Personvern
Forskningsaktivitet som behandler personopplysninger må følge gjeldende regelverk for personvern i forskning.
Høyskolen Kristiania har et institusjonelt ansvar for å tilrettelegge for og påse at krav til personvern er ivaretatt. Flere kontaktpersoner kan gi råd og veiledning.
Ta kontakt med din forskningsrådgiver eller forskadm@kristiania.no om du har et spørsmål knyttet til et pågående forskningsprosjekt eller en prosjektsøknad.
Kristianias personvernombud kan kontaktes på mail personvernombud@kristiania.no hvis du har generelle spørsmål om personvern.
Personvern
- Hva er personopplysninger?
Opplysninger som direkte eller indirekte kan identifisere en person. Direkte personidentifiserende opplysninger er navn, personnummer, e-postadresse, telefonnummer, IP-adresse, bilde, stemmeopptak eller andre personlige kjennetegn. Indirekte personidentifiserende opplysninger er bakgrunnsopplysninger som kan gjøre det mulig å spore opplysningene tilbake til en enkeltperson, for eksempel bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, nasjonalitet, etc.
Forskningsprosjekter som skal behandle personopplysninger må meldes til SIKT – Kunnskapssektorens tjenesteleverandør før innsamlingen av personopplysninger kan starte.
Hva er særskilte kategorier av personopplysninger?
En spesiell kategori av personopplysninger, også kalt «sensitive personopplysninger», krever ekstra beskyttelse ifølge loven.
Dette gjelder opplysninger om:
- rasemessig eller etnisk opprinnelse
- politisk oppfatning
- religion
- filosofisk overbevisning
- fagforeningsmedlemskap
- genetikk
- biometri (når behandlingsformålet er å entydig identifisere noen)
- helse
- seksuelle forhold
- seksuell legning
I utgangspunktet er det ikke lov å behandle særskilte kategorier av personopplysninger. Unntak kan gjøres der det foreligger et særskilt grunnlag i tillegg til behandlingsgrunnlaget for å behandle denne typen opplysninger.Forskningsprosjekter som skal behandle særskilte kategorier personopplysninger må meldes til SIKT og eventuelt trenger REK godkjenning. Ta kontakt med Avdeling for forskningsadministrasjon og internasjonalisering for videre veiledning.
Hva er det relevante regelverk for personvern i Norge?
Fra juli 2018 ble EUs personvernforordning (The General Data Protection Regulation - GDPR) implementert som norsk lov.
I tillegg inneholder Lov om behandling av personopplysninger (også kalt Personopplysningsloven) bestemmelser som tilpasser eller supplerer GDPR-forordningen på områder der Norge kan fastsette nasjonale regler.
Hva betyr «behandling» av personopplysninger?
Behandling betyr å samle inn, registrere, oppbevare og eventuelt sammenstille og utlevere personopplysninger. Den registrerte (informant eller respondent) skal ha gitt sitt informerte samtykke (jf informasjonsskriv og samtykke) før behandlingen av personopplysninger kan starte.
Hvem er databehandlingsansvarlig?
Den behandlingsansvarlige er den institusjon/bedrift/annen juridisk person (representert ved øverste ledelse) som bestemmer formålet med behandlingen av personopplysninger, og hvilke hjelpemidler som skal brukes.
- Prosjekter som behandler anonyme data gjennom hele forskningsprosessen, skal ikke meldes inn til SIKT. For at data skal kunne anses som anonyme, må de ikke kunne knyttes til personopplysninger via en kode eller koblingsnøkkel.
Når er data anonyme?
Data som ikke på noe vis kan brukes til å identifisere enkeltpersoner:
- hverken direkte gjennom navn eller personnummer
- indirekte gjennom bakgrunnsvariabler
- eller gjennom navneliste/ koblingsnøkkel eller krypteringsformel og kode
Et datamateriale er altså ikke anonymt dersom det bare er det som publiseres i den ferdige rapporten, artikkelen, masteroppgaven eller lignende som er anonymisert. Rådata må også være anonyme.
Her er noen fremgangsmåter som kan benyttes:
- Ved intervju og observasjon registreres data kun i form av notater (ikke lydopptak). Påse at det ikke registreres noen navn eller personidentifiserende bakgrunnsopplysninger i datamaterialet.
- Spørreskjemaer innhentes i papirform, uten navn og indirekte identifiserende opplysninger.
- For at bruk av nettbaserte spørreskjemaikke skal omfattes av loven, må man forsikre seg om at IT-løsningen er fullstendig anonym (bl.a. at respondentens epost-/IP-adresse ikke på noe tidspunkt kan knyttes til spørreskjemaet), og at selve spørreskjemaet ikke inneholder spørsmål om identifiserende opplysninger. NB! Alle ansatte og studenter ved Høyskolen Kristiania kan bruke Nettskjema som tilbyr en anonym løsning.
- Registerdata og journaldata kan brukes uten SIKT-melding så lenge det kun er anonyme data som hentes ut. Opplysningene må ikke kunne tilbakeføres til enkeltpersoner på noen måte. Det finnes en rekke anonyme registerdata tilgjengelig på nett, bl.a. hos SSB og SIKT.
Hva betyr prinsippet om dataminimering?
Dataminimering er et juridisk personvernprinsipp som begrenser innsamling av personopplysninger til det som er nødvendig for formålet Som forsker skal du bare innhente opplysninger som er relevante og nødvendige for forskningsformålet ditt (Personopplysningslovens, artikkel 5, del 1C). Tenk derfor nøye igjennom om det er nødvendig å innhente personopplysninger for å gjøre prosjektets undersøkelser. Kan anonyme data, dvs. opplysninger som verken direkte eller indirekte kan spores tilbake til individer, tjene prosjektets formål like godt?
Høyskolen Kristiania anbefaler også at prosjektledere samordner innhentingen og legger til rette for gjenbruk av data (Open Science).
- Lag en datahåndteringsplan
En datahåndteringsplan (Data Management Plan - DMP på engelsk) beskriver hvem som er prosjektleder, prosjektnavn, prosjektperioden og viktig informasjon om dataene. Det skal beskrives hvordan og hvilke data som vil bli samlet inn, lagret, bearbeidet og anvendt av hvem mens et forskningsprosjekt pågår, samt lagringssted, lagringstidsrom, og hva som vil skje med dataene etter at prosjektet er avsluttet (om data vil bli slettet/ arkivert/ tilgjengeliggjort).
Høyskolen Kristiania har en plan om å bruke informasjonen i datahåndteringsplanen til å holde oversikt over institusjonens dataregistre. Dette er viktig for å sikre at datalagring følger GDPR, og for å sørge for at data kan tilgjengeliggjøres og samordnes mellom prosjekter, og at eksisterende data gjenbrukes (jf Open Science).
- SIKTs digitale datahåndteringsplan kan redigeres og deles digitalt. Ta kontakt med Avdeling for forskningsadministrasjon og internasjonalisering for veiledning.
- Prosjekter med finansiering fra EU skal følge anvisningen om datahåndtering i Participant Portal H2020 Online Manual.
Har du planer om å dele innsamlede data med partnere utenfor Høyskolen Kristiania? Vær oppmerksom på at deling og behandling av data er lovregulert. Vennligst ta kontakt med Avdeling for forskningsadministrasjon og internasjonalisering for viktige råd.
Utform informasjonsskriv og samtykkeerklæring
Skal du gjennomføre intervjuer, distribuere et spørreskjema, eller bruke andre metoder for å innhente personopplysninger til et forskningsprosjekt, må du som regel informere informanten (prosjektdeltakeren) i forkant. Dette gjelder bl.a. prosjektets formål, metoder, hvilke opplysninger som blir samlet inn, og prosjekts varighet. Les mer om informasjonsskrivets innhold på SIKTs nettside.
Etter at informanten har lest informasjonsskrivet, skal vedkommende vurdere fritt om hen ønsker å delta i forskningsprosjektet. Det skal ikke forskes på individer eller grupper uten at disse uttrykkelig har avgitt sitt frivillige og informerte samtykke til å delta i forskningen.
Informasjonsskrivet og samtykkeerklæringen skal være formulert i et klart og enkelt språk som kan oppfattes av mottakerne. Samtykket som forskningsdeltakeren avgir, må være dokumenterbart for ettertiden, noe som i de fleste tilfeller krever en skriftlig signatur på en samtykkeerklæring.
Bruk Høyskolens Kristianias maler til informasjonsskriv og samtykkeerklæring.
Vurder om du trenger å gjennomføre en DPIA eller ROS-analyse
Noen forskningsprosjekter trenger å gjennomføre personvernkonsekvensvurdering (DPIA) eller risiko- og sårbarhetsanalyse (ROS-analyse).
Nødvendigheten av å gjennomføre disse analysene vil avhenge av forskningsprosjektets spesielle egenskaper.
For eksempel må et forskningsprosjekt som skal behandle særlige kategorier av personopplysninger gjennomføre en DPIA (Personvernforordningen, artikkel 35).
For noen forskningsprosjekter er det anbefalt å kartlegge sannsynligheten og konsekvenser av uønskede hendelser, en såkalt ROS-analyse. Dette favner bredere enn personvernkonsekvensvurderingen, da ROS-analysen også kan inkludere spørsmål om infrastruktur, budsjett, tilgjengelige databaser, personlig sikkerhet, osv.
For mer informasjon og veiledning se avsnittet om «Vurdering av personvernkonsekvenser og risikoer».
Meld behandling av personopplysninger til Kunnskapsektorens tjenesteleverandør (SIKT)
Prosjekter som skal behandle personopplysninger må meldes til SIKT. Meldeplikten gjelder selv om du ikke skal publisere personopplysninger. Behandlingen gjelder fra datainnsamlingen starter til resultatene er publisert. Her melder du inn prosjektet til SIKT.
Tips:
- Ta meldeplikttesten hos SIKThvis du er usikker på om prosjektet ditt er meldepliktig.
- Les SIKTs tips for å redusere vurderingstiden. For komplekse prosjekter kan vurderingen ta lengre tid.
SIKTs kontaktperson
SIKTs kontaktperson ved Høyskolen Kristiania er den som har det daglige ansvaret for riktig og forsvarlig etterlevelse av lovens bestemmelser om informasjonssikkerhet og internkontroll i prosjektet. Kontaktpersonen må være ansatt ved behandlingsansvarlig institusjon.
- I forskerprosjekter (inkludert ph.d.-prosjekter) er prosjektleder kontaktperson.
- I studentoppgaver (bachelor eller master) skal veileder (eventuelt biveileder eller fagansvarlig ved studiestedet) være kontaktperson. Studenten selv kan ikke være kontaktperson.
Innsamling av persondata i utlandet
Forskere og studenter ved en institusjon i Norge som samler inn personopplysninger i utlandet, skal melde forskningsprosjekter til SIKT på samme måte som ved datainnsamling i Norge.
- Meld endringer til SIKT
Når det har vært endringer som gjelder behandling av personopplysninger i forskningsprosjektet etter at SIKT har vurdert det, er det nødvendig å melde fra og få en ny vurdering.
Mer informasjon om hvilke endringer skal meldes eller ikke meldes finner du her.
Anonymisering av datamaterialet
Anonymisering innebærer en bearbeiding som gjør at ingen enkeltpersoner kan gjenkjennes i datamaterialet som du sitter igjen med. Dette inkluderer forskeren selv. Du må altså vurdere datamaterialet ditt og ta stilling til hvilke opplysninger som du må fjerne eller skrive om.
Vanligvis innebærer anonymisering å slette:
- direkte identifiserende opplysninger (inkludert koblingsnøkkel/ navneliste)
- indirekte identifiserende opplysninger (eventuelt kan disse omarbeides for eksempel ved å grovkategorisere variabler som alder, bosted, skole e.l.)
- lydopptak, bilder og videoopptak (eventuelt redigere/sladde)
Dersom du benytter en databehandler, må databehandleren også slette identifiserende opplysninger.
Personopplysninger og helseopplysninger skal ikke oppbevares lenger enn det som er nødvendig for å gjennomføre forskningsprosjektet. Når prosjektet avsluttes, er prosjektleder ansvarlig for at forskningsdata slettes eller anonymiseres dersom ikke REK/SIKT har godkjent langtidslagring.
Du har som regel lov til å oppbevare et anonymt datamateriale etter prosjektslutt, siden personopplysningsloven ikke gjelder for anonyme opplysninger. Du må imidlertid forsikre deg om at du har omarbeidet datamaterialet tilstrekkelig til at ingen enkeltpersoner kan gjenkjennes. Det finnes tilfeller der du likevel skal slette hele datamaterialet. Dette gjelder for eksempel dersom du selv har lovet utvalget å slette datamaterialet, eller når dataeiere, som for eksempel SSB, pålegger deg å slette hele datamaterialet ved prosjektslutt.
Merk at det ikke kreves at du skal slette personopplysninger i publikasjonen/ oppgaven. Dersom du har en vitenskapelig begrunnelse for det, og du har innhentet samtykke til det fra deltakerne, kan personopplysninger som regel publiseres. Se også Datatilsynets veileder til anonymisering.
- Anonymisering av data
Prosjektleder skal vurdere om personopplysningene anonymiseres ved prosjektavslutning. Behandling av anonymiserte data er ikke omfattet av personvernoverordning og kan derfor bli lagret og bevart for gjenbruk (Open Science og FAIR-prinsippene)
Sletting av data
Prosjektleder skal ved prosjektslutt sørge for at personopplysningene slettes hvis det ikke er krav om oppbevaring utover prosjektperioden, f.eks. ved forhåndsgodkjenning fra REK, etter lov eller fra ekstern finansiør av forskningen.
Krav om sletting gjelder all informasjon der forskningsdeltakerens identitet fremkommer direkte eller indirekte.
Sluttmelding til SIKT
Prosjektleder skal sende sluttmelding til SIKT/REK når prosjektet er avsluttet og eventuelt bekrefte at personopplysningene er anonymisert eller slettet. Ved avslutning av en studentoppgave skal dette gjøres umiddelbart etter sensur.
- Studentoppgaver (både på bachelor- og master nivå) må følge de samme prinsippene som gjelder for forskningsprosjekter.
Nedenfor listes noen sentrale punkter over hvilket ansvar studentene har, basert på Interne retningslinjer for innsamling av data i studentoppgaver (vedtatt i rektoratet 22.11.2021). Studenten skal vurdere i hvilke tilfeller disse vil være aktuelle.
- Studenten skal ikke samle inn personopplysninger i studentoppgaver slik at meldeplikten til SIKT skal unngås.
- Studenten skal – under veiledning av sin veileder – lære å samle inn anonyme data. Dette betyr at studenten bla. skal:
- Ikke ta lydopptak ved intervju. Stemme er en personopplysning.
- Kunne gjennomføre intervju på telefon eller zoom uten å ta opp samtalen, eller notere personopplysninger.
- Bruke nettskjema med anonyme innstillinger.
- Vurdere å bruke anonyme data tilgjengelig ved eksisterende databaser (som f.eks. SSB, SIKT, etc.)
- Studenten skal aldri samle inn helseinformasjon eller andre særlige kategorier av personopplysninger som for eksempel krever REK-godkjenning og bruk av Tjeneste for lagring av sensitive data (TSD). Dette gjelder også dersom materialet og opplysninger senere skal anonymiseres.
- Studenten skal – under veiledning av sin veileder – følge FAIR-prinsippene som tilsier at forskningsdata skal være bla. gjenfinnbare, tilgjengelige og mulig å gjenbruke.
- Studenten skal – sammen med sin veileder – vurdere om studentoppgaven kan være delprosjekt i større forskningsprosjekter som inkluderer personopplysninger eller helseinformasjon.
Unntaksvis kan personopplysninger samles inn i masteroppgaver. Veilederen må godkjenne unntaket. I dette tilfelle er studenten ansvarlig for:
- Studenten skal – under veiledning av sin veileder – vurdere hvilke data som er adekvate og relevante for prosjektets formål, og begrense datainnsamlingen til disse data (prinsippet om dataminimering).
- Studenten skal – under veiledning av sin veileder – utarbeide en datahåndteringsplan, og foreta en risikovurdering av prosjektets informasjonssikkerhet.
- Studenten skal – under veiledning av sin veileder – utarbeide samtykkeerklæring og informasjonsskriv til sin studentoppgave.
- Studenten skal - under veiledning av sin veileder - sende melding til Kunnskapssektoren tjenesteleverandør (SIKT) senest 30 dager før behandlingen skal starte. Studenten skal oppføre veilederen som kontaktperson mot SIKT.
- Studenten skal aldribehandle særlige kategorier av personopplysninger. Dermed skal det ikke være nødvending å gjennomføre en vurdering av personvernkonsekvensvurdering (DPIA), eller melde prosjektet til REK.
- Studenten har taushetsplikt om personopplysninger som behandles i en studentoppgave. Se de nasjonale forskningsetiske komiteenes generelle forskningsetiske retningslinjer 5 og UH-lovens 4-6 Studentens taushetsplikt.
Unntaket fra denne taushetsplikten er hvis man kommer over forhold hvor man har en rettslig plikt til å avverge alvorlige straffbare handlinger. - Når studentoppgaven er ferdig, skal studenten be veilederen - som er kontaktperson mot SIKT – om å sende sluttmelding til SIKT dersom studentoppgaven har vært meldt inn dit.
- Studenten skal – under veiledning av sin veileder – vurdere om personopplysningene anonymiseres eller slettes hvis det ikke er krav om oppbevaring utover prosjektperioden.
- Veileder i studentoppgaver skal gi studenten nødvendig opplæring i personvern, forskningsetikk og informasjonssikkerhet før studenten begynner på sin studentoppgave.
- Veileder skal lære opp studenter i å samle inn anonyme data. Anonym helseinformasjon kan samles inn, men veileder må påse at studenten utviser varsomhet når alvorlige helseutfordringer adresseres.
- Veileder er forpliktet til å vurdere om en foreslått studentoppgave omfattes av helseforskningsloven. Hvis prosjektet er omfattet av helseforskningsloven, vil ikke dette kunne gjennomføres uten at det er en del av et større forskningsprosjekt.
- Ved Høyskolen Kristiania skal studentoppgaver aldri behandle særlige kategorier av personopplysninger, inkludert helseopplysninger. Veilederen må være oppmerksom på at studentoppgaver ikke skal kreve godkjenning av REK, registrering i databasen for ClinicalTrials, eller bruk av lagringsfasiliteten for sensitive data (TSD). Det skal heller ikke være nødvending å gjennomføre en personvernkonsekvensvurdering (DPIA). Veileder har ansvar for å gi studenten tydelig informasjon om dette.
- Veileder kan unntaksvis godkjenne at en studentoppgave inkluderer innhenting av personopplysninger. Dette gjelder ikke for innhenting av særlige kategorier av personopplysninger (inkl. helseopplysninger), som ikke er tillatt.
Hvis veileder godkjenner at en studentoppgave inkluderer innhenting av personopplysningerer er veileder ansvarlig for:
- Veilede studenten om prinsippet om dataminimering (begrense innhentingen av unødvendig data).
- Veilede studenten om utarbeidelse av en datahåndteringsplan, og risikovurdering av prosjektets informasjonssikkerhet.
- Veilede studenten om utarbeidelse av en samtykkeerklæring og informasjonsskriv til studentoppgaven.
- Påse at studenten har meldt prosjektet til SIKT og oppført veilederen som kontaktperson senest 30 dager før databehandlingen skal starte.
- Veilede studenten om taushetsplikt innen forskningsprosjekter. Se de nasjonale forskningsetiske komiteenes generelle forskningsetiske retningslinjer 5 og UH-lovens 4-6 Studentens taushetsplikt.
Unntaket fra denne taushetsplikten er hvis man kommer over forhold hvor man har en rettslig plikt til å avverge alvorlige straffbare handlinger. - Ved prosjektavslutning vurdere sammen med studenten om personopplysningene kan anonymiseres eller må slettes hvis det ikke er krav om oppbevaring utover prosjektperioden.
- Påse at studenten sender sluttmelding til SIKT når prosjektet er avsluttet. Hvis dette ikke blir gjort, vil dette medføre en avviksmelding for Høyskolen Kristiania.
- Her er en oversikt over hvilket ansvar prosjektleder har. Enkelte oppgaver kan delegeres til en prosjektmedarbeider.
Alle punktene er ikke aktuelle i alle prosjekter, men må vurderes i hvert enkelt tilfelle:
- Prosjektleder skal vurdere om forskningsprosjektet kan gjennomføres uten at det inkluderer personopplysninger.
- Prosjektleder skal vurdere hvilke data som er adekvate og relevante for prosjektets formål, og begrense datainnsamlingen til disse data (prinsippet om dataminimering). Høyskolen Kristiania anbefaler at prosjektledere samarbeider om og koordinerer innsamlingen av data for flere prosjekter.
- Prosjektleder skal vurdere om forskningsprosjektet omfattes av Personvernforordningen slik at det er meldepliktig til Kunnskapssektorens tjenesteleverandør (SIKT).
- Hvis forskningsprosjektet skal behandle personopplysninger, skal prosjektleder sende melding til SIKT senest 30 dager før behandlingen skal starte.
- Prosjektleder lager en datahåndteringsplan for databehandlingen i prosjektet. Bruk SIKTs digitale datahåndteringsplan, og ta kontakt med Avd. forskningsadministrasjon og internasjonalisering dersom du trenger hjelp.
- Prosjektleder skal informere sin Prodekan for forskning og Avd. forskningsadministrasjon og internasjonalisering før søknad til SIKT eller melding til REK sendes inn, og kunne legge frem søknad og meldeskjema dersom forskningsansvarlig ber om det.
- Prosjektleder skal sørge for tilgangsstyring til dataene dersom det er behov for konfidensialitet ved behandling av personopplysninger i prosjektet.
- Prosjektleder skal sørge for at relevante og nødvendige dokumentasjonskrav ivaretas i prosjektet.
- Hvis SIKT anbefaler at det foretas en personvernkonsekvensvurdering (DPIA) etter personvernforordningens artikkel 35, så har prosjektleder ansvar for å involvere sin Prodekan for forskning, Avd. forskningsadministrasjon og internasjonalisering og personvernombud, og se til at det blir gjennomført en DPIA før prosjektoppstart. Ansatte ved Høyskolen Kristiania har gratis tilgang til DRAFTIT sin digitale løsning for DPIA. SIKT kan også utføre en DPiA mot betaling, noe som må være godkjent av Prodekan for forskning.
- Prosjektleder skal vurdere om forskningsprosjektet omfattes av Helseforskningsloven slik at det er meldepliktig til Regional komite for medisinsk og helsefaglig forskningsetikk (REK).
- Hvis prosjektet omfattes av Helseforskningsloven, så skal prosjektleder sende søknad om forhåndsgodkjenning til Regional komite for medisinsk og helsefaglig forskningsetikk (REK).
- Hvis prosjektet omfatter kliniske forsøk – så skal prosjektleder registrere prosjektet på nettsiden for ClinicalTrials.gov. Mer informasjon om dette i avsnittet «Helseforskning».
- Prosjektleder skal utarbeide samtykkeerklæring og informasjonsskriv til forskningsprosjektet.
- Prosjektleder skal sende sluttmelding til SIKT når prosjektet er avsluttet – dersom prosjektet har vært meldt inn dit.
- Prosjektleder skal sende sluttmelding til REK når prosjektet er avsluttet – dersom prosjektet har vært meldt inn dit.
- Prosjektleder skal forsvarlig slette alle data når prosjektet er avsluttet.
- Kunnskapssektorens tjenesteleverandør (SIKT)
SIKThar tilgang til tusenvis av datasett som du kan be om tilgang til. Noen datasett er også tilgjengelige online. Les mer på SIKTs søkeportal.
Microdata.no
Microdata.no er et nettsted underlagt SIKT som tilrettelegger for å bruke registerdata til forskning. Høyskolen Kristiania abonnerer på microdata.no og har rett til å melde inn brukere etter noen vilkår.
Brukere må være Kristianias ansatte eller mastergrads- og doktorgradsstudenter. Disse kan bruke microdata.no til å utarbeide statistiske resultater og analyser. Innmelding og tilgang for ansatte gjelder i 24 måneder, mens for mastergrads- og doktorgradsstudenter gjelder innmeldingen i 12 måneder.
Ansatte bør ta kontakt med Avdeling for forskningsadministrasjon og internasjonalisering for videre administrativ veiledning.
Mastergradsstudenter skal få veiledning fra veilederen sin.
Statistisk sentralbyrå (SSB)
Statistisk sentralbyrå (SSB) låner ut mikrodata til forskningsprosjekter (mot betaling), og har data knyttet til personer, virksomheter og foretak. Les mer på SSBs nettsider.
- Forskere og studenter som forsker på informasjon som er gjort tilgjengelig på internett, må melde prosjektet til SIKT dersom de behandler personopplysninger.
Eksempler
Behandling av personopplysninger kan for eksempel være:
- Å lagre skjermbilder/dokumenter fra åpne eller lukkede diskusjonsfora som inneholder brukernavn på diskusjonsdeltakerne.
- Å anvende direkte sitater fra nettsider. Sitater er søkbare, og vil på den måten peke tilbake til identifiserbare personer.
Dataminimering og personvernulemper
På grunn av den store mengden data som internettforskning gir adgang til, er det viktig å ta spesielle hensyn til hvordan man kan begrense innhentingen av data. Forskere bør reflektere over følgende:
- Hvilke data er ikke nødvendig for å gjennomføre prosjektet, men som sannsynligvis vil bli innhentet sammen med nødvendige data.
- Hvilke tiltak kan gjøres for å minimere slike data.
- Hvilke type fora hentes opplysningene fra, og hvor offentlig anser brukerne disse fora for å være.
- Hvor sensitive er opplysningen og i hvilken grad er de av privat karakter.
- Regnes internettbrukerne som en sårbar gruppe.
Som hovedregel må de registrerte få informasjon om prosjektet, og bes om samtykke til å inngå i studien. Det kan i visse tilfeller innvilges unntak fra dette, for eksempel ved å anse hensyn til allmenhetens interesse som et grunnlag for behandling.
Mer om internettforskning på SIKT sine nettsider.
Internettforsking innebærer også flere etiske utfordringer. For mer informasjon om dette se NESH sin Forskningsetisk veileder for internettforskning.
- Forhåndsgodkjenning fra Regionale forskningsetiske komiteer (REK)
Alle forskningsprosjekter som omfattes av helseforskningsloven skal forhåndsgodkjennes av Regional forskningsetisk komité (REK). REK godkjenner søknader hjemlet i forskningsetikkloven og helseforskningsloven.
Fremleggingsvurdering: Hvis du er usikker på om prosjektet må forhåndsgodkjennes av REK, kan du sende inn en fremleggingsvurdering som gir REK et grunnlag for videre veiledning.
Hvordan vurderer jeg om prosjektet mitt må forhåndsgodkjennes av REK?
Prosjekter som skal forhåndsgodkjennes av REK:
- Medisinske og helsefaglige forskningsprosjekter.
- Generelle forskningsbiobanker.
- Dispensasjon fra taushetsplikt med hjemmel i forvaltningsloven §13d og helsepersonelloven §29 1.ledd, for annen type forskning.
Virksomhet som ikke skal søke REK om godkjenning:
- Utprøvende behandling der formålet primært er å gi helsehjelp til en enkelt pasient.
- Kvalitetssikring og evaluering er en del av helsetjenesten. I Helse- og omsorgsdepartementets veileder til helseforskningsloven er kvalitetssikring definert som prosjekter, undersøkelser og evalueringer med formål om å kontrollere at diagnostikk og behandling faktisk gir resultater i tråd med forventningen. Les om kjennetegn som REK legger vekt på ved sin vurdering av kvalitetssikring vs. fremleggingspliktige prosjekter.
- Etablering av helseregistre uten tilknytning til et konkret forskningsprosjekt.
- Teknisk og metodemessig utviklingsarbeid som benytter biologisk materiale uten at det er knyttet noen personopplysninger til materialet.
- Bruk og utlevering av avidentifiserte og/eller anonyme data fra ett eller flere (koblete) sentrale/lovbestemte helseregistre, med mindre annet følger av forskriftene til registrene.
- Bruk av andre anonyme opplysninger og vurderinger om helseforhold. Med anonyme opplysninger menes opplysninger der navn, fødselsnummer og andre person spesifikke kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson. Ansvaret for anonymiseringen ligger hos registereier.
Her finner du mer informasjon om REKs godkjenninger
Hvordan søker man REK?
- I forskningsdokumentasjonssystemet Cristin finner du din person-ID som du skal lagre på ditt personkort i REK. CRIStin-ID må registreres på ditt personkort i REKs søknadsportal før søknad sendes inn til REK.
- Når/ hvis prosjektet blir godkjent av REK, vil prosjektet automatisk bli opprettet i CRIStin (via SPREK-portalen som er REKs register over REK-godkjente forskningsprosjekter). Prosjektlederen får samtidig en e-post med lenke til prosjektet. Det må ikke opprettes dubletter av REK-godkjente prosjekter i CRIStin.
- Endringer i det REK-godkjente prosjektet må registreres i CRIStin, slik at REK har tilgang til endringene. Slik redigerer du et helseprosjekt fra REK i Cristin.
Send sluttmelding til REK
Når prosjektet er avsluttet skal prosjektleder sende sluttmelding til REK på eget skjema. Informasjon om skjemaet finner du i saksportalen til REK.
Helseforskning og meldeplikt til SIKT
GDPR (General Data Protection Regulation) tilsier at all behandling av persondata må ha et behandlingsgrunnlag i personvernforordningen. At prosjektet er registrert hos REK er ikke noe unntak for registrering hos SIKT.
Kliniske forsøk skal registreres i ClinicalTrials
Kliniske forsøk skal registreres i den europeiske portalen for kliniske studier clinicaltrials.gov før studien er begynt. Senere registrering etter studiestart er ikke mulig. Formålet med registeret er bl.a. å gi oversikt over og åpenhet rundt pågående kliniske studier for pasienter, helsepersonell, myndigheter og forskningsmiljøer. De fleste medisinskfaglige tidsskrifter krever slik registrering for å publisere resultater fra kliniske forsøk. Mer om Clinical Trials hos ICMJI.
Offentlig registrering av kliniske forsøk skal bidra til større grad av åpenhet rundt pågående kliniske studier, og dermed øke deltakelsen i kliniske studier og gi muligheter for tilgang til utprøvende sykdomsbehandling. Helseforskningsloven kapittel 8, §39, tydeliggjør at den forskningsansvarlige og prosjektleder har ansvar for å sørge for åpenhet rundt forskningen.
Befolkningsbaserte helseundersøkelser
Forskrift om befolkningsbaserte helseundersøkelser regulerer innsamling og annen behandling av helseopplysninger og humant biologisk materiale i befolkningsbaserte helseundersøkelser. §1-2 skisserer forskriftens virkeområde.
- En risikovurdering er et verktøy for å identifisere uønskede hendelser og risikoen for at disse skal inntreffe.
Prosjektleder skal gjennomføre en risikovurdering før personopplysninger behandles i et forskningsprosjekt. Prosjektlederen skal også gjennomføre risikovurdering hvis endringer kan påvirke informasjonssikkerheten, for eksempel endringer i behandlinger eller trusselbildet.
Det finnes forskjellige typer risikovurderinger:
- Vurdering av risikoer (f.eks. i form av ROS) skal alltid gjennomføres.
- Vurdering av personvernkonsekvenser (Data Protection Impact Assessment – DPIA) skal gjennomføres når loven krever det.
OBS! ROS erstatter ikke DPIA når det er krav om DPIA.
Risiko- og sårbarhetsanalyse (ROS-vurdering)
ROS-vurdering er den mest omfattende risikovurderingen. Før et prosjekt behandler personopplysninger, skal det alltid gjennomføres en risiko- og sårbarhetsanalyse (ROS-vurdering) for å kartlegge om informasjonssikkerheten er forsvarlig, og eventuelt hvilke tiltak som må foretas for at informasjonssikkerheten skal bli forsvarlig. ROS-vurderingen skal også bidra til å forebygge uønskede hendelser eller mangler ved behandlingen av personopplysningene.
Sentrale forhold som vurderes i en ROS-vurdering er prosjektets omfang, opplysningenes følsomhet, trusselbildet knyttet til miljøet opplysningene bearbeides og lagres i, og prosjektets varighet.
Bruk Kristianias mal for ROS-vurdering.
Viktig: I prosjekter som bruker eksterne databehandlere, må disse inngå databehandleravtale med den behandlingsansvarlige institusjonen. Den behandlingsansvarlige institusjonen må da ha foretatt en ROS-vurdering av prosjektet før databehandleravtalene signeres – ellers vil ikke databehandleravtalene være gyldige.
Personvernkonsekvensvurdering (Data Protection Impact Assessment – DPIA)
Personvernforordningen artikkel 35, krever at det foretas en konsekvensvurdering av personvernet i forkant av prosjekter av spesielt inngripende karakter. Eksempelvis prosjekter der det behandles særlige kategorier av personopplysninger i stor skala, behandling av helseopplysninger for forskningsformål uten den registrertes samtykke, osv.
Les mer om når DPIA skal gjennomføres. I grensesituasjoner når en prosjektleder bestemmer seg for ikke å gjennomføre en DPIA, må prosjektlederen begrunne denne avgjørelsen.
En konsekvensutredning av personvernet skal alltid utarbeides i samarbeid med Prodekan for forskning, Kristianias personvernombud, Avdeling for forskningsadministrasjon og internasjonalisering og prosjektleder.
Alle ansatte ved Høyskolen Kristiania kan bruke DRAFTITs digital løsning for å få en personvernkonsekvensvurdering (DPIA) og pre-DPIA uten kostnader. Dersom du ikke har tilgang til DPIA-modulen i Draftit, kan du sende en e-post til personvernombud@kristiania.no. Videopplæring om DPIA i Draftit er publisert i mappen «GDPR» på Kristianias Intranettet, «Viktige verktøy».
Les mer om hvordan DPIA gjennomføres her. Datatilsynet har laget en utførlig sjekkliste som tar for seg hva man bør tenke på ved gjennomføring av DPIA (pdf)
Forhåndsdrøftelse med Datatilsynet
Personvernforordningen artikkel 36 krever at det foretas en forhåndsdrøftelse med Datatilsynet i tilfeller hvor man har gjennomført en vurdering av personvernkonsekvenser (DPIA), men likevel mener at behandlingen kan medføre en høy risiko for de registrertes rettigheter og friheter.
Les mer om forhåndsdrøftelser med Datatilsynet.