Forskningsetikk

Høyskolen Kristiania har også utarbeidet egne forskningsetiske retningslinjer basert på det overordnede regelverket og det er etablert et forskningsetisk utvalg.

Forskningsetisk refleksjon favner imidlertid mye bredere enn spørsmål knyttet til godkjenninger iht lov- og regelverk, og forskningsgruppelederne skal systematisk sørge for forskningsetisk refleksjon i gruppene.

 Ti bud for god forskningsetikk

  1. Du skal innrette deg etter både rettigheter og plikter i loven om akademisk frihet.
  2. Du skal være deg bevisst at ærlighet er en absolutt betingelse for vitenskapelig arbeid.
  3. Du skal handle i overensstemmelse med det etiske regelverk som gjelder på ditt forskningsområde.
  4. Du skal gi anerkjennelse til kolleger og kunnskapskilder som har betydning for din egen forskning.
  5. Du skal, så sant det er mulig, delta i et kollegialt fellesskap som kommuniserer og analyserer forskningens metoder og resultater.
  6. Du skal kunne gjøre rede for hvordan du forvalter midler som er stilt til din disposisjon.
  7. Du skal sørge for at dine vitenskapelige resultater er solide nok til å støtte konklusjonene dine, og for at rådata/kildeinformasjon for publikasjonene er tilgjengelige.
  8. Du skal følge reglene for vitenskapelig publisering innen ditt fagfelt.
  9. Du skal la forskningsformidlingen være nøktern; konsekvenstenkningen bør omfatte både mulig nytte og mulige etiske dilemmaer.
  10. Du skal vedlikeholde og videreutvikle din vitenskapelige kompetanse.

Ansvar for forskningsetikk ved Høyskolen Kristiania

  • Den enkelte forsker har ansvar for å drive forskning i samsvar med lov- og regelverk, anerkjent forskningsetisk praksis og etterleve de ti bud for god forskningsetikk.
  • Undervisere er ansvarlige for å lære opp studenter i anerkjent forskningsetisk praksis, når dette er relevant.
  • Veiledere er prosjektledere for studentoppgaver og ansvarlige for å lære opp sine studenter i:
    - Anerkjent forskningsetisk praksis
    - Personvern i forskning
  • Forskningsgruppeledere skal sørge for systematisk forskningsetisk refleksjon og kompetanseutvikling (jf gjeldende lov- og regelverk og anerkjent forskningsetisk praksis) i forskningsgruppene som del av kvalitetsoppfølgingen.
  • Instituttlederne har ansvar for å føre tilsyn med og sørge for at forskning ved egen enhet blir utført i samsvar med lov- og regelverk og anerkjent forskningsetisk praksis. De skal også følge opp og sørge for oppretting av eventuelle avvik.
  • Institusjonen Høyskolen Kristiania har et overordnet ansvar for å påse at systemene og rammene er tilrettelagt for å sikre at forskningen gjennomføres i tråd med anerkjent forskningsetisk praksis og at lov- og regelverk blir etterlevd. Dette inkluderer et ansvar for å påse at de vitenskapelig ansatte har tilstrekkelig forskningskompetanse.
  • Forskningsetisk utvalg (FEU)ved Høyskolen Kristiania har et overordnet tilsynsansvar og behandler eventuelle saker om avvik (se nedenfor). Utvalget skal også fungere som pådriver for forskningsetisk refleksjon og -kompetanseutvikling

Relevante lover, forskrifter og retningslinjer

Forskningsetikkloven og -forskriften

Høyskolen Kristiania er underlagt:

Forskningsetiske retningslinjer

Forskningen ved Høyskolen Kristiania skal utføres i samsvar med:

Forskningsetisk utvalg (FEU)

Mandat og sammensetning

Forskningsetisk utvalg skal arbeide for at forskningen ved Høyskolen Kristiania foregår innenfor forskningsetiske rammer og anerkjent forskningsetisk praksis, og for å fremme forskningsetisk refleksjon.

Forskningsetisk utvalg skal behandle mulige brudd på anerkjente forskningsetiske normer slik det fremkommer i Lov om forskningsetisk arbeid (forskningsetikkloven) og Forskrift om forskningsetiske komiteer og utvalg (forskningsetikkforskriften).

Utvalget skal behandle saker som har tilknytning til vitenskapelig virksomhet ved Høyskolen Kristiania eller involverer én eller flere parter med tilknytning til høyskolen.

Med vitenskapelig uredelighet menes forfalskning, fabrikkering, plagiering og andre alvorlige brudd på anerkjente forskningsetiske normer som er begått forsettlig eller grovt uaktsomt i planlegging, gjennomføring eller rapportering av forskning [1]. Utvalget skal også ha en forebyggende rolle for å fremme god praksis.

Forskningsetisk utvalg oppnevnes av og rapporterer til høyskolens styre. Styret mottar årlig rapport om utvalgets arbeid [2].

[1] Forskningsetikkloven §8 – Uttalelser i uredelighetssaker.

[2] Styret har delegert oppnevningen til prorektor for FoU/KU.

Faste medlemmer:

  • Ekstern leder
  • Prorektor FoU/KU
  • Fire medlemmer oppnevnt av styret

Utvalget kan, i tillegg til de faste medlemmene, innkalle inntil to andre representanter, eksterne eller interne, som sakkyndige i den enkelte sak. Disse skal være erfarne forskere med kompetanse innenfor det fagområdet uredelighetspåstandene er knyttet til. I behandlingen av den aktuelle saken, skal de inngå som medlemmer av utvalget.

Arbeidsoppgaver

Redelighetsutvalget skal:

Behandle påstander om avvik fra god vitenskapelig praksis som er forelagt utvalget, der utvalget i tråd med lovens §8 – Uttalelse i uredelighetssaker skal avgi skriftlig uttalelse, og der utvalget skal ta stilling til:

a) Om forskeren har opptrådt vitenskapelig uredelig eller ikke

b) Om det foreligger systemfeil ved institusjonen og

c) Om det vitenskapelige arbeidet bør korrigeres eller trekkes tilbake.

Ta initiativ til foredrag, seminarer, møter samt annen informasjonsdeling og opplæring iht. forskningsetikklovens §5 - Krav til forskningsinstitusjoner.

Fastsette retningslinjer for behandling av saker om mulige brudd på anerkjente forskningsetiske normer iht. forskningsetikklovens §6 – Behandling av uredelighetssaker ved forskningsinstitusjoner.

Rapportere mulige grove brudd til granskningsutvalget (forskningsetikklovens §7 – Granskingsutvalget.)

Uredelighetssaker kan forelegges for utvalget av rektor og prorektorer, eller av instituttleder med tilslutning fra rektoratet. Utvalget kan også selv beslutte å ta en uredelighetssak under behandling. I de saker som meldes inn, har utvalget et ansvar for en transparent saksbehandling der alle involverte parter blir hørt.

Medlemmer av forskningsetisk utvalg (2021-2023):

Medlemmene av forskningsetisk utvalg ble oppnevnt 28. mars 2019 og gjenoppnevnt i 2021 for nye 2 år.

Møter og referater

Utvalget vil avholde to møter per semester (og kan avholde ekstra møter ved behov). Sekretariatet innkaller til møter, forbereder dagsorden og skriver referat. Styret mottar årlig rapport om utvalgets arbeid.

Meld fra om et mulig brudd på forskningsintegritet

Retningslinjer:

Meldeskjema:

Send meldeskjemaet til: forskningsetikk@kristiania.no

Personvern i forskning

Ulike hensyn til personvern må vurderes og ivaretas i forbindelse med alle forskningsprosjekter. 

Ansvar og rådgivning om personvern

Forskeren (prosjektleder) har ansvar for at alle krav til personvern overholdes i forskningsprosjektet.

For bachelor- og masteroppgaver har veileder prosjektlederansvaret og skal lære opp og følge opp studenten.

Høyskolen Kristiania har et institusjonelt ansvar for å tilrettelegge for og påse at krav til personvern er ivaretatt. Ved behov for råd og veiledning, finnes følgende kontaktpersoner i det administrative støtteapparatet.

Spørsmål om meldeplikt til NSD og REK, krav til informert samtykke og til databehandleravtaler i forskningsprosjekter:

Spørsmål om vurdering av risiko og personvernkonsekvenser (ROS, DPIA og forhåndsdrøftelser med Datatilsynet), datahåndteringsplan, sikker lagring av forskningsdata:

Spørsmål om personopplysningsloven (GDPR);

Begrepsavklaring og roller

    The General Data Protection Regulation (GDPR) for EU/EØS-området:

    Den norske versjonen av GDPR er Lov om behandling av personopplysninger (også kalt personvernforordningen eller personopplysningsloven).

    Personopplysninger

    Opplysninger som direkte eller indirekte kan identifisere en person. Direkte personidentifiserende opplysninger er navn, personnummer, e-postadresse, tlf.nr., IP-adresse eller andre personlige kjennetegn. Indirekte personidentifiserende opplysninger er bakgrunnsopplysninger som kan gjøre det mulig å spore opplysningene tilbake til en enkeltperson, for eksempel bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, nasjonalitet, etc.

    Særlige kategorier av personopplysninger

    (tidligere kalt «sensitive personopplysninger»)

    Ifølge GDPR er behandling av følgende personopplysninger forbudt:

    • opplysninger om rasemessig eller etnisk opprinnelse
    • opplysninger om politisk oppfatning
    • opplysninger om religion
    • opplysninger om filosofisk overbevisning
    • opplysninger om fagforeningsmedlemskap
    • genetiske opplysninger
    • biometriske opplysninger med det formål å entydig identifisere noen
    • helseopplysninger
    • opplysninger om seksuelle forhold
    • opplysninger om seksuell orientering

    Imidlertid finnes det unntak fra forbudet.

    Databehandlingsansvarlig

    Den behandlingsansvarlige er den institusjon/bedrift/annen juridisk person (representert ved øverste ledelse) som bestemmer formålet med behandlingen av personopplysninger, og hvilke hjelpemidler som skal brukes. I et forskningsprosjekt skal prosjektleder påse at alle eksterne databehandlere i prosjektet har tilstrekkelig sikkerhetsnivå (jf personvernkonsekvensvurdering DPIA).

    Databehandler

    En databehandler er en person eller virksomhet utenfor den behandlingsansvarliges organisasjon, som behandler personopplysninger på vegne av den behandlingsansvarlige. Eksempler på databehandlere kan være en ekstern leverandør av spørreskjema, transkriberingsassistent eller tolk. Se maler til databehandleravtale her

    Behandling av personopplysninger

    Å samle inn, registrere, oppbevare og eventuelt sammenstille og utlevere personopplysninger. Den registrerte skal ha gitt sitt informerte samtykke (jf informasjonsskriv og samtykke).

    Dataregister

    Datahåndteringsplan

    En datahåndteringsplan (Data Management Plan (DMP) på engelsk) beskriver hvem som er prosjektleder, prosjektnavn, prosjektperioden, hvordan og hvilke data som vil bli samlet inn, lagret, bearbeidet og anvendt av hvem mens et forskningsprosjekt pågår, samt lagringssted, lagringstidsrom, og hva som vil skje med data etter at prosjektet er avsluttet (om data vil destrueres/ arkiveres/ tilgjengeliggjøres).

    Høyskolen Kristiania har en plan om å bruke informasjonen i datahåndteringsplanen også til å holde oversikt over institusjonens dataregistre. Dette er viktig for å kunne påse at GDPR og krav om sikker datalagring blir fulgt, og for å sørge for at innsamlingen av data samordnes mellom prosjekter og at allerede eksisterende data gjenbrukes (jf Open Science)

    Informasjonsskriv og samtykke

    Det skal ikke forskes på individer eller grupper uten at disse uttrykkelig har avgitt sitt informerte samtykke til å delta i forskningen. I forkant av studien skal forskningsdeltakerne ha mottatt et skriftlig informasjonsskriv som forklarer formålet med forskningsprosjektet, at deltakelse er frivillig, hva det vil innebære for dem å delta, og at de kan forlate studien uten å oppgi grunn.

    Informasjonsskrivet og samtykkeerklæringen skal være formulert i et klart og enkelt språk som kan oppfattes av mottakerne. Samtykket forskningsdeltakeren avgir må være dokumenterbart for ettertiden, noe som i de fleste tilfeller krever en skriftlig signatur på en samtykkeerklæring. Dette er lovhjemlet i Personvernforordningens artikkel 4 (del 11), artikkel 6 (del 1A) og artikkel 7, og Helseforskningslovens kapittel 4.

    Informasjonsskriv

    Informasjonsskriv skal oppgi:

    • Behandlingsansvarlig institusjon.
    • Kontaktopplysninger til forsker (evt. studentveileder).
    • Prosjektets formål og hva opplysningene skal brukes til.
    • At det er frivillig å delta og at man kan trekke seg så lenge studien pågår uten å oppgi grunn.
    • Hvordan samtykket kan trekkes tilbake. For eksempel kan man oppgi kontaktinformasjonen til en bestemt person som forskningsdeltakeren kan kontakte for å trekke tilbake sitt samtykke. Dette er lovhjemlet i personopplysningslovens artikkel 7, del 3 og artikkel 17.
    • Planlagt tidspunkt for avslutning av prosjektet, og en forklaring av hva som vil skje med personopplysningene etter avslutning (sletting eller videre lagring).

    I tillegg bør informasjonsskrivet inneholde:

    • En innledning som presenterer formålet med prosjektet, og som forespør mottaker om å delta.
    • En beskrivelse av hvilke metoder som skal benyttes for å innhente opplysninger, og hva dette innebærer for deltakeren.
    • En bekreftelse på at opplysningene vil bli behandlet konfidensielt.
    • En liste med hvem som har tilgang til de personidentifiserbare dataene.
    • Hvilke instanser prosjektet er meldt inn til, eller allerede godkjent av (eks. NSD, REK, Datatilsynet).

    Samtykkekompetanse

    Personen som samtykker til deltakelse i et forskningsprosjekt må ha samtykkekompetanse.

    Disse har samtykkekompetanse:

    • Myndige personer.
    • Mindreårige etter fylte 15 år har samtykkekompetanse, med mindre annet følger av særlige lovbestemmelser eller av forskningens art.
    • For barn under 15 år bør foreldre samtykke på vegne av barnet, men barna må ønske å delta. Hvis det skal samles inn særlige kategorier av personopplysninger må ungdommen være fylt 16 år for å samtykke.

    For medisinsk og helsefaglig forskning finnes det spesielle regler om samtykkekompetanse definert i Helseforskningsloven, §17, og i Pasient- og brukerrettighetsloven, §4-3.

    Disse har ikke samtykkekompetanse:

    • Myndige personer med fysiske eller psykiske forstyrrelser, som ikke er i stand til å forstå hva samtykket omfatter og innebærer.
    • Pasienter i kliniske nødsituasjoner.
    • Mindreårige mellom 16 og 18 år dersom prosjektet gjelder legemsinngrep eller legemiddelutprøving.
    • Mindreårige under 15 år. Barn mellom 12 og 16 år har imidlertid rett til å kreve at opplysningene de oppgir i prosjektet ikke skal gjøres kjent for foreldre eller andre.

    Samtykkeerklæring

    • Et samtykke skal være frivilliguttrykkelig og dokumenterbart:
      • Frivillig betyr at samtykket er gitt uten urimelig påvirkning.
      • Uttrykkelig betyr at samtykke skal være en uttrykkelig handling, som å signere en erklæring eller gjøre et tastetrykk.
      • Dokumenterbart betyr at samtykke må kunne framvises i ettertid.
    • Prosjektleder har overordnet ansvar for at samtykker innhentes på korrekt måte, men oppgaven kan delegeres. Den som er delegert oppgaven skal ha nødvendig og tilstrekkelig kompetanse om det aktuelle forskningsprosjektet til å kunne ivareta oppgaven.
    • Samtykkeerklæringen må ha et felt for signatur og dato, og en erklæring som for eksempel: “Jeg har mottatt skriftlig informasjon, og er villig til å delta i studien.”
    • Informanten skal ha en kopi av både informasjonsskrivet og den signerte samtykkeerklæringen.
    • Ved vesentlige endringer i forskningsprosjektet, som antas å ha betydning for forskningsdeltakerens samtykke, må det innhentes nytt samtykke. REK kan godkjenne unntak fra dette kravet.

    Oppbevaring av samtykkeerklæring:

    • Prosjektleder har ansvar for at alle originale signerte samtykkeerklæringer oppbevares forsvarlig mens forskningsprosjektet pågår, dvs. i originalt papirformat og nedlåst.
    • I studentprosjekter er det veileder som har ansvar for å oppbevare alle originale signerte samtykkeerklæringer forsvarlig mens prosjektet pågår.
    • Alle samtykkeerklæringer skal slettes når data er anonymisert eller slettet.

    Veiledninger og maler

    Lovgrunnlag for informert samtykke

    Personvern i student- og forskningsprosjekter

    Meldeplikt til Norsk senter for forskningsdata (NSD)

    Prosjekter som skal behandle personopplysninger omfattes av personvernforordningen og må meldes til NSD. Merk at meldeplikten gjelder selv om du ikke skal publisere personopplysninger. Det avgjørende for om du må sende inn meldeskjema til NSD for prosjektet, er hvordan du skal behandle personopplysninger gjennom hele prosjektet, fra datainnsamlingen starter til resultatene publiseres. Det lovlige grunnlaget for dette er gitt i artikkel 2, del 1, av Personvernforordningen.

    NSD > Personverntjenester > Få hjelp til å melde prosjekt > Sentrale begreper > Behandling av personopplysninger

    Ta meldeplikttesten

    Ta meldeplikttesten hos NSD hvis du er usikker på om prosjektet ditt er meldepliktig.

    Meld inn prosjektet

    Her melder du inn prosjektet til NSD.

    Reduser vurderingstiden

    Vurderingstiden blir kortere hvis du oppgir fullstendig informasjon om prosjektet i meldeskjemaet, og sender inn nødvendig dokumentasjon. For komplekse prosjekter kan vurderingen ta lengre tid. Les NSDs tips for å redusere vurderingstiden.

    NSDs kontaktperson

    NSDs kontaktperson ved Høyskolen Kristiania er den som har det daglige ansvaret for riktig og forsvarlig etterlevelse av lovens bestemmelser om informasjonssikkerhet og internkontroll. Kontaktpersonen må være ansatt ved behandlingsansvarlig institusjon.

    • I forskerprosjekter (inkludert Ph.d.-prosjekter) er kontaktpersonen prosjektleder.
    • I studentprosjekter (bachelor eller master) skal veileder (eventuelt biveileder eller fagansvarlig ved studiestedet) være kontaktperson. Studenten selv kan ikke være kontaktperson.

    NSD > Personverntjenester > Få hjelp til å melde prosjekt > Sentrale begreper > Kontaktperson

     

    Vurder om du må behandle personopplysninger

     Prinsippet om dataminimering

    Som forsker (og studentforsker) skal du bare innhente opplysninger som er relevante og nødvendige for forskningsformålet ditt (Personopplysningslovens artikkel 5, del 1C). Tenk derfor nøye igjennom om det er nødvendig å innhente personopplysninger for å gjøre prosjektets undersøkelser. Kan anonyme data, dvs. opplysninger som verken direkte eller indirekte kan spores tilbake til individer, tjene prosjektets formål like godt?

    Personvernprinsippet om å begrense innsamling av personopplysninger til det som er nødvendig for formålet kalles «dataminimering». Dataminimering defineres slik på NSDs nettsider:

    Dataminimering betyr at du ikke skal samle inn flere opplysninger om utvalget ditt enn det som er nødvendig for å realisere forskningsformålet ditt. Hvis noen av personopplysningene du ønsker å samle inn ikke er nødvendige for å oppnå formålet, skal du ikke samle dem inn. Dataminimering er ett av personvernprinsippene i personvernforordningen.

    NSD > Personverntjenester > Få hjelp til å melde prosjekt > Sentrale begreper > Dataminimering

    Høyskolen Kristiania anbefaler også at prosjektledere samordner innhentingen og legger til rette for gjenbruk av data.

    Hva er anonyme opplysninger?

    Anonyme opplysninger er informasjon som ikke på noe vis kan identifisere enkeltpersoner i et datamateriale;

    • verken direkte gjennom navn eller personnummer
    • indirekte gjennom bakgrunnsvariabler
    • eller gjennom navneliste/ koblingsnøkkel eller krypteringsformel og kode

    Et datamateriale er altså ikke anonymt dersom det bare er det som publiseres i den ferdige rapporten, artikkelen, masteroppgaven eller lignende som er anonymisert. Også rådata må være anonymisert.

    NSD > Personverntjenester > Få hjelp til å melde prosjekt > Sentrale begreper > Anonyme opplysninger

    Hvordan kan jeg gjennomføre et prosjekt uten at det må meldes?

    Prosjekter som behandler anonyme data gjennom hele forskningsprosessen skal ikke meldes inn til NSD. For at data skal kunne anses for anonyme, må de ikke kunne knyttes til personopplysninger via en kode eller koblingsnøkkel. Her er noen fremgangsmåter som kan benyttes:

    • Ved intervju og observasjon registreres data kun i form av notater (ikke lydopptak). Påse at det ikke registreres noen navn eller personidentifiserende bakgrunnsopplysninger i datamaterialet.
    • Spørreskjemaer innhentes i papirform, uten navn og indirekte identifiserende opplysninger.
    • For at bruk av nettbaserte spørreskjema ikke skal omfattes av loven, må man forsikre seg om at IT-løsningen er fullstendig anonym (bl.a. at respondentens epost-/IP-adresse ikke på noe tidspunkt kan knyttes til spørreskjemaet), og at selve spørreskjemaet ikke inneholder spørsmål om identifiserende opplysninger. NB! Alle ved Høyskolen Kristiania kan bruke Nettskjema  som tilbyr en anonym løsning.
    • Registerdata og journaldata kan brukes uten melding så lenge det kun er anonyme data som hentes ut. Opplysningene må ikke kunne tilbakeføres til enkeltpersoner på noen måte. Det finnes en rekke anonyme registerdata tilgjengelig på nett, bl.a. hos SSB og NSD.

    NSD > Personverntjenester > Få hjelp til å melde prosjekt > Hvordan kan jeg gjennomføre et prosjekt uten at det må meldes?

    Hvordan anonymiserer jeg datamaterialet?

    Anonymisering innebærer en bearbeiding som gjør at ingen enkeltpersoner kan gjenkjennes i datamaterialet som du sitter igjen med. Du må da vurdere datamaterialet ditt og ta stilling til hvilke opplysninger som du må fjerne eller skrive om.

    Vanligvis innebærer anonymisering å:

    • slette direkte identifiserende opplysninger (inkludert koblingsnøkkel/ navneliste)
    • slette eller omarbeide indirekte identifiserende opplysninger (for eksempel ved å grovkategorisere variabler som alder, bosted, skole e.l.)
    • slette (eller redigere/ sladde) lydopptak, bilder og videoopptak

    Dersom du benytter en databehandler, må databehandleren også slette identifiserende opplysninger.

    Du har som regel lov til å oppbevare et anonymt datamateriale etter prosjektslutt, siden personopplysningsloven ikke gjelder for anonyme opplysninger. Du må imidlertid forsikre deg om at du har omarbeidet datamaterialet tilstrekkelig til at ingen enkeltpersoner kan gjenkjennes. Det finnes tilfeller der du likevel skal slette hele datamaterialet. Dette gjelder for eksempel dersom du selv har lovet utvalget å slette datamaterialet, eller når dataeiere, som for eksempel SSB, pålegger deg å slette hele datamaterialet ved prosjektslutt.

    Merk at det ikke kreves at du skal slette personopplysninger i publikasjonen/ oppgaven. Dersom du har en vitenskapelig begrunnelse for det, og du har innhentet samtykke til det fra deltakerne, kan personopplysninger som regel publiseres. Se også Datatilsynets veileder til anonymisering.

    NSD > Personverntjenester > Få hjelp til å melde prosjekt > Hvordan anonymiserer jeg datamaterialet?

    Vurder om du kan bruke data fra NSD eller SSB

     Norsk senter for forskningsdata (NSD)

    Norsk senter for forskningsdata (NSD) har en databeholdning på tusenvis av datasett som du kan be om tilgang til. Noen datasett er også tilgjengelige online. Les mer på NSDs nye søkeportal «Vi er på vei»

    Microdata.no

    Microdata.no er et annet nettsted underlagt NSD som tilrettelegger for å bruke registerdata til forskning.

    Statistisk sentralbyrå (SSB)

    Statistisk sentralbyrå (SSB) låner ut mikrodata til forskningsprosjekter, og har data knyttet til personer, virksomheter og foretak. Les mer på SSBs nettsider.

    Innsamling av persondata i utlandet

    Forskere og studenter ved en institusjon i Norge som samler inn personopplysninger i utlandet, skal søke om tillatelser fra NSD på samme måte som ved datainnsamling i Norge.

    NSD > Personverntjenester > Få hjelp til å melde prosjekt > Jeg skal samle inn data i utlandet. Må jeg melde prosjektet i Norge?

    Internettforskning

    Forskere/ studenter som forsker på informasjon som er gjort tilgjengelig på internett, må melde prosjektet til NSD dersom de behandler personopplysninger ved bruk av datamaskin.

    Behandling av personopplysninger kan for eksempel være å lagre dokumenter fra åpne eller lukkede diskusjonsforum som inneholder brukernavn på diskusjonsdeltakerne. Et annet eksempel er å anvende direkte sitater fra nettsider. Sitater er søkbare, og vil på den måten peke tilbake til identifiserbare personer.

    Som hovedregel må de som studeres samtykke til å inngå i studien, men det kan i visse tilfeller innvilges unntak fra dette. Mer om internettforskning på NSD sine nettsider.

    Slett data og send sluttmelding til NSD når prosjektet er fullført

    Forskningsprosjekter

    Prosjektleder for prosjektet har ansvar for at data anonymiseres, slettes eller eventuelt langtidsoppbevares forsvarlig i pakt med tillatelsene prosjektet har fått.

    Studentprosjekter

    I studentprosjekter er det prosjektleder (veileder) som må sende sluttmelding til NSD når prosjektet er avsluttet. Hvis dette ikke blir gjort, så vil NSD kontakte Høyskolen Kristiania som vil kontakte prosjektleder og be om at sluttmelding sendes inn.

    • Helseforskning

    Forhåndsgodkjenning fra Regionale forskningsetiske komiteer (REK)

    Alle forskningsprosjekter som omfattes av helseforskningsloven skal forhåndsgodkjennes. REK godkjenner søknader hjemlet i forskningsetikkloven og helseforskningsloven, se også avsnittet om godkjenninger.

     

    Fremleggingsvurdering: Hvis du er usikker på om prosjektet må forhåndsgodkjennes av REK, kan du sende inn en fremleggingsvurdering, den gir REK et grunnlag for videre veiledning.

    Disse prosjektene skal REK forhåndsgodkjenne

    • Prosjektsøknad: Søknad om forhåndsgodkjenning av medisinske og helsefaglige forskningsprosjekter
    • Generell biobank: Søknad om godkjenning av generell biobank
    • Dispensasjon fra taushetsplikt annen forskning: Søknad om dispensasjon annen forskning

    Oppgi din Cristin-ID når du søker REK

    • Finn din Cristin person-ID og lagre den på ditt personkort i REK. CRIStin-ID må registreres på ditt personkort i REK’s søknadsportal før søknad sendes inn til REK.
    • Når/ hvis prosjektet blir godkjent av REK, så vil prosjekt automatisk bli opprettet i CRIStin (via SPREK-portalen som er REKs register over REK-godkjente forskningsprosjekter). Prosjektlederen får samtidig en e-post med lenke til prosjektet. Det må ikke opprettes dubletter av REK-godkjente prosjekter i CRIStin.
    • Endringer i det REK-godkjente prosjektet må registreres i CRIStin, slik at REK har tilgang til endringene.

    Slik redigerer du et helseprosjekt fra REK i Cristin

     

    Her finner du mer informasjon om REKs godkjenninger


    Send sluttmelding til REK

    Når prosjektet er avsluttet skal prosjektleder sende sluttmelding til REK på eget skjema. Informasjon om skjemaet finner du i saksportalen til REK.

    Helseforskning og meldeplikt til NSD

    GDPR tilsier at all behandling av persondata må ha et behandlingsgrunnlag i personvernforordningen. At prosjektet er registrert hos REK er ikke noe unntak for registrering hos NSD.

     

    Kliniske forsøk skal registreres i ClinicalTrials

    Kliniske forsøk skal før studien er begynt registreres hos clinicaltrials.gov. Senere registrering aksepteres ikke. Formålet med registeret er bl.a. å gi oversikt over og åpenhet rundt pågående kliniske studier for pasienter, helsepersonell, myndigheter og forskningsmiljøer. De fleste medisinskfaglige tidsskrifter krever slik registrering for å publisere resultater fra kliniske forsøk. Mer om Clinical Trials hos ICMJI.

    Offentlig registrering av kliniske forsøk skal bidra til større grad av åpenhet rundt pågående kliniske studier, og dermed øke deltakelsen i kliniske studier og gi muligheter for tilgang til utprøvende sykdomsbehandling. Helseforskningsloven kapittel 8, §39, tydeliggjør at den forskningsansvarlige og prosjektleder har ansvar for å sørge for åpenhet rundt forskningen.

    Befolkningsbaserte helseundersøkelser

    Forskrift om befolkningsbaserte helseundersøkelser regulerer innsamling og annen behandling av helseopplysninger og humant biologisk materiale i befolkningsbaserte helseundersøkelser. §1-2 skisserer forskriftens virkeområde.

    • Vurdering av personvernkonsekvenser 

    Risiko- og sårbarhetsanalyse (ROS-vurdering)

    Før prosjektet behandler personopplysninger, skal det gjennomføres en risiko- og sårbarhetsanalyse (ROS-vurdering), for å kartlegge om informasjonssikkerheten er forsvarlig, og eventuelt hvilke tiltak som må foretas for at informasjonssikkerheten skal bli forsvarlig. ROS-vurderingen skal også bidra til å forebygge uønskede hendelser eller mangler ved behandlingen av personopplysningene.

    Sentrale forhold som vurderes i en ROS-vurdering er prosjektets omfang, opplysningenes følsomhet, trusselbildet knyttet til miljøet opplysningene bearbeides og lagres i, og prosjektets varighet.

    Viktig: I prosjekter som bruker eksterne databehandlere, må disse inngå databehandleravtale med den behandlingsansvarlige institusjonen. Den behandlingsansvarlige institusjonen må da ha foretatt en ROS-vurdering av prosjektet før databehandleravtalene signeres – ellers vil ikke databehandleravtalene være gyldige.

    Personvernkonsekvensvurdering (Data Protection Impact Assesment – DPIA)

    Personvernforordningen, artikkel 35, krever at det foretas en personvernkonsekvensvurdering i forkant av prosjekter av spesielt inngripende karakter. Eksempelvis prosjekter der det behandles særlige kategorier av personopplysninger i stor skala.

    En personvernkonsekvensutredning skal alltid utarbeides i samarbeid med institusjonens ledelse, personvernombudet og prosjektleder.

    Forhåndsdrøftelse med Datatilsynet

    Personvernforordningen, artikkel 36 krever at det foretas en forhåndsdrøftelse med Datatilsynet i tilfeller hvor man har gjennomført en vurdering av personvernkonsekvenser (DPiA), men likevel mener at behandlingen kan medføre en høy risiko for de registrertes rettigheter og friheter.

    Les mer om forhåndsdrøftelser med Datatilsynet.

    • Ansvar og oppgaver

    Prosjektleder for et forskningsprosjekt

    Nedenfor listes noen sentrale punkter over hvilke ansvar som må ivaretas av prosjektleder, eller en prosjektmedarbeider som prosjektleder delegerer oppgaven til. Det er ikke sikkert at alle punktene vil være aktuelle i alle prosjekter. Det må vurderes i hvert enkelt tilfelle: 

    • Jamfør prinsippet om dataminimering, skal prosjektleder vurdere hvilke data som er adekvate og relevante for prosjektets formål, og begrense datainnsamlingen til disse data.
    • Prosjektleder skal vurdere om forskningsprosjektet kan gjennomføres uten at det samler inn og behandler personopplysninger.
    • Prosjektleder skal vurdere om forskningsprosjektet omfattes av personvernforordningen slik at det er meldepliktig til Norsk senter for forskningsdata (NSD).
    • Hvis forskningsprosjektet skal behandle personopplysninger, så skal prosjektleder sende melding til NSD senest 30 dager før behandlingen skal starte.
    • Prosjektleder skal informere sin forskningsansvarlig og Avdeling for forskningsadministrasjon og internasjonalisering før søknad til NSD eller melding til REK sendes inn, og kunne legge frem søknad og meldeskjema dersom forskningsansvarlig ber om det.
    • Prosjektleder skal sørge for tilgangsstyring dersom det er behov for konfidensialitet ved behandling av personopplysninger i prosjektet.
    • Prosjektleder skal sørge for at relevante og nødvendige dokumentasjonskrav ivaretas i prosjektet.
    • Hvis NSD anbefaler at det foretas en personvernkonsekvensvurdering (DPIA) etter personvernforordningens artikkel 35, så har prosjektleder ansvar for å involvere Høyskolen Kristianias ledelse og personvernombud, og se til at det blir gjennomført en DPIA før prosjektoppstart. NSD kan også utføre en DPiA (se avsnittet NSD bistår), men det koster penger, og må derfor være godkjent av ledelsen.
    • Prosjektleder lager en datahåndteringsplan for databehandlingen i prosjektet. Bruk NSDs digitale datahåndteringsplan
    • Prosjektleder skal vurdere om forskningsprosjektet omfattes av helseforskningsloven slik at det er meldepliktig til Regional komite for medisinsk og helsefaglig forskningsetikk (REK).
    • Hvis prosjektet omfattes av helseforskningsloven, så skal prosjektleder sende søknad om forhåndsgodkjenning til Regional komite for medisinsk og helsefaglig forskningsetikk (REK).
    • Hvis prosjektet omfatter kliniske forsøk – så skal prosjektleder registrere det i ClinicalTrials.
    • Prosjektleder skal utarbeide samtykkeerklæring og informasjonsskriv til forskningsprosjektet.
    • Prosjektleder skal sende sluttmelding til NSD når prosjektet er avsluttet – dersom prosjektet har vært meldt inn dit.
    • Prosjektleder skal sende sluttmelding til REK når prosjektet er avsluttet – dersom prosjektet har vært meldt inn dit.
    • Prosjektleder skal forsvarlig eliminere alle data når prosjektet er avsluttet.

    Veileder og student for et studentprosjekt

    Veileder fungerer som prosjektleder i studentprosjekter på bachelor-/masternivå, og skal gi studenten nødvendig opplæring i personvern, forskningsetikk og informasjonssikkerhet før studenten påbegynner sitt studentprosjekt.

    Nedenfor listes noen sentrale punkter over hvilke ansvar som må ivaretas. Det er ikke sikkert at alle punktene vil være aktuelle i alle studentprosjekter. Det må vurderes i hvert enkelt tilfelle:

    • Jamfør prinsippet om dataminimering, skal studenten – under veiledning av sin veileder – vurdere hvilke data som er adekvate og relevante for prosjektets formål, og begrense datainnsamlingen til disse data.
    • Studenten skal – under veiledning av sin veileder – vurdere om studentprosjektet kan gjennomføres uten at det behandler personopplysninger.
    • Studenten skal – under veiledning av sin veileder – vurdere om studentprosjektet kan bruke data fra SSB/NSD/no.
    • Studenten skal – under veiledning av sin veileder – vurdere om studentprosjektet omfattes av personvernforordningen slik at det er meldepliktig til NSD.
    • Hvis studentprosjektet skal behandle personopplysninger, så skal studenten, under veiledning av sin veileder, sende melding til Norsk senter for forskningsdata (NSD) senest 30 dager før behandlingen skal starte.
    • Hvis studenten skal behandle personopplysninger, så skal studenten – under veiledning av sin veileder – foreta en risikovurdering av prosjektets informasjonssikkerhet. Dette for å forebygge uønskede hendelser eller mangler ved behandlingen av personopplysningene som kan ha konsekvenser for forskningsdeltakerne. Risikovurderingen skal være dokumenterbar. Bruk ROS-skjema fra sikresiden.no: MAL for risikovurdering av personopplysninger.docx.
    • Studenten har taushetsplikt om personopplysninger som behandles i et studentprosjekt:
      • De nasjonale forskningsetiske komiteers generelle forskningsetiske retningslinjer 5 Konfidensialitet
      • UH-lovens 4-6 Studentens taushetsplikt
        Unntaket fra denne taushetsplikten er hvis man kommer over forhold hvor man har en rettslig plikt til å avverge alvorlige straffbare handlinger. Det er svært usannsynlig at studenter vil motta opplysninger av en slik art, men skulle det skje, så skal studenten umiddelbart søke råd hos sin veileder.
    • Studentprosjekter skal aldri være av en slik art at det er nødvendig å gjennomføre en vurdering av personvernkonsekvensvurdering (DPIA) etter personvernforordningens artikkel 35. Veileder har ansvar for å gi studenten tydelig informasjon om dette.
    • Veileder er forpliktet til å vurdere om et foreslått studentprosjekt omfattes av helseforskningsloven. Hvis prosjektet er omfattet av helseforskningsloven, vil ikke dette kunne gjennomføres uten at det er en del av et større forskningsprosjekt.
    • Ved Høyskolen Kristiania skal studentprosjekter som krever godkjenning av REK normalt være en del av et større forskningsprosjekt ledet av forskere ved høyskolen eller godkjente prosjekter ved annen institusjon. Kliniske forsøk skal være registrert hos ClinicalTrials.
    • Studenten skal – under veiledning av sin veileder – utarbeide samtykkeerklæring og informasjonsskriv til sitt studentprosjekt.
    • Studenten skal sende sluttmelding til NSD – dersom prosjektet har vært meldt inn dit.
    • Studenten skal under ledelse av sin veileder, forsvarlig eliminere alle data som har vært behandlet ifbm. prosjektet.