Hopp til hovedinnhold

Personvern

​Erklæring om hvordan Riksrevisjonen samler inn og bruker personopplysninger.

Publisert 07.01.2019

Riksrevisjonen, ved daglig leder (riksrevisor), er behandlingsansvarlig for virksomhetens behandling av personopplysninger. Der det daglige ansvaret er delegert, kommer det fram under hvert enkelt punkt.

Delegeringen omfatter kun oppgavene og ikke ansvaret. Erklæringen inneholder opplysninger du har krav på når det samles inn opplysninger fra nettstedet vårt og generell informasjon om hvordan vi behandler personopplysninger.

Behandling av personopplysninger i forbindelse med revisjons- og kontrollarbeidet

Riksrevisjonen innhenter og behandler personopplysninger i forbindelse med revisjons- og kontrollarbeidet. Hjemmel for slik behandling av personopplysninger er lov om riksrevisjonen § 17, 1.ledd.

Det fremkommer av lov om riksrevisjonen § 17, 2. ledd at Riksrevisjonen er unntatt fra artiklene 15, 16, 17, 18, og 19 i personvernforordningen. Dette er bestemmelser om rett til korrigering, rett til sletting, rett til begrensning av behandling og bestemmelse om underretningsplikt.

Behandling av personopplysninger på www.riksrevisjonen.no

Nettredaktøren har det daglige ansvaret for Riksrevisjonens behandlinger av personopplysninger på riksrevisjonen.no. Det er frivillig for de som besøker nettsidene å oppgi personopplysninger i forbindelse med tjenester, for eksempel å motta nyhetsbrev. Behandlingsgrunnlaget er samtykke fra den enkelte, med mindre annet er spesifisert.

Nettstatistikk

Riksrevisjonen samler inn avidentifiserte opplysninger om besøkende på riksrevisjonen.no. Formålet med dette er å utarbeide statistikk som vi bruker til å forbedre og videreutvikle informasjonstilbudet på nettstedet. Eksempler på hva statistikken gir svar på, er hvor mange som besøker ulike sider, hvor lenge besøket varer, hvilke nettsteder brukerne kommer fra og hvilke nettlesere som benyttes.

Opplysningene behandles i avidentifisert og aggregert form. Med avidentifisert menes at vi ikke kan spore opplysningene vi samler inn tilbake til den enkelte bruker. Vi samler inn hele IP-adressen, men IP-adressen avidentifiseres slik at bare de tre første gruppene i adressen brukes til å generere statistikk. Det vil si at dersom IP-adressen består av numrene 195.159.103.82, brukes bare 195.159.103.xx. I tillegg behandles IP-adressene på aggregert nivå, det vil si at all data slås sammen til en gruppe og ikke behandles individuelt.

Informasjonskapsler

Riksrevisjonen bruker Google Analytics som statistikkverktøy, en tjeneste for webanalyse levert av Google, Inc (”Google”).

Google Analytics bruker informasjonskapsler/cookies (små tekstfiler som nettstedet lagrer på brukerens datamaskin), som registrerer brukernes IP-adresse, og som gir informasjon om den enkelte brukers bevegelser på nett. Eksempler på hva statistikken gir oss svar på, er hvor mange som besøker ulike sider, hvor lenge besøket varer, hvilke nettsteder brukerne kommer fra og hvilke nettlesere som benyttes. Ingen av informasjonskapslene gjør at vi kan knytte informasjon om din bruk av nettstedet til deg som enkeltperson. Riksrevisjonen bruker et script (kode) som fjerner de siste sifrene fra IP-adressen før informasjonen lagres av Google. Dermed kan ikke den lagrede IP-adressen brukes til å identifisere den enkelte brukeren.

Du kan avvise bruken av cookies på din maskin ved å justere de nødvendige innstillingene på nettleseren din. Vær imidlertid oppmerksom på at om du gjør dette vil du kanskje ikke være i stand til å benytte nettstedets funksjonalitet i sin helhet. Ved å bruke nettstedet godtar du at Google behandler opplysninger om deg på den måten og for det formålet som er beskrevet ovenfor. 

Spørreundersøkelser

Riksrevisjonen bruker Questback til å gjennomføre undersøkelser. Vi vil alltid informere om formålet med spørreundersøkelsen, hvorvidt den er anonym eller ikke og hjemmel for behandling av personopplysninger i denne sammenheng. I noen tilfeller vil Riksrevisjonen overlate til andre å behandle informasjonen, og det vil da bli inngått egen databehandleravtale.

Saksbehandling og arkiv

Riksrevisjonen bruker Public360 arkiv- og saksbehandlersystem med elektronisk journalføring og elektronisk lagring av dokumenter. Public 360 er et arkiv- og saksbehandlingssystem fra leverandøren Tieto som følger offentlige standarder (NOARK). Arkivleder er delegert det daglige ansvaret for systemet og manuelt arkiv, og at det er utarbeidet nødvendige rutiner for bruk av dette. Respektive avdelingsdirektører følger opp at den faktiske saksbehandlingen er i samsvar med rutinene.

Riksrevisjonen behandler personopplysninger for å oppfylle tilsynets lovpålagte oppgaver etter bl.a. riksrevisjonsloven, personopplysningsloven, forvaltningsloven, offentlighetsloven og arkivloven.

Det registreres ulike typer personopplysninger i arkiv- og saksbehandlingssystemet. Dette er opplysninger som navn, adresse, telefonnummer, e-postadresse (grunndata) og annen relevant informasjon som fremgår av henvendelsen. Registrering, lagring og oppbevaring skjer i henhold til arkivlovgivningen. Saksdokumentene kan i tillegg inneholde sensitive personopplysninger. Som en del av den pålagte saksbehandlingen innhenter Riksrevisjonen i noen tilfeller opplysninger fra andre etater på eget initiativ etter lovhjemmel.

Ved krav om innsyn utleveres personopplysninger i henhold til offentlegova og forvaltningsloven.

Det er etablert særlige sikkerhetstiltak og rutiner for svært beskyttelsesverdig informasjon i arkivet, som for eksempel sensitive personopplysninger.

Selskapet Iron Mountain oppbevarer den delen av Riksrevisjonens historiske arkiv som ikke er avlevert til Riksarkivet. Samarbeidet er regulert av en databehandleravtale. Iron Mountain utleverer ikke opplysninger til tredjeparter.

Riksrevisjonen er pålagt å gjøre sine offentlige postjournaler tilgjengelig for allmennheten på Internett. En journal er systematisk og fortløpende registrering av alle inngående og utgående saksdokumenter. Journalene gjøres tilgjengelig på Riksrevisjonens nettsider.

E-post og telefon

Riksrevisjonen benytter e-post og telefon som en del av det daglige arbeidet. Avdelingsdirektøren i seksjonen der e-posten eller telefonsamtalen mottas har det daglige ansvaret for behandlingen av personopplysninger i denne sammenheng. Relevante opplysninger som fremkommer av telefonsamtaler og e-postutveksling som skjer som en del av saksbehandling journalføres. Disse opplysningene behandles i så fall som beskrevet over (se «Saksbehandling og arkiv»). Ved fratreden slettes e-postkontoene, men enkelte relevante e-poster vil normalt bli overført til kollegaer.

Sensitive personopplysninger skal ikke sendes med e-post.

Vi gjør deg oppmerksom på at vanlig e-post er ukryptert. Vi oppfordrer deg derfor ikke til å sende taushetsbelagte, sensitive eller andre fortrolige opplysninger via e-post.

Liste over besøkende

Navn på besøkende blir oppbevart hos Riksrevisjonen i 7 dager. Deretter blir informasjonen slettet.

Kameraer

Riksrevisjonen har kameraer montert for overvåkning og det er opptak av alle kameraer unntatt av porttelefonene som kun har bilder. Opptakene slettes fortløpende etter en måned og bruken av disse kameraene er meldt inn til Datatilsynet.

Opplysninger om ansatte

Riksrevisjonen behandler personopplysninger om sine ansatte for å administrere lønn og personalansvar. Rettslig grunnlag følger av personvernforordningen artikkel 6, b) og c).

Det er avdelingslederen for administrasjonsavdelingen som har det daglige ansvaret for dette. Det registreres nødvendige opplysninger for utbetaling av lønn, for eksempel personnummer, bankkontonummer, bostedsadresse, lønnsnivå, tidsregistrering, skatteprosent og skattekommune.

Dessuten registreres det opplysninger i tilknytning til inn- og utpasseringer av Riksrevisjonens lokaler og opplysninger om tilgang til IT-systemet.

Opplysningene utleveres bare i forbindelse med lønnsutbetalinger og andre lovpliktige utleveringer. Sletterutiner for personalopplysninger følger regnskapsloven og arkivloven.

Etter at tilsetting er foretatt, blir søknader for kandidater som ikke ble tilsatt slettet. Dette med unntak av stillingssøknader på avdelingsdirektørnivå. Slike søknader bevares.

Alle tidligere og nåværende ansatte har en personalmappe i Riksrevisjonens arkivsystem. Her blir blant annet stillingssøknaden arkivert/oppbevart. Personalmapper skal bevares (dvs. at stillingssøknaden ikke blir slettet eller makulert). Personalmapper blir ryddet ved utløp av arbeidsforholdet. Personalmapper skal avleveres til Arkivverket. Tilgangen begrenset til tjenstlig behov.

Logging i Riksrevisjonens fagsystemer

Riksrevisjonen har alminnelige sikkerhetslogger i sine fagsystemer, og sikkerhetsansvarlig har fått delegert ansvaret for dette. Det er de ansattes bruk av fagsystemet som blir registrert her. Det gis ikke ytterligere informasjon her av hensyn til sikkerheten i våre systemer.

Det rettslige grunnlaget for slike logger er kravet om logger i personopplysningsforskriftens §§ 2-8 og 2-14, samt personopplysningslovens § 8 f), for å ivareta virksomhetens sikring av andre informasjonsverdier enn personopplysninger.

Rettigheter

Alle som spør har rett på grunnleggende informasjon om behandlinger av personopplysninger i en virksomhet etter personvernforordningen artikkel 15.

Det fremkommer imidlertid av Riksrevisjonslovens § 17, 2.ledd at Riksrevisjonen er unntatt fra denne bestemmelsen når det gjelder behandling av personopplysninger i forbindelse med revisjons- og kontrolloppgaver.

Personvernombud i Riksrevisjonen

Elke Matheis er personvernombud i Riksrevisjonen.

Personvernombudets plikter fremkommer av personvernforordningens artikkel 39. 

Personvernombudets oppgaver (datatilsynet.no)

Det fremkommer videre av personopplysningslovens § 18 at personvernombudet plikter å hindre at andre får adgang eller kjennskap til det ombudet i forbindelse med utførelsen av sine oppgaver får vite om

  • noens personlige forhold
  • tekniske innretninger, produksjonsmetoder, forretningsmessige analyser og beregninger og forretningshemmeligheter ellers når opplysningene er av en slik art at andre kan utnytte dem i sin egen næringsvirksomhet
  • sikkerhetstiltak hos Riksrevisjonen etter personvernforordningen artikkel 32
  • enkeltpersoners varsling om overtredelser av loven og/eller av personvernforordningen

Taushetsplikten gjelder ikke dersom personvernombudet får samtykke fra den opplysningene gjelder, til å legge dem frem, eller dette er nødvendig for gjennomføring av personvernombudets lovpålagte oppgaver.

Taushetsplikten gjelder også etter at personvernombudet har avsluttet tjenesten eller arbeidet. Opplysninger som nevnt i denne paragraf kan heller ikke utnyttes i egen virksomhet eller i tjeneste eller arbeid for andre.

Kontakt personvernombudet

Elke Matheis