Personvern i forskning
Innhold på siden
↳ 1. Introduksjon til personvern i forskning
↳ 2. Før du starter innsamling av data
↳ 3. Når du skal samle inn data
1. Introduksjon til personvern i forskning
Innhold i denne seksjonen:
↳ 1.1 Rådgivning knyttet til personvern
↳ 1.2 Hva er personopplysninger?
↳ 1.3 Hva er særskilte kategorier av personopplysninger?
↳ 1.4 Relevant regelverk for personvern i Norge
↳ 1.5 Hva betyr «behandling» av personopplysninger?
↳ 1.6 Hvem er databehandlingsansvarlig?
1.1 Rådgivning knyttet til personvern
Når du behandler personopplysninger i din forskning, må du følge gjeldende regelverk for personvern i forskning. Kristiania har et institusjonelt ansvar for å tilrettelegge for, og påse at krav til personvern blir ivaretatt.
For spørsmål om personvern innen et forskningsprosjekt eller en forskningssøknad: ta kontakt med forskningsrådgiveren din eller sende en e-post til forskadm@kristiania.no
For generelle spørsmål om personvern i og utenom forskning: send en e-post til personvernombud@kristiania.no.
1.2 Hva er personopplysninger?
Dette er opplysninger som direkte eller indirekte kan identifisere en person. Direkte personidentifiserende opplysninger er navn, personnummer, e-postadresse, telefonnummer, IP-adresse, bilde, stemmeopptak eller andre personlige kjennetegn. Indirekte personidentifiserende opplysninger er bakgrunnsopplysninger som kan gjøre det mulig å spore opplysningene tilbake til en enkeltperson, for eksempel bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, nasjonalitet osv.
Forskningsprosjekter som skal behandle personopplysninger, må meldes til SIKT – Kunnskapssektorens tjenesteleverandør. Dette må skje før innsamlingen av personopplysninger kan starte.
1.3 Hva er særskilte kategorier av personopplysninger?
En spesiell kategori av personopplysninger, tidligere kalt «sensitive personopplysninger», krever ekstra beskyttelse ifølge loven:
- rasemessig eller etnisk opprinnelse
- politisk oppfatning
- religion
- filosofisk overbevisning
- fagforeningsmedlemskap
- genetikk
- biometri (når behandlingsformålet er å entydig identifisere noen)
- helse
- seksuelle forhold
- seksuell legning
I utgangspunktet er det ikke lov å behandle særskilte kategorier av personopplysninger. Unntak kan gjøres der det foreligger et særskilt grunnlag, i tillegg til behandlingsgrunnlaget for å behandle denne typen opplysninger.
Forskningsprosjekter som skal behandle særskilte kategorier personopplysninger må meldes til SIKT og trenger eventuelt REK-godkjenning (forskningsetikk). Ta kontakt med din forskningsrådgiver for videre støtte.
1.4 Relevant regelverk for personvern i Norge
Fra juli 2018 ble EUs personvernforordning (The General Data Protection Regulation - GDPR) implementert som norsk lov.
I tillegg inneholder Lov om behandling av personopplysninger (også kalt Personopplysningsloven) bestemmelser som tilpasser eller supplerer GDPR-forordningen på områder der Norge kan fastsette nasjonale regler.
1.5 Hva betyr «behandling» av personopplysninger?
Behandling betyr å samle inn, registrere, oppbevare og eventuelt sammenstille og utlevere personopplysninger. All behandling av personopplysninger må ha et rettslig grunnlag for å være lovlig. Innen forskningsprosjekter er det vanlige rettslige grunnlaget samtykke og/eller allmennhetens interesse.
Hvis det ikke foreligger et rettslig grunnlag, er bruken av personopplysningene ulovlig.
1.6 Hvem er databehandlingsansvarlig?
Den behandlingsansvarlige er den institusjon/ bedrift/ annen juridisk person (representert ved øverste ledelse) som bestemmer formålet med behandlingen av personopplysningene, og hvilke hjelpemidler som skal brukes. Kristiania er behandlingsansvarlig i forbindelse med alle våre forskningsprosjekter.
Etikk
2. Før du starter innsamling av data
Innhold i denne seksjonen:
↳ 2.2 Hvordan kan du innhente anonyme data?
↳ 2.3 Unngå unødvendig innsamling av personopplysninger i forskningsprosjektet
↳ 2.4 Vurder å foreta en risikovurdering (ROS) for datasikkerhet
2.1 Når er data anonyme?
Personvernlovgivningen gjelder ikke for anonyme data. Prosjekter som behandler anonyme data gjennom hele forskningsprosessen, skal ikke meldes inn til SIKT. For at data skal kunne anses som anonyme, må de ikke kunne knyttes til personopplysninger via en kode eller koblingsnøkkel.
Data er anonyme når det ikke er mulig å knytte dem til et identifiserbart individ. Dette skal også gjelde selv om man bruker alle de hjelpemidlene som med rimelighet kan tenkes brukt for å identifisere vedkommende (f. eks bakgrunnsvariabler, koblingsnøkkel, krypteringskode), enten av den behandlingsansvarlige eller av en hvilken som helst annen person.
Datamaterialet er altså ikke anonymt dersom det bare er det som publiseres i den ferdige rapporten, artikkelen, masteroppgaven eller lignende som er anonymisert. Alle rådataene må også være anonyme.
2.2 Hvordan kan du innhente anonyme data?
Det finnes ulike metoder for å innhente anonyme data:
- Ved intervju og observasjon registreres data kun i form av notater (ikke lydopptak). Påse at det ikke registreres noen navn eller personidentifiserende bakgrunnsopplysninger i datamaterialet.
- Spørreskjemaer innhentes i papirform, uten navn og indirekte identifiserende opplysninger.
- For at bruk av nettbaserte spørreskjema ikke skal omfattes av loven, må man forsikre seg om at IT-løsningen er fullstendig anonym (bl.a. at respondentens e-post-/IP-adresse ikke på noe tidspunkt kan knyttes til spørreskjemaet). Selve spørreskjemaet skal ikke inneholde spørsmål om identifiserende opplysninger. NB! Alle ansatte og studenter ved Kristiania kan bruke Nettskjema som tilbyr en anonym løsning for spørreundersøkelser.
- Registerdata og journaldata kan brukes uten SIKT-melding så lenge det kun er anonyme data som hentes ut. Opplysningene må ikke kunne tilbakeføres til enkeltpersoner på noen måte. Det finnes en rekke anonyme registerdata tilgjengelig på nett, bl.a. fra SSB og SIKT.
- Innsamling av data fra internettet eller sosiale medier krever spesielle hensyn, se eget avsnitt nedenfor.
Helseforskning kan noen ganger være basert på anonyme data og skal da ikke forhåndsgodkjennes av Regionale forskningsetiske komiteer (REK), f.eks. ved bruk av:
- Kvalitetssikring og evaluering av deler av helsetjenesten, dvs prosjekter, undersøkelser og evalueringer som skal kontrollere at diagnostikk og behandling faktisk gir resultater som forventet. Les om kjennetegn som REK legger vekt på ved sin vurdering av kvalitetssikring vs. fremleggingspliktige prosjekter.
- Avidentifiserte og/ eller anonyme data fra ett eller flere (koblete) sentrale/ lovbestemte helseregistre (Unntak kan være definert i forskriftene til registrene).
- Bruk av andre anonyme opplysninger og vurderinger om helseforhold (Registereier har ansvar for anonymiseringen).
- Teknisk og metodemessig utviklingsarbeid som benytter humant biologisk materiale uten at det er knyttet noen personopplysninger til materialet.
2.3 Unngå unødvendig innsamling av personopplysninger i forskningsprosjektet
Dataminimering er et juridisk personvernprinsipp som begrenser innsamlingen av personopplysninger til det som er nødvendig for formålet.
Som forsker skal du bare innhente opplysninger som er relevante og nødvendige for forskningsformålet ditt (Personopplysningsloven, artikkel 5, del 1C). Tenk derfor nøye igjennom om det er nødvendig å innhente personopplysninger for å gjøre undersøkelsene. Kan anonyme data tjene prosjektets formål like godt, dvs. opplysninger som verken direkte eller indirekte kan spores tilbake til individer?
Kristiania anbefaler også at prosjektledere samordner innhentingen, og legger til rette for gjenbruk av data (Open Science).
2.4 Vurder å foreta en risikovurdering (ROS) for datasikkerhet
Noen forskningsprosjekter må kartlegge sannsynligheten for uønskede hendelser og evt. konsekvenser disse, en såkalt risiko- eller sårbarhetsanalyse (ROS-analyse), også når personopplysninger ikke er inkludert. Dette kan være nødvendig f.eks. dersom forskningsdataene er følsomme, prosjektet er særlig omfattende eller langvarig, eller dersom det er et trusselbilde knyttet til miljøet som bearbeider og lagrer forskningsdataene. Analysen kan inkludere spørsmål om infrastruktur, budsjett, tilgjengelige databaser, personlig sikkerhet osv.
Bruk Kristianias mal for ROS-vurdering og arkiver denne i prosjektmappen. Det er anbefalt å gjennomføre ROS-vurdering mens man utarbeider datahåndteringsplanen (DMP) (se eget avsnitt nedenfor).
Ta kontakt med Kristianias IT-brukerstøtte om du har spørsmål om ROS-vurdering. Les også IT-reglement ved Kristiania.
Viktig: I prosjekter som bruker eksterne databehandlere, må Kristiania inngå en databehandleravtale med den behandlingsansvarlige institusjonen. For at avtalen skal være gyldig, må den eksterne behandlingsansvarlige institusjonen ha foretatt en ROS-analyse av prosjektet før Kristiania signerer databehandleravtalen. Ta kontakt med din forskningsrådgiver med spørsmål.
3. Når du skal samle inn data
Innhold i denne seksjonen:
↳ 3.1 Lag en datahåndteringsplan (DMP)
↳ 3.2 Foreta en risikovurdering for datasikkerhet (ROS) også for personopplysninger
↳ 3.3 Meld inn behandlingen av personopplysninger til SIKT
↳ 3.4 Hvem er ansvarlig for å melde ifra?
↳ 3.5 Skal prosjektet samle inn personopplysninger i utlandet?
↳ 3.6 Vurder personvernkonsekvenser (DPIA) for inngripende forskningsprosjekter
↳ 3.7 Ta spesielle hensyn ved internettforskning
↳ 3.8 Utform et informasjonsskriv
↳ 3.9 Utform en samtykkeerklæring
↳ 3.10 Vurder å søke REK om godkjenning av helseforskningsprosjektet ditt
3.1 Lag en datahåndteringsplan (DMP)
En datahåndteringsplan (Data Management Plan - DMP på engelsk) beskriver hvem som er prosjektleder, prosjektnavn, prosjektperioden, og viktig informasjon om dataene. Du skal beskrive hvordan og hvilke data som vil bli samlet inn, lagret, bearbeidet og anvendt av hvem, mens et forskningsprosjekt pågår. I tillegg skal du redegjøre for hva som vil skje med dataene etter at prosjektet er avsluttet (inkl. lagringssted, tidsrom for lagring, og om data vil bli anonymisert/ slettet/ arkivert/ tilgjengeliggjort).
Kristiania har en plan om å bruke informasjonen i datahåndteringsplanen til å holde oversikt over institusjonens dataregistre. Dette er viktig for å sikre at datalagring følger GDPR. Vi må også jobbe for at eksisterende data kan bli tilgjengelige for gjenbruk og at innsamlingen kan bli samordnet mellom prosjekter (jf. Open Science).
Tilgjengelig veiledning og maler til datahåndteringsplan:
- SIKTs digitale datahåndteringsplan kan redigeres og deles digitalt.
- Prosjekter med finansiering fra EU skal følge anvisningen om datahåndtering i Participant Portal H2020 Online Manual.
Har du planer om å dele innsamlede data med partnere utenfor Kristiania? Vær oppmerksom på at deling og felles behandling av data er lovregulert og krever spesifikke avtaler. Vennligst ta kontakt med din forskningsrådgiver for videre støtte.
3.2 Foreta en risikovurdering for datasikkerhet (ROS) også for personopplysninger
Alle forskningsprosjekter skal forebygge uønskede hendelser og ivareta kravene til datasikkerhet, og til personvern når personopplysninger innhentes.
Forskningsprosjekter som innebærer en sikkerhetsrisiko, må kartlegge sannsynligheten for uønskede hendelser og evt konsekvenser av disse i en såkalt risiko- og sårbarhetsvurdering (ROS-analyse).
Dette gjøres i sammenheng med utarbeidelsen av datahåndteringsplanen (DMP, se eget avsnitt over). En ROS-analyse skal også gjennomføres når man inngår avtale med en ekstern databehandler (se avsnittet om ROS over).
Forebyggende tiltak må gjennomføres for å sikre at informasjonssikkerheten blir forsvarlig.
I forskningsprosjekter som inkluderer personopplysninger, skal ROS-analysen også bidra til å forebygge uønskede hendelser eller mangler ved behandlingen av personopplysningene.
Ved innsamling av personopplysninger i prosjektet må du sørge for sikker datalagring og tilgangsstyring. Ta kontakt med Kristianias datasikkerhetssjef for veiledning.
3.3 Meld inn behandlingen av personopplysninger til SIKT
Forskningsprosjekter som skal behandle personopplysninger, må meldes inn til Kunnskapssektorens tjenesteleverandør (SIKT). Meldeplikten er obligatorisk og skal skje senest 30 dager før databehandlingen skal starte. Dette gjelder selv om du ikke skal publisere personopplysninger. Behandlingen av personopplysninger foregår fra datainnsamlingen starter til resultatene er publisert. Her melder du inn prosjektet til SIKT.
- Ta meldeskjema-testen hos SIKT hvis du er usikker på om prosjektet ditt er meldepliktig.
- Les SIKTs tips for å redusere vurderingstiden. For komplekse prosjekter kan vurderingen ta lengre tid.
3.4 Hvem er ansvarlig for å melde ifra?
Prosjektleder er ansvarlig for å melde inn forskningsprosjekter til SIKT. Prodekan FoU/KU og forskningsadministrasjonen skal orienteres i forkant.
Ved ph.d.-prosjekter er stipendiaten ansvarlig for å melde inn prosjektet, med mindre ph.d.-prosjektet allerede er meldt til SIKT som del av et større forskningsprosjekt.
Den som er ansvarlig for å melde inn forskningsprosjektet til SIKT, har også ansvar for riktig og forsvarlig etterlevelse av lovens bestemmelser om informasjonssikkerhet og internkontroll i prosjektet. Prosjektleder skal sørge for at alle dokumentasjonskrav etterleves i prosjektet.
Unntaksvis, der personopplysninger behandles ifm. masteroppgaver, skal veileder (eventuelt biveileder eller fagansvarlig ved studiestedet) være ansvarlig for å melde inn masteroppgaven til SIKT. Studenten selv kan ikke være ansvarlig.
3.5 Skal prosjektet samle inn personopplysninger i utlandet?
Forskere og studenter ved en institusjon i Norge som samler inn personopplysninger i utlandet, skal melde inn forskningsprosjekter til SIKT på samme måte som ved datainnsamling i Norge.
3.6 Vurder personvernkonsekvenser (DPIA) for inngripende forskningsprosjekter
Forskningsprosjekter av spesielt inngripende karakter kan inkludere behandling f.eks. av særlige kategorier av personopplysninger (se eget avsnitt), eller av helseopplysninger for forskningsformål uten at de registrerte har samtykket. For slike prosjekter krever Personvernforordningen artikkel 35 (jf. GDPR) at det foretas en konsekvensvurdering av personvernet før datainnsamlingen kan starte (Data Protection Impact Assessment – DPIA).
Les mer om når DPIA skal gjennomføres. SIKT kan anbefale at en DPIA gjennomføres.
Prosjektleder skal involvere prodekan FoU/KU, forskningsadministrasjonen og Kristianias personvernombud og gjennomføre en DPIA før prosjektstart. Merk at en ROS-analyse (se eget avsnitt over) ikke kan erstatte en DPIA.
Når en prosjektleder i grensetilfeller bestemmer seg for ikke å gjennomføre en DPIA, må prosjektleder lagre en begrunnelse i prosjektmappen.
For å gjennomføre en DPIA eller pre-DPIA, kan alle fagansatte ved Kristiania bruke DRAFTITs digital løsning uten kostnader. Dersom du ikke har tilgang til DPIA-modulen i Draftit, kan du sende en e-post til personvernombud@kristiania.no. Videopplæring om DPIA i Draftit er publisert i mappen «GDPR» på Kristianias intranett under «Viktige verktøy».
Les mer om hvordan DPIA gjennomføres her. Datatilsynet har laget en utførlig sjekkliste som tar for seg hva man bør tenke på ved gjennomføring av en DPIA (pdf)
Kontakt personvernombudet for støtte personvernombud@kristiania.no.
Dersom DPIA viser at forskningsprosjektet innebærer en høy risiko for de registrertes rettigheter og friheter, skal prosjektleder kontakte Datatilsynet for forhåndsdrøfting (jf.Personvernforordningen artikkel 36).
Les mer om forhåndsdrøfting med Datatilsynet og ta kontakt med Kristianias personvernombud for støtte.
3.7 Ta spesielle hensyn ved internettforskning
Data fra internettet eller sosiale medier er åpent tilgjengelige, men ikke nødvendigvis offentlige. Dersom et forskningsprosjekt inkluderer personopplysninger, må prosjektlederen melde prosjektet til SIKT. Eksempler er prosjekter som:
- lagrer skjermbilder/ dokumenter fra åpne eller lukkede diskusjonsfora som inneholder brukernavnet til diskusjonsdeltakerne.
- anvender direkte sitater fra nettsider. Sitater er søkbare, og vil på den måten peke tilbake til identifiserbare personer.
Internettforskning gir adgang til store datamengder. Derfor er det viktig å begrense innhentingen av data. Forskeren bør reflektere over følgende:
- Hvilke data er ikke nødvendige for å gjennomføre prosjektet, men vil sannsynligvis følge med innhentingen av nødvendige data?
- Hvordan kan innhentingen av slike data minimeres?
- Hva slags fora hentes opplysningene fra? Hvor offentlig anser brukerne disse for å være?
- Hvor sensitive er opplysningen og i hvilken grad er de av privat karakter?
- Regnes internettbrukerne som en sårbar gruppe?
Inkluderer forskningsprosjektet personopplysninger? Da må du sørge for at:
- Prosjektdeltakerne må som hovedregel få informasjon om prosjektet
- Prosjektlederen må vurdere hvilket rettslig grunnlag skal brukes for behandling av personopplysningene.
- Samtykke må vanligvis innhentes fra prosjektdeltakerne. Unntak kan innvilges i visse tilfeller, for eksempel med henvisning til allmenhetens interesse som et grunnlag for databehandling.
Mer om internettforskning på SIKT sine nettsider.
Internettforsking innebærer også flere etiske utfordringer. For mer informasjon om dette, se NESH sin Forskningsetisk veileder for internettforskning.
3.8 Utform et informasjonsskriv
Skal du inkludere deltakere i forskningsprosjektet ditt, må du i forkant gi informasjon om prosjektet til prosjektdeltakerne. Informasjonen skal gjøre rede for prosjektets formål, metoder, hvilke opplysninger som blir samlet inn, og prosjekts varighet. Informasjonsskrivet skal være formulert i et klart og enkelt språk som kan oppfattes av prosjektdeltakerne.
Informasjonsskriv skal også brukes ved behandling av anonyme opplysninger.
Etter at prosjektdeltakeren har lest informasjonsskrivet, skal vedkommende vurdere fritt om hen ønsker å delta i forskningsprosjektet.
Les mer om informasjonsskrivets innhold og maler på SIKTs nettside.
3.9 Utform en samtykkeerklæring
Et samtykke er et rettslig grunnlag for å behandle personopplysninger i forskning. Hvis du har valgt dette grunnlaget, må du innhente en samtykkeerklæring fra prosjektdeltakerne (informantene).
En samtykkeerklæring er et dokument som viser at prosjektdeltakerne uttrykkelig har gitt sitt frivillige og informerte samtykke til å delta i forskningen.
Samtykkeerklæringen skal være formulert i et klart og enkelt språk som kan oppfattes av prosjektdeltakerne. Samtykket må være dokumenterbart for ettertiden, noe som i de fleste tilfeller krever en skriftlig signatur på en samtykkeerklæring.
Bruk Kristianias maler for samtykkeerklæring.
For helseforskning som inkluderer helseopplysninger eller humant biologisk materiale, gjelder hovedregelen at samtykke må innhentes. Dette gjelder enten data blir samlet inn direkte fra de som opplysningene gjelder for, eller blir hentet fra pasientjournal, annet helseregister, observasjoner, biobanker eller andre forskingsprosjekter.
Unntak fra taushetsplikt er nødvendig for å forske på humant biologisk materiale eller helseopplysninger som allerede er samlet inn, uten å be om samtykke. Søknad om dispensasjon skal vurderes av REK, både for medisinsk og helsefaglig forskning (helseforskningsloven §§ 15, 28 og 35) og for annen forskning.
Se mer informasjon om fritak fra samtykke her.
3.10 Vurder å søke REK om godkjenning av helseforskningsprosjektet ditt
Alle helseforskningsprosjekter som er omfattet av helseforskningsloven, skal forhåndsgodkjennes av Regional forskningsetisk komité (REK). REK godkjenner søknader hjemlet i forskningsetikkloven og helseforskningsloven. Dette gjelder:
- Medisinske og helsefaglige forskningsprosjekter.
- Generelle forskningsbiobanker.
- Dispensasjon fra taushetsplikt med hjemmel i forvaltningsloven §13d og helsepersonelloven §29 1.ledd, for annen type forskning.
Eksempler på helseforskningsprosjekter som ikke skal godkjennes av REK, er beskrevet her.
Hvis du er usikker på om prosjektet må forhåndsgodkjennes av REK, kan du sende inn en fremleggingsvurdering som gir REK et grunnlag for videre veiledning.
Her finner du mer informasjon om REKs godkjenninger.
Før du sender inn en søknad til REK om forhåndsgodkjenning av et helseforskningsprosjekt, må du orientere prodekan FoU/KU og forskningsadministrasjonen. For å kunne søke REK må du også gjøre følgende:
- Gå inn i REKs søknadsportal og registrer din CRIStin-ID på ditt REK-personkort.
- Registrer og send inn din søknad
- Når/ hvis prosjektet blir godkjent av REK, vil prosjektet automatisk bli opprettet i CRIStin (via SPREK-portalen som er REKs register over REK-godkjente forskningsprosjekter). Prosjektlederen får samtidig en e-post med lenke til prosjektet. Det må ikke opprettes dubletter av REK-godkjente prosjekter i CRIStin.
- Kliniske forsøk skal registreres i den europeiske portalen for kliniske studier clinicaltrials.gov før studien er begynt. Det er ikke mulig å registrere studier etter at de er startet. De fleste medisinskfaglige tidsskrifter krever slik registrering for å publisere resultater fra kliniske forsøk. Mer om Clinical Trials hos ICMJI.
- Formålet med registeret er å bidra til større grad av åpenhet og oversikt over pågående kliniske studier for pasienter, helsepersonell, myndigheter og forskningsmiljøer. Dette skal føre til økt deltakelse og tilgjengelighet av utprøvende behandling for pasienter.
Den forskningsansvarlig og prosjektleder har ansvar for å sørge for åpenhet rundt forskningen (jf. Helseforskningsloven kapittel 8, §39).
4. Når du har samlet inn data
Innhold i denne seksjonen:
↳ 4.1 Vurder underveis å anonymisere datamaterialet
↳ 4.2 Oppdater datahåndteringsplanen (DMP) og risikovurderingene ved endringer
↳ 4.3 Meld inn endringer til SIKT
↳ 4.4 Meld inn endringer i REK-godkjente helseforskningsprosjekter
4.1 Vurder underveis å anonymisere datamaterialet
Personvernulempene kan reduseres ved å anonymisere data. Anonymisering fører til at ingen kan gjenkjenne enkeltpersoner i datamaterialet som du sitter igjen med, heller ikke forskeren selv.
Du må altså underveis i forskningsprosjektet vurdere datamaterialet ditt og velge hvilke opplysninger som du må fjerne eller skrive om. Vanligvis innebærer anonymisering å slette:
- direkte identifiserende opplysninger (inkludert koblingsnøkkel/ navneliste)
- indirekte identifiserende opplysninger (eventuelt kan disse omarbeides for eksempel ved å grovkategorisere variabler som alder, bosted, skole e.l.)
- lydopptak, bilder og videoopptak (eventuelt redigere/ sladde)
Dersom du benytter en databehandler, må databehandleren også slette identifiserende opplysninger.
4.2 Oppdater datahåndteringsplanen (DMP) og risikovurderingene ved endringer
Hvis det gjøres endringer i prosjektet underveis, f.eks. endringer i prosjektdesign, databehandlingen eller trusselbildet, skal prosjektleder oppdatere datahåndteringsplanen for prosjektet (DMP). Prosjektleder skal også gjennomføre en ny risikovurdering for datasikkerhet (ROS) og evt. for personvernkonsekvenser (DPIA) der det er aktuelt (se egne avsnitt over).
4.3 Meld inn endringer til SIKT
Når det oppstår endringer i behandlingen av personopplysninger i et forskningsprosjekt etter at SIKT har vurdert det, er det nødvendig å melde fra og få en ny vurdering.
Her finner du informasjon om hvilke endringer du skal melde inn eller ikke melde inn.
4.4 Meld inn endringer i REK-godkjente helseforskningsprosjekter
Endringer i et helseforskningsprosjekt skal vurderes av REK, dersom de berører forutsetningene for godkjenningen. Endringene i det REK-godkjente prosjektet må registreres i CRIStin, slik at REK har tilgang til endringene. Slik redigerer du et helseforskningsprosjekt i Cristin.
Eksempler på prosjektendringer som må vurderes på nytt av REK:
- endringer i design og analyse
- ny kunnskap om risiko, ulempe og/ eller nytte for prosjektdeltakerne og/ eller andre
- endring av prosjektleder, forskningsansvarlig(e), ansvarshavende for forskningsbiobank eller prosjektmedarbeider
- utsettelse eller forlengelse av prosjektperioden
- økning i antall prosjektdeltakere
- endring i rekrutteringsprosedyre
- endring i inklusjons- og/ eller eksklusjonskriterier
- innholdsmessig endring av forespørsel om deltakelse (informasjonsskrivet)
- endringer i gitte vilkår for dispensasjon fra taushetsplikten (f. eks. hvem som skal ha tilgang til personidentifiserbare opplysninger)
- endring av oppbevaring og behandling av helseopplysninger eller biologisk materiale
Eksempler på prosjektendringer som IKKE trenger ny vurdering av REK:
- studieteknisk materiell (deltakerkort, dagbok, medisinvesker etc.)
- antall forskningsdeltakere per senter når antall deltakere totalt er uforandret
- hovedutprøver i utlandet
- Contract Research Organisation (CRO)
- utprøvingspreparaters farmasøytiske, kjemiske eller biologiske kvalitet
- Hva må jeg gjøre når forskningsprosjektet er ferdig?
5. Når forskningsprosjektet er ferdig
Innhold i denne seksjonen:
↳ 5.1 Vurder å anonymisere data
↳ 5.3 Send sluttmelding for forskningsprosjektet til SIKT
↳ 5.4 Send sluttmelding for helseforskningsprosjektet til REK
5.1 Vurder å anonymisere data
Prosjektleder skal vurdere om personopplysningene skal anonymiseres ved prosjektavslutning. Se her eller Datatilsynets veileder til anonymisering.
Behandling av anonymiserte data er ikke omfattet av personvernforordningen (jf GDPR) og anonyme data kan derfor bli lagret og bevart for gjenbruk (jf. Open Science og FAIR-prinsippene)
5.2 Sørg for å slette data
Prosjektleder skal ved prosjektslutt sørge for at personopplysningene (inkl. helseopplysninger) slettes forsvarlig. Krav om sletting gjelder all informasjon der forskningsdeltakerens identitet fremkommer direkte eller indirekte.
Dette gjelder ikke hvis det foreligger krav om oppbevaring utover prosjektperioden, f.eks. ved forhåndsgodkjenning fra REK, etter loven, eller fra en ekstern finansiør av forskningen.
For anonyme data finnes tilfeller der du likevel skal slette hele datamaterialet. Dette gjelder for eksempel dersom du har lovet dette til prosjektdeltakerne/ informantene. Dataeiere, for eksempel SSB, kan også pålegge deg å slette hele datamaterialet ved prosjektslutt.
Merk at det ikke kreves at du skal slette personopplysninger i publikasjonen/ oppgaven. Dersom du har en vitenskapelig begrunnelse for det, og du har et rettslig grunnlag for behandling, kan personopplysninger som regel publiseres. Se også Datatilsynets veileder til anonymisering.
5.3 Send sluttmelding for forskningsprosjektet til SIKT
Prosjektleder skal sende sluttmelding til SIKT/ REK når forskningsprosjektet er avsluttet og eventuelt bekrefte at personopplysningene er anonymisert eller slettet.
5.4 Send sluttmelding for helseforskningsprosjektet til REK
Når helseforskningsprosjektet er avsluttet, skal prosjektleder sende sluttmelding til REK på eget skjema. Informasjon om skjemaet finner du i saksportalen til REK.