Stiftelsen Dam
Logg inn Damnett

Personvernerklæring: Damnett

1. Behandlingsansvarlig

Damnett er Stiftelsen Dams system for søknadsbehandling og prosjektoppfølging.

Stiftelsen Dam, Stortingsgata 28, 0161 Oslo, er behandlingsansvarlig for personopplysninger som behandles i Damnett.

Machina AS, Bryggen 9, 5003 Bergen, er databehandler og leverandør av Damnett. Det er inngått databehandleravtale mellom partene.

RAD (rad.dam.no) er Stiftelsen Dams egenutviklede web-applikasjon for analyse, kvalitetssikring og rapportering basert på data fra Damnett. RAD driftes på Microsoft Azure (Microsoft Ireland Operations Ltd. som databehandler for hosting og databaser i datasenteret «Norway East»). For AI-baserte analyser brukes Microsoft Azure OpenAI Service (samme databehandler). Stiftelsen Dam har inngått databehandleravtaler med Microsoft som dekker disse tjenestene.

2. Formål med behandlingen

Stiftelsen Dam behandler personopplysninger for å:

  • administrere og behandle prosjektsøknader
  • følge opp innvilgede prosjekter
  • sikre kvalitet, likebehandling og forsvarlig forvaltning av midler
  • føre statistikk og rapportere om bruken av midler
  • gjennomføre analyser og forskning knyttet til søknadsbehandling og prosjektoppfølging

Viderebehandling til analyse- og forskningsformål anses forenlig med de opprinnelige formålene, jf. personvernforordningen artikkel 5 nr. 1 bokstav b og artikkel 89.

3. Hvilke personopplysninger vi behandler

3.1 Strukturerte opplysninger

Gjennom Damnett behandles forhåndsdefinerte personopplysninger, herunder:

  • navn
  • e-postadresse
  • mobilnummer
  • fødselsår
  • kjønn
  • arbeidssted og organisasjonstilknytning
  • stilling, utdanning, erfaring og kompetanse

Disse opplysningene registreres ved brukeropprettelse.

3.2 Ustrukturerte opplysninger

Det kan også behandles personopplysninger i:

  • fritekstfelt i søknader og rapporter
  • opplastede vedlegg, som CV
  • meldinger og annen kommunikasjon mellom prosjektmedarbeidere og administrasjonen i Stiftelsen Dam

Vi samler ikke inn personopplysninger av såkalt «særlige kategorier av personopplysninger» (som for eksempel helseopplysninger), men i ulike fritekstfelt kan brukere kan selv noen ganger dele slik informasjon uten at det etterspørres. 

Vi ber brukere om ikke å dele flere personopplysninger enn nødvendig, og om å ikke å dele opplysninger i de særskilte kategoriene (som for eksempel helseinformasjon) dersom dette ikke er påkrevd for formålet.

4. Behandlingsgrunnlag

4.1 Oppfyllelse av avtale

Behandlingen av opplysninger som er nødvendige for å opprette bruker, administrere søknader og følge opp prosjekter skjer med grunnlag i personvernforordningen artikkel 6 nr. 1 bokstav b, nødvendig for å oppfylle en avtale.

4.2 Legitime interesser

Behandling av opplysninger for kvalitetssikring, dokumentasjon, analyse og forbedring av søknadsprosesser skjer med grunnlag i artikkel 6 nr. 1 bokstav f, nødvendig for å ivareta legitime interesser.

Stiftelsen Dam har en berettiget interesse i å sikre forsvarlig forvaltning av midler, kvalitet i beslutningsprosesser og å kunne dokumentere og evaluere egen virksomhet.

4.3 Oppgave i allmennhetens interesse og forskning

Behandling av personopplysninger til analyse- og forskningsformål skjer med grunnlag i artikkel 6 nr. 1 bokstav e, nødvendig for å utføre en oppgave i allmennhetens interesse.

Stiftelsen Dam forvalter offentlige midler og har et samfunnsansvar for å bidra til kunnskap om søknadsbehandling, beslutningsprosesser og prosjektgjennomføring.

Dersom behandlingen omfatter særlige kategorier personopplysninger, vil dette kun skje dersom vilkårene i artikkel 9 nr. 2 er oppfylt, typisk bokstav j om behandling for forskningsformål, og underlagt nødvendige tekniske og organisatoriske tiltak i samsvar med artikkel 89.

5. Analyse, anonymisering og deling

Stiftelsen Dam gjennomfører analyser og databehandling som ledd i intern kvalitetssikring, rapportering og forskning. Disse analysene gjennomføres og presenteres i stiftelsens egenutviklede web-applikasjon, RAD (rad.dam.no). 

Analysene innebærer blant annet å se etter bias i søknadsbehandlingen, hvilke prosjekter som står i fare for ikke å bli gjennomført og hvilke eksperter som passer best til en gitt søknad. 

Analysene gjennomføres delvis med statistiske og maskinlæringsbaserte metoder som kjøres lokalt i RAD (uten at data sendes ut), og delvis med skybaserte språkmodeller. Stiftelsen Dam bruker Microsoft Azure OpenAI Service. Søknadstekst, fagutvalgskommentarer og tekst fra framdriftsrapporter og sluttrapporter kan bli sendt til denne tjenesten for sammendrag, oversettelse, kategorisering og evaluering. Microsoft har bekreftet at data sendt til Azure OpenAI ikke brukes til å trene modellene, og dataene ligger i norske eller europeisk datasentre.

Når RAD utvikles videre, bruker stiftelsen også språkmodeller (for eksempel Claude og GPT) som utviklingsverktøy. Disse kan i enkelte utviklings- og feilsøkingssituasjoner få tilgang til personopplysninger som ledd i kvalitetssikringen. Også for disse er det avtalt at data ikke brukes i modelltrening.

Der det er mulig, anonymiseres opplysninger slik at enkeltpersoner ikke lenger kan identifiseres. Anonymiserte opplysninger faller utenfor personvernregelverket.

Dersom anonymisering ikke er mulig uten at formålet forringes, kan avidentifiserte opplysninger behandles eller deles. Slike opplysninger regnes fortsatt som personopplysninger og behandles i samsvar med gjeldende regelverk.

Ved deling av avidentifiserte opplysninger med eksterne forskningsmiljøer vil:

  • nødvendighet og forholdsmessighet vurderes konkret
  • behandlingsgrunnlag dokumenteres
  • stiftelsens personvernombud involveres
  • egnede sikringstiltak etableres

6. Tilgang til opplysningene

Tilgang til personopplysninger gis kun der det er nødvendig for å utføre arbeidsoppgaver.

Følgende kan ha tilgang:

  • administrasjonen i Stiftelsen Dam
  • fagutvalgsmedlemmer som vurderer prosjektsøknader
  • medlemmer i stiftelsens kontrollutvalg
  • styremedlemmer ved behandling av tildelinger

Navn og e-postadresse til prosjektledere og forskere knyttet til innvilgede prosjekter publiseres i prosjektbiblioteket på dam.no.

7. Lagring og sletting

Personopplysninger lagres så lenge det er nødvendig for formålene de ble samlet inn for, herunder:

  • administrasjon av søknader og prosjekter
  • dokumentasjon og rapportering
  • kvalitetssikring, analyse og forskning

Opplysninger kan lagres også etter at prosjektet er avsluttet, dersom dette er nødvendig for å oppfylle rettslige forpliktelser eller samfunnsoppdraget.

8. Personvernkonsekvensvurdering

Ved behandlingsaktiviteter som kan innebære høy risiko for personvernet, vil Stiftelsen Dam gjennomføre vurdering av personvernkonsekvenser i samsvar med personvernforordningen artikkel 35.

9. Dine rettigheter

Du har rett til:

  • innsyn i hvilke personopplysninger vi behandler om deg
  • retting av uriktige opplysninger
  • sletting der vilkårene er oppfylt
  • begrensning av behandling
  • å protestere mot behandling der behandlingsgrunnlaget er artikkel 6 nr. 1 bokstav f
  • å klage til Datatilsynet

For innsyn eller andre henvendelser, kontakt post@dam.no.

Få nyheter fra Stiftelsen Dam direkte på epost

Vi sender vanligvis ut nyhetsbrev én til to ganger i måneden

Personvernerklæring: Damnett