Internkontroll FoU

Det henvises til

• Policy for sikkerhet, informasjonssikkerhet og personvern: Instituttleder er ansvarlig for at internkontrollen i informasjonssikkerhetsarbeidet fungerer ved instituttet/enheten. Dekan/senterleder er ansvarlig for at internkontrollen i informasjonssikkerhetsarbeidet fungerer ved fakultetet/senteret

• Retningslinje for behandling av personopplysninger: Instituttleder er daglig behandlingsansvarlig for behandlinger av personopplysninger om forskningsdeltagere.

• Forskningsansvarliges rolle og oppgaver: Instituttleder skal følge opp at prosjektleder følger personvernlovgivning, ivaretar etiske, medisinske, helsefaglige, vitenskapelige og informasjonssikkerhetsmessige forhold, samt annet som prosjektleder er ansvarlig for i et forskningsprosjekt, se  Veileder forskningsprosjekt. ​​​​​​

​​​​​​Instituttleder/senterleder med budsjett- og personalansvar for sin enhet kan delegere oppgavene videre i linjen, til bl.a. studieledere, og de står fritt til å benytte seg av tilbudt bistand fra FoU-administrasjonen for å få utført oppgaver. Se Rutine for personvernkontakter FoU sin internkontroll.

Alle prosjektene skal være forankret ved instituttet/senteret.

Forsknings- og studentprosjektene skal gjennomføres i henhold til gjeldende personvernregelverk, helseforskningsloven m.m.

I henhold til Personvernforordningen (GDPR) art. 30 er OsloMet forpliktet til å ha oversikt over  – og føre internkontroll med  all behandling av personopplysninger ved OsloMet.

Både interne og eksterne prosjekter skal derfor være oppført både i Personverntjenester (Sikt) sin institusjonsportal og i Forskningsdatabasen. Dette gjelder også studentprosjekter som behandler personopplysninger. (Prosjekter hvor OsloMet kun er databehandler vil bare være oppført i Forskningsdatabasen).

Det føres internkontroll både med interne prosjekter (forsknings- og studentprosjekter) og med eksterne samarbeidsprosjekter hvor OsloMet er behandlingsansvarlig eller databehandler.  Internkontrollen skal loggføres i internkontrollfanen i Forskningsdatabasen.

Personverntjenester (Sikt) sin institusjonsportal

Alle prosjekter som behandler opplysninger skal meldes inn til Sikt som har en institusjonsportal (sikt.no) over forsknings- og studentprosjekter. Her arkiveres dokumenter som inneholder detaljert informasjon om de enkelte prosjektene, og som leveres inn til Sikt i forbindelse med vurdering av lovlig grunnlag. I tillegg skal flere av dokumentene, som databehandleravtaler, avtaler om felles behandlingsansvar og risikovurderinger, arkiveres i Public 360. Også andre dokumenter kan være aktuelle å arkivere i Public 360 grunnet behov for dokumentasjon, se nettside om dokument og prosjektarkiv.

Forskningsdatabasen

OsloMet har en Forskningsdatabase over alle forskningsprosjekter ved OsloMet, både intern- og eksternfinansierte, samt studentprosjekter. Her registreres metainformasjon om forsknings- og studentprosjektene. Prosjekter hvor OsloMet kun er databehandler vil bare være oppført i Forskningsdatabasen.

Personverntjenester (Sikt)

Institusjonsportalen hos Sikt er adgangsregulert. Dekan/senterleder, instituttleder/instituttdirektør eller personvernkontakt FoU sin nærmeste leder sender e-post til kontaktperson for Sikt ved OsloMet, Jens Herman Ruge, med ønske om tilgang. Dekan/senterleder, instituttleder/instituttdirektør og personvernkontakt FoU/FoU rådgivere ved SVA (samt personvernkontakts nærmeste leder) skal ha/kan få tilgang til institusjonsportalen. Hver enkelt får tilgang på grunnlag av hva de har behov for i sitt arbeid.

Forskningsdatabasen

Alle ansatte ved OsloMet har tilgang til metadata om forskningsprosjekter ved OsloMet. Personvernkontakter FoU og FoU rådgivere ved SVA har ekstra tilganger i forbindelse med internkontrollarbeid.

Forskningsdatabasen anses som protokoll over behandlinger av personopplysninger i forskning etter personvernforordningen og inneholder mye av det samme som Sikt sin institusjonsportal. I tillegg er det mer detaljert informasjon i forhold til status, samarbeidspartnere, personvernavtaler, dataflyt, klassifisering og risikovurdering.

Alle forskningsprosjekt, både intern- og eksternfinansierte prosjekter, skal registreres. I tillegg skal studentoppgaver der personopplysninger behandles også være registrert i Forskningsdatabasen. Det er forsker(prosjektleder) og ph.d.-kandidat sitt ansvar at forskningsprosjektene er lagt inn. Det er veileder (prosjektleder) sitt ansvar at studentprosjektene er lagt inn.

Du kan bruke Kvalitetsrapport - Power BI for å holde oversikt over prosjektene, og se hva slags informasjon som ikke er utfylt eller redegjort for i Forskningsdatabasen.

Personvernkontakt FoU med tilgang til Sikt sin institusjonsportal.

• Utfører internkontrollen minst en gang i måneden, helst hver 14 dag, og

• gir innspill til ledelse og ansvarlige for revisjon av internkontrollsystemet på bakgrunn av kontroller og avvikshåndtering ved behov.

• Tilgang til institusjonsportalen for ledelse og administrasjon (sikt.no).

• Tilgang til forskningsdatabasen ved OsloMet, hvor alle forsknings- og studentprosjekter skal registreres.

Retningslinjer for behandling av personopplysninger: "Personvernkontakt FoU utføre internkontroll av forskningsprosjekter på sitt fakultet/senter – Norsk senter for forskningsdata (NSD) sitt meldingsarkiv og evt. en forskningsprosjektdatabase ved OsloMet når det er på plass".

Sikt gjør deler av internkontrollen på vegne av OsloMet ved oppstart av et prosjekt.

De vurderer:

• lovlig behandlingsgrunnlag, 

• deler av informasjonssikkerheten i prosjektet,

• sjekker at det foreligger nødvendige godkjennelser/vurderinger der det er et behov,

• fanger opp prosjekter der rollefordelingen er uklar,

• fanger opp hvis et prosjekt reiser forskningsetiske problemstillinger,

• vurderer om det skal gjennomføres en DPIA (personvernkonsekvensvurdering) og hjelper forsker med selve gjennomføringen av en DPIA,

• registrerer prosjekter hvor det mangler tilbakemelding fra prosjektleder/student eller andre forhold under «Ubesvarte slutthenvendelser», «Uavklarte» og «Avvik»  og

• følger opp prosjektleder/student ved prosjektslutt.

Sjekkliste for personvernkontakt FoU ved OsloMet ved oppstart av nye prosjekter.

Prosjekter som behandler sensitive personopplysninger bør prioriteres.

Sjekk

• at samtykke er innhentet der «samtykke er det lovlige behandlingsgrunnlaget.  

• at prosjektet er tenkt gjennomført iht. forskningsetiske retningslinjer,

• at det er gitt informasjon til de registrerte (skal gjøres uansett lovlig behandlingsgrunnlag),

• hvilke elektroniske løsninger som blir benyttet (vurder det som beskrives i meldingsskjemaet opp mot OsloMet sine retningslinjer for lagring av forskningsdata),

• at det utføres risikovurdering av dataflyt,

• at nødvendige personvernavtaler inngås,

• at krav i eventuelle tillatelser følges opp, f.eks. vilkår i godkjenninger/vurderinger  fra REK og Personverntjenester (Sikt)

• at eventuell melding av avvik meldes til ledelse, sikkerhet@oslomet.no og følges opp,

• at prosjekter under «Ikke bekreftet avsluttet», «Uavklarte» og «Avvik» i Sikt sin institusjonsportal følges opp, se i institusjonsportalen, under Personvern, Oppfølging, på «Ikke bekreftet avsluttet", «Uavklart» og «Avvik». Ved «uavklart», vurder om vedkommende trenger hjelp. Det kan være små opprettinger som prosjektleder/student fint greier selv, evt. i samråd med forskningsgruppeleder eller andre forskere.

Send informasjon til prosjektleder/student

• Sende link til Personvern og informasjonssikkerhet for forskere og/eller Personvern og informasjonssikkerhet for studenter og opplys at du kan bistå med råd ved behov for hjelp med personvernavtaler, risikovurderinger osv.

• Send link til Forskningsdatabasen og minn på at prosjektet skal registreres der.

• Sende link til informasjon som er spesielt rettet mot aktuelt prosjekt (spesiell informasjon). Sjekk f.eks. om det er lydopptak og si noe om hva prosjektleder bør være spesielt oppmerksom på (f.eks. ikke bruk mobiltelefon til opptak). Ved bruk av lydopptak som metode sendes link til artikkel om lydopptak.

• Hvis bruk av elektroniske løsninger ikke er ok, send e-post til prosjektleder/student med link til nettsider med relevante retningslinjer.

• Kopier inn i e-posten til prosjektleder/student punkter i vurderingsbrev fra Sikt som omhandler sensitive personopplysninger, informasjonssikkerhet, databehandler, prosjektavslutning og anonymisering.

• Opplys om at de kan ta kontakt med itservicedesk@oslomet.no, ved behov for FoU-støtte i forbindelse med elektronisk behandling av personopplysninger i forskningsprosjekter.

• Opplys om at personvernkontakt FoU kan hjelpe med arkivering av dokumenter i P360, som personvernavtaler og risikovurderinger.

• Er henvendelser fra Sikt besvart/fulgt opp? Dersom henvendelsen ikke er besvart/fulgt opp, sendes dette videre til prosjektleder/student og vedkommende følges opp. Aktuelle spørsmål å stille: " Hvorfor er ikke henvendelse fra Sikt fulgt opp? Trengs det hjelp?"....

1. Dersom behandlingen av personopplysninger aldri ble igangsatt, og heller ikke skal igangsettes (avslutte/trekke), kan innmelder eller OsloMet sende Sikt en bekreftelse på dette. Da endres status fra «lukket» til «trukket». Det anbefales å sender samlede meldinger med ref.nummer på meldeskjema OsloMet ønsker at Sikt skal avslutte eller trekke. Man bør også i meldingen tydeliggjøre hva OsloMet ønsker at Sikt skal gjøre. For eksempel: «Vi har vært i kontakt med student/prosjektansvarlig i følgende prosjekter, og de har bekreftet at behandlingen av personopplysninger er avsluttet: XXXXXX, XXXXXX,…..» eller «Vi har fått bekreftet at følgende prosjekter er satt på vent/ikke skal gjennomføres, og ber om at meldeskjemaene trekkes: XXXXXX,XXXXX….».

2. Dersom OsloMet får kontakt med innmelder og behandlingen av personopplysninger er pågående, bør OsloMet be innmelder om å ta kontakt ved å åpne meldeskjemaet igjen og gjøre endringene Sikt har etterspurt. Sikt foretar da en vanlig vurdering av prosjektet.

3. Dersom prosjektet ikke er igangsatt, men innmelder har planer om å igangsette prosjektet, må OsloMet be innmelder om å åpne meldeskjemaet. Det gjør de ved å gjøre endringene Sikt har etterspurt (eller tilpasse meldeskjemaet etter slik det nye prosjektet ser ut) og sende det inn på nytt til Sikt. Nytt meldeskjema trengs ikke opprettes og Sikt fortsetter vurderingen av meldeskjemaet.

Sjekk i Forskningsdatabasen:

• at prosjekt i Sikt sitt meldingsarkiv er registrert i Forskningsdatabasen.

• at samtykke er innhentet fra informant.

• at risikovurdering er gjennomført

• at datoer stemmer med godkjenninger/vurderinger og at disse er innhentet

• at nødvendige avtaler som regulerer personvern er signert

• sjekke at dataflyt er i henhold til OsloMets retningslinjene når det gjelder klassifisering og elektronisk løsninger.

• at endringer som skjer i prosjektet følges opp, f.eks. en prosjektleder som slutter, nye forskningsmedarbeidere skal ha tilgang m.m., og at endringsmeldinger blir sendt til REK (der REK har vurdert prosjektet) og Sikt

• at datamaterialet slettes/anonymiseres ved prosjektslutt (der hvor det ikke foreligger krav om arkivering som dokumentasjonskrav fra REK eller ekstern som finansierer prosjektet) (se oversikt over ubesvarte sluttmeldinger hos Sikt)

• at nødvendige sluttmeldinger er sendt Sikt og eventuelt REK, at dokumentasjonsplikten overholdes og dokumenter lagres i prosjektets saksmappe i P360

• at forskeren har lagt til rette for internkontroll ved å lagre dokumenter med dokumentasjonskrav i P360 og oppgitt referansen til dokumentene i Forskningsdatabasen. 

Registrer den utførte internkontrollen i Forskningsdatabasen i fanen Internkontroll.  

Skriv logg på hva som er gjort, se fanen Logg. Her kan du da se viktige endringer i prosjektet.

Følge opp REK-saker i P360

Ved prosjektstart: Sende ut epost til prosjektleder/student om

• lagring av forhåndsmelding i P360 (denne kan de lagre selv ved ny rutine- alt i en saksmappe, hvis SDI lagrer REK søknaden i prosjektmappen)

• sending av melding til Sikt

• registrering av prosjektet i Forskningsdatabasen

• link til relevant nettside, personvern og informasjonssikkerhet for forskere og personvern og informasjonssikkerhet for studenter (student.oslomet.no) og opplys at du kan bistå med råd ved behov for hjelp med personvernavtaler, risikovurderinger osv.

Sjekk at det er

• sendt melding til REK om uønskede medisinske hendelser

• sendt melding om biobank der det er aktuelt

• meldt avvik der det har skjedd et brudd på helseforskningsloven

Se lokal nettside for TSD  (lenker til vedlegg, til TSD og relevant informasjon).

Ved planlegging av prosjekt

• Har prosjektet data som klassifiseres som «røde data»?

• Trenger prosjektet TSD, eller kan andre tjenester være aktuelt? Se lagringsguide.

• Er dette forskingsprosjekt, som faller inn under avtalen med TSD? Student- eller administrative prosjekt dekkes i utgangspunktet ikke av gjeldende TSD-avtale.

• Har prosjektet spesielle behov?

  • Skal prosjektet håndtere store datasett eller kjøre tunge beregninger (tungt å kjøre på lokal PC)?

  • Spesiell type datainnsamling

  • Programvare som ikke er opplistet på TSD sine sider

  • …

• Ved behov for rådgivning mot TSD, send e-post til it-servicedesk@oslomet.no.

Ved søknad om tilgang til TSD

To dokument kreves vedlagt søknad om TSD

1. Kopi av tilrådning fra Sikt. Også for prosjekt med godkjenning fra REK.

2. «Vedlegg til databehandleravtale …» (se lokal nettside for oppdatert versjon). Personvernkontakt/FoU-rådgiver skal sjekke at «Vedlegg til databehandleravtale» er korrekt utfylt, signere/bekrefte og returnere denne til prosjektleder/-administrator

Sjekkpunkt

• Prosjektleder/-administrator skal være ansatt ved OsloMet. Vanligvis er prosjektleder selv prosjektadministrator i TSD, men dette kan delegeres.

• Prosjektleder skal være identisk med person som har mottatt godkjenning (REK) eller tilrådning fra Sikt Personverntjenester.

• Sjekk at prosjektet har gyldig behandlingsgrunnlag.

  • Dato for tilrådning/godkjenning skal ikke være utløpt.

  • I sjeldne tilfeller kan prosjektet har flere godkjenninger. I så fall skal en føre opp godkjenning som utløper først.

• Sjekk at aktuelle saks- og referanse-nummer er korrekt fylt inn: Sikt Personverntjenester, REK. P360 (arkivet)

• Signer vedlegget, skann og returner til prosjektleder/-administrator.

• NB! Den som skal være administrator i TSD er den som skal søke tilgang til TSD.

Se forslag til handlingsplan/årshjul (doc) og årsrapport (doc) og som kan benyttes ved det instituttet/senteret du utfører internkontrollen på vegne av.

1. Legge inn spørsmål om dette i FoU-tid søknadsskjema ved fakultetet.

        Eksempler på spørsmål:

• Skal det registreres personopplysninger i forskningsprosjektet?

• Skal det registreres sensitive personopplysninger?

• Er personopplysningene anonymiserte og kan ikke identifiseres verken direkte eller indirekte?

• Har du meldt prosjektet til Personverntjenester (Sikt)?

• Må prosjektet søke om godkjenning hos annen relevant instans eller få en forsvarlighetsvurdering av REK?

• Har du foretatt en risikovurdering for sikker lagring av forskningsdata iht. universitetets retningslinjer?

• Har du behov for bistand til å vurdere valg av riktig elektronisk verktøy for lagring av forskningsdata?

       Ved å svare JA på et eller flere spørsmål kan forskeren følges opp med veiledning.

2. Ta opp forholdet i medarbeidersamtale mellom studieleder og forsker.

3. Se på regnskapslister.

4. Sjekke om prosjekter registrert i Cristin, stemmer overens med prosjekter i institusjonsportalen til Sikt og i Forskningsdatabasen.

5. Sjekke med forskergruppeledere om prosjektet behandler personopplysninger.

6. Sjekke ut litt mer hvis en forsker med mye FoU-tid, har få prosjekter i institusjonsportalen til Sikt.

7. Sjekke en eventuell databehandleravtale.

8. Implementere punkt om behandling av personopplysninger i veilederavtalene mellom veileder og student, slik at begge er klar over sitt ansvar og hva når prosjektet skal vurderes av Sikt. Man bør f.eks. vise til informasjon om personvern i forskning på OsloMets nettside om personvern og informasjonssikkerhet for forskere, personvern og informasjonssikkerhet for studenter (student.oslomet.no) og personvern og informasjonssikkerhet for veiledere.