Nye personvernregler

Fra 20. juli 2018 er det lov om personopplysninger 2018 som gjelder. Da gjelder EUs personvernforordning sammen med reglene i loven. I EU har reglene vært gjeldende fra 25. mai.

Dette betyr omfattende endringer i personvernlovgivningen slik vi kjenner den i dag. Kjernen i prinsippene er at alle har rett til å bestemme over opplysninger om seg selv.

I KulturIT har forberedende arbeid pågått en stund og vi ønsker å informere museene om status. 

Arbeidet startet med en kartlegging av hvilke personopplysninger som behandlet i KulturIT. Dette gjelder både for fagsystemer som er utviklet av oss og programvare levert av 3. part.

Personvernerklæring

Hvordan vi samler inn og bruker personopplysninger skal være kjent for brukere og blir beskrevet i KulturITs personvernerklæring. Denne personvernerklæringen gjelder for de ulike systemene som KulturIT utvikler for museer og andre institusjoners faglige arbeid med dokumentasjon, forvaltning og formidling av kunst-, kultur- og naturhistoriske samlinger, og som til sammen utgjør eKultur.

Databehandleravtale

En databehandleravtale skal sikre at personopplysninger blir behandlet i samsvar med regelverket og setter en klar ramme for hvordan databehandleren kan behandle opplysninger.

Her finner du KulturITs databehandleravtale versjon 2: 

Personvern bygges inn i nye løsninger

For våre fellesløsninger i økosystemet gjelder blant annet prinsippene på nettsiden under. Dette er prinsipper vi må forholde oss til i nyere versjoner av løsningene over.

Se Datatilsynets veileder


Bransjenorm

Vi er i dialog med Datatilsynet og Nasjonalbiblioteket for å finne ut mer om en eventuell bransjenorm/standard for behandling av personopplysninger innen ABM-sektoren. Det finnes egne bransjespesifikke utfordringer når det gjelder blant annet forskning og formidling.

Spørsmål

Vi har fått endel spørsmål og de er besvart slik:

1. Hvilke konsekvenser har GDPR for museet i forhold til forvaltning og lagring av data for museet?

Det er ikke lett å svare uttømmende på dette spørsmålet, men Datatilsynet har laget flere nedkortede veiledere som er tenkt å hjelpe virksomheter å forstå hvordan GDPR påvirker forvaltning og lagring av personopplysninger innen virksomheten.

Nyttige veiledere fra Datatilsynet:

2. Tar KulturIT seg av alt ansvaret eller har museet noe ansvar?

Kort fortalt er museene som databehandler selv ansvarlig for hvilke personopplysninger museet behandler og lagrer. KulturIT er ansvarlig for at personopplysningene vi eventuelt lagrer på deres vegne ikke kommer på avveie, og lagres ihht. til loven. Dette er en forenkling av problemstillingen, men belyser at både museet og KulturIT vil ha et ansvar.

Hva gjøres hos oss nå?

Vi vil gi våre brukere muligheten til å gi oss en tilbakemelding i de ulike løsningene. Dette er under arbeid.

For spørsmål ta gjerne kontakt med oss på personvern@kulturit.org