Internrevisionen vid Umeå universitet har undersökt hur hanteringen av personuppgifter går till, och hur organisationen lever upp till aktuell och kommande lagstiftning.
Den övergripande frågan som internrevisionen utgått ifrån är om det finns ett utvecklat system och en tydlig hantering av personuppgifter. I rapporten framgår att vissa centrala anvisningar för personuppgiftsbehandling finns i regelverket för användning av IT-resurser, informationssäkerhetspolicyn och regler för behandling av e-post. Ytterligare instruktioner finns på intranätet Aurora. Dock beskriver rapporten anvisningarna som begränsade.
Ingen tillfrågad institution kände till regelverket
Internrevisionen har kartlagt de anmälda personuppgiftsbehandlingarna under 2016 och 2017 och även gjort stickprovskontroller på vissa institutioner. Den sammantagna bilden visar på att en stor del av personuppgiftshanteringen aldrig anmäls. Av fyra tillfrågade institutioner var det ingen som kände till att behandlingar av personuppgifter ska anmälas.
Överlag fattas tydliga rutiner och gemensamma mallar för hur personuppgiftsbehandlingen ska hanteras. Däremot finns det en hög medvetenhet om att forskning innehållande känsliga personuppgifter ska etikprövas och en utbredd medvetenhet om vikten av säker lagring av personuppgiftsdata, även om det saknas en likformighet och systematik i arbetet med att skydda känsliga data.
Åtgärder på kort och lång sikt
De åtgärder som universitetsledningen inledningsvis föreslår är att ge universitetsförvaltningen i uppdrag att informera institutionerna och se över skriftlig information och riktlinjer. Vid universitetsledningens kansli arbetar man också på en dokumenthanteringsplan för forskning med särskilt fokus på gemensamma rutiner för lagring av primärdata.
Andra mer långsiktiga förslag är att ge institutionerna tillgång till ett arkivförteckningssystem, och att universitetsförvaltningen eventuellt skulle kunna erbjuda institutionerna att köpa in arkivariekompetens på konsultbasis. Åtgärderna i samband med implementeringen av nya dataskyddsförordningen kommer även de påverka universitets efterlevnad av regleverket.
Dataskyddsförordningen kommer att påverka
Under 2018 kommer den svenska personuppgiftslagen att ersättas med en EU-gemensamt dataskyddsförordning, som ibland benämns med den engelska förkortningen GDPR. Förordningen kommer att ställa högre krav på hur personuppgifter hanteras och myndighetens kontroll över hur personuppgifter behandlas i verksamheten.
När det gäller aspekter som berörs av lagändringen avhåller sig internrevisionen från att komma med åtgärdsförslag i sin rapport. I stället hänvisas till en kommande förstudien inför det nya regelverket som universitetsförvaltningen tillsatt och som är tänkt att presenteras innan årsskiftet.