Personvernombudet skal bidra til at MF ivaretar personverninteressene til ansatte, studenter, gjester, informanter i forskningsprosjekter og andre som MF behandler personopplysninger til.

Personvernombudet er kontaktpunkt for enkeltpersoner som har spørsmål om MFs behandling av deres personopplysninger, og om hvordan de kan få oppfylt sine rettigheter etter personvernregelverket.

Personvernombudet har en uavhengig stilling i sitt arbeid. Det vil si at ombudet ikke er underlagt MFs instruksjonsmyndighet når hen utfører sin rolle som ombud.

Oppgavene til personvernombudet er å:

• bistå MF med informasjon og råd ved MFs behandling av personopplysninger, kontrollere overholdelsen av personvernlovgivningen og påpeke eventuelle brudd på regelverket dersom dette oppdages
• bistå enkeltpersoner som er registrert med personopplysninger hos MF, med å ivareta sine rettigheter
• samarbeide med og fungere som et kontaktpunkt for Datatilsynet
• på anmodning gi råd om vurdering av personvernkonsekvenser og kontrollere gjennomføringen av den

Personopplysninger er alle opplysninger og vurderinger som kan knyttes til en enkeltperson. Typiske personopplysninger er navn, adresse, telefonnummer, e-postadresse og fødselsnummer.

Med avvik menes her brudd på personopplysningssikkerheten til personopplysningene eller MFs interne rutiner for behandling av personopplysninger.

Brudd på personopplysningssikkerheten er brudd «som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet».

• Forsendelsesfeil:Brev eller e-post som inneholder personopplysninger, er sendt til feil mottakere, utsendelse av nyhetsbrev hvor e-postadressene til alle mottakerne er synlige, og forsendelser til riktige mottakere, men hvor forsendelsen ved en feil inneholder beskyttelsesverdige personopplysninger om andre personer.
• Kastede dokumenter som skulle vært makulert
• Mistet, gjenglemt eller frastjålet papirdokument og minnepinne med personopplysninger, datamaskin, nettbrett, telefon e.l.
• Utilsiktet publisering av personopplysninger

Direktør for organisasjon og virksomhetsstyring og IT-ansvarlig vil motta meldingen, og det vil iverksettes aktuelle tiltak for å rette opp feilen. MF vil også vurdere om bruddet skalmeldes videre til Datatilsynet.

Datatilsynet skal varsles innen 72 timer «med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter». Ifølge Datatilsynet er hovedregelen at brudd på personopplysningssikkerheten skal meldes til tilsynet, og at «den behandlingsansvarlige må være tilnærmet helt sikker på at bruddet ikke vil medføre eller har medført noen risiko for de berørte for at unntaket skal være oppfylt». 

MF er behandlingsansvarlig for personopplysningene som behandles ved MF, og det er derfor MF som skal vurdere denne risikoen.

Hvis det er sannsynlig at bruddet vil medføre en høy risiko for dem som er berørt av bruddet (de berørtes «rettigheter og friheter»), vil MF også sørge for atde berørte blir underrettet så snart som mulig.