det innhentes samtykke fra denne iht. kravene i GDPR artikkel 7. Dette innebærer at institusjonen må legge til rette for å innhente et samtykke fra kontaktpersonen, før opplysningene om kontaktpersonen blir registrert i systemet/hos institusjonen. En løsning som tillater studenten å registrere opplysninger om kontaktpersonen, FØR det er innhentet samtykke, er ikke i henhold til GDPR. I forbindelse med innhenting av samtykke fra kontaktpersonen, må det også gis tilstrekkelig informasjon om behandlingen (for eksempel i form av en personvernerklæring). Institusjonen må også tilrettelegge for at kontaktpersonen kan trekke samtykke, og at studenten på en enkel måte kan få endret sin kontaktperson.  

Lovhjemmel

Registering av kontaktpersoner i forbindelse med samfunnssikkerhet og beredskap kan være en oppgave av allmenn interesse, men per i dag foreligger det ikke noen klar lovhjemmel i nasjonal rett for etablering av et kontaktpersonregister i UH-sektoren til det beskrevne formål.  

Interesseavveining

Dersom institusjonen ønsker å bruke vilkåret om interesseavveining i GDPR artikkel 6 nr. 1 bokstav f, må institusjonen foreta en konkret vurdering av:   

  1. Om behandlingen er nødvendig for at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til skal kunne ivareta en berettiget interesse, og 

  1. om hensynet til den registrertes interesser eller grunnleggende friheter og interesser, ikke overstiger denne interessen. 

 

Dette er en snever unntaksbestemmelse som skal anvendes svært streng. Det betyr at det ved vurderingen ikke kan vektlegges om et slikt register er «kjekt å ha» men man må basere vurderingen på en faktisk vurdering av om det er nødvendig og at man med behandlingen ivaretar en berettiget interesse. Husk også at den registrerte i denne sammenheng er kontaktpersonen (ikke studenten).  

I vurdering av om «behandlingen er nødvendig» og hva den «berettigede interessen er» og at behandlingen ivaretar denne interessen kan man blant annet vurdere følgende: 1) hvor ofte vil man oppleve at en student er bevistløs eller død (på lærestedet eller i relasjon til studiet) slik at pårørende eller andre må kontaktes opp mot at 2) politiet ikke har tilgang til informasjon til en kontaktperson. Det bør foreligge relativt stor sannsynlighet for at politiet ikke har tilgang til nødvendig informasjon for at det skal kunne etableres et slikt register. Videre må man vurdere sannsynlighet for at noe kan skje den enkelte student som gjør at de ikke kan gjøre rede for seg selv eller dø «i kraft av deres tilknytning til institusjonen». Her må man vurdere de enkelte studier – noen studier som politistudiet innebærer større risiko for at en hendelse skjer enn for eksempel førskolelærerutdanning eller farmasistudiet. Dersom man kommer til at det er en stor sjanse for at studenter vil utsettes for en hendelse hvor de ikke er i stand til å gjøre rede for seg selv eller dør, så må man vurdere i hvor stor grad politiet har bruk for informasjon fra registret. Her er det viktig å huske at politiet allerede har rutiner for å identifisere skadde og omkomne, og varsle de pårørende. Politiet har full tilgang til folkeregisteret, og henter informasjon her. Se mer om dette i UiOs utredning om kontaktpersonregister som ligger som deldokumentasjonen ved beslutningssaken for FS styret. 

Dersom man kommer til at det foreligger et reelt behov, må man foreta en avveining mellom behovet og den ulempe det vil være for den registrertes interesser og grunnleggende friheter og rettigheter å være registrert som kontaktperson. Her må hensynet til behovet for registeret klart overstige interessen til den enkeltes personvern. 

Krav til rutiner for bruk, tilgang og sletting 

Institusjonen må etablere klare rutiner for tilgang til, bruk av og sletting av kontaktpersonopplysninger. 

Informasjon kan som understreket over kun brukes til utlevering til politiet og andre nød- og redningsetater. Eksempel på slike situasjoner er: når studenten er akutt alvorlig syk, eller har vært utsatt for en ulykke, slik at vedkommende ikke kan gjøre rede for seg, studenten er savnet på en tur i regi av studiet eller er død. 

Institusjonen må ha oversikt over ansatte som har adgang til å lese informasjonen og ansatte som har rett til å utlevere informasjonen. Kontaktinformasjon (navn, telefonnummer eller e-postadresse) om hvem som kan utlevere opplysningene (dvs behandler krav på innsyn i personopplysninger) skal være tilgjengelig for alle ansatte ved institusjonen. 

Informasjonen bør inngå i overordnet informasjon om kriseberedskap for institusjonen. 

Offentleglova 

Alle dokumenter i offentlig virksomhet er som hovedregel offentlige, dersom ikke annet følger av lov eller forskrift med hjemmel i lov, jf. offl. § 3. Det følger videre av offl. § 9 at alle har rett til å kreve innsyn i en sammenstilling av opplysninger som er elektronisk lagret i databasene til et offentlig organ dersom sammenstillingen kan gjøres med enkle fremgangsmåter. Dette betyr at all informasjon i kontaktpersonregisteret som hovedregel er omfattet av offentleglova. 

 

Publisert 14. mai 2014 12:03 - Sist endret 24. juni 2021 13:48