Årsplan for IT-juridisk arbeid

Del 7: Organisering og styring av virksomheten

Beskrivelse: Juristene i IT-direktørens stab har flere funksjoner. De utøver den daglige oppfølgingen av ansvaret som ligger til rollen Behandlingsansvarlig. I tillegg gir de juridisk rådgivning til USIT og resten av UiO innen det IT-rettslige området.

Tiltak #7.1: Utøvelsen av det daglige behandleransvaret

Utfyllende beskrivelse: Juristene i IT-direktørens stab følger opp det ansvaret som ligger i rollen Behandlingsansvarlig. Dette innebærer å gjennomføre den årlige internkontrollen og stedlige kontroller. De gir generell og spesifikk informasjon knyttet til behandlinger av personopplysninger ved UiO, holder kurs og foredrag, og er saksbehandlere der det oppstår avvik knyttet til behandlinger av personopplysninger.

Tiltak #7.1.1: Informasjonsarbeid rettet både mot UIO og USIT

Ansvarlig: MF/MJ

Beskrivelse: Utforme dokumentasjon og veiledere, holde kurs og foredrag, revidere nettsted

Ressurser:

Milepæler:
# Milepæl Frist Ansvarlig Deltakere Status Kommentar
M1 Kurs for spesifikke faggrupper og enheter  Fortløpende MJ   4 8 12 Fortløpende etter behov
M2 Personvernsidene på UiOwebben skal revideres og utvides   MJ   4 8 12 Ikke behov per i dag.
M3 Svare på henvendelser fra UiO-organisasjonen vedr. behandlinger av personopplysninger Fortløpende MJ   4 8 12 Kontinuerlig arbeid.
M4 Nettverksmøte Dataforeningen 4. september MJ/DB     8    

Tiltak #7.1.2: Sikker Oktober

Ansvarlig:IT-sikkerhet&IT-jus

Beskrivelse: Sikker Oktober er et arrangement bestående av en rekke miniseminar om forskjellige tema innen informasjonssikkerhet

Ressurser: IT-sikkerhet & IT-jus, pluss kommunikasjonsrådgiver ved USIT

Milepæl Frist Ansvarlig Deltakere Status Kommentar
Organisere prosjektgruppe 1. juli EG/MJ
  • It-sikkerhet & IT-jus
4 8 12 Prosjektgruppe ikke nedsatt i år.
Presentere prosjektplan 15. august EG/MJ It-sikkerhet & IT-jus 4 8 12 Plan presentert for IT-dir.
Gjennomføre arrangementet oktober 2017 EG/MJ It-sikkerhet & IT-jus        
Evaluering November 2017 EG/MJ It-sikkerhet & IT-jus        

Tiltak #7.1.3: Årlig internkontroll av behandlinger av personopplysninger

Ansvarlig: MF/MJ

Beskrivelse: Internkontrollen er lovpålagt i henhold til Personopplysningsloven (§ 14) og Personopplysningsforskriften (kapittel 3) og gjennomføres etter bestemmelsene i Reglement om behandling av personopplysninger ved UiO en gang i året. 

Ressurser:

# Milepæl Frist Ansvarlig Deltakere Status Kommentar
M1 Gjennomføre internkontrollen 15. Januar MF/MJ   4 8 12  
M2 Gjennomføre, rapportskriving og oversendelse til Udir. 1. april MF/MJ   4 8 12 Pga ressurssituasjon er vi ikke ajour, ny frist 1. juni. Oversendelse aug-17. Status ok.
                 

Tiltak #7.1.4: Håndtering av avvik

Ansvarlig: MF/MJ

Beskrivelse: Avvikende behandling av personopplysninger er alle behandlinger som ikke gjøres i tråd med lov og interne rutiner. Når et avvik avdekkes skal det undersøkes, det skal rapporteres til Personvernombudet, den registrerte skal informeres og normalt skal også pressen håndteres.

Ressurser: …

# Milepæl Frist Ansvarlig Deltakere Status Kommentar
M1 Fortløpende ved avvik       4 8 12

kontinuerlig arbeid - saksbehandles fortløpende.

 

M2 Oppfølgingav tidligere avvik for å sikre at planlagte tiltak er gjennomført skal ihht. plan gjennomføres 1.november MJ   4 8 12  
M3 Avvikshåndtering - felles håndtering ved UiO, utforme bedre rutiner 1.november MJ/AF IT-jus, CERT og AF 4 8 12 Pga. ressurssituasjon er vi ikke kommet like langt som planlagt. Frist derfor flyttet til 1. november

Tiltak #7.1.5: Årsrapportering til Universitetsdirektøren

Ansvarlig: MF/MJ

Beskrivelse: Hvert år rapporterer utøver av det daglige behandleransvaret status på arbeidet samt oversikt over de hendelser som har vært håndtert.

Ressurser:

# Milepæl Frist Ansvarlig Deltakere Status Kommentar
M1 Rapportskriving 1. februar MF/MJ
  • liste
4 8 12 Pga ressurssituasjon er ikke rapport ferdigstilt. Ny frist 1. juni. Oversendt og presentert aug-17. Status ok.
                 

Tiltak #7.1.6: Risikovurdering og revisjon av administrative IT-system - ROSA

Ansvarlig: MF/EG

Beskrivelse: Se prosjektside:

Ressurser: 

# Milepæl Frist Ansvarlig Deltakere Status Kommentar
M1 Gap-analyse 1. kvartal MF   4 8 12 Analysen er påbegynt og sluttføres innen 15.juni 2017. Status ok.
M2 Sluttrapport 1. kvartal MF/EG   4 8 12

Sluttrapport overleveres ved 1) møte i juni hvor de store funn redegjøres for og 2) ved rapport til Udir. Forsinket pga. kapasitetsutfordringer. Ferdigstilles innen 15.juni 2017.

M3 Oppfølging 1. november

MJ/EG

  4 8 12 Sikre at systemeiere følger opp tiltakene for å lukke ROS-rapportene.
M4                

Tiltak #7.1.7: Oppfølging av Med.fak etter gjennomgang av alle forskningsprosjekt

Ansvarlig: MJ

Beskrivelse: 

Ressurser:

Milepæler:
# Milepæl Frist Status Kommentar
M1 Oppfølging av Med.fak etter gjennomgang av alle forskningsprosjekt 1. november 4 8 12 pågående arbeid i samarbeid med UiO-CERT
M2     4 8 12  

Tiltak #7.2: Oppfølging av internkontroll; Forskning og Undervisning

Utfyllende beskrivelse: I henhold til personopplysningsloven § 13 første ledd skal behandlingsansvarlig gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.

I 2015 og 2016 gjennomførte Stabsjuristene sammen med IT-sikkerhetssjef prosjektet ROSA, risikovurdering av administrative it-system. Det er søkt om midler for å videreføre prosjektet i 2017, men nå med fokus på risikovurdering av behandlinger og it-system anvendt i forskning og utdanning. Stabsjuristene vil i 2017 fortsette arbeidet med å sikre at alle fagmiljø som behandler personopplysninger i sin forskning har nødvendig kunnskap  om behandlinger av personopplysninger.

I 2016 har det ved det medisinske fakultet vært gjennomført et større kartleggingsarbeid for å få kontroll med forskningsprosjektene ved fakultetet. Stabsjuristene ved USIT vil bruke vesentlig tid i 2017 på å bistå med.fak i opprydningsarbeidet i kjølevann av dette kartleggingsarbeidet.

Milepæler:
# Milepæl Frist Status Kommentar
M1 ROSA-2, risiko- og sårbarhetsanalyste (GAP) av IT-system i forskning og undervisning   4 8 12 Se årsrapportering fra 2016. Ikke mottatt støtte fra SKAIT eller faggruppe for e-infrastruktur. Utforme endret fremgangsmåte for oppstart H-17.
M2     4 8 12  

Tiltak #7.2.1: Informasjonsarbeid rettet både mot UIO og USIT

Ansvarlig: MF/MJ

Beskrivelse: Utforme dokumentasjon og veiledere, holde kurs og foredrag, revidere nettsted

Ressurser:

# Milepæl Frist Ansvarlig Deltakere Status Kommentar
M1 Juridiske utredninger/rådgivning for og til USIT Fortløpende MF/MJ   4 8 12 Fortløpende, men en del backlog pga. ressurssituasjon.
M2 Juridiske utredninger/rådgivning for og til UiO Fortløpende MF/MJ   4 8 12 Fortløpende, men en del backlog pga. ressurssituasjon.
                 

 

Tiltak #7.3: Proaktiv og strategisk rådgivning på det IKT-rettslige området for IT-direktøren og organisasjonen forøvrig 

Utfyllende beskrivelse: Juristene i IT-direktørensstab bistår egen organisasjon innen det IKT-rettslige området. Dette arbeidet omfatter alt fra å bistå IT-direktøren i kort og langsiktig strategiarbeid, bistå organisasjonen i avtalehåndtering, foreta juridiske utredninger knyttet til interne prosjekt, sikre at interne regler og rutiner gjennspeiler de til enhver tid gjeldende lover og regler, og samarbeide med IT-sikkerhetssjef i IT-sikkerhetsarbeidet.

Tiltak #7.3.1: Utredning og rådgivning

Ansvarlig: MF/MJ

Beskrivelse: Stabsjuristene er ansvarlig for å foreta juridiske vurderinger av problemstillinger av betydning for organisasjonen, enten om de er av strategisk betydning for ledelsen eller er prosjekt/tjenesterelatert. Disse tas fortløpende som de dukker opp-

Ressurser:

Milepæl Frist Ansvarlig Deltakere Status Kommentar
Juridiske utredninger/rådgivning for og til USIT Fortløpende MF/MJ
  •  
4 8 12 Fortløpende, men en del backlog pga. ressurssituasjon.
Juridiske utredninger/rådgivning for og til UiO Fortløpende  MF/MJ   4 8 12 Fortløpende, men en del backlog pga. ressurssituasjon.
               

Tiltak #7.3.2: Informasjonsarbeid mot USIT-organisasjonen

Ansvarlig: MF/MJ

Beskrivelse:

Ressurser:

# Milepæl Frist Ansvarlig Deltakere Status Kommentar
M1      
  •  
4 8 12  
M2         4 8 12  
M3                
M4                
M5                

Tiltak #7.3.3: Avtale og kontraktsarbeid

Ansvarlig: MJ/MF

Beskrivelse: Stabsjuristene har ansvar for å kvalitetssikre det juridiske i avtalene som brukes og inngås ved USIT.

Ressurser: …

 

# Milepæl Frist Ansvarlig Deltakere Status Kommentar
M1 Avtalemaler   MF/MJ   4 8 12 Status ok.
M2 Fortløpende avtalebistand til organisasjonen       4 8 12 Ikke gjennomført alle bestillinger pga. ressurssituasjon.

Tiltak #7.3.4: Hendelseshåndtering

Ansvarlig: Person ansvarlig for gjennomføring av tiltaket

Beskrivelse: 

Ressurser: 

# Milepæl Frist Ansvarlig Deltakere Status Kommentar
M1 Fortløpende arbeid når hendelser oppstår    
  •  
4 8 12 Ajour per 1. tertial hva gjelder hendelser som er meldepliktige til tilsynsmyndighet. Ikke fullført alle rapporterter for øvrige hendelser pga. ressurssituasjon.
M2         4 8 12  
                 

Tiltak #7.3.5: Strategiarbeid

Ansvarlig: MJ

Beskrivelse: 

Ressurser: 

# Milepæl Frist Ansvarlig Deltakere Status Kommentar
M1 Digitaliseringsrundskrivet Kontinuerlig MF
  • MJ
4 8 12  
M2

Personopplysningsregelverket - utvikling og edringer - betydning for UiO

Personvernforordningen

Oppstart høst-16 MF/MJ MF/MJ, Uninett, HiOA 4 8 12 Vedtatt - trer i kraft vår -18, arbeid igangsatt H-16 for å vurdere konsekvenser for sektor og UiO.
M3

Faggruppe for informasjonssikkerhet - IT-BOTT

Arbeid med personvernforordningen

Frist H-17 MJ MF/MJ, Uninett, UiT, HiOA 4 8 12 Utforme sjekklister og overordnet oversikt for sektoren for kravene etter nytt personvernregelverk. Gruppen skal også ila H-17 holde diverse presentasjoner.

Tiltak #7.3.6: Regelverks- og rutinearbeid

Ansvarlig: MF/MJ

Beskrivelse: Stabsjuristene ved USIT er ansvarlig for at UiO følger de til enhver tid gjeldende lover og regler på IKT-området samt innen forvaltningsretten med tilgrensende rettsområder.

Ressurser: …

# Milepæl Frist Ansvarlig Deltakere Status Kommentar
M1 Videresending av epost 1.12 MJ   4 8 12 Reglement vedtatt og trådt i kraft. Implementeres fom 1. sept 17
M2 Håndtering av M-området m.m. ved en ansatts død 1. september MJ Johan A       Påbegynt, men avhengigheter i personalavd. som må avklares.

Tiltak #7.3.7: Sikkerhetsarbeid

Ansvarlig: MF/MJ

Beskrivelse: Stabsjuristene jobber i det daglige tett med IT-sikkerhetssjefen og dennes team vedr. IT-sikkerhet ved UiO.

Ressurser: …

# Milepæl Frist Ansvarlig Deltakere Status Kommentar
M1 Hendelseshåndtering Fortløpende MJ/CERT
  •  
4 8 12 Kontinuerlig oppfølging
M2         4 8 12  

Tiltak #7.3.8: Konferanser og networking

Ansvarlig: Person ansvarlig for gjennomføring av tiltaket

Beskrivelse: Valgfri tekst

Ressurser: …

# Milepæl Frist Ansvarlig Deltakere Status Kommentar
M1 IT-konferansen (USIT) April Maren
  •  
4 8 12  
M2 UNINETT fagdager Mai Maren   4 8 12  
M3 Rettssikkerhetskonferansen September Maren/Märtha         Deltar ikke i år.
M4 Personverndagen Desember Maren/Märtha          
M5                

Tiltak #7.3.9: Samhandling i skjæringspunktet Jus/sikkerhet/administrative IT-systemer

Ansvarlig: Person ansvarlig for gjennomføring av tiltaket

Beskrivelse: 

Ressurser: …

# Milepæl Frist Ansvarlig Deltakere Status Kommentar
M1 Når milepæl 1 er ferdig dato person
  • liste
4 8 12 tekst
M2 Når milepæl 2 er ferdig       4 8 12  

Tiltak #7.4: Proaktiv og strategisk rådgivning på det IKT-rettslige området for Universitetsdirektøren og UiO forøvrig

Utfyllende beskrivelse: Juristene i IT-direktørensstab bistår hele UiO på det IKT-rettslige området. Dette omfatter primært personvernrelaterte vurderinger ved innkjøp av nye it-system, utforming av høringssvar og deltagelse i nasjonale og internasjonale organisasjoner/prosjekt som UiOs representant.

I mai 2018 trer ny personvernlovgivning i kraft i Norge. Stabsjuristene vil vie deler av 2017 til å få oversikt over hva dette nye regelverket vil bety for UiO og  USIT, samt sammen med IT-organisasjonen starte gjennomføring av gjennomføring av nødvendige endringer slik at vi er forberedt når loven trer i kraft.

Milepæler:

Milepæler:
# Milepæl Frist Status Kommentar
M1 Se M2 og M3 under tiltak 7.3.5   4 8 12  
M2 [ ... ]   4 8 12  

Tiltak #7.4.1: Utforme høringssvar

Ansvarlig: Märtha og Maren

Beskrivelse: UiO mottar jamnlig forskjellige dokument på høring. Juristene har ofte ansvar for å svare på vegne av USIT/UiO innen det it-rettslige området.

# Milepæl Frist Ansvarlig Deltakere Status Kommentar
M1 Ny personopplysningslov (GDPR) 16. oktober MJ
  • MF/EG
4 8 12 Høringsnotat mottat, sendt til org. Koordinere høringssvar
M2 Høring - Forskrift om befolkningsbaserte helseundersøkelser 27. oktober MJ   4 8 12 Bedt om å avgi høringssvar til AF.

Tiltak #7.4.2: Nasjonale prosjekt

Ansvarlig: Person ansvarlig for gjennomføring av tiltaket

Beskrivelse: Juristene ved USIT er involvert i flere nasjonale samarbeid:

Ressurser: …

# Milepæl Frist Ansvarlig Deltakere Status Kommentar
M1 Digital Eksamen    
  •  
4 8 12 On going
M2 Innkjøp av plagiatkontrollverktøy i sektoren   MF/MJ   4 8 12 Ferdigstilt
M3 BOTT (forkjellige tema innen it-rett)       4 8 12 On going
  - UH-AD             On going
  - Connect             On going
  -ERP   MJ   4 8 12 On going - yter litt bistand til prosjektleder
  - Uh-Sky             On going
M4 Faggruppe for informasjonssikkerhet, IT-BOTT Pågående MJ EG 4 8 12 Oppstart mai 2017

 

 

Publisert 28. nov. 2016 09:22 - Sist endret 19. sep. 2017 16:48