Personvernerklæring for Nasjonal sikkerhetsmyndighet
Personopplysninger er opplysninger som kan kobles til deg som person. Det kan være navn og kontaktopplysninger, men også mye annen informasjon som kan knyttes til deg mer indirekte. For Nasjonal sikkerhetsmyndighet (NSM) er det viktig at du vet hva slags personopplysninger vi behandler, slik at du kan ivareta dine rettigheter etter personvernlovgivningen.
Behandlingsansvar
NSM er behandlingsansvarlig for all behandling av personopplysninger der vi selv bestemmer formålet med behandlingen av opplysningene og de virkemidlene vi benytter til dette. I denne personvernerklæringen kan du lese mer om behandlingene NSM er ansvarlig for.
Dersom du har spørsmål om denne personvernerklæringen eller vurderingene vi har gjort, kan du kontakte oss på [email protected].
Kontakt NSMs eget personvernombud
NSM har utnevnt et eget personvernombud som du kan kontakte dersom du har spørsmål til hvordan NSM behandler personopplysninger om deg, eller du trenger hjelp til å utøve dine rettigheter overfor NSM. Personvernombudet har taushetsplikt. Personvernombudet kan kontaktes på [email protected].
Når samler NSM inn personopplysninger?
Vi behandler i hovedsak opplysninger om deg i følgende tilfeller:
- Du har sendt oss en henvendelse
- Du har bedt om innsyn etter offentlighetsloven
- Du har meldt deg på et arrangement eller et av våre kurs
- Du er i en klareringsprosess eller er allerede klarert
- Du abonnerer på vår mediebrief eller våre andre nyhetsbrev
- Du har søkt jobb hos oss
- Du er journalist og har tatt kontakt for en uttalelse
- Du er deltager i en undersøkelse vi gjennomfører
- Du besøker våre hjemmesider www.nsm.no, eller www.sertit.no
- Du arbeider eller kommuniserer med en virksomhet som er tilknyttet Varslingssystem for digital infrastruktur (VDI) eller en virksomhet NSM bistår i håndtering av alvorlige digitale angrep
Vi kan også motta opplysninger om deg fra andre i følgende tilfeller:
- Vi har innhentet opplysninger om deg i en klareringssak
- En avviksmelding inneholder opplysninger om deg
- En klage, tips eller veiledningssak inneholder opplysninger om deg
- Opplysninger om deg blir lagret i en tilsynssak
- En jobbsøker har angitt deg som referanse
Besøk på våre nettsider
Informasjonskapsler på nettsiden
Når du besøker NSMs nettsider vil nettleseren din laste ned informasjonskapsler ("cookies"). Dette er små tekstfiler som utveksles mellom din enhet og dette nettstedet og som brukes for å få nettstedet til å fungere best mulig. Nedenfor finner du oversikt over hvilke informasjonskapsler som benyttes.
Som nettbruker kan du velge å avvise lagring og bruk av informasjonskapsler ("cookies"). Vi anbefaler nettsiden nettvett.no for beskrivelse av hvordan du kan akseptere eller avvise informasjonskapsler ("cookies").
Det er CoreTrek AS som leverer publiseringsverktøy til vårt nettsted og som står for teknisk utvikling, drift og vedlikehold. Informasjonskapslene nettstedet vårt benytter seg av er:
- For å få publiseringsløsningen til å fungere: Kapselen CorePublishSession. Kapselen fjernes fra datamaskinen når du lukker nettleseren.
- For å identifisere hvilken type enhet og nettleser du bruker: Kapselen Ctdevicecachekey. Kapselen har en varighet på en uke og gjør det mulig for vår nettside å presentere innhold til riktig type enhet (pc, mobil, nettbrett, etc.)
HTTPS og sikker overføring
Nettstedet vårt dekkes av kryptering med HTTPS. Hvis du vil forsikre deg om at en side er kryptert, vil det i adressefeltet øverst i nettleseren vises en hengelås og/eller stå "https" i stedet for bare "http" foran adressen.
Formålet med kryptering er å sikre en trygg datakommunikasjon mellom server (nettsiden) og klient (din datamaskin). Dette inkluderer et digitalt sertifikat som skal bevise at nettstedet og dets avsender er ekte.
Deling
Vi har lagt inn muligheten for å videresende artikler i epost og dele artikler i sosiale medier. E-post-adresser som brukes til å videresende artikler, logges ikke. Videre håndtering av data som deles i sosiale medier, reguleres av din avtale med det aktuelle nettsamfunnet.
Statistikk og logg
Når du leser våre nettsider vil det bli lagret informasjon i statistikk- og logg-filer.
Systemet lagrer ikke "user agent" eller IP-adresse i statistikkverktøy, men lagrer hvilken side den besøkende har besøkt i en rådata-tabell. Denne informasjonen blir i neste omgang benyttet til å generere statistikk for antall sidevisninger pr objekt (menypunkt, artikkel, fil), pr host og per søkeord. Alle data i rådatatabellen blir slettet etter 2 dager, og den gjenværende statistikken inneholder deretter bare oppsummerte data som ikke kan brukes til å identifisere hver enkelt bruker.
Når du leser våre nettsider vil det bli lagret informasjon i logg-filer. Denne informasjonen inneholder IP-adresse og User Agent (teknisk informasjon om brukerens nettleser). Informasjonen benyttes kun til feilsøking og sikkerhet. Dataene lagres kun på CoreTreks server og slettes normalt etter 4 uker. Kun administratorer av webserveren (drift) har tilgang til dataene.
Behandlingsgrunnlaget for generering av anonym statistikk er personvernforordningen artikkel 6, nr. 1, bokstav f, som tillater oss å behandle opplysninger som er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å forbedre og videreutvikle informasjon på våre nettsider, og tilby innhold som dekker publikums og virksomheters informasjonsbehov.
Tilbakemeldingsfunksjoner
Nederst i noen av artiklene på nsm.no finner du en funksjon der du kan gi tilbakemelding om du fant informasjonen du lette etter, eller ikke. Vi bruker tilbakemeldingene til å forbedre hjemmesiden vår.
Funksjonen brukes ikke til saksbehandling, og vi ber deg derfor om å ikke registrere spørsmål som du ønsker svar på her. Vi ber deg også om å ikke skrive inn opplysninger om deg selv eller andre.
Vi gjennomgår tilbakemeldingene jevnlig. Etter at tilbakemeldingene blir gjennomgått vil de bli slettet.
Behandlingsgrunnlaget for behandling av personopplysninger gjennom tilbakemeldingsfunksjonen er personvernforordningen artikkel 6 nr. 1 bokstav f, som tillater oss å behandle opplysninger som er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Vår berettigede interesse er å tilby innhold som dekker publikums informasjonsbehov.
Lydavspilling
NSM bruker lyddelingstjenesten Soundcloud for avspilling av podcastepisoder via NSMs nettsider. Soundcloud samler inn aggregerte data når du spiller av en lydfil. Dataene brukes til å finne ut hvor mange som spiller av klippene, hvor mange som liker klippene og hvor mange som laster ned et lydklipp.
Saksbehandling, henvendelser og personvernombud
Behandling av personopplysninger i forbindelse med saksbehandling i NSM
Når NSM har saker til behandling, for eksempel gjennom klager eller avviksmeldinger, dersom du har søkt om klarering eller godkjenning, eller fordi vi har iverksatt tilsyn, behandler vi kun personopplysninger for å ivareta våre oppgaver. Vi behandler blant annet kontaktinformasjon eller annen informasjon som er nødvendig for å løse våre oppgaver.
Behandlingsgrunnlaget for denne behandlingen er personvernforordningen artikkel 6, nr.1, bokstav e, som tillater oss å behandle opplysninger som er nødvendig for utøvelse av offentlig myndighet, jf. sikkerhetsloven § 3-5.
Om arkivlovgivningen
Som et offentlig organ har NSM plikt til å føre postjournal etter offentlighetsloven § 10. All korrespondanse i forbindelse med saksbehandling blir journalført. NSM er ikke omfattet av plikten til å tilgjengeliggjøre elektronisk journal på internett, jf. offentlighetsforskriftens § 6 andre ledd. Ved innsynsbegjæringer vil NSM vurdere om det kan gis innsyn i det aktuelle dokumentet.
Etter arkivloven § 6 har NSM, som et offentlig organ, arkivplikt. Det innebærer at bl.a. at saksdokumenter lagres i et arkiv på ubestemt tid. Alle dokumenter som er journalført overføres til Arkivverket i tråd med arkivloven § 10 etter en gitt tid.
Behandlingsgrunnlaget for disse behandlingene er personvernforordningen artikkel 6 nr. 1 bokstav c, altså at behandlingen er nødvendig for å etterleve rettslige forpliktelser. Der det er snakk om særlige kategorier personopplysninger er behandlingsgrunnlaget personvernforordningen artikkel 6 nr. 1 bokstav c, jf. artikkel 9 nr. 2 bokstav g.
Behandling av personopplysninger i klareringssaker
NSM er behandlingsansvarlig for alle personopplysninger om deg i tilfeller du blir klarert hos klareringsmyndigheten i NSM, eller i tilfeller hvor NSM behandler en klagesak som klageinstans for klareringssaker. I samme tilfeller er også NSM behandlingsansvarlig for personopplysninger som behandles om personer som er i nær familie eller som har annen nær tilknytning som kan ha betydning for om en person er sikkerhetsmessig skikket, jf. klareringsforskriften § 5, jf. § 2.
Dette betyr at NSM behandler personopplysninger som er relevant for å vurdere sikkerhetsmessig skikkethet, jf. sikkerhetsloven § 8-4, jf. sikkerhetsloven § 8-5. I denne forbindelse vil den som klareres bli bedt om å oppgi opplysninger opplistet i klareringsforskriften § 6 eller § 7, avhengig av klareringstype.
NSM er ansvarlig for innhenting av kilder i alle klareringssaker, jf. klareringsforskriften § 8 og § 9. NSM videreformidler opplysninger fra kildene til klareringsmyndigheten som behandler klareringssaken din. Konkret hvilke opplysninger som innhentes fra disse registrene er opplysninger av betydning for nasjonale sikkerhetsinteresser og opplysningene er derfor unntatt offentligheten etter offentleglova § 21. De registrerte har av den grunn ikke rett innsyn i disse opplysningene, jf. personopplysningsloven § 16.
NSM kan på forespørsel utlevere opplysninger opplistet i sikkerhetsloven § 8-12 om klarerte personer til PST.
Behandling av personopplysninger i varslingssystemet for digital infrastruktur og den nasjonale responsfunksjonen for alvorlige digitale angrep
NSM er behandlingsansvarlig for alle personopplysninger vi mottar gjennom sensorer i varslingssystemet for digital infrastruktur (VDI), herunder NCSC DNS, og gjennom den nasjonale responsfunksjonen for alvorlige digitale angrep. Dette betyr at det foregår en utlevering av personopplysninger fra en behandlingsansvarlig (virksomheten som er tilknyttet VDI eller som får bistand til hendelseshåndtering) til en annen behandlingsansvarlig (NSM). NSM sitt behandlingsgrunnlag er å utøve offentlig myndighet – altså drift av varslingssystemet for digital infrastruktur og den nasjonale responsfunksjonen for alvorlige digitale angrep, jf. personvernforordningen artikkel 6 nr. 1 bokstav e, jf. sikkerhetsloven § 2-4.
Virksomheten har rett til innsyn i hvordan tekniske komponenter og programvare som benyttes til å overvåke nettverkstrafikk og redusere sårbarhet, er konfigurert. Virksomheten har også rett til innsyn i hvilke data NSM mottar fra virksomheten gjennom VDI og hvordan disse behandles, jf. virksomhetsikkerhetsforskriften § 66
Hvilke personopplysninger NSM behandler i tilknytning til VDI og den nasjonale responsfunksjonen er opplysninger som kan avsløre informasjon om hvilken kapasitet og kapabilitet NSM besitter. Dette er opplysninger som er av betydning for nasjonale sikkerhetsinteresser, og opplysningene er derfor unntatt offentlighet i tråd med offentleglova § 21. De registrerte har av denne grunn ikke rett på informasjon om eller innsyn i opplysninger om seg selv, jf. personopplysningsloven § 16.
Andre behandlinger av personopplysninger
NSM sender ut mediebrief til de som ønsker. Nyhetsbrevet inneholder en daglig oversikt over aktuelle mediesaker innen vårt fagområde og nyheter fra NSM.
For at vi skal kunne sende deg en e-post, må du registrere din e-postadresse. E-postadressen vil bare bli brukt til det formålet. Når du melder deg på nyhetsbrevet, samtykker du til vår behandling av opplysninger om deg. E-postadressen lagres og slettes når du melder deg av nyhetsbrevet.
Behandlingsgrunnlaget for behandling av e-postadressen din i tilknytning til nyhetsbrev er personvernforordningen artikkel 6, nr 1 bokstav a, altså samtykke.
Påmelding til arrangementer
Ved påmelding til arrangementer ber vi om opplysninger slik som navn, ulik kontaktinformasjon og arbeidsted. Formålet med informasjonen er å gi informasjon til deltakerne og administrere arrangementet.
Ved påmelding til Sikkerhetskonferansen ber vi i tillegg om fødselsdato ved påmelding, samt fremvisning av godkjent legitimasjon ved oppmøte. Dette for å kontrollere identiteten til deltakerne på den største samlingen for sikkerhetspersonell i Norge. Deltakerne slettes etter bruk med mindre de har gitt beskjed at de ønsker å motta informasjon om tilsvarende arrangementer ved en annen anledning.
Behandlingsgrunnlaget her er personvernforordningen artikkel 6, nr 1 bokstav f, som tillater oss å behandle opplysninger som er nødvendig for å ivareta en berettiget interesse som veier tyngre enn den enkeltes personvern. Den berettigede interessen er å avvikle arrangementer.
Deltakelse på kurs
NSM tilbyr en rekke kurs innenfor alle våre fagområder. Vi tilbyr både e-læringskurs eller kurs på vårt kurssenter. Påmelding til alle kursene, enten deltakelsen er digital eller fysisk, skjer via vår kursportal.
Munio AS er databehandler og leverer kursportalen, og står for teknisk utvikling, drift og vedlikehold. NSM har inngått databehandleravtale med alle underleverandører slik at også disse er forpliktet til å ivareta personvernet ditt.
Ved påmelding til våre kurs, registrerer hver bruker informasjon om seg selv ved første innlogging.
Personopplysningene som registreres, er:
- Navn
- Epost-adresse
- Organisasjon/virksomhetsnavn
Det er valgfritt å oppgi telefonnummer og fødselsdato.
Disse opplysningene er en forutsetning for at du skal få tilgang til e-læringskursene og læringsplattformen. Det er også en forutsetning for å kunne ta vare på kurshistorikken, slik at du for eksempel kan fortsette på et kurs du har begynt på ved en tidligere pålogging. Det sikrer også tilgang på dokumentasjon/kursmaterialet etter gjennomført kurs.
Kursene faktureres med EHF direkte til arbeidsgiver.
Hva bruker NSM personopplysningene til?
NSM benytter dataene for å tilby Min side med registrering av kurshistorikk og tilgang til kursbevis og kursdokumentasjon for brukerne.
I tillegg benytter vi dataene til informasjon og statistikk om antall brukere på e-læringskursene og klasseromskurs.
Evaluering og kommentarer som brukeren sender inn for å få tilgang til kursbevis, kan ikke spores til den enkelte brukeren, med mindre avsender velger å oppgi eget navn.
Hvem har tilgang til personopplysningene?
NSM er ansvarlig for behandlingen av personopplysningene. Det er kun plattformadministratorer som har tilgang til dataene. Vi produserer rapporter med aggregerte tall på brukere av kurset (eksempelvis antall deltakere og antall brukere per virksomhet).
Hvor lenge lagres personopplysningene?
Historikken blir liggende til brukeren ber om at den slettes. Historikken oppbevares så lenge som nødvendig med formål om å samle statistikk og analyser på aggregert nivå.
Hvordan går du frem for å be om sletting av personopplysninger?
Du kan be om at dine data slettes fra Læringsplattformen ved å velge menyvalget Slett meg på Min side. Eventuelt kan du kontakt NSMs kurssenter eller Munio.
Behandlingsgrunnlaget her er personvernforordningen artikkel 6, nr 1 bokstav f, som tillater oss å behandle opplysninger som er nødvendig for å ivareta en berettiget interesse som veier tyngre enn den enkeltes personvern. Den berettigede interessen er å gjennomføre kurs.
Medieoversikt
NSM fører et register over hvilke journalister vi har vært i kontakt med og hvilken tematikk henvendelsen gjaldt. Formålet med registeret er å koordinere i tilfelle flere personer svarer på en henvendelse samtidig, ha kontaktinformasjon hvis det blir nødvendig med oppfølging samt ha en oversikt over hvilke journalister som kan være interessert i å skrive om hvilke temaer. Journalistenes kontaktdata lagres i fem år.
Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr.1 bokstav f, som tillater oss å behandle opplysninger som er nødvendige for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes interesser eller grunnleggende rettigheter og friheter. Den berettigede interessen er å holde oversikt over hvilke medier NSM er i kontakt med.
Jobbsøkere
Dersom du søker på en jobb i NSM, trenger vi å behandle opplysninger om deg for å vurdere din søknad. Ansettelsesprosessen innebærer behandling av de opplysninger du oppgir til oss gjennom dokumentene du sender oss, blant annet søknad, CV, vitnemål og attester. I tillegg til eventuelle intervju, kan NSM gjennomføre samtaler med jobbsøkerens referanser.
NSM bruker søkeportalen easycruit til å administrere innsendte søknader på våre ledige stillinger.
For å vurdere innsendt dokumentasjon, gjennomføre intervjuer og ringe referanser er behandlingsgrunnlaget personvernforordningen artikkel 6, nr. 1 bokstav b. Denne bestemmelsen tillater oss å behandle personopplysninger når det er nødvendig for å gjennomføre tiltak på jobbsøkers anmodning før en avtale inngås. Ved å søke på stillingen og laste opp dokumenter anser vi at jobbsøkeren ber oss vurdere innsendt dokumentasjon, gjennomføre intervjuer og ringe referanser med sikte på å inngå en arbeidsavtale.
EOS-utvalgets kontroll med NSM
Vi gjør oppmerksom på at Stortingets kontrollutvalg for etterretnings-, overvåkings- og sikkerhetstjenestene (EOS-utvalget) fører kontroll med NSM, denne kontrollen omfatter blant annet behandling av personopplysninger, jf. EOS-kontrolloven § 6 andre ledd. Se https://eos-utvalget.no/
Dine rettigheter
Du kan utøve dine rettigheter ved å sende oss en e-post til [email protected] eller brev til:
Nasjonal sikkerhetsmyndighet
Postboks 814
1306 Sandvika