Opbevaring af personoplysninger

Overordnede krav til sikkerhed

Reglerne for behandling af personoplysninger opstiller ingen specifikke krav til sikkerheden. Der findes således ikke krav om, at hverken følsomme eller almindelige personoplysninger kræver, at personerne som behandler oplysningerne har eget kontor, eller at personoplysninger kun må behandles elektronisk.

Den overordnede regel er, at både den dataansvarlige og databehandleren skal gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger ud fra en konkret risikovurdering. Den vurdering kan så betyde, at der skal foretages konkrete fysiske eller tekniske tiltag, som fx aflåsning af lokaler og anden sikring af, at følsomme oplysninger ikke kan tilgås af uvedkommende.

Læs mere om behandlingssikkerhed.

• Internt på AU: Dem, for hvem det ifølge formålet og det retlige grundlag er nødvendigt at se personoplysningerne.
• Uden for AU: Dem, som det er oplyst til de registrerede, at oplysningerne vil blive videregivet til - hvad enten der er tale om andre dataansvarlige eller databehandlere for AU.

• Du må aldrig opbevare eller behandle fortrolige eller følsomme personoplysninger på din private computer eller andet privat udstyr. Hvis du arbejder med personoplysninger, skal du altid benytte den computer, du som medarbejder har fået udleveret af Aarhus Universitet.
• Du må ikke opbevare følsomme personoplysninger i endelig form i AU's mail- og kalendersystem (Outlook), da det ikke er beregnet til at opbevare denne type oplysninger.

Reglerne for sikker opbevaring af personoplysninger er principielt de samme for digitalt og fysisk materiale. Dvs. at kun betroede personer med et sagligt behov skal have adgang til personoplysningerne.

• Det fysiske materiale med personoplysninger skal opbevares aflåst, når det ikke bruges.
• Det fysiske materiale må kun være tilgængeligt for betroede personer.
• Det fysiske materiale skal destrueres forsvarligt, når formålet med opbevaringen ophører.

Når du er færdig med at arbejde med personoplysninger, og resultatet ligger i endelig form, skal du være opmærksom på, at der gælder andre regler. Fx må følsomme personoplysninger må ikke opbevares i endelig form i AU's mail- og kalendersystem (Outlook), da det ikke er beregnet til at opbevare denne type oplysninger. 

Opbevaring af primære oplysninger (følsomme personoplysninger)

Ifølge AU's Ansvarlig forskningspraksis SKAL du opbevare primære oplysninger (og hermed de følsomme personoplysninger) i minimum 5 år efter projektets ”afslutning” (dvs. i praksis i minimum 5 år efter den seneste offentliggørelses af nye resultater fra et givent datasæt).

I den forbindelse forpligter AU sig desuden til at stille servere, arkiver og lignende til rådighed. 

 

Projektbeskrivelser som indeholder navn og stillingsbetegnelse på samarbejdspartnere.

Du må opbevare personoplysninger, så længe det er nødvendigt for det formål, de er indsamlet til. Dvs. at du kan opbevare projektbeskrivelsen, så længe du arbejder med den eller med det efterfølgende bevilgede projekt. Derefter skal den slettes. Hvis projektet ikke bevilges, og du ønsker at opbevare projektbeskrivelsen til senere ansøgninger, skal du anonymisere den, så den ikke indeholder personoplysninger. Hvis der er følsomme personoplysninger, gælder andre regler for opbevaring (opbevaring i max. 30 dage).

---

Artikler og rapporter, der indeholder navn, mail, stillingsbetegnelse, tlf. nr. osv. 

Drejer det sig om offentliggjorte artikler og rapporter, må du gerne opbevare dem. Er artiklerne og rapporterne endnu ikke offentliggjort, afhænger det af, hvad formålet med at opbevare dem er.  

---

 

Endelige kontrakter på forsknings- og rådgivningsprojekter

Du skal sende endelige kontrakter på forsknings- og rådgivningsprojekter til tto@au.dk (Technology Transfer Office ved AU Forskning og Eksterne Relationer).