Medarbeiderundersøkelsen i staten (MUST) og GDPR

På denne siden vil du finne overordnet informasjon knyttet til personvern for gjennomføring av en arbeidsmiljøkartlegging ved bruk av Medarbeiderundersøkelsen i staten (MUST).

Vilkår for bruk av MUST - Statens arbeidsmiljøinsitutt
pdf 166.94 KB
Samtykkeskriv for MUST - Statens arbeidsmiljøinstitutt (Stami)
pdf 171.62 KB

Informasjonen du finner her følger Datatilsynets informasjonsside knyttet til personvern ved gjennomføring av arbeidsmiljøundersøkelser/medarbeiderundersøkelser. Informasjonen under bygger på informasjonsmateriellet som følger med MUST, men er ikke uttømmende.

Ved behov for ytterligere informasjon knyttet til personvern og GDPR for undersøkelsen må enten STAMI eller DFØ kontaktes. For generelle forhold knyttet til personvern og GDPR ved arbeidsmiljøkartlegginger henvises det til Datatilsynet. 

Hva er MUST?

MUST er et kunnskapsbasert, digitalt verktøy for medarbeiderundersøkelser utviklet til bruk i statlige virksomheter. Verktøyet er utviklet av STAMI.

MUST tilbys gratis til virksomhetene i det statlige tariffområdet som del av et samarbeid mellom STAMI og DFØ. STAMI har det faglige ansvaret for innholdet i spørreskjemaet og utvikling av den tekniske løsningen som brukes til gjennomføring av MUST. DFØ har ansvaret for støttemateriell og å gjøre MUST tilgjengelig via Arbeidsgiverportalen. 

Hva er formålet med MUST?

Gjennomføring av MUST har to formål: 

  1. MUST gjennomføres for å gi din virksomhet nyttig informasjon om psykososiale og organisatoriske arbeidsmiljøfaktorer til bruk i virksomhetens forbedrings- og utviklingsarbeid. 
  2. STAMI vil bruke data fra undersøkelsen for å skape kunnskap om hvilke psykososiale og organisatoriske arbeidsmiljøfaktorer som påvirker helse, fravær og frafall, trivsel, motivasjon og produktivitet. 
Hvilke opplysninger blir samlet inn for å oppnå formålene?

Felles for begge formålene er at det samles inn opplysninger om hvordan den enkelte medarbeider oppfatter psykososiale og organisatoriske forhold ved arbeidssituasjonen sin. Totalt stilles det cirka 70 spørsmål i MUSTs obligatoriske hovedstamme av spørsmål som dekker følgende tema:  

  • Krav og forventninger til hvordan medarbeidere skal utføre jobben sin 
  • Opplevelsen av selvbestemmelse i arbeidssituasjonen 
  • Lederskap 
  • Selvledelse 
  • Sosial støtte fra kollegaer og leder 
  • Sosialt klima 
  • Konflikter 
  • Mobbing og trakassering 
  • Psykologisk trygghet 
  • Kompetanseutvikling  
  • Kontorløsninger 
  • Tilhørighet til organisasjonen 
  • Tanker om å slutte i jobben 
  • Jobbengasjement 

Det vil i tillegg samles inn informasjon om helseplager hos den enkelte ansatte, Og virksomheten kan velge tilleggsmodul(er) innen et utvalg fordypningstemaer. For å få utviklet sin kunnskap om det statlige tariffområdet, spør STAMI om de kan koble besvarelsen til den enkelte til opplysninger om sykefravær og uførhet fra offentlige registrer.  

For å praktisk kunne gjennomføre MUST må det også samles inn opplysninger om den enkelte: 

  • Navn og fødselsnummer (nødvendig for sikker identifisering i Altinn) 
  • Epostadresse 
  • Virksomhetens navn og enhetstilhørighet i virksomheten 
Hva er det rettslige grunnlaget for innsamling av opplysningene?

Behandlingsgrunnlaget for begge formålene ved gjennomføring av MUST er samtykke (datatilsynet.no).

Det er frivillig å delta i gjennomføringen av MUST. Når en ansatt klikker seg inn i undersøkelsen må den ansatte gi spesifikt og aktivt samtykke til å delta i formålet knyttet til forskning. Hvis den ansatte ikke gir samtykke til forskningsformål «rutes» den ansatte videre til å svare på undersøkelsen med utgangspunkt kun i formål 1 som er en arbeidsmiljøkartlegging for virksomheten. Hvis man ikke ønsker å delta i undersøkelsen vil ikke arbeidsgiver bli informert om at den ansatte avstår fra å delta. Den ansatte kan når som helst trekke tilbake sitt samtykke uten å oppgi noen grunn. 

Før samtykket gis blir den ansatte informert om hva MUST er, formålet med MUST, hvem som er ansvarlig for undersøkelsen, hvilke personopplysninger som samles inn, hvordan opplysningene blir oppbevart og brukt, hvor lenge opplysningene blir lagret samt retten til å trekke tilbake samtykket.  

Hvordan ivaretas personvernprinsippene i personvernforordningen?

Personopplysningsloven inneholder både rettigheter og plikter. Felles for alle reglene er at de bygger på noen grunnleggende prinsipper. Alle som behandler personopplysninger, må opptre i samsvar med disse prinsippene. 

Prinsipp 1: Lovlig, rettferdig og gjennomsiktig 

Det rettslige grunnlaget for MUST er samtykke. Innsamlingen av personopplysninger skal brukes for å forbedre og utvikle virksomhetene og den enkelte ansattes arbeidsmiljø (formål 1). Det er både den ansattes interesse og arbeidsgivers ansvar, å sørge for et fullt forsvarlig arbeidsmiljø.  

MUST har også et vitenskapelig formål (formål 2) som gir undersøkelsen verdi utover nytten for den enkelte virksomhet. STAMI vil bruke data fra undersøkelsen for å skape kunnskap om hvilke psykososiale og organisatoriske arbeidsmiljøfaktorer som påvirker helse, fravær og frafall, trivsel, motivasjon og produktivitet. STAMI utfører denne forskningen for å kunne formidle kunnskapsbasert informasjon til norsk arbeidsliv om hvilke arbeidsforhold det er spesielt viktig å fokusere på i virksomheters utviklings- og forbedringsarbeid. STAMI vil også bruke den innsamlede informasjonen til å følge og beskrive endring og utvikling i arbeidsmiljøet til ansatte i statlige virksomheter over tid. 

Både i informasjonen arbeidsgiver skal gi ansatte før undersøkelsen sendes ut, og i informasjon i selve undersøkelsen før samtykke gis, er det orientert om hvilke personopplysninger som samles inn. Det orienteres også om hvordan de skal brukes, hvem som har tilgang til de, hvor lenge de lagres og hvilke rettigheter den ansatte har for begge formålene. 

Prinsipp 2: Formålsbegrensning 

Etter at undersøkelsen er gjennomført, genereres det automatisk rapporter i presentasjonsformat for den enkelte organisatoriske enhet med resultater hvis det er flere enn 6 besvarelser. Innholdet i disse rapportene/presentasjonene er aggregerte data i form av gjennomsnittsvar på spørsmålene for enheten. Virksomhetene vil ikke ha tilgang til rådata på individnivå fra undersøkelsen. DFØ har utviklet støttemateriell til en prosess for oppfølging av resultatene slik de presenteres i rapportene/presentasjonene. Nivået resultatene presenteres på i kombinasjon med støttemateriellet for oppfølgingen kan bidra til å begrense gjenbruket av personopplysningene til formål som er uforenelig med det opprinnelige formålet.  

Prinsipp 3: Dataminimering 

De ulike temaene som det spørres om i undersøkelsen er kjente psykososiale og organisatoriske arbeidsmiljøfaktorer som både positivt og negativt påvirker helse, fravær, frafall, trivsel, motivasjon og produktivitet. Det samles ikke inn mer data enn hva man trenger for å praktisk gjennomføre undersøkelsen og for å oppnå de inntil to formålene med undersøkelsen. 

I presentasjon av resultatene etter undersøkelsen presenteres det som nevnt under prinsipp 2 kun data på aggregert nivå, og ingen data på individnivå vil være tilgjengelig for virksomhetene som gjennomfører MUST. 

Prinsipp 4: Riktighet 

Når den ansatte besvarer undersøkelsen må den ansatte selv angi hvilken organisatorisk enhet den jobber på, fort svarene skal inngå i riktig rapport. 

Alle spørsmålene som skal besvares er subjektive vurderinger gjort av den ansatte. I gjennomføringen av undersøkelsen kan den ansatte hoppe over spørsmål de ikke ønsker å besvare. Dette bidrar til at ansatte ikke blir tvunget til å gi et svar på spørsmål de er usikre på, og slik sett redusere registrering av uriktige opplysninger. 

I oppfølgingsprosessen av resultatene på den enkelte organisatoriske enhet er det lagt opp til at resultatene skal presenteres, tolkes og diskuteres i fellesskap. Denne prosessen bidrar til å gi utfyllende innhold til resultatene som reduserer uriktigheten i opplysningene. 

Prinsipp 5: Lagringsbegrensning 

For formål 1 lagres opplysningene kun i undersøkelsesperioden (normalt 1 – 6 uker). MUST avsluttes den 31.12.2040. Dersom samtykket ikke trekkes før lagres personopplysningene inntil fem år etter prosjektslutt for formål 2 før de anonymiseres. 

Prinsipp 6: Integritet og konfidensialitet 

STAMI har iverksatt tiltak for å beskytte personopplysningenes integritet, konfidensialitet og tilgjengelighet. Deler av disse tiltakene er beskrevet i samtykkeskjema utarbeidet av STAMI, samt STAMI har gjennomført en DPIA for MUST. Ved behov for ytterligere informasjon om hvilke tiltak som er iverksatt kan STAMI kontaktes ved: 

Prinsipp 7: Ansvarlighet 

På oppdrag fra Statens arbeidsmiljøinstitutt har NSD vurdert at behandlingen av personopplysninger i dette prosjektet er i samsvar med GDPR/personopplysningsloven, og STAMI har gjennomført en DPIA for MUST.

Hvordan informeres de ansatte om undersøkelsen før den sendes ut?

Virksomhetene som har besluttet at de skal benytte seg av MUST må selv informere sine ansatte om undersøkelsen før den gjennomføres. DFØ har utarbeidet støttemateriell til gjennomføringen av undersøkelsen som virksomhetene kan tilpasse og bruke.  

Støttemateriellet inneholder informasjon og verktøy for både ledere og medarbeidere tilpasset hele prosessen fra at virksomheten skal ta beslutningen om å bruke MUST, sette MUST på agendaen etter beslutningen er tatt, forberede gjennomføringen, selve gjennomføringen og prosessen med å følge opp resultatene etter at undersøkelsen er avsluttet. Se sidene her på Arbeidsgiverportalen for detaljert oversikt over støttemateriell til bruk for å informere ansatte før undersøkelsen sendes ut. 

Hvordan får ansatte som ønsker det innsyn i personopplysningene som behandles om seg?

I informasjonsmateriellet den ansatte blir foreholdt før samtykket gis blir de informert om at så lenge den ansatte kan identifiseres i datamaterialet har de rett til: 

  • innsyn i hvilke personopplysninger som er registrert om seg 
  • å få utlevert en kopi av opplysningene 
  • å få rettet personopplysninger om seg 
  • å få slettet personopplysninger om seg 
  • å sende klage til Datatilsynet om behandlingen av sine personopplysninger.  

STAMI gir den ansatte tilgang til å utøve sine rettigheter via Altinn med sikker flerfaktoridentifikasjon.

Undersøkelser som utføres av eksterne krever ivaretakelse av GDPR artikkel 28 og 29 (databehandleravtale). Hvordan håndteres det?

Databehandlervilkår for bruk av MUST er beskrevet i dokumentet «Vilkår for bruk av Medarbeiderundersøkelsen i staten».  

Vilkår for bruk av MUST - Statens arbeidsmiljøinsitutt
pdf 166.94 KB

For ytterligere spørsmål rundt databehandleravtale mellom din virksomhet og STAMI samt evt. underleverandører hos STAMI kan du kontakte: 

Oppdatert: 27. april 2022

Fant du det du lette etter?

Det beklager vi!

Hva lette du etter? Bruk gjerne stikkord