Personvernerklæring

Stiftelsen Handelshøyskolen BI er behandlingsansvarlig for personopplysninger som samles inn og behandles ved BI (ref GDPR art. 4, nr 7). Rektor er overordnet behandlingsansvarlig, men har delegert dette til ledere ved BI.

All behandling av personopplysninger skal ha et spesifikt formål som er saklig begrunnet i BIs virksomhet (ref GDPR art. 5, nr. 1 b). Innhenting av personopplysninger begrenses til det som er nødvendig for å oppfylle formålet med behandlingen. Personopplysninger som er samlet inn til ett konkret formål kan ikke senere brukes til et annet formål. Det vil da måtte gjøres en ny vurdering av hvorvidt det finnes et behandlingsgrunnlag for det nye formålet.

Overordnet er de viktigste formålene for behandlingsaktiviteter på BI:

• Behandle søknader om studieplass
• Studieadministrasjon; gjennomføring av din deltagelse på kurs og studier
• Gjennomføring av arrangementer og aktiviteter
• Sikre god kommunikasjon og saksbehandling ved henvendelser til BI
• Muliggjøre målrettet veiledning og tilpasset undervisning for å bidra til læring og studieprogresjon
• Markedsføre kurs og studier, med relevant informasjon og veiledning til interessenter
• Styrke gjensidig relasjon mellom BI og alumni

Før behandling av personopplysninger kan starte, må det foreligge et såkalt behandlingsgrunnlag (ref GDPR art 6, nr 1). De relevante behandlingsgrunnlagene ved BI er:

Samtykke: Markedsføring av kurs og studier gjøres dersom du har samtykket til behandling. Dette samtykket kan trekkes tilbake eller endres på din profilside, som lenkes til i e-poster sendt fra BI. Du gir også samtykke til behandling ved å melde deg på arrangementer og studieveiledninger, men da gjelder samtykket kun spesifikt for den ene anledningen.

Oppfylle en avtale: For studieadministrative formål er behandlingsgrunnlaget at vi skal oppfylle en avtale, nemlig studiekontrakten mellom BI og studenten.

Oppfylle en rettslig forpliktelse: Eksempler på dette er kontroll og rapportering til offentlig myndigheter som politi, NAV, Database for statistikk for høyere utdanning (DBH) ulike tilsynsmyndigheter eller meldeplikt til Norsk Senter for Forskningsdata (NSD).

Allmennhetens interesse: Eksempler på dette er strømming og opptak av forelesninger, i samsvar med universitets- og høyskoleloven.

Berettiget interesse: I noen tilfeller behandles personopplysninger fordi BI har en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Eksempler på dette er:

• Henvendelser fra studenter lagres over noe tid fordi informasjonen kan være relevant ved senere kontakt.
• Analyseformål, for å kunne gi studenter målrettet oppfølging for å bedre studieprogresjon.
• Utsendelse av relevant informasjon som oppfølging i etterkant av deltagelse på arrangementer ved BI.
• Alumnirelasjoner: Personopplysninger behandles for en rekke gjensidige formål som styrker relasjonen mellom alumni og BI. Dette er med på å styrke vår utdanning, forskning og omdømme, og legger til rette for at alumni kan være engasjert i BI ved å dele kompetanse og erfaringer. Kontakten med BI kan bidra til å styrke karriere og faglig utvikling, og samarbeidet skal være bærekraftig og basert på gjensidig nytte.

BI registrerer og behandler personopplysninger for våre søkere, studenter og alumni, i tillegg interessenter som tar kontakt gjennom våre digitale kanaler for å få veiledning om kurs og studier. Under følger oversikt over de ulike typene personopplysninger som behandles ved BI.

Alminnelige personopplysninger
Eksempler på dette er navn, kontaktinformasjon, statsborgerskap, fødselsdato, e-post og arbeidsgiver.

Særlige kategorier av personopplysninger
For studenter er det i noen tilfeller nødvendig å behandle sensitive personopplysninger, som helseforhold (f.eks. sykmeldinger ved eksamen), økonomiske forhold (f.eks. misligholdt faktura), advarsler og klager. Tilgangen til slike opplysninger er begrenset til kun relevante saksbehandlere. (ref GDPR art. 9)

Dokumentasjon til søknader
Når du søker studieplass ved BI, lagrer vi din dokumentasjon på tidligere utdanning og kompetanse. For søknader til videreutdanning lagrer vi også arbeidsgiverinformasjon når det er aktuelt.

Informasjon om din utdanning
For studenter ved BI behandles data som er nødvendige for å gjennomføre utdanningen, f.eks. gjennomførte og nåværende kurs, eksamensresultater, arbeidskrav, oppnådde studiepoeng osv. I forbindelse med analyser for å gi våre bachelorstudenter målrettet oppfølging relatert til studieprogresjon, behandler vi også opplysninger om resultater fra videregående skole og studentenes aktivitet på elektroniske læringsmedier (itslearning).

Saksbehandling og kommunikasjon
Når du henvender deg til BI med ulike forespørsler om f.eks. studieveiledning eller saker relatert til dine studier eller søknader, lagres henvendelsen og saksbehandling knyttet til denne.

Påmeldinger og bestillinger
Når du melder deg på et arrangement eller bestiller noe fra oss, for eksempel studieveiledning eller informasjon om når man kan søke på spesifikke studier, lagres disse aktivitetene.

Samtykker og preferanser
Vi lagrer samtykker, favoritter og faginteresser du har gitt BI for å motta relevant kommunikasjon. Du kan til enhver tid endre dine samtykker og andre innstillinger på din profilside. Profilsiden din finner du som lenke i e-poster du mottar fra BI.

Informasjon fra markedsaktiviteter
BI har ulike markedsaktiviteter for potensielle søkere til BI. Informasjon du oppgir ved å delta i slike aktiviteter blir registrert og kan brukes i kommunikasjon til deg om kurs og studier, dersom du har gitt oss samtykke til det.

Digital informasjon
Når du besøker bi.no lagrer vi IP-adresse, hvilke sider du besøker, og om du bruker mobil, PC eller nettbrett. Legger du inn en søknad om studieplass, lagrer vi endringer i søknaden som blir gjort ved hver innlogging. Her kan du lese mer om hvilke cookies som benyttes på BIs nettsider.

Den mest omfattende bruken av personopplysninger gjelder studiegjennomføring, søknadsbehandling og markedsføring av kurs og studier.

Markedsføring av kurs og studier
Vi bruker data vi har lagret om deg til å tilpasse innhold og sikre at vi gir deg korrekt og relevant informasjon, gitt at du har samtykket til dette. Vi benytter generell kontaktinformasjon og interesser du har oppgitt, så som campus, fag, favoritter eller studienivå. Vi bruker også tidligere informasjon fra studiehistorikk, studievalgverktøy og aktivitet på våre nettsider til dette formålet.

Et eksempel på markedsaktivitet er Studieomaten. Ved å benytte denne nettbaserte tjenesten, samtykker du til at BI registrerer dine personopplysninger og svar, samt kommuniserer med deg i tilknytning til dette. Svarene dine blir anonymisert, mens dine personlige resultater gjøres tilgjengelig for deg via en unik nettside. Alle data slettes etter 12 måneder.

Behandle søknader til studieplass
BI behandler personopplysninger for å kunne vurdere din søknad på studier og kurs. Ved behov kan BI i tillegg verifisere informasjon fra relevante eksterne kilder, som for eksempel Nasjonal Vitnemålsdatabase (NVB), Folkeregisteret, NAV, arbeidsgivere og andre utdanningsinstitusjoner.

Studieadministrative formål
BI behandler nødvendige opplysninger for gjennomføringen av ditt studieforhold, og har lovpålagte oppgaver og plikter overfor deg som student. Eksempler på dette er opprettelse av timeplan, oppmelding til eksamen, utveksling, innvilge forlengelse og permisjoner, dokumentere utdanningsresultater, utskriving av vitnemål og karakterutskrifter og lignende. Når du er student, kommuniserer vi med deg via Studentportalen og e-post. BI sammenstiller informasjon om din utdanning, erfaring og faglige interesseområder for å gi deg råd og veiledning i hvordan du best kan gjennomføre studiene og bygge kompetanse for å oppnå en grad eller nå dine karrieremål.

Følge opp bestillinger
Vi bruker også personopplysninger til å følge opp dine forespørsler om for eksempel bestilling av studieveiledning, påmelding til et informasjonsmøte eller annet arrangement.

Tilpasse innhold på nettsider
Det benyttes informasjonskapsler (cookies) for analyse- og statistikkformål når du besøker nettsidene til BI, for blant annet å forbedre nettstedet og for å kunne gi deg tilpasset innhold. Dersom du ønsker å reservere deg mot dette kan du enkelt gjøre det i informasjonskapselbanneret (cookiebanner) som vises når du besøker vår nettside.

Analyseformål
BI behandler i noen tilfeller persondata for analyseformål. 

Ett eksempel er analyser for å kunne gi studenter målrettet og personalisert oppfølging relatert til deres læring og studieprogresjon mens de er studenter ved BI. Persondata som behandles til dette formålet er kontaktinformasjon, demografiske data, aktivitet på BIs læringssystemer, oppnåelse av arbeidskrav og faglige resultater fra tidligere og pågående utdanning. Målgruppene utarbeides ved bruk av enkle seleksjonskriterier, statistikk og mer avansert prediktiv analyse. Det er mulig å reservere seg mot dette, se punkt 6.

Vi benytter også persondata fra interessenter og eksisterende studenter for segmentering og profilering i markedsføring av våre kurs og studier. Formålet er å kunne tilby innhold som er mer målrettet og oppleves som relevant for våre interessenter.

Kommunikasjon med alumni
BI Alumni er et medlemsnettverk for tidligere studenter, som har til formål å styrke og opprettholde relasjonen til BI. Medlemmer mottar både generell informasjon om medlemstilbudet og relevante videreutdanningstilbud, samt tilpasset informasjon, f.eks. invitasjoner til faglige og sosiale arrangementer, nyhetsbrev med forskningsnytt og oppdateringer fra BI, invitasjoner til deltakelse i nettverksgrupper. Alumni kan også få forespørsler om samarbeid, for eksempel deltakelse på seminarer, mentorordninger og til styrer, råd og utvalg. Medlemskap i alumninettverket er basert på samtykke, som du når som helst kan trekke tilbake.

BI benytter ekstern leverandør for sin alumniportal. Personopplysninger lagres i database hos denne leverandøren, som vi har en databehandleravtale med, og som også er dekket av denne personvernerklæringen.

Behandlingen av personopplysninger skal utgjøre så lite inngrep som mulig for deg, ut ifra det som er praktisk, teknisk og økonomisk mulig. Som registrert har du derfor viktige rettigheter som skal ivaretas.

Rett til informasjon
All informasjon du trenger å vite om BIs behandling av personopplysninger skal inngå i personvernerklæringen.

Rett til innsyn
Du har rett til å få vite hvilke personopplysninger BI behandler om deg. Dersom du ber om innsyn får du kopi av dine personopplysninger, til hvilke formål de er benyttet og om opplysningene er blitt gitt videre og til hvem. Dersom det av hensyn til vern av andre personer eller avdekking av brudd på lover og regler, kan BI i enkelte tilfeller ikke gi deg innsyn. Skjema for innsynsbegjæring (pdf)

Rett til korrigering
Hvis du oppdager at BI har registrert uriktige, utdaterte eller ufullstendige opplysninger om deg, har du rett til å få disse rettet eller oppdatert. Hvis retting av feil gjelder opplysninger som er sendt inn av andre, må henvendelser om feil rettes til kilden.

Rett til sletting
Du har rett til å kreve at vi sletter personopplysninger om deg. Dersom du ønsker å få slettet dine personopplysninger, ber vi deg om å ta kontakt med info@bi.no. Lovverket gir BI anledning til å gjøre unntak fra retten til sletting. For eksempel vil dette være tilfelle når vi behandler personopplysningene for å oppfylle en lovpålagt oppgave, eller for å ivareta viktige samfunnsinteresser som arkivering, forskning og statistikk.

Rett til innsigelse
Du har rett til å reservere deg eller protestere mot behandling av dine personopplysninger under visse vilkår, dersom behandlingen er basert på berettiget eller allmenn interesse, eller utøvelse av offentlig myndighet. Eksempel er behandling som innebærer markedsføring, profilering eller dersom det skjer med tanke på vitenskapelig/historisk forskning eller statistikk.

Rett til begrensning
I enkelte tilfeller kan du ha rett til å kreve at behandlingen av dine personopplysninger blir begrenset. Begrenset behandling vil si at personopplysningene fortsatt blir lagret, men at de ikke kan brukes til noe.

Rett til å klage over behandlingen
Dersom du mener BI ikke har behandlet personopplysningene på en korrekt og lovlig måte, eller at vi ikke har klart å oppfylle dine rettigheter, har du mulighet til å klage over behandlingen. Du kan i så fall henvende deg til personvernombud@bi.no. Personvernombudet skal ivareta personverninteressene til både interessenter, studenter og ansatte ved BI. Dersom vi ikke tar klagen din til følge, har du mulighet til å fremme klagen for Datatilsynet. Datatilsynet er ansvarlig for å kontrollere at norske virksomheter overholder bestemmelsene i personopplysningsloven og personvernforordningen ved behandling av personopplysninger.

Primært behandler BI personopplysninger du selv har oppgitt, gjennom henvendelser til BI, søknader, påmelding til arrangementer og nyhetsbrev, samt søk og andre handlinger på våre nettsider, som bestilling av ulike tjenester.

For presentasjon av BI til potensielle nye studenter, samarbeider BI med eksterne partnere som arrangerer utdanningsmesser og konferanser. Disse kan dele deltakerlister med oss, etter samtykke fra deltakerne. BI vil da følge opp med relevant informasjon om studietilbudet, og man kan når som helst trekke tilbake samtykket til dette.

Vedtak om utestenging på grunn av falske vitnemål, forstyrrende atferd, grove brudd på taushetsplikt, fusk og manglende skikkethet blir registrert i Register for utestengte studenter (RUST), som forvaltes av Direktoratet for IKT og fellestjenester i høyere utdanning og forskning (UNIT). Gjennom RUST mottar BI på en sikker måte informasjon om sanksjoner som gjelder våre søkere eller studenter. Se flere detaljer om dette i personvernerklæring for RUST.

I noen tilfeller deler BI personopplysninger med andre aktører, der dette er nødvendig og det foreligger et gyldig rettslig grunnlag. Dette gjelder opplysninger til (ikke uttømmende liste):

• Offentlige myndigheter som NOKUT, NAV, Statens lånekasse for utdanning, Utlendingsdirektoratet (UDI), Statistisk sentralbyrå (SSB), Database for høyere utdanning (DBH), Sikt, politi- og skattemyndigheter, Direktoratet for Internasjonalisering og Kvalitetsutvikling i høyere Utdanning (DIKU).
• Digitale læringssystemer som BI benytter i undervisningen.
• Akkrediteringsinstitusjoner som NOKUT, AACSB, EQUIS og AMBA.
• BIs klagenemnd, ved klagesaker og fuskesaker.
• BI Studentorganisasjon (BISO) og studentsamskipnadene i Bergen, Oslo, Stavanger og Trondheim.
• Andre utdanningsinstitusjoner.

BI utleverer nødvendige personopplysninger om utvekslingsstudenter til partnerinstitusjoner. BI ivaretar kravene til europeisk personvernsikkerhet, og i de tilfeller partnere befinner seg utenfor EU/EØS-området foreligger det nødvendige garantier før overføringen finner sted.

BI oppbevarer opplysninger så lenge det er nødvendig, og i samsvar med regelverket. Opplysninger vil slettes når behovet faller bort, med mindre vi har en lovpålagt plikt til å oppbevare dem etter annet regelverk, for eksempel arkivloven, bokføringsloven eller universitets- og høyskoleloven.

Personopplysninger bevares en viss tid for at BI skal kunne følge opp de som kontakter oss på en helhetlig måte. Etter denne tiden ansees formålet som oppnådd, og opplysningene slettes automatisk som følger:

• Henvendelser til BI: Lagres i 3 år, eller så lenge den registrerte er aktiv student ved BI.
• Deltagelse på events ved BI: Lagres i 3 år, eller så lenge den registrerte er aktiv student ved BI.
• Samtykker til markedsføring har en varighet på 5 år. Hvis du ikke har fornyet samtykket innen den tid, opphører det.

Har du ikke vært student ved BI, slettes alle dine personopplysninger når det ikke lenger finnes henvendelser eller samtykker knyttet til deg.

Forskningsprosjekter på BI har egne fastsatte formål, og hvilke personopplysninger som samles inn vurderes ut fra nødvendigheten for å oppfylle dette. Informasjon om respondenter som er samlet inn til ett formål kan ikke brukes til andre formål uten at man samtykker til dette.

Personopplysningene behandles i henhold til GDPR artikkel 5, 6, 9 og 89. Personopplysningsloven gir adgang til behandling av personopplysninger for forskningsformål, under forutsetning at personvernet til deltakerne er ivaretatt, at personvernkonsekvenser er vurdert og det er rådført med personvernombud der nødvendig. BI har avtale med Norsk senter for forskningsdata (NSD) for rådgivning om personvernspørsmål i forskning.

Personopplysningene kan være direkte eller indirekte identifiserende og i mange tilfeller avidentifiserte. Det skilles på graden av gjenkjennelse som personopplysningene har. Avidentifiserte opplysninger er personopplysninger der navn, fødselsnummer og andre direkte personentydige kjennetegn er fjernet og erstattet av et nummer eller kode, slik at opplysningene ikke direkte kan knyttes til en enkeltperson. Dersom det finnes en koblingsnøkkel som kan reidentifisere personen, er det å anse som personopplysninger og faller innenfor personvernordningen.

Anonyme opplysninger er opplysninger som ikke kan knyttes til en enkeltperson. Dette regnes derfor ikke som personopplysninger.

BIs policy er at alle forskningsprosjekter som behandler personopplysninger skal vurderes av NSD. Forsker kan innhente personopplysningene gjennom flere metoder blant annet i form av spørreundersøkelser, intervjuer, observasjoner, video- og lydopptak o.l. hvor forskningsdeltaker er tilstede. Forsker kan også innhente tillatelse av annen virksomhet til å få utlevert personopplysninger i sin forskning som denne virksomhet har samlet inn. BI kan også gi tillatelse til at det overføres personopplysninger mellom forskningsinstitusjoner. Det må da foreligge tilstrekkelig garantier for at vilkårene i personvernforordningen oppfylles.

I forskning er det primært samtykke som benyttes som rettslig grunnlag. Samtykket kan trekkes tilbake på hvilket som helst tidspunkt under gjennomføringen av forskningsprosjektet.

Personopplysninger skal normalt ikke lagres lengre enn det som er nødvendig for å få gjennomført forskningen. Kreves samtykke og personopplysningene skal oppbevares lengre enn opprinnelig samtykke gir rett til, skal det innhentes nytt samtykke eller det må søkes om dispensasjon. Personopplysninger skal normalt slettes eller anonymiseres ved prosjektavslutning.

Dersom du er forskningsdeltaker, har du rett på innsyn, retting og sletting. Det er enkelte begrensninger i de registrertes rettigheter når opplysninger benyttes til forskning, jf. personopplysningsloven § 17.

Dersom du som student skal skrive en oppgave der det er hensiktsmessig å benytte personopplysninger, har du et ansvar for å sette deg inn i BIs retningslinjer. Du finner all informasjon du trenger om dette på studentportalen.

Personopplysninger på BI er sikret med flere tiltak. BI utfører regelmessig risiko- og sårbarhetsanalyser, og tester sikkerheten for å sikre dine personopplysninger.

Ansatte som behandler dine personopplysninger er underlagt taushetsplikt, og dette gjelder også ansatte hos underleverandører.

BI behandler personopplysninger for å ha kontroll over hvem som har tilgang til bygget. Dette gjøres ved at studenter, ansatte og øvrige registreres og fotograferes når de får adgangskort. Det lagres navn, brukernavn, fødselsdato og eventuelt brukernummer for biblioteket. I tillegg lagres noen tekniske opplysninger, for eksempel hvilke tilganger som er gitt for kortet. Personopplysningene hentes fra studieadministrativt brukersystem eller personal- og økonomisystem.

Utenfor arbeidstid må kortbrukere taste PIN-kode. Hvilket kort som brukes på hvilken kortterminal og klokkeslett for passeringen logges når det brukes PIN-kode. Informasjonen lagres i BIs adgangskontrollsystemer. Loggen slettes etter 90 dager. Brukere deaktiveres når de ikke lenger skal ha adgangskort. Personopplysninger som navn og fødselsdato slettes ikke for studenter da de kan ta nye kurs og ansatte kommer ofte tilbake etter ulike perioder hvor de ikke jobber ved BI. Dersom en bruker ikke har hatt adgangskort på 1 år slettes personopplysninger relatert til adgang.

BI har plassert kameraer som overvåker uteområder og inngangsparti innvendig og utvendig. Kameraene filmer kontinuerlig og opptakene lagres i 7 dager før de slettes.

Brukere deaktiveres når de ikke lenger skal ha adgangskort. Dersom en bruker ikke har hatt adgangskort på 1 år slettes personopplysninger relatert til adgang.

Dersom du har spørsmål om personvern eller ønsker å benytte deg av dine rettigheter, kontakt info@bi.no. BI vil behandle din henvendelse uten ugrunnet opphold, og senest innen 30 dager. Dersom særlige forhold gjør det umulig for BI å gi et fyllestgjørende svar innen fristen, vil du motta et foreløpig svar med opplysninger om årsaken til forsinkelsen og tidspunktet du kan vente svar.