Personvern: Starte forskningsprosjekt ved OsloMet

Personvern: Starte forskningsprosjekt ved OsloMet

Hvordan starte et forskningsprosjekt som krever at man tar hensyn til personvern? Hvilke avklaringer må gjøres på forhånd, og hvordan gjennomfører man?

Rolleavklaring og vurdering av Personverntjenester (Sikt)

Rolleavklaring og vurdering av Personverntjenester (Sikt)

  1. Hva er Personverntjenester (Sikt)?

    Tidligere NSD (Norsk senter for forskningsdata) ble fra 1. januar 2022 en del av Sikt – Kunnskapssektorens tjenesteleverandør, og heter nå Personverntjenester (Sikt) (sikt.no). De leverer personverntjenester til 130 norske forsknings- og utdanningsinstitusjoner: Alle universitetene, de fleste høyskolene og flere forskningsinstitutt, helseforetak og kompetansesentre. Formålet er å sørge for at forskningen får lovlig tilgang til nødvendige persondata.

  2. Når skal prosjektet vurderes av Personverntjenester (Sikt)?

    Ut ifra prosjektbeskrivelsen utføres det en undersøkelse, hvor det skal behandles personopplysninger, som har en begynnelse og en slutt, en prosjektleder og et mål/resultat.

    OsloMet må anses som en behandlingsansvarlig.

  3. Når foreligger et behandlingsansvar?

    Hvis forskningsprosjekt foregår ved OsloMet og forsker ved OsloMet samler inn data, f.eks. ved bruk av lydbåndopptak, er OsloMet behandlingsansvarlig eller felles behandlingsansvarlig.

    Her samler forsker inn personopplysninger med "OsloMet-hatten" på. Forsker bestemmer formålet (hva personopplysningene skal brukes til) og metode (hvilke metode/middel som skal brukes ved innsamling).

    Her skal prosjektet vurderes av Personverntjenester (Sikt) og eventuelt til Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK). Samler forsker inn personopplysninger hos en ekstern/annen institusjon må forsker ha tillatelse fra denne institusjonen til å kontakte informanter/forskningsdeltakere fra dem. 

  4. Når foreligger et felles behandlingsansvar? 

    Felles behandlingsansvar (med tilhørende avtale) kan være aktuelt der både OsloMet og ekstern/annen institusjon bestemmer formål og metode/middel.

  5. Når skal det inngås en databehandleravtale?

    Hvis forsker skal ta lydopptak og deretter analysere og lagre dataene på PC/server ved ekstern institusjon, f.eks. OUS, må det inngås en databehandleravtale mellom OsloMet og denne institusjonen.

    OsloMet vil da være behandlingsansvarlig og institusjonen, f.eks. OUS, vil være databehandler (institusjonen har ikke et eget formål med personopplysningene, men behandler dem siden det skjer i deres systemer) på vegne av behandlingsansvarlig OsloMet.

    Databehandleravtale er aktuelt selv om data ikke fysisk overføres til OsloMet. Det er tilstrekkelig at en med "OsloMet-hatt" har tilgang til personopplysningene.

  6. Når skal prosjektet ikke vurderes av Personverntjenester (Sikt)?

    • Prosjektet skal ikke behandle personopplysninger.

    • Prosjektet er et delprosjekt som inngår i et større prosjekt (hovedprosjekt som bestemmer formål og metode) ved en ekstern/annen institusjon (forutsetter en overføring av personopplysninger til OsloMet sine elektroniske løsninger).

    Dersom prosjektet ditt er et delprosjekt som inngår i et større prosjekt må du

    • sørge for at det inngås en databehandleravtale mellom OsloMet og ekstern/annen institusjon, da OsloMet vil behandle personopplysninger på vegne av den eksterne/andre institusjonen og

    • sjekke at den eksterne institusjonen har sendt endringsmelding til Personverntjenester (Sikt) eller sitt personvernombud og fått din behandling av personopplysningene vurdert som ok. E-post kan være tilstrekkelig, dersom virksomheten er norsk. Er du i tvil om hva som er tilstrekkelig dokumentasjon i prosjektet, ta kontakt med en personvernrådgiver FoU ved ditt fakultet/senter.