Høring: Forslag om nye endringer i universitets- og høyskoleloven

• Høringsbrev

  Vår ref.: 17/4109

  Høring - endring i universitets- og høyskoleloven oppfølging av Kvalitetsmeldingen mv.
  
  

  Kunnskapsdepartementet sender med dette forslag til endringer i universitets- og høyskoleloven på høring. Noen av forslagene er oppfølging av Meld. St. 16 (2016-2017) Kultur for kvalitet i høyere utdanning (Kvalitetsmeldingen). Det foreslås også å innføre bestemmelser som gir en tydeligere hjemmel til å håndtere personopplysninger i forbindelse med Samordna opptak, utdanningsinstitusjonens studieadministrasjon og rapportering av individdata til Database for høgre utdanning. Det er også foreslått noen nye bestemmelser om eksamen. Dette gjelder blant annet rett til å klage individuelt på gruppeeksamen og ny ordning som skal gjelde der vurderingen av en besvarelse endres med to karakterer eller mer etter ny sensur på grunn av klage.

  Høringsnotatet og personvernkonsekvensutredningene er tilgjengelig på www.regjeringen.no.Vi ber om at høringsuttalelser sendes elektronisk ved bruk av den digitale løsningen for høringsuttalelser på www.regjeringen.no/id2568268.Høringsuttalelser er offentlige og blir publisert. Departementet ber høringsinstansene vurdere om saken bør forelegges underordnede organer som ikke er nevnt på listen over høringsinstanser.

  Høringsfristen er mandag 4. desember 2017.

   

  Med hilsen

  Anne Grøholt (e.f.)
  avdelingsdirektør

                                                                            Irene Tveite-Strand
                                                                            seniorrådgiver

   Dokumentet er elektronisk signert og har derfor ikke håndskrevne signaturer

• Høringsnotat

  Høringsnotat om endringer i universitets- og høyskoleloven.pdf

Utdrag:

4. Bestemmelser om behandling av personopplysninger

4.1 Innledning

Kunnskapsdepartementet foreslår nye lovhjemler i universitets- og høyskoleloven som skal sørge for at kravene som stilles til personvern blir bedre ivaretatt.

Det foreslås en ny lovhjemmel om behandling av personopplysninger gjennom Samordna opptak, og en ny lovhjemmel som regulerer universiteter og høyskolers behandling av personopplysninger i studieadministrative systemer.

I opptaks- og studieadministrative systemer behandles informasjon om personopplysninger som navn og fødselsnummer. For å kunne foreta disse behandlingene krever personopplysningsloven (popplyl.) et behandlingsgrunnlag. Departementets forslag betyr at institusjonene nå får en klar lovhjemmel i universitets- og høyskoleloven og dermed et grunnlag til å behandle personopplysninger i opptaks- og studieadministrative systemer, herunder hjemmel til å hente inn nødvendige opplysninger fra andre organer. Forslaget ivaretar også personvernet til den enkelte ved automatisert behandling av personopplysninger.

Som en del av utredningsarbeidet i forbindelse med dette lovforslaget har departementet innhentet en utredning fra Ceres (Nasjonalt senter for felles systemer og tjenester for forskning og studier). Ceres er databehandler for Samordna opptak og de studieadministrative systemene. I utredningen har Ceres vurdert behovet for en lovhjemmel som gir institusjonene et grunnlag til å behandle personopplysninger. Utredningen ligger på Kunnskapsdepartementets nettside for denne høringen. I sin utredning har Ceres konkludert at det er "nødvendig med en lovhjemmel for behandlingsgrunnlaget i universitets- og høyskoleloven, for å skape åpenhet og forutsigbarhet om hvordan sektoren behandler personopplysninger om søkere og studenter."

Det foreslås også en ny lovhjemmel om behandling av personopplysninger i Database for statistikk om høgre utdanning (DBH). Høsten 2016 sendte departementet på høring forslag om nye bestemmelser i universitets- og høyskoleloven og fagskoleloven om rapportering av individdata (opplysninger om enkeltpersoner) til DBH. I høringsnotatet la departementet til grunn at behandlingen av personopplysninger i DBH var nødvendig for departementets offentlige myndighetsutøvelse. Behandlingen kunne således hjemles i popplyl. § 8 bokstav e. På bakgrunn av utrykt tvil om dette behandlingsgrunnlaget, valgte departementet å foreslå nye bestemmelser i universitets- og høyskoleloven og fagskoleloven.

De foreslåtte lovhjemlene tok sikte på gi departementet et klart behandlingsgrunnlag og stadfeste institusjonenes plikt til å innrapportere fullstendige data til DBH. Selv om de fleste høringsinstansene var positive til å få et tydelig hjemmelsgrunnlag for rapporteringen i sektoren, kom departementet til at det var ønskelig med en grundigere personvernkonsekvensvurdering av forslagene. Departementet ba derfor Norsk senter for forskningsdata (NSD) og Ceres om bistand til å utrede personvernkonsekvensene av forslagene. Dette ble gjort våren 2017 og utredningen ligger på Kunnskapsdepartementets nettside for denne høringen.

Forslaget i dette høringsnotat er omarbeidet sammenlignet med forslaget som ble sendt på høring i 2016. Endringene som er gjort fra forrige høringsrunde er blant annet å gjøre formålet med innrapporteringen av personopplysningene tydeligere, og å angi hvilke personopplysninger som kan rapporteres inn. Dette vil etter departementets vurdering bidra til å redusere personvernulempen ved rapporteringen til DBH. Departementets forslag er utarbeidet med sikte på å ivareta de kravene som vil bli stilt gjennom ny personopplysningslov og den kommende personvernforordningen.

[...]

7. Lovforslagene

[...]

§ 4-9 Utestenging grunnet straffbare forhold - politiattest

(3) Den som er dømt eller har vedtatt forelegg for forhold som innebærer at hun eller han må anses som uskikket til å delta i arbeid med pasienter, brukere, barnehagebarn, elever eller andre, kan utestenges fra praksisstudier eller klinisk undervisning hvor slik deltakelse må anses som uforsvarlig på grunn av den kontakt studenten får med disse i denne forbindelse.

§ 4-15. Innhenting og behandling av personopplysninger til studieadministrative formål

(1) Utdanningsinstitusjonen kan behandle personopplysninger om en søker, student eller doktorgradskandidat når formålet med behandlingen er å ivareta den registrertes rettigheter, eller å oppfylle institusjonens oppgaver og plikter etter universitets- og høyskoleloven.
(2) Utdanningsinstitusjonen kan behandle opplysninger om navn, fødselsnummer, D-nummer og karakterer fra videregående opplæring og universiteter og høyskoler hentet fra offentlige myndigheter, offentlige systemer for vitnemål, og statlige, fylkeskommunale og private utdanningsinstitusjoner når dette er nødvendig for å oppfylle formålet som er nevnt i første ledd. Innhenting av opplysningene kan skje elektronisk.
(3) Utdanningsinstitusjonen kan også behandle opplysninger om helse, sosiale forhold og andre sensitive opplysninger som studenten selv har gitt institusjonen eller har samtykket til at institusjonene skal få, når disse opplysningene er nødvendige for studieadministrative formål som nevnt i første ledd.
(4) Utdanningsinstitusjonen kan fatte vedtak ved hel eller delvis automatisert saksbehandling i sine studieadministrative systemer. Den personen som vedtaket retter seg mot, kan kreve at vedtaket overprøves manuelt av utdanningsinstitusjonen.
(5) Utdanningsinstitusjonen kan motta og behandle studentens politiattest elektronisk i sine studieadministrative systemer på studier der det kreves at studenten skal legge frem politiattest, jf. § 4-9. Politiattest som er utstedt og signert digitalt, kan kun leveres til utdanningsinstitusjonen i digital form. Det forutsettes at studenten selv innhenter og formidler politiattesten til utdanningsinstitusjonen.
(6) Departementet kan gi forskrift om behandling og registrering av personopplysninger i studieadministrative systemer.

§ 4-16. Innhenting og behandling av personopplysninger i Samordna opptak

(1) Samordna opptak er en nasjonal samordningstjeneste for behandling av søknader om opptak til høyere utdanning. Utdanningsinstitusjoner og andre organer som deltar i det samordnede opptaket kan behandle personopplysninger om en søker, når formålet er å behandle en søknad om opptak til høyere utdanning.
(2) Bestemmelsene i § 4-15 annet, tredje og fjerde ledd gjelder tilsvarende for Samordna opptak.
(3) Forvaltningsorganet som er ansvarlig for Samordna opptak er behandlingsansvarlig for personopplysningene i det samordnede opptaket. Departementet kan gi forskrift om behandling og registrering for det samordnede opptaket.

[...]

§ 7-8 Rapportering til database for statistikk om høyere utdanning

(1) Formålet med behandling av personopplysninger i en database for statistikk om høyere utdanning er å legge til rette for statistikk, utredning og forskning om høyere utdanning, og for departementets forvaltning og styring av høyere utdanning.
(2) For studenter ved universiteter og høyskoler kan følgende personopplysninger behandles:
- fødselsnummer
- midlertidig fødselsnummer
- navn
- statsborgerskap
- postnummer
- kommunenummer
- bostedsland
- e-postadresse
- karakterer fra videregående opplæring
- opplysninger knyttet til utdanning fra universiteter og høyskoler som studieprogresjon og karakterer.
(3) For doktorgradskandidater og ansatte ved universiteter og høyskoler kan følgende personopplysninger behandles:
- fødselsnummer
- ID-type og ID-nummer
- internasjonal ID-type og ID utstederland
- navn
- statsborgerskap
- postnummer
- kommunenummer
- bostedsland
- e-postadresse
28
- opplysninger knyttet til utdanning, stillingsforhold, lønn og finansiering av stillingen.
(4) Departementet kan pålegge universiteter og høyskoler å rapportere personopplysninger som nevnt i annet og tredje ledd til databasen for statistikk om høyere utdanning, uten hinder av lovbestemt taushetsplikt. Innhenting av opplysningene kan skje elektronisk.
(5) Personopplysningene i databasen kan utleveres og sammenstilles til forskning og utredning om høyere utdanning, jf. første ledd. Opplysningene kan også utleveres til andre departementer og statlige organer.
(6) Departementet er behandlingsansvarlig for databasen. Departementet kan gi forskrift om behandlingen av opplysninger i databasen.

Utredning av personvernkonsekvenser DBH.pdf

Utdrag:

3. Hvilke typer personopplysninger skal/kan behandles

Personopplysninger
Direkte og indirekte personopplysninger

Av direkte personopplysninger registreres navn, fødselsnummer og postnummer. Fødsels- og personnummer, skal kun brukes der det er nødvendig for å oppnå sikker identifisering, jf. personopplysningsloven § 12. Fødselsnummer er ikke en sensitiv personopplysning, og er heller ikke taushetsbelagt etter fvl. § 13 første ledd nr. 1. Dette er likevel en opplysning som folk flest anser som beskyttelsesverdig. Ved konkrete innsynsbegjæringer "kan" fødselsnummer unntas med hjemmel i offl. § 26 femte ledd.

Indirekte personopplysninger – eks. kjønn, alder, arbeidssted.

Sensitive vs. ikke sensitive personopplysninger

Gjeldende personopplysningslov har en definisjon av sensitive personopplysninger i pol. § 2 nr. 8. Den nye personvernforordningen har en tilsvarende definisjon av "special category of personal data", jf. personvernforordringen 9.

Opplysninger om navn, kjønn, postnummer, e-post, fødselsnummer, statsborgerskap, yrke og arbeidssted er i utgangspunktet å anse som ikke sensitive etter personopplysningsloven. I utgangspunktet er de heller ikke taushetsbelagte etter fvl. § 13 første ledd nr. 1, men unntak kan forekomme.

For enkelte personer kan opplysninger om adresse og telefonnummer være taushetsbelagte etter fvl. § 13 første ledd nr. 1. F.eks. hvis noen personer har et beskyttelsesbehov, eller har en adresse som kan avsløre taushetsbelagte opplysninger om personen. Adressen kan for eksempel tilhøre et fengsel eller en psykiatrisk institusjon. Departementet har etter en vurdering kommet frem til at det er tilstrekkelig for datagrunnlaget å innhente adresser i form av postnummer.

Utgangspunktet er at opplysninger om bestått utdanning, herunder avlagte eksamener og prøver, gjennomførte kurs, oppnådde grader og lignende, ikke er taushetsbelagte opplysninger. For karakterer kan saken stille seg annerledes, og her skilles det også mellom karakterer fra grunnskolen/videregående opplæring og karakterer fra høyere utdanning. Se omtale av karakterpoeng under "Taushetsbelagte personopplysninger".

Når det gjelder personopplysninger om ansatte, vil behandlingen også omfatte opplysninger om arbeid og lønn. Generelle opplysninger om arbeidssted, arbeidstid, yrke og stilling er ikke taushetsbelagte opplysninger. Opplysninger om lønn og godtgjørelse når det gjelder arbeid utført for det offentlige er ikke taushetsbelagte. For ansatte i privat sektor kan slike opplysninger være taushetsbelagte, avhengig av detaljeringsgrad. Opplysninger om lønn og inntekt som også er tilgjengelig i offentlige skattelister, vil imidlertid ikke være taushetsbelagte, selv om de gjelder ansatte i privat sektor.

[...]

5. Hvem, herunder hvor mange, blir berørt av tiltaket?

Studenter, doktorgradskandidater og ansatte i universitets- og høyskolesektoren, og studenter og ansatte i fagskolesektoren vil bli berørt av lovforslaget. [...]

Utredning av personvernkonsekvenser CERES.pdf

Utdrag:

Risikoen for evt. misbruk av personopplysninger må elimineres med tilfredsstillende informasjonssikkerhet og rutiner for internkontroll. Det må iverksettes sikkerhetstiltak som ivaretar hensynet til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger, f.eks. tilgangskontroller og kryptering. Institusjonene må foreta jevnlige risikovurderinger for å identifisere fare og sannsynlighet for evt. misbruk av personopplysninger, og det må iverksettes nødvendige tiltak for at risikoen skal være på et akseptabelt nivå. Både gjeldende personopplysningslov og den nye personvernforordningen har bestemmelser om ivaretakelse av informasjonssikkerhet og internkontroll. Dette er bestemmelser som behandlingsansvarlig er pliktig til å overholde. Det vises til personopplysningsloven § 13 og 14, og personvernforordringen art. 24, 25, 30, 32 og 35. Se også «Sikring av personopplysninger» under pkt. 14.

Relatert