Personvern i forskning

Forskerne

Forskerne selv har hovedansvaret for å overholde alle krav i forskningsprosjekter. Ved behov for hjelp kan man søke råd hos det administrative støtteapparatet.

Administrativt støtteapparat

Spørsmål om meldeplikt til NSD og REK, informert samtykke og databehandleravtaler i forskningsprosjekter;

• Forskningsrådgiver Thi Ha Ngo 
• Rådgiver Andrea Sydvold

Spørsmål om vurdering av personvernkonsekvenser (ROS, DPIA og forhåndsdrøftelser med Datatilsynet), datahåndteringsplan, sikker lagring av forskningsdata;

• Sjef for IT-sikkerhet Anders Handberg
• Sikkerhetsrådgiver Ivan Talwar

Personopplysningsloven;

• Juridisk rådgiver/personvernombud Knut Erik Gaustad

Studenter som skriver bachelor- eller masteroppgave følges opp av sin veileder.

Den 25. mai i 2018 fikk EU og EØS-området en ny europeiske personvernforordning kalt The General Data Protection Regulation (GDPR).

Den norske versjonen av GDPR er Lov om behandling av personopplysninger (også kalt personvernforordningen eller personopplysningsloven).

Den nye personvernforordningen tredde i kraft som norsk lov 20. juli 2018, og erstattet da Personopplysningsloven fra 2000 (med forskrift).

Lov om behandling av personopplysninger definerer personopplysninger i artikkel 4, del 1. Datatilsynet gjengir dette på sin nettside, men i et litt enklere språk:

Personopplysninger er opplysninger som direkte eller indirekte kan identifisere en person. Direkte personidentifiserende opplysninger er navn, personnummer, e-postadresse, tlf.nr., IP-adresse eller andre personlige kjennetegn. Indirekte personidentifiserende opplysninger er bakgrunnsopplysninger som kan gjøre det mulig å spore opplysningene tilbake til en enkeltperson, for eksempel bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, nasjonalitet, etc.

«Særlige kategorier av personopplysninger» overlapper i hovedsak med det som tidligere var kjent som «sensitive personopplysninger».

Lov om behandling av personopplysninger (også kalt personvernforordningen eller personopplysningsloven) definerer hva «særlige kategorier personopplysninger» er i artikkel 9, del 1:

Behandling av personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, er forbudt.

Behandling av særlige kategorier personopplysninger er altså i utgangspunktet forbudt. Del 2 av artikkel 9 sier imidlertid at forbudet ikke får anvendelse dersom ett av følgende vilkår er oppfylt; les vilkårene som tillater behandling av særlige kategorier personopplysninger i lovens artikkel 9, del 2.

Jamfør Datatilsynets ordbok, så er «den registrerte» enkeltpersonen som de lagrede opplysningene kan knyttes til.

Den behandlingsansvarlige er den institusjon/bedrift/annen juridisk person som bestemmer formålet med behandlingen av personopplysninger, og hvilke hjelpemidler som skal brukes. Den behandlingsansvarlige kan for eksempel være universitetet, høgskolen, helseforetaket eller forskningsinstituttet ved øverste ledelse.

Å være behandlingsansvarlig betegner en formell posisjon, og innebærer krav til etterlevelse av en rekke plikter i loven. I et forskningsprosjekt så vil den behandlingsansvarlige institusjonen – representert ved prosjektleder – være pliktig å se til at alle eksterne databehandlere i prosjektet har tilstrekkelig sikkerhetsnivå. Dette gjøres gjennom en risiko- og sårbarhetsanalyse (ROS-vurdering).

Den behandlingsansvarliges plikter er lovhjemlet i personvernforordningens artikkel 24

NSD > Personverntjenester > Få hjelp til å melde prosjekt > Sentrale begreper > Behandlingsansvarlig

En behandling av personopplysninger er å samle inn, registrere, oppbevare og eventuelt sammenstille og utlevere personopplysninger.

NSD > Personverntjenester > Få hjelp til å melde prosjekt > Sentrale begreper > Behandling av personopplysninger

I.h.h.t. personvernforordningens artikkel 6, del 1A, så er det bare lovlig å behandle personopplysninger som den registrerte har gitt sitt informerte samtykke til. Se eget avsnitt om informasjonsskriv og samtykke nedenfor.

En databehandler er en person eller virksomhet utenfor den behandlingsansvarliges organisasjon, som behandler personopplysninger på vegne av den behandlingsansvarlige. Eksempler på databehandlere kan være en ekstern leverandør av spørreskjema, transkriberingsassistent eller tolk.

NSD > Personverntjenester > Få hjelp til å melde prosjekt > Sentrale begreper > Databehandler

Personvernforordningen, artikkel 28, del 3 krever at forholdet mellom den behandlingsansvarlige institusjonen og den eksterne databehandleren skal reguleres i en databehandleravtale. Den eksterne databehandleren skal behandle personopplysninger i pakt med avtalen.

• Uninetts MAL for databehandleravtale
• Datatilsynets veileder om databehandleravtale

Husk at før en databehandleravtale inngås og signeres, så skal det være gjennomført en risiko- og sårbarhetsanalyse (ROS-vurdering). Ellers vil ikke databehandleravtalen være gyldig.

En datahåndteringsplan (DHP) beskriver hvordan data vil bli samlet inn, lagret, bearbeidet og anvendt mens et forskningsprosjekt pågår, og hva som vil skje med data etter at prosjektet er avsluttet (om data vil destrueres/arkiveres/tilgjengeliggjøres).

• NSDs digitale datahåndteringsplan kan redigeres og deles digitalt.
• Prosjekter med finansiering av EU skal følge anvisning om datahåndtering i Participant Portal H2020 Online Manual.

Kort om

Det skal ikke forskes på individer eller grupper uten at disse uttrykkelig har gitt sitt informerte samtykke til at forskningen kan finne sted. I forkant av studien skal forskningsdeltakerne ha mottatt et skriftlig informasjonsskriv som forklarer formålet med forskningsprosjektet, at deltakelse er frivillig, og hva det vil innebære for dem å delta.

Informasjonsskrivet og samtykkeerklæringen skal være formulert i et klart og enkelt språk tilpasset mottakerne. Samtykket informanten gir må være dokumenterbart for ettertiden, noe som i de fleste tilfeller innebærer at informanten signerer en skriftlig samtykkeerklæring. Dette er lovhjemlet i Personvernforordningens artikkel 4 (del 11), artikkel 6 (del 1A) og artikkel 7, og Helseforskningslovens kapittel 4.

Informasjonsskriv

Informasjonsskriv skal oppgi:

• Behandlingsansvarlig institusjon.
• Kontaktopplysninger til forsker (evt. student/veileder).
• Prosjektets formål og hva opplysningene skal brukes til.
• At det er frivillig å delta og at man kan trekke seg så lenge studien pågår uten å oppgi grunn.
• Hvordan samtykket kan trekkes tilbake. For eksempel kan man oppgi kontaktinformasjon til en bestemt person som forskningsdeltakeren kan kontakte for å trekke tilbake sitt samtykke. Dette er lovhjemlet i personopplysningslovens artikkel 7, del 3 og artikkel 17.
• Planlagt tidspunkt for avslutning av prosjektet, og en forklaring av hva som vil skje med personopplysningene etter avslutning (sletting eller videre lagring).

I tillegg bør informasjonsskrivet inneholde:

• En innledning som presenterer formålet med prosjektet, og som forespør mottaker om å delta.
• En beskrivelse av hvilke metoder som skal benyttes for å innhente opplysninger, og hva dette innebærer for deltakeren.
• En bekreftelse på at opplysningene vil bli behandlet konfidensielt.
• En liste med hvem som har tilgang til de personidentifiserbare dataene.
• Hvilke instanser prosjektet er meldt inn til, eller allerede godkjent av (eks. NSD, REK, Datatilsynet).

Samtykkekompetanse

Hvem som har samtykkekompetanse til å være forskningsdeltaker i et forskningsprosjekt er definert i Helseforskningsloven, §17, og i Pasient- og brukerrettighetsloven, §4-3

Hvem har samtykkekompetanse:

• Myndige personer.
• Mindreårige etter fylte 16 år har samtykkekompetanse, med mindre annet følger av særlige lovbestemmelser eller av forskningens art.

Hvem har ikke samtykkekompetanse:

• Myndige personer med fysiske eller psykiske forstyrrelser som ikke er i stand til å forstå hva samtykket omfatter.
• Pasienter i kliniske nødsituasjoner.
• Mindreårige mellom 16 og 18 år dersom prosjektet gjelder legemsinngrep eller legemiddelutprøving.
• Mindreårige under 16 år. Barn mellom 12 og 16 år har imidlertid rett til å kreve at opplysningene de oppgir i prosjektet ikke skal gjøres kjent for foreldre eller andre.

Samtykkeerklæring

• Et samtykke skal være frivillig, uttrykkelig og dokumenterbart:
  • Frivillig betyr at samtykket er gitt uten urimelig påvirkning.
  • Uttrykkelig betyr at samtykke skal være en uttrykkelig handling, som å signere en erklæring eller gjøre et tastetrykk.
  • Dokumenterbart betyr at samtykke må kunne framvises i ettertid.
• Prosjektleder har overordnet ansvar for at samtykker innhentes på korrekt måte, men oppgaven kan delegeres. Den som er delegert oppgaven skal ha nødvendig og tilstrekkelig kompetanse om det aktuelle forskningsprosjektet til å kunne ivareta oppgaven.
• Samtykkeerklæringen må ha et felt for signatur og dato, og en erklæring som for eksempel: “Jeg har mottatt skriftlig informasjon, og er villig til å delta i studien.”
• Informanten skal ha en kopi av både informasjonsskrivet og den signerte samtykkeerklæringen.
• Ved vesentlige endringer i forskningsprosjektet, som antas å ha betydning for forskningsdeltakerens samtykke, må det innhentes nytt samtykke. REK kan godkjenne unntak fra dette kravet.

Oppbevaring av samtykkeerklæring:

• Prosjektleder har ansvar for at alle originale signerte samtykkeerklæringer oppbevares forsvarlig mens forskningsprosjektet pågår, dvs. i originalt papirformat og nedlåst.
• I studentprosjekter er det studenten, under veiledning av veileder, som har ansvar for å oppbevare alle originale signerte samtykkeerklæringer forsvarlig mens prosjektet pågår.
• Alle samtykkeerklæringer skal slettes når data er anonymisert eller slettet.

Veiledninger og maler

• Datatilsynets veileder om samtykke
• NSDs mal for informasjonsskriv og samtykkeerklæring
• REKs mal for informasjonsskriv og samtykkeerklæring

Lovgrunnlag for informert samtykke

• Lov om behandling av personopplysninger (personopplysningsloven) artikkel 4, 6, 7 og 17.
• Lov om medisinsk og helsefaglig forskning (helseforskningsloven) § 13 – 20 og § 28.
• Lov om pasient- og brukerrettigheter (pasient- og brukerrettighetsloven) § 1-3, 4-2, 4-3, 4-4 og 4-7.
• Forskrift om organisering av medisinsk og helsefaglig forskning § 9.

Kort om

Prosjekter som skal behandle personopplysninger omfattes av personvernforordningen, og må meldes til NSD. Merk at meldeplikten gjelder selv om du ikke skal publisere personopplysninger. Det er hvordan du behandler personopplysninger underveis fra datainnsamlingen starter til resultatene publiseres, som avgjør om du må sende inn meldeskjema til NSD for prosjektet. Det lovlige grunnlaget for dette er gitt i artikkel 2, del 1, av Personvernforordningen.

NSD > Personverntjenester > Få hjelp til å melde prosjekt > Sentrale begreper > Behandling av personopplysninger

Ta meldeplikttesten

Ta meldeplikttesten hos NSD hvis du er usikker på om prosjektet ditt er meldepliktig.

Meld inn prosjektet

Her melder du inn prosjektet til NSD.

Reduser vurderingstiden

Vurderingstiden blir kortere hvis du oppgir fullstendig informasjon om prosjektet i meldeskjemaet, og sender inn nødvendig dokumentasjon. Komplekse prosjekter kan ta lengre tid å gi en vurdering. Les NSDs tips for å redusere vurderingstiden.

NSDs kontaktperson

NSDs kontaktperson ved Høyskolen Kristiania er den som har det daglige ansvaret for riktig og forsvarlig etterlevelse av lovens bestemmelser om informasjonssikkerhet og internkontroll. Kontaktpersonen må være ansatt ved behandlingsansvarlig institusjon.

• I forskerprosjekter (inkludert Ph.d.-prosjekter) er kontaktpersonen prosjektleder/forsker selv.
• I studentprosjekter (bachelor eller master) skal veileder (eventuelt biveileder eller fagansvarlig ved studiestedet) være kontaktperson. Studenten selv kan ikke være kontaktperson.

NSD > Personverntjenester > Få hjelp til å melde prosjekt > Sentrale begreper > Kontaktperson

Prinsippet om dataminimering

Som forsker (og studentforsker) skal du bare innhente opplysninger som er relevante og nødvendige for forskningsformålet ditt (Personopplysningslovens artikkel 5, del 1C). Tenk derfor nøye igjennom om det er nødvendig å innhente personopplysninger for å gjøre prosjektets undersøkelser. Kan anonyme data, dvs. opplysninger som verken direkte eller indirekte kan spores tilbake til individer, tjene prosjektets formål like godt?

Personvernprinsippet om å begrense innsamling av personopplysninger til det som er nødvendig for formålet kalles «dataminimering». Dataminimering defineres slik på NSDs nettsider:

Dataminimering betyr at du ikke skal samle inn flere opplysninger om utvalget ditt enn det som er nødvendig for å realisere forskningsformålet ditt. Hvis noen av personopplysningene du ønsker å samle inn ikke er nødvendige for å oppnå formålet, skal du ikke samle dem inn. Dataminimering er ett av personvernprinsippene i personvernforordningen.

NSD > Personverntjenester > Få hjelp til å melde prosjekt > Sentrale begreper > Dataminimering

Hva er anonyme opplysninger?

Anonyme opplysninger er informasjon som ikke på noe vis kan identifisere enkeltpersoner i et datamateriale;

• verken direkte gjennom navn eller personnummer
• indirekte gjennom bakgrunnsvariabler
• eller gjennom navneliste/koblingsnøkkel eller krypteringsformel og kode

Et datamateriale er altså ikke anonymt dersom det bare er det som publiseres i den ferdige rapporten, artikkelen, masteroppgaven eller lignende som er anonymisert. Også rådata må være anonymisert.

NSD > Personverntjenester > Få hjelp til å melde prosjekt > Sentrale begreper > Anonyme opplysninger

Hvordan kan jeg gjennomføre et prosjekt uten at det må meldes?

Prosjekter som behandler anonyme data gjennom hele forskningsprosessen skal ikke meldes inn til NSD. For at data behandles anonymt kan ikke data knyttes til personopplysninger via kode eller koblingsnøkkel. Her er noen fremgangsmåter som kan benyttes:

• Ved intervju og observasjon registreres data kun i form av notater (ikke lydopptak). Påse at det ikke registreres noen navn eller personidentifiserende bakgrunnsopplysninger i datamaterialet.
• Spørreskjemaer innhentes i papirform, uten navn og indirekte identifiserende opplysninger.
• For at bruk av nettbaserte spørreskjema ikke skal omfattes av loven, så må man forsikre seg om at IT-løsningen er fullstendig anonym (bl.a. at respondentens epost-/IP-adresse ikke på noe tidspunkt knyttes til spørreskjema), og at selve spørreskjemaet ikke inneholder spørsmål om identifiserende opplysninger. NB! De fleste nettbaserte spørreskjema innebærer registrering av epost-/IP-adresse, og behandlingen vil da måtte meldes, selv om eventuelt bare tjenesteleverandøren har tilgang til disse opplysningene.
• Registerdata og journaldata kan brukes uten melding så lenge det kun er anonyme data som hentes ut. Opplysningene må ikke kunne tilbakeføres til enkeltpersoner på noen måte. Det finnes en rekke anonyme registerdata tilgjengelig på nett, bl.a. hos SSB og NSD.

NSD > Personverntjenester > Få hjelp til å melde prosjekt > Hvordan kan jeg gjennomføre et prosjekt uten at det må meldes?

Hvordan anonymiserer jeg datamaterialet?

Anonymisering innebærer en bearbeiding som gjør at ingen enkeltpersoner kan gjenkjennes i datamaterialet du sitter igjen med. Du må da vurdere datamaterialet ditt og ta stilling til hvilke opplysninger du må fjerne eller skrive om.

Vanligvis innebærer anonymisering å:

• slette direkte identifiserende opplysninger (inkludert koblingsnøkkel/navneliste)
• slette eller omarbeide indirekte identifiserende opplysninger (for eksempel ved å grov- kategorisere variabler som alder, bosted, skole e.l.)
• slette (eller redigere/sladde) lydopptak, bilder og videoopptak

Dersom du benytter en databehandler, må databehandleren også slette identifiserende opplysninger.

Du har som regel lov til å oppbevare et anonymt datamateriale etter prosjektslutt, siden personopplysningsloven ikke gjelder for anonyme opplysninger. Du må imidlertid forsikre deg om at du har omarbeidet datamaterialet tilstrekkelig til at ingen enkeltpersoner kan gjenkjennes. Det finnes tilfeller der du likevel skal slette hele datamaterialet. Dette gjelder for eksempel dersom du selv har lovet utvalget å slette datamaterialet, eller når dataeiere, som for eksempel SSB, pålegger deg å slette hele datamaterialet ved prosjektslutt.

Merk at det ikke kreves at du skal slette personopplysninger i publikasjonen/oppgaven. Dersom du har en vitenskapelig begrunnelse for det, og du har innhentet samtykke til det fra deltakerne, kan personopplysninger som regel publiseres. Se gjerne Datatilsynets veileder til anonymisering.

NSD > Personverntjenester > Få hjelp til å melde prosjekt > Hvordan anonymiserer jeg datamaterialet?

Norsk senter for forskningsdata (NSD)

Norsk senter for forskningsdata (NSD) har en databeholdning på tusenvis av datasett som du kan be om tilgang til. Noen datasett er også online tilgjengelig. Les mer på NSDs nye søkeportal «Vi er på vei»

Microdata.no

Microdata.no er et annet nettsted underlagt NSD som tilrettelegger for å bruke registerdata til forskning.

Statistisk sentralbyrå (SSB)

Statistisk sentralbyrå (SSB) låner ut mikrodata til forskningsprosjekter, og har data knyttet til personer, virksomheter og foretak. Les mer på SSBs nettsider.

Forskere og studenter ved en institusjon i Norge som samler inn personopplysninger i utlandet, skal søke om tillatelser fra NSD på samme måte som ved datainnsamling i Norge.

NSD > Personverntjenester > Få hjelp til å melde prosjekt > Jeg skal samle inn data i utlandet. Må jeg melde prosjektet i Norge?

Forskere/studenter som forsker på informasjon som er gjort tilgjengelig på internett, må melde prosjektet til NSD dersom de behandler personopplysninger ved bruk av datamaskin.

Behandling av personopplysninger kan for eksempel være å lagre dokumenter fra åpne eller lukkede diskusjonsforum som inneholder brukernavn på diskusjonsdeltakerne. Et annet eksempel er å anvende direkte sitater fra nettsider. Sitater er søkbare, og vil på den måten peke tilbake til identifiserbare personer.

Som hovedregel må de som studeres samtykke til å inngå i studien, men det kan i visse tilfeller innvilges unntak fra dette. Mer om internettforskning på NSD sine nettsider.

Forskningsprosjekter

Prosjektleder for prosjektet har ansvar for at data anonymiseres, slettes eller eventuelt langtidsoppbevares forsvarlig i pakt med tillatelsene prosjektet har fått.

Studentprosjekter

I studentprosjekter er det studenten som må sende sluttmelding til NSD når prosjektet er avsluttet. Hvis dette ikke blir gjort, så vil NSD kontakte Høyskolen Kristiania som vil kontakte studenten og veilederen, og be om at sluttmelding sendes inn.

Disse prosjektene skal REK forhåndsgodkjenne

• Medisinske og helsefaglige forskningsprosjekter
• Generelle forskningsbiobanker
• Dispensasjon fra taushetsplikt for annen type forskning

Oppgi din Cristin-ID når du søker REK

• Finn din Cristin person-ID og lagre den på ditt personkort i REK. Cristin-ID må registreres på ditt personkort i REK’s søknadsportal førsøknad sendes til REK.
• Når/hvis prosjektet blir godkjent av REK, så vil det bli automatisk overført til Cristin (via SPREK). Prosjektlederen får samtidig en e-post med lenke til prosjektet.
• Rediger alltid videre på prosjektet som REK har opprettet i Cristin, for det er dette prosjektet REK følger med på. Ikke lag en dublett i Cristin, for da kan informasjon om prosjektdeltakere, resultater og annet fort bli registrert på dubletten.
• Slik redigerer du et helseprosjekt fra REK i Cristin

Søknad til REK

• REKs kommende søknadsfrister
• Opprett brukerkonto hos REK
• Elektroniske skjemaer for prosjektsøknad til REK

Send sluttmelding til REK

Når prosjektet er avsluttet skal du sende sluttmelding til REK på eget skjema. Informasjon om skjemaet finner du i saksportalen til REK.

Tidligere var det tilstrekkelig at forskningsprosjekter underlagt helseforskningsloven søkte om godkjenning fra REK, men med innføringen av personvernforordningen (GDPR) 20.07.2018, er det nå lovpålagt at all behandling av persondata har et behandlingsgrunnlag i personvernforordningen.

Den behandlingsansvarlige institusjonen for et forskningsprosjekt skal se til at vilkårene fastsatt i personvernforordningens artikkel 6 (a-f) og artikkel 9 (a-j) er oppfylt, og kunne dokumentere sine behandlinger av personopplysninger:

• I den daglige driften av et forskningsprosjekt, er prosjektlederen ansvarlig for å utføre forskning i samsvar med personvernforordningen. Mer om dette i avsnittet Hvem har ansvaret på toppen av denne siden, og avsnittet Ansvar og oppgaver på bunnen av denne siden.
• NSDs meldeskjema og meldingsarkiv fungerer som dokumentarkiv over behandlinger ved Høyskolen Kristiania.

Meld forskningsprosjekt til NSD

Kliniske forsøk skal før studien er begynt registreres hos clinicaltrials.gov. Senere registrering aksepteres ikke. De fleste medisinskfaglige tidsskrifter krever slik registrering for å publisere resultater fra kliniske forsøk.

Denne praksisen kom til i 2005, da The International Committee of Medical Journal Editors (ICMJI) innførte dette kravet for å publisere resultater fra kliniske forsøk i sitt tidsskrift.

Praksisen er senere blitt etterfulgt av de fleste medisinskfaglige tidsskrifter. Mer om Clinical Trials hos ICMJI.

Registrering av kliniske forsøk understøttes også av Helseforskningsloven kapittel 8, §39, hvor det slås fast at den forskningsansvarlige og prosjektleder har ansvar for å sørge for åpenhet rundt forskningen.

Forskrift om befolkningsbaserte helseundersøkelser regulerer innsamling og annen behandling av helseopplysninger og humant biologisk materiale i befolkningsbaserte helseundersøkelser. §1-2 skisserer forskriftens virkeområde.

Før prosjektet behandler personopplysninger skal det gjennomføres en risiko- og sårbarhetsanalyse (ROS-vurdering), for å kartlegge om informasjonssikkerheten er forsvarlig, og eventuelt hvilke tiltak som må foretas for at informasjonssikkerheten skal bli forsvarlig. ROS-vurderingen skal også bidra til å forebygge uønskede hendelser eller mangler ved behandlingen av personopplysningene.

Sentrale forhold som vurderes i en ROS-vurdering er prosjektets omfang, opplysningenes følsomhet, trusselbildet knyttet til miljøet opplysningene bearbeides og lagres i, og prosjektets varighet.

• Sikresiden.no: MAL for risikovurdering av personopplysninger.docx

Viktig: I prosjekter som bruker eksterne databehandlere, så må disse inngå databehandleravtale med den behandlingsansvarlige institusjonen. Den behandlingsansvarlige institusjonen må da ha foretatt en ROS-vurdering av prosjektet før databehandleravtalene signeres – ellers vil ikke databehandleravtalene være gyldige.

Personvernforordningen, artikkel 35, krever at det foretas en personvernkonsekvensvurdering i forkant av prosjekter av spesielt inngripende karakter. Eksempelvis prosjekter der det behandles særlige kategorier av personopplysninger i stor skala.

En personvernkonsekvensutredning skal alltid utarbeides i samarbeid med institusjonens ledelse, personvernombudet og prosjektleder.

Personvernforordningen, artikkel 36 krever at det foretas en forhåndsdrøftelse med Datatilsynet i tilfeller hvor man har gjennomført en vurdering av personvernkonsekvenser (DPiA), men likevel mener at behandlingen kan medføre en høy risiko for de registrertes rettigheter og friheter.

Les mer om forhåndsdrøftelser med Datatilsynet.

Nedenfor listes noen sentrale punkter over hvilke ansvar som må ivaretas av prosjektleder, eller en prosjektmedarbeider som prosjektleder delegerer oppgaven til. Det er ikke sikkert at alle punktene vil være aktuelle i alle prosjekter. Det må vurderes i hvert enkelt tilfelle: 

• Jamfør prinsippet om dataminimering, skal prosjektleder vurdere hvilke data som er adekvate og relevante for prosjektets formål, og begrense datainnsamlingen til disse data.
• Prosjektleder skal vurdere om forskningsprosjektet kan gjennomføres uten at det samler inn og behandler personopplysninger.
• Prosjektleder skal vurdere om forskningsprosjektet omfattes av personvernforordningen slik at det er meldepliktig til Norsk senter for forskningsdata (NSD).
• Hvis forskningsprosjektet skal behandle personopplysninger, så skal prosjektleder sende melding til NSD senest 30 dager før behandlingen skal starte.
• Prosjektleder skal informere sin forskningsansvarlig før søknad til NSD eller melding til REK sendes inn, og kunne legge frem søknad og meldeskjema dersom forskningsansvarlig ber om det.
• Prosjektleder skal sørge for tilgangsstyring dersom det er behov for konfidensialitet ved behandling av personopplysninger i prosjektet.
• Prosjektleder skal sørge for at relevante og nødvendige dokumentasjonskrav ivaretas i prosjektet.
• Hvis forskningsprosjektet vil behandle personopplysninger, så skal prosjektleder foreta en ROS-vurdering av prosjektets informasjonssikkerhet. Dette for å forebygge uønskede hendelser eller mangler ved behandlingen av personopplysningene som kan ha konsekvenser for forskningsdeltakerne. ROS-vurderingen skal være dokumenterbar. Bruk ROS-skjema fra sikresiden.no: MAL for risikovurdering av personopplysninger.docx
• Hvis NSD anbefaler at det foretas en personvernkonsekvensvurdering (DPIA) etter personvernforordningens artikkel 35, så har prosjektleder ansvar for å involvere Høyskolen Kristianias ledelse og personvernombud, og se til at det blir gjennomført en DPIA før prosjektoppstart. NSD kan også utføre en DPiA (se avsnittet NSD bistår), men det koster penger, og må derfor være godkjent av ledelsen.
• Prosjektleder lager en datahåndteringsplan for databehandlingen i prosjektet. Bruk NSDs digitale datahåndteringsplan
• Prosjektleder skal vurdere om forskningsprosjektet omfattes av helseforskningsloven slik at det er meldepliktig til Regional komite for medisinsk og helsefaglig forskningsetikk (REK).
• Hvis prosjektet omfattes av helseforskningsloven, så skal prosjektleder sende søknad om forhåndsgodkjenning til Regional komite for medisinsk og helsefaglig forskningsetikk (REK).
• Hvis prosjektet omfatter kliniske forsøk – så skal prosjektleder registrere det i ClinicalTrials.
• Prosjektleder skal utarbeide samtykkeerklæring og informasjonsskriv til forskningsprosjektet.
• Prosjektleder skal sende sluttmelding til NSD når prosjektet er avsluttet – dersom prosjektet har vært meldt inn dit.
• Prosjektleder skal sende sluttmelding til REK når prosjektet er avsluttet – dersom prosjektet har vært meldt inn dit.
• Prosjektleder skal forsvarlig eliminere alle data når prosjektet er avsluttet.

Veileder fungerer som prosjektleder i studentprosjekter på bachelor-/masternivå, og skal gi studenten nødvendig opplæring i personvern, forskningsetikk og informasjonssikkerhet før studenten påbegynner sitt studentprosjekt.

Nedenfor listes noen sentrale punkter over hvilke ansvar som må ivaretas. Det er ikke sikkert at alle punktene vil være aktuelle i alle studentprosjekter. Det må vurderes i hvert enkelt tilfelle:

• Jamfør prinsippet om dataminimering, skal studenten – under veiledning av sin veileder – vurdere hvilke data som er adekvate og relevante for prosjektets formål, og begrense datainnsamlingen til disse data.
• Studenten skal – under veiledning av sin veileder – vurdere om studentprosjektet kan gjennomføres uten at det behandler personopplysninger.
• Studenten skal – under veiledning av sin veileder – vurdere om studentprosjektet kan bruke data fra SSB/NSD/no.
• Studenten skal – under veiledning av sin veileder – vurdere om studentprosjektet omfattes av personvernforordningen slik at det er meldepliktig til NSD.
• Hvis studentprosjektet skal behandle personopplysninger, så skal studenten, under veiledning av sin veileder, sende melding til Norsk senter for forskningsdata (NSD) senest 30 dager før behandlingen skal starte.
• Hvis studenten skal behandle personopplysninger, så skal studenten – under veiledning av sin veileder – foreta en risikovurdering av prosjektets informasjonssikkerhet. Dette for å forebygge uønskede hendelser eller mangler ved behandlingen av personopplysningene som kan ha konsekvenser for forskningsdeltakerne. Risikovurderingen skal være dokumenterbar. Bruk ROS-skjema fra sikresiden.no: MAL for risikovurdering av personopplysninger.docx.
• Studenten har taushetsplikt om personopplysninger som behandles i et studentprosjekt:
  • De nasjonale forskningsetiske komiteers generelle forskningsetiske retningslinjer 5 Konfidensialitet
  • UH-lovens 4-6 Studentens taushetsplikt
    Unntaket fra denne taushetsplikten er hvis man kommer over forhold hvor man har en rettslig plikt til å avverge alvorlige straffbare handlinger. Det er svært usannsynlig at studenter vil motta opplysninger av en slik art, men skulle det skje, så skal studenten umiddelbart søke råd hos sin veileder.

• Studentprosjekter skal aldri være av en slik art at det er nødvendig å gjennomføre en vurdering av personvernkonsekvensvurdering (DPIA) etter personvernforordningens artikkel 35. Veileder har ansvar for å gi studenten tydelig informasjon om dette.
• Veileder er forpliktet til å vurdere om et foreslått studentprosjekt omfattes av helseforskningsloven. Hvis prosjektet er omfattet av helseforskningsloven, vil ikke dette kunne gjennomføres uten at det er en del av et større forskningsprosjekt.
• Ved Høyskolen Kristiania skal studentprosjekter som krever godkjenning av REK normalt være en del av et større forskningsprosjekt ledet av forskere ved høyskolen eller godkjente prosjekter ved annen institusjon. Kliniske forsøk skal være registrert hos ClinicalTrials.
• Studenten skal – under veiledning av sin veileder – utarbeide samtykkeerklæring og informasjonsskriv til sitt studentprosjekt.
• Studenten skal sende sluttmelding til NSD – dersom prosjektet har vært meldt inn dit.
• Studenten skal under ledelse av sin veileder, forsvarlig eliminere alle data som har vært behandlet ifbm. prosjektet.